Spam-Abwehr im Komplettpaket

Antispam-Appliances entlasten den Mail-Server und lassen sich ohne komplizierte Installation rasch ins Netz einbinden.

Artikel erschienen in Swiss IT Magazine 2007/03

     

Es ist zweifelsohne eine echte Plage: Unverlangt und massenhaft verschickte Meldungen machen heute den alllergrössten Teil des
E-Mail-Verkehrs aus – Experten reden von 90 und mehr Prozent Spam und prognostizieren für 2007 weltweit täglich 50 Milliarden Spam-Mails. Beim Durchsehen des Posteingangs erkennt der geübte Anwender solche Meldungen zwar rasch, und ebenso rasch sind sie gelöscht. Wer aber wie heutzutage üblich jeden Tag Hunderte von
E-Mails erhält, wird des Aussortierens der wenigen Messages mit Nutzinhalt rasch einmal müde. Ohne automatisierte Spam-Abwehr geht es nicht.


Was tun gegen Spam?

Am einfachsten haben es Anwender ohne eigenen Mail-Server. Die meisten Provider bieten einen recht guten Spam-Schutz, der sich je länger desto öfter individuell pro Kunde oder Mailbox konfigurieren lässt. Kommen immer noch zu viele Spam-Mails durch, installiert man auf dem Client einen Software-Spam-Filter oder nutzt die integrierten Filter des Mail-Clients. Auch einige Breitband-Router und SOHO-Firewalls lassen sich, meist über einen optional zu abonnierenden Zusatzdienst, mit SpamSchutzfunktionen aufrüsten.




Anders sieht es in Unternehmen mit eigener IT-Infrastruktur aus, die meist auch das Messaging mit eigenen Servern erledigen. SpamSchutz lässt sich hier auf mindestens zwei Arten realisieren: Die Industrie bietet zahlreiche Antispam-Softwarepakete zur Installation auf dem Mail-Server oder besser einem dedizierten Antispam-Server an. Eine andere Variante sind vorkonfigurierte Geräte mit einem speziell auf Mail-Sicherheit optimiertem Betriebs­system und dazu passender Software. Je nach Anbieter nennt sich diese Kombination Antispam-Appliance, Spam-Firewall oder Messaging Security Gateway.
Die Hersteller solcher Geräte führen verschiedene Vorteile gegenüber Antispam-Softwarelösungen ins Feld:






- Eine Appliance wird vollständig konfiguriert ausgeliefert. Es ist nicht nötig, einen Server einzurichten und eine oft komplex aus verschiedenen Modulen zusammengesetzte Software zu installieren. Einzelne Hersteller meinen, ihr Produkt sei in fünf Minuten produktiv ins Firmennetz integriert.




- Typischerweise wird die Appliance vorgelagert am Rand des Firmennetzwerks in der DMZ zwischen Router und Mailserver installiert. Der gesamte Verkehr auf den fürs Messaging typischen TCP-Ports wird zuerst durch die Appliance geschleust. Dies entlastet sowohl das interne Netz als auch den Mail-Server – Spam gelangt gar nicht erst ins Firmen­innere.




- Nicht nur die Installation, auch die Wartung ist einfacher als bei vielen Softwareprodukten. Die meisten Hersteller von Antispam-Appliances betreiben einen automatisierten Update-Dienst, über den sich die Appliance in kurzen Intervallen mit den neuesten Spam- und Virensignaturen versorgt und im Bedarfsfall auch das Betriebssystem und die Antispam- und Antiviren-Engines auf den neuesten Stand bringt. Einige Hersteller liefern alle paar Minuten neue Definitionen, bei anderen beträgt das Update-Intervall maximal ein paar Stunden.




- Im Gegensatz zu den ziemlich simplen Spam-Filtern der Mail-Clients und der teilweise schwierig zu konfigurierenden Mechanismen der serverseitigen Antispam-Pakete sind die Appliances über eine leicht verständliche Oberfläche zu verwalten und funktionieren «out of the box». Auf der anderen Seite analysieren sämtliche Geräte in unserer Marktübersicht den ein- und meist auch den ausgehenden Mail-Verkehr in mehreren Stufen auf unterschiedliche Weise. Meist durchläuft eine Meldung sieben bis zehn Prüfungen mit jeweils bis zu Tausenden von Parametern, bis sie als gültig anerkannt und dem Empfänger zugestellt wird. So soll eine möglichst hohe Spam-Erkennungsrate von 97 bis 99 Prozent gewährleistet und gleichzeitig möglichst wenige Meldungen fälschlich als Spam markiert werden.




E-Mail-Sicherheit als mehrstufiger Prozess


Appliances für jedes Volumen

Die ersten Antispam-Appliances waren entweder zu kostspielig für den KMU-Einsatz oder sie genügten den Ansprüchen grösserer Unternehmen nicht. Heute bieten viele Hersteller eine breite Palette von Spam-Schutz-Hardware mit unterschiedlicher Leistung an.
Die Einstiegsmodelle zu Preisen ab rund 1500 Franken sind meist mit einem Prozessor ausgestattet und kommen ohne redundante Komponenten aus. Die höherwertigen Geräte dagegen sind fast immer mit mehreren CPUs, ausfallsicher als RAID konfigurierten Festplatten und redundanten Netzteilen und Lüftern ausgerüstet. Ausserdem lassen sich bei vielen Herstellern mehrere Appliances in einem Cluster kombinieren – die Spam-Schutzlösung bleibt so auch in grösseren Umgebungen flexibel skalierbar.





Als Mass der Leistung geben fast alle Hersteller den Durchsatz in Meldungen pro Stunde an (MPH). Einige Anbieter positionieren ihre Produkte zusätzlich oder statt dessen anhand der Anzahl aktiver Mail-User, die ein Gerät bedient.
Die Bandbreite ist enorm: Während die Low-end-Modelle zwischen 6000 und 20’000 MPH verarbeiten und 10 bis 500 User bedienen, bewältigen einzelne Spitzengeräte bis über eine Million Meldungen pro Stunde und decken mehrere zehntausend User ab. Wohlgemerkt: Die MPH-Angabe bezeichnet nicht den Output der Appliance, also die als echt erkannten Mails, sondern das wesentlich höhere Message-Volumen am Eingang inklusive sämtlichem Spam.


Nicht nur Spam-Schutz

Eine reine «Antispam Appliance» gibt es nicht. Die Geräte halten als «Messaging Security Gateways» allesamt nicht bloss Spam zurück, sondern untersuchen den Mail-Verkehr auch auf Phishing, Würmer und andere Schadcode-Patterns sowie Viren und Trojaner in Attachments. Sie wehren Denial-of-Service-Angriffe, Directory-Harvesting und andere Attacken auf die Messaging-Infrastruktur ab. Einzelne Geräte sorgen darüber hinaus auch für die E-Mail-Verschlüsselung.
Mit wenigen Ausnahmen decken die vorgestellten Systeme aber ausschliesslich den Verkehr auf den für E-Mail typischen Ports ab, leiten den Rest des Datenstroms unbesehen weiter und eignen sich somit nicht als Ersatz für die eigentliche Firewall. Nur die Produkte von Astaro, McAfee und St. Bernard Software sind vollständige Internet-Gateways und bieten als solche eine generelle Firewall-Funktion.






Neben öffentlichen Spammer-Blacklisten wie spamhaus.org und spamcop.net setzen einige Anbieter auf eigene Sicherheitslabors, die sich mit dem Sammeln von Spam-Merkmalen und der Erkennung der ständig wechselnden Spamming-Tricks beschäftigen. So analysiert das Trustedsource-Labor des Ironmail-Herstellers Secure Computing den Input von weltweit 4000 installierten Appliances und weist den Absendern einen «Reputation Score» zu, der bei der Spam-Ausscheidung hinzugezogen wird. Die Virenerkennung dagegen wird im allgemeinen der Scan-Engine eines bekannten Antivirenherstellers überlassen, zum Beispiel Kaspersky, – oder man ist wie Symantec und Mcafee gleich selbst Virenschutz-Anbieter.




Antispam- und Messaging-Security-Appliances


Appliance-Highlights

Wir haben rund ein Dutzend Antispam-Appliances tabellarisch zusammengestellt, die in der Schweiz erhältlich sind oder zumindest weltweit als bedeutend gelten. Daneben gibt es eine ganze Reihe weiterer Geräte, vor allem von kleineren US-Herstellern, die hierzulande weniger relevant sind. Nicht berücksichtigt sind allgemeine Netzwerk-Firewalls mit einer untergeordneten Antispam-Option und SOHO-Geräte, die nur für ganz kleine Umgebungen taugen. Im folgenden präsentieren wir einige Highlights.





- Barracuda Networks hat zwar kein eigentliches Einstiegsmodell, mit Preisen ab 4600 Franken bei immerhin 41’000 MPH ist das kleinste Spam-Firewall-Modell jedoch in Unternehmen mit mehreren Arbeitsplätzen eine durchaus erschwingliche Lösung, zumal keine zusätzlichen Gebühren pro User anfallen. Der Hersteller betreibt mit der «Barracuda Central» eines der umfassendsten Forschungslabors für Messaging-Bedrohungen. Die Barracuda Spam Firewall analysiert die eingehenden Mails in einem zehnstufigen Prozess, der unter anderem zwei separate Viren-Checks, einen «Spam Fingerprint Check» (Prüfung auf früher erkannte typische Muster in den Einzelteilen einer Meldung inklusive Bilder) und eine «Intention Analysis» umfasst (Erkennen von URLs in der E-Mail, die der Empfänger anklicken soll). Neben der Spam-Firewall und einem Web-Filter bietet Barracuda Networks auch eine spezielle Appliance zur Überwachung des Instant-Messaging-Verkehrs an.





- Der Intelligent Message Processor IMP von Bizanga kommt in grösseren Unternehmen und bei Internet-Providern zum Einsatz – als Success Story präsentiert Bizanga zum Beispiel den Schweizer ISP green.ch, der die mittlerweile über 200’000 Mailboxen seiner Kunden mit den Diensten von Cloudmark auf der IMP-Hardware vor Messaging-Bedrohungen schützt. Als Alleinstellungsmerkmal positioniert der Hersteller den «Workflow Processor», mit dem sich jeder «Message Stream», im allgemeinen der Verkehr für eine bestimmte Domain, anhand einer Policy gezielt analysieren und steuern lässt. Der Wechsel zwischen verschiedenen Policies ist schnell und ohne Verlust von Meldungen möglich, um rasch auf veränderte Anforderungen zu reagieren. Über die grafische Schnittstelle des Workflow Processor lassen sich laut Hersteller auch sonst komplexe, nur durch Scripting zu lösende Aufgaben wie Domain Masquerading und Routing an mehrere Mail-Server mit einigen Mausklicks erledigen. Die Durchsatzangabe von bis zu vier Millionen MPH zeigt, dass sich die Bizanga-Plattform vor allem für sehr grosse Umgebungen eignet.





- Borderware bietet mit dem Messaging-Security-Gateway MXtreme direkte Policy-Integration mit Cisco-Routern sowie eine Schnittstelle zum Load-Balancing-Switch Big IP von F5. Das Einstiegsmodell MX-200 leistet 6500 MPH und ist ab rund 2500 Dollar erhältlich. Neben der Filterfunktion bietet das Gerät auch einen integrierten Mail-Server. Auch Borderware betreibt ein eigenes SpamForschungslabor, das laut eigenen Angaben Daten von über 8000 Systemen sammelt.




- Die seit der Gründung auf Novell-Lösungen spezialisierte kanadische Firma Messaging Architects offeriert neben der brandneuen «Extreme E-Mail Firewall» M+Guardian auf Hula-Basis mit je zwei separaten Virenschutz- und Spam-Schutz-Engines auch spezielle Lösungen für Groupwise-Umgebungen: Den GWGuardian gibt es sowohl als Software als auch in Form einer Appliance.




- Secure Computing stellt bei seiner Ironmail-Appliance verschiedene innovative Techniken zur Spam-Erkennung ins Rampenlicht, darunter den «Spam Profiler», der Meldungen anhand von über tausend Merkmalen analysiert, sowie die «Genetic Optimization», die mit Techniken aus der Genom-Analyse die bestmögliche Kombination von Merkmalen aus der Analyse des Spam Profiler ermittelt und auf dieser Basis die Appliance automatisch an die individuellen Bedingungen im jeweiligen Netzwerk anpasst. Ironmail ist in insgesamt fünf Modellen für KMU (S-Class) und Grossunternehmen (E-Class) verfügbar.




- Mit seinem Spitzenmodell stösst Tumbleweed in einen Leistungsbereich vor, den sonst nur wenige Anbieter abdecken: Die Mailgate Appliance 6500 bewältigt pro Gerät bis zu 1,8 Millionen Messages pro Stunde. Neben Spam- und Virenschutz (Symantec und Kaspersky) und Edge-Defense bieten die 64-Bit-Linux-basierten Mailgate-Geräte zudem auch E-Mail-Verschlüsselung (SMG, S/MIME, OpenPGP, Secure Envelope).




Spamschutz im Abo

(ubi)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER