Volgens de recentste cijfers zitten we wereldwijd al aan ruim vier vijfde rommelmails, tegenover slechts eenvijfde legitieme mails. Een behoorlijk filtersysteem voor alle ongewenste mail is dus gewoon botte noodzaak. Mail Security Appliances of MSA’s verkopen dan ook als zoete broodjes. Reputatiescorefiltering is het laatste en bijzonder effectieve wapen in de strijd tegen spam. Wij testten zes MSA’s met een dergelijk filtersysteem.

In het voortdurende gevecht tegen de almaar inventievere spammers speelt de bedrijfsmailserver en diens beheerder een uitermate belangrijke rol. Bedrijven die hun eigen mailserver(s) draaien, kunnen vandaag niet zonder een Mail Security Appliance of MSA. Deze ‘zwarte doos’ is gespecialiseerd in het filteren van spam en het op andere manieren beschermen en controleren van het in- en uitgaande e-mailverkeer. De antispamfilters die al dan niet standaard zijn ingebouwd of worden toegevoegd in mailserversoftware zoals Microsoft Exchange, IBM Lotus Notes of Novell GroupWise volstaan al lang niet meer om de nieuwste soorten spamaanvallen af te weren.

Een MSA wordt vóór de mailserver geplaatst en controleert alle in- en uitgaande mail, filtert die indien nodig en verzendt ze ten slotte. De eigenlijke mailserver krijgt op die manier als het goed is alleen nog legitieme e-mails te verwerken. Fabrikanten van MSA’s bieden vaak meerdere types aan. De interne software om het e-mailverkeer te beveiligen is dezelfde, maar de hardware verschilt naargelang de hoeveelheid mail die het apparaat moet verwerken. MSA’s die tegen hoge snelheid vele tienduizenden mails per dag moeten filteren, kosten uiteraard het meest.

Reputatiescorefiltering

Het meest bekende systeem om e-mail-senders te beoordelen is de zwarte lijst. Er bestaan publieke zwarte-lijstservers op internet. (Als u een goede zoekt: zen. spamhaus. org is wat ons betreft de beste en de enige die u nodig hebt, bovendien is deze gratis.) Zoals de naam het al aangeeft, kennen die alleen zwart (die servers blokkeren we) of wit (die servers laten we door). Nochtans zijn er heel wat grijswaarden mogelijk, maar een zwarte-lijstserver houdt daar dus geen rekening mee. Als een legitieme server door brute pech op zo’n zwarte lijst terecht komt, zou iedere mailserver die van die zwarte lijst gebruik maakt hem weren. Een reputatiescorefiltering werkt genuanceerder. Hierbij krijgen onbekende mailservers een nulscore. Als ze nu een paar (laten we zeggen: niet meer dan een tiental) berichten naar een andere mailserver met zo’n filtering sturen, zal die dat aanvaarden. Zendt zo’n onbekende mailserver plots enkele duizenden mails, dan zal het ontvangend systeem dat weigeren en er meteen een negatieve score aan toekennen.

Bij reputatiescorefiltering worden mailservers met een negatieve reputatiescore altijd vertraagd. Post wordt in een wachtrij vastgehouden en pas na een pauze afgeleverd. Zolang post van de verdachte mailserver in een wachtrij zit, aanvaardt de appliance er geen nieuwe post meer van. Bij een hogere negatieve score wordt de post zelfs helemaal geweerd. Mailservers met een positieve score boven, bijvoorbeeld, 50 punten worden als uiterst betrouwbaar bestempeld en mogen hun post verder ongecontroleerd afleveren. Daartussenin zitten mailservers die normaal te goeder trouw zijn, maar geblokkeerd of vertraagd worden als ze verdacht gedrag vertonen. Dat kan bijvoorbeeld zijn als ze plots grote hoeveelheden mails beginnen te dumpen, al dan niet voorzien van malware. Door de reputatiescore te variëren van bijvoorbeeld -10 tot +10 kunnen er heel precieze regels opgesteld worden voor wat moet gebeuren met servers die binnen een bepaalde puntencategorie vallen. Dat laat dus veel meer nuances toe dan een gewone zwarte-lijstserver.

Vergelijkende test

In deze test vindt u MSA’s met reputatiegebaseerde filtering van BorderWare, Secure Computing IronMail, Fortinet, IronPort, Symantec en Trend Micro. We kozen zoveel mogelijk MSA’s die geschikt zijn om post voor minstens 250 gebruikers te screenen. We hebben elke MSA minstens een week in een ‘live’ testomgeving gehangen, met een zo standaard mogelijke configuratie. Onze testprocedure bestond erin dat we bekeken hoeveel ongewenste mails nog in onze testmailboxen terecht kwam. Ook controleerden we of er legitieme mails werden geblokkeerd (zogenaamde valse positieven). We zijn wat de beveiliging betreft tevreden zodra een MSA minder dan vijf ongewenste mails per dag en per gebruiker binnenlaat en geen enkel legitiem bericht tegenhoudt.

BorderWare Security Platform SP400

De BorderWare MSA is een één rekeenheid hoge pizzadoos met drie netwerkpoorten en twee harde schijven in een RAID-1 configuratie met als onderliggend besturingssysteem FreeBSD. De webinterface is erg eenvoudig. Een webbrowser volstaat om er mee te werken. De tien hoofdfuncties zijn: Activiteit, Configuratie, Post, Proxy’s, Onderschepping, Inhoudscontrole, Reglement, Gebruikersprofielen, Rapportage en Beheer. Deze MSA is niet alleen een postbeveiligingssysteem, maar kan zelf desgewenst ook als een mailserver worden ingezet. De netwerkconfiguratie ondersteunt ook clustering en replicatie.

Hoewel het mogelijk is om aparte beveiligingsreglementen op te stellen voor elke netwerkpoort, omvatten de standaardvoorzieningen van een beveiligingsreglement zowel controles voor inkomende als uitgaande post. Die controles omvatten een viruswering met behulp van Kaspersky of optioneel Mc-Afee, antispam, controle van het soort bijlage en meer diepgaande inhoudsfiltering.

Voor de spamblokkering is Intercept voorzien, BorderWare’s eigen spamfilter. Als u dat wenst, kunt u een licentie voor BrightMail van Symantec aanschaffen. BorderWare heeft ook het BorderWare Security Network of kortweg BSN opgericht waarmee informatie uitgewisseld kan worden over zenders van e-mail: hun reputatie, of het om een inbeller gaat, of hij grote hoeveelheden post verzendt en hoeveel daarvan reeds besmet bleek met een virus of spam was. Daarnaast kan de appliance gebruik maken van dreigingspreventie.

Als u geïnteresseerd bent in deze appliance maar ze eerst wil testen, kan dat. BorderWare maakt het mogelijk de appliance dertig dagen lang te testen zonder dat u daarvoor licenties en dergelijke moet betalen.

Prestaties

We hadden de appliance geconfigureerd om alle berichten met een score boven 60 als spam te beschouwen, maar dan kregen we vrij veel valse positieven: meer dan vijf per dag. Het aantal doorgeraakte spamberichten is wel goed: 0,46 foute berichten per dag en per mailbox. Wenst u minder valse positieven, dan kunt u post met een score tussen 60 en 90 aanvaarden en alles boven 90 als spam beschouwen. In dat geval krijgt u geen valse positieven meer, maar zit het aantal foute berichten per dag en per mailbox boven de vier à vijf. Dat is dus geen goede score wat deze test betreft.

Secure Computing IronMail

De Amerikaanse firma Secure Computing (vroeger CipherTrust) is gespecialiseerd in beveiliging en dan is het natuurlijk logisch dat er allerlei beveiligingsproducten op de markt komen. Secure Computing heeft een e-mailbeveiligingsappliance met de naam IronMail geproduceerd. Het zal wel geen toeval zijn dat die naam erg doet denken aan IronPort. De IronMail appliance die we binnenkregen voor onze test draait onder FreeBSD. Er bestaan verschillende klassen van appliances. Allemaal werken ze met dezelfde IronMail-software. Alleen de hardware en dus de bijbehorende prestaties inzake postverwerkingscapaciteit verschillen. Secure Computing gebruikt een dubbele antivirusengine: van McAfee en van Authentium. U kunt kiezen welke u gebruikt, of allebei: kwestie van hoeveel licenties u wil betalen.

Voor de eerste installatie is er een ‘slimme snelconfiguratiewizard’. Die kunt u naderhand desgewenst opnieuw oproepen via het Administration-menu. Het webbeheer ziet er leuk uit. Elke hoofdrubriek toont een stel overzichtsgrafiekjes en -rapporten. Een en ander is wel erg volumineus en barst van de opties.

Het hoofdmenu bestaat uit tab-achtige buttons die bovenaan in een knoppenregel geplaatst zijn en dat zijn er maar liefst tien. Helemaal rechts bovenaan kunt u behalve de gebruikelijk uitlogfunctie nog aanklikbare links vinden naar de licentiestatus en de updatesinformatie.

De tien hoofdrubrieken zijn: Dashboard, Queue Manager (wachtrijbeheerder), Compliance (reglementnaleving), Anti-Spam, Anti-Virus, Encryption (encryptie), IntrusionDe-fender (inbraakverdediging), Reporting (rapportage), Administration (appliancesoftware- en webbeheer) en System (systeembeheer). De meeste van deze hoofdrubrieken tonen helemaal links een uitklapbare boomstructuur met tekstlinks. Rechts zit initieel een samenvattend rapporten- en grafiekenvenster dat vervangen wordt zodra u op een van tekstlinks klikt. De wachtrijbeheerder geeft u controle over heel wat wachtrijen, want er kan een wachtrij aangemaakt worden voor zowat elke beveiligingsregel. Zo zijn er aparte quarantainewachtrijen voor spam vanaf 50 punten, spam vanaf 75 punten en spam van 100 punten.

Naar onze ervaring kunt u spam van 100 punten gewoon laten schrappen, daar hebben we gedurende de testperiode geen enkele valse positieve in gevonden. Voor spam vanaf 50 en 75 punten kunnen we dat echter niet zeggen. U kunt ook wachtrijen bijmaken als u dat wenst.

Onder ‘Compliance’ gaat dat onder meer over inhoudsfiltering, maar ook over analyse van de berichthoofding, adresseringen, bijlagen, eventuele encrypties en een witte lijst. Maar ook onder antispam en antivirus kunt u heel wat opties instellen. Secure Computing maakt gebruik van een reputatiefiltersysteem dat TrustedSource heet, maar hoewel het volgens eigen zeggen veel uitgebreider is en beter zou werken dan het ondertussen erg beroemde SenderBase-systeem van IronPort, is het veel minder wijdverspreid.

De inbraakverdediging heeft te maken met pogingen om in te breken op de appliance of om de postverwerkende diensten plat te leggen. De rapportagerubriek bevat een heel gamma aan voorgedefinieerde rapporten in pdf- en html-formaat. U kunt zelf nieuwe rapporten bijmaken, maar in essentie gaat dat over het vergaren van gegevens uit de logbestanden en die dan in csv-formaat presenteren. Rapporten kunnen ook geautomatiseerd gegenereerd worden en dan geë-maild of via ftp op een server bewaard worden.

Prestaties

Omdat TrustedSource reageert op afzenders van mail volgens hun statistisch bepaalde reputatie, kan veel spam al bij het eerste contact met een vreemde mailserver geblokkeerd worden. Zodra het systeem echter niet zeker is van de reputatie van een afzender, komt de mail wel uw machine binnen. En dan moeten de inhoudsgevoelige algoritmes hun werk doen en alsnog bepalen of berichten spam zijn of niet. Volgens de graad van waarschijnlijkheden komen verdachte berichten dan in verschillende spamquantaines terecht. We moesten gedurende de testperiode geen enkel bericht redden uit de SPAM75 en de SPAM100 quarantaines, maar in totaal wel 14 stuks uit SPAM50. Dat is helaas het hoogste aantal van alle geteste appliances. Dat aantal werd wel bereikt in de eerste paar dagen van de test, later verminderde dat sterk en in de laatste testdagen moesten we geen enkele valse positieve meer redden. De appliance leert dus gelukkig wel bij. Op de gebruikersdesktops kwam nog gemiddeld één spambericht per dag en per gebruiker binnen.

Fortinet FortiMail 100

Fortinet is een fabrikant die alleen maar security appliances maakt. In feite gaat het van klein naar groot om in essentie hetzelfde toestel met dezelfde firmware. Het verschil zit ‘m in de netwerkaansluitingen, de bandbreedte daarvan en de verwerkingssnelheid van het bijbehorende apparaat. De FortiGate appliances zijn UTM-appliances en de FortiMail appliances doen mail security.

De FortiMail 100 die wij voor deze test kregen is een vrij klein toestel dat qua formaat ook geschikt lijkt om gewoon op kantoor gebruikt te worden, maar helaas is de ventilator daar te luidruchtig voor. De firmware werkt met modules waarvoor u een licentie moet aanschaffen. Bij de FortiMail is dat gewoonlijk een antispam- en een antiviruslicentie. De appliance kan als gateway, als zelfstandige mailserver of als transparante brug werken. Er zijn vier netwerkaansluitingen waarvan de allereerste standaard gebruikt wordt voor alle communicatie, maar dat hoeft dus niet. De FortiMail firmware heeft voorzieningen aan boord voor HA (high availability of hoge beschikbaarheid met een fail-overappliance) en ondersteunt ook RAID. In de FortiMail 100 appliance is er echter niet genoeg plaats voor extra harde schijven en kunt u dus geen RAID toepassen, daar hebt u een groter model voor nodig.

U kunt elke FortiMail appliance beheren via een webinterface. Mocht u een groot aantal FortiGate en FortiMail appliances in uw bedrijf hebben of willen, dan heeft Fortinet ook nog een FortiManager in hun productgamma: dat is een centraal-beheersysteem voor grote aantallen FortiGate en FortiMail appliances.

De webinterface ziet er eenvoudig uit en dat geldt ook voor het bedienen ervan: gewoon een uitklapbare menuboom. We vonden wel een paar punten waarop het beheer heel wat makkelijker zou kunnen gaan. Zo moet u alle te beheren maildomeinen individueel configureren. Er is ook geen manier om een bestand met die domeinnamen te importeren. U kunt wel de configuratie back-uppen, dat bestand dan editeren om de extra domeinnamen toe te voegen en het terug restoren, maar dat is niet echt gebruiksvriendelijk.

U kunt aparte beveiligingsprofielen aanmaken voor spam, virussen, protocolauthenticatie, inhoudsfilters, sessies, bibliotheken en LDAP. Bij de meeste van deze profielen kunt u een onderscheid maken tussen inkomend en uitgaand verkeer. Met behulp van deze beveiligingsprofielen kunt u dan beveiligingsregels definiëren. Die zijn ofwel ip-gebaseerd ofwel ontvangergebaseerd. U moet ze voor elk domein aanmaken, ook hier weer zonder optie om informatie te kopiëren of te importeren.

Nu heeft Fortinet wel een snelle installatiewizard toegevoegd waarmee u vlug een werkende configuratie kunt aanmaken, maar dat helpt niet als u veel domeinen hebt en graag globale regels zou hebben met enkele uitzonderingen. We zouden dus nog steeds graag zien dat Fortinet configuratiewizards zou toevoegen voor het aanmaken van beveiligingsregels die toelaten dat je begint met globaal geldende regels waar dan later uitzonderingen op gedefinieerd kunnen worden voor bepaalde domeinen of bestemmelingen.

FortiMail biedt overigens de mogelijkheid om e-mails niet lokaal maar op een nas op te slaan voor verwerking. Er is een behoorlijk uitgebouwde rapportagemodule waarmee u een ruime hoeveelheid voorgedefinieerde rapporten kunt laten samenstellen, opmaken in html of pdf en desgewenst regelmatig versturen via e-mail.

De antispamcontrole werkt met meerdere serieel toepasbare filters. De voornaamste en meest effectieve daarvan is de FortiGuard Anti-Spam Service. Die kunt u aanvullen met Bayesiaanse, context- of bibliotheekgebaseerde filters; zwarte, witte en grijze lijsten; afzenderreputatiescores en e-mailgedragsregels voor onder meer hoofding, berichttekst en bijlagen. FortiMail gebruikt de eigen FortiClient AV antivirus-engine. Als u spam in een quarantaine laat zetten, kunt u dat doen per gebruiker of globaal (voor de beheerder). Een globale quarantaine is onderverdeeld per domein en dan ook nog eens voor elke gebruiker in dit domein die in de e-mails opgegeven wordt. Dat is behoorlijk onoverzichtelijk. Wij hadden liever gezien dat het mogelijk was om ervoor te kiezen alle spam in één grote quarantaine te beheren in plaats van elk domein en elke gebruikersnaam in elk domein te moeten gaan nakijken.

Prestaties

Tijdens onze testperiode maten we gemiddeld bijna één spambericht per mailbox om de twee dagen en twaalf valse positieven die we moesten redden. Dat is gemiddeld twee valse positieven per dag. Daar zijn we niet bepaald van onder de indruk.

IronPort C350

IronPort, dat overgenomen werd door Cisco, heeft verschillende modellen appliances, afhankelijk van het volume aan post. De C150 is het kleinste model en kan tot duizend gebruikers (mailbestemmelingen) aan. Er is nog een C350 (het model dat we voor deze test kregen) vanaf 1000 gebruikers en een C650 tot 10.000 gebruikers. Het topmodel is de X1050 die bedoeld is voor ISP’s; die kan tot één miljoen berichten per uur aan. Daarnaast bestaat nog een model C350D speciaal bedoeld voor bedrijven die grotere hoeveelheden post naar buiten moeten sturen en authenticatie van de mail wensen.

Het in de IronPort-appliance ingebouwde besturingssysteem heet AsyncOS. Volgens IronPort kan dat tot tienduizend gelijktijdige tcp-connecties verwerken: dat is veel meer dan zelfs de allerkrachtigste MSA’s van andere producenten.

U beheert de IronPort-appliance via een eenvoudig gehouden webinterface. Er zijn vijf tabbladen: Monitor (bewaking), Mail Policies (postreglementen), Security Services (beveiligingsdiensten), Network (netwerkinstellingen) en System Administration (systeembeheer). De spamfilter is van eigen makelij en de antivirusmotor is van Sophos, al kunt u desgewenst ook kiezen voor die van McAfee.

Deze MSA heeft erg veel mogelijkheden; dat kan overdonderend werken, maar IronPort heeft rekening gehouden met beheerders die nog niet eerder met IronPort gewerkt hebben. Daarom vertrekt de appliance met een gemakkelijk te volgen vijfstappenwizard die enkel de hoogstnodige vragen stelt en dan standaardreglementen invoegt en toepast.

Eén van de redenen waarom meer traditionele mailfilters erg vertragend werken, is dat zij de beveiliging serieel aanpakken. Bij IronPort gebeuren de eigenlijke filteroperaties parallel (gelijktijdig). IronPort werkt niet met zwarte lijsten maar met zogenaamde reputatiescores op basis van SenderBase. Op basis van meer dan 150 parameters voor mail en 50 parameters voor websites en weblinks krijgt iedere mailserver in de lijst een reputatiescore toegewezen. U kunt bijvoorbeeld een regel opgeven die mail blokkeert als het aantal mails met bijlagen waarin een exe-bestand in een zip-archief voorkomt plots met meer dan 15 of 20 procent stijgt.

Prestaties

Het werken met mailstatistieken die leiden tot het gebruik van een reputatiescore in plaats van een gewone zwarte lijst en virusuitbraakdetecties zijn stevige pluspunten. Tijdens onze testperiode kwamen gemiddeld slechts 0,54 ongewenste e-mails per dag en per mailbox door. Dat hoort bij de allerbeste prestaties van alle hier geteste appliances. Er werden geen legitieme mails geblokkeerd.

Symantec SMS8360

De 8300-serie van Symantec MSA’s bestaat uit drie modellen: de SMS8340 voor 100 tot 1000 gebruikers, de 8360 voor meer dan 1000 gebruikers, en de 8320 voor kleinere netwerken tot 100 gebruikers. Symantec leverde ons de 8360, maar het model 8340 zou beter in onze testparameters gepast hebben. Al die modellen draaien overigens dezelfde software, alleen de hardware verschilt. De 8360 bestaat uit een Dell PowerEdge pizzadoosserver met twee processoren, bakken geheugen en een SAS RAID-systeem voor de opslag. Als besturingssysteem wordt een Red Hat Linux gebruikt. Deze appliance is uitgerust met een e-mail firewall, netwerkverkeersvormgeving (‘traffic shaping’ voor hogere netwerkprestaties), antispam, antivirus en een inhoudsfilter. De antispammodule is BrightMail.

Bij de installatie van de appliance moet u eerst een rol kiezen voor het toestel. Er zijn drie mogelijkheden: ‘Control Center’, ‘Scanner’ of de combinatie van deze twee. Er zijn twee netwerkaansluitingen.

Het beheer gebeurt altijd via de webinterface. Bovenaan zien we zeven tabbladen: Status, Reports, Protocols, Spam, Virus, Compliance en Adminis-tration. De bediening zit al bij al vrij eenvoudig in elkaar en er is een contextgevoelige hulp, maar deze gaat naar onze smaak af en toe te licht over de zaken heen. Er is een ‘default’-beveiligingsreglement dat virussen schoonmaakt of verwijdert en spam van een etiket in de onderwerplijn voorziet. U kunt zonodig extra reglementen toevoegen en die in een bepaalde volgorde van prioriteit rangschikken.

Prestaties

De Symantec Mail Security 8360 appliance is veel performanter dan nodig voor onze testomgeving en daarover hadden we dan ook zeker niks te klagen. Tijdens onze testperiode kwamen gemiddeld één ongewenst bericht per dag en per mailbox door en geen virussen. We moesten geen legitieme mails uit de quarantaine redden.

Trend Micro InterScan Messaging Security Appliance

De IMSA van Trend Micro bestaat uit verschillende modellen, afhankelijk van de gewenste prestaties. Wij kregen voor deze test het model 5000 Advanced, bedoeld voor grotere netwerken. Het gaat om een grote vuurrode appliance met meerdere netwerkaansluitingen achteraan, maar u kunt de hele mailbeveiliging doen met slechts één netwerkaansluiting. Voor de eerste ingebruikname is er een installatie- en configuratiewizard die de appliance in een mum van tijd werkklaar maakt. Zoals we gewoon zijn van Trend Micro is de beheerinterface ingedeeld in een tabbladinterface. De rubrieken van het hoofdmenu zijn: Summary (overzicht), Policy (reglement), IP Filtering, Reports (rapportage), Logs (journaals), Mail Areas & Queues (postgebieden en -wachtrijen) en Administration (beheer). Het beheer is gebruiksvriendelijk en goed ingedeeld. Deze MSA gebruikt adres- en domeinnaamfiltering met behulp van een eigen reputatiescoresysteem, witte, zwarte en grijze lijsten en door de gebruiker ingevulde adressen of domeinen. Voor de contextgebonden spamfiltering gebruikt Trend Micro een eigen standaard antivirusregel en een eigen antispamregel, maar u kunt zelf zoveel nieuwe regels aanmaken als u maar wil. Die regels bestaan uit drie onderdelen: wie, wat en hoe. Eenvoudig!

Prestaties

Tijdens onze live-test blijkt deze Trend Micro IMSA een vrij goed functionerende spam- en malwarefilter. We gebruikten gewoon de standaardregels van Trend Micro en hebben er dus geen bijgedefinieerd. Er kwam geen enkel virus door en iets meer dan één spambericht per dag en per mailbox. Tijdens de testperiode moesten we één valse positieve redden.

Conclusie

IronPort doet het weer! Ook in deze test van mail security appliances die specifiek werken met een reputatiegebaseerde filter, blijkt de appliance van IronPort het best te scoren met géén valse positieven tijdens onze testperiode en iets minder dan één spambericht per dag en per gebruiker. De appliance van Symantec doet het vrijwel even goed met een ietsje meer dan één spambericht per dag en per gebruiker en ook geen valse positieven tijdens de testperiode. Op de derde plaats komt de appliance van Trend Micro met 1,2 spamberichten per dag en per gebruiker en één valse positieve tijdens de hele testperiode. De rest scoort slechter dan dat en kunnen we dus niet aanbevelen.

Johan Zwiekhorst

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content