Een systeem dat ongewenste e-mail blokkeert, noemen we met een verzamelnaam een spamfilter. U kunt er zelf een draaien, maar u kunt dat ook uitbesteden. Daar is heel wat voor te zeggen. Wij hebben vijf van deze hosted mail securitydiensten getest.

Het is erg met onze e-mail. De meest recente cijfers zeggen dat we wereldwijd slechts een vijfde legitieme e-mails verwerken en vier vijfde rommel die niemand wenst. Het draaien van een filtersysteem om al die rommel tegen te houden is dus geen overbodige luxe en zelfs noodzakelijk. U kunt zo’n filter of ‘mail security appliance’ (MSA) perfect zelf draaien. Al die ongewenste mails komen dan nog wel steeds in uw netwerk aan en kunnen voor overlast in uw bandbreedte zorgen. Een erg interessant alternatief is dan om deze filter uit te besteden. Een ‘Hosted Mail Security’-dienst ontvangt uw e-mails, filtert er alle ongewenste rommel uit en bezorgt dan alleen de gewenste legitieme mail aan uw mailserver. Uw internetbandbreedte raakt dan niet meer onder stress en u hoeft zelf geen filter meer te draaien.

Uitbesteding

Hoe werkt zo’n uitbestede mailfilterdienst nu? Mailservers op internet kunnen e-mails bestemd voor uw domein op uw mailserver afleveren dankzij de zogenaamde MX-inschrijvingen in uw domeingegevens. Die MX-gegevens zeggen naar welke mailserver post voor dat domein gestuurd moet worden. Normaal vult u daar het ip-adres of de domeinnaam van uw eigen mailserver in. Als u gebruik maakt van een hosted filter, vult u in uw MX-velden de gegevens van de servers van die filterdienst in. Zo eenvoudig is het. Het duurt maximaal zo’n 48 uur voor de gewijzigde domeindata met de nieuwe MX-velden over heel het internet gepropageerd is, maar vanaf dat moment ontvangt de filterdienst alle e-mail bestemd voor uw domein. Voor de veiligheid configureert u uw eigen mailserver na die 48 uur, zodat hij alleen post aanvaardt van de filterdienst. Zo kan niemand rechtstreeks spam of malware bij u binnenpompen. De filterdienst haalt alle ongewenste rommel weg en levert wat overblijft netjes aan uw mailserver af.

Zelf draaien of uitbesteden

Als u de spamfilter of ‘mail security’ zelf draait, hebt u altijd de volledige controle in handen. Uw mails passeren dan ook niet via systemen van derden. Behalve internetproviders op internet en eigenlijk is uw mail security appliance en uw mailserver ook van derden. Een filterdienst werkt uiteraard met een SLA (‘service level agreement’) die u een zekere kwaliteit garandeert en natuurlijk ook de nodige privacy en beveiliging. Uw mails worden dus door niemand anders bekeken dan uzelf. Voor grote volumes hoeft u de filterdienst ook niet te laten, want dat kan die ook aan. De gehoste oplossing biedt als voornaamste voordelen: ontlasting van uw internetbandbreedte omdat alleen nog maar legitieme mails binnenkomen en weinig of geen beheer. Dat laatste is dan meteen ook het nadeel en de reden waarom sommige bedrijven toch liever zelf een filter draaien. Zo zijn ze immers zeker alle touwtjes in handen te hebben. Een spamfilter die u lokaal draait kunt u ook toegang geven tot alle uitgaande mail, zodat hij alle adressen voor uitgaande mail in uw witte lijst kan zetten zodat ze probleemloos post kunnen binnengooien. Bij een gehoste spamfilter kan dat doorgaans niet, al staan sommige u wel toe een lijst van goedgekeurde afzenders te definiëren. Als u wel een eigen mailserver wil, maar niet zelf met de spam- en malwarefiltering bezig wil zijn, dan kan een gehoste beveiligingsoplossing voor u zeker het overwegen waard zijn. Een mate van vertrouwen is wel noodzakelijk, vermits het smtp-protocol mails onversleuteld uitwisselt en uw post dus ook onbeveiligd verwerkt wordt. Dat wordt natuurlijk een groter probleem als de dienst ook archivering ondersteunt.

Praktijktest en testprocedure

Wat verwachten we van een filterdienst? De dienst moet al het vuile werk voor ons opknappen en dus hebben we graag zo weinig mogelijk beheer. De post omleiden en er verder geen omkijken naar hebben, verdient onze voorkeur. We willen natuurlijk wel enige rapportage, zodat we weten wat er gebeurt. En we wensen ook een behoorlijke quarantaine zodat we twijfelgevallen manueel kunnen inspecteren en alsnog “redden”. Voor onze test hebben we elke geteste filterdienst ongeveer een week lang al de post voor het domein datatestlab.com laten filteren. De diensten moesten hun werk dus effectief in een ‘live’ omgeving uitvoeren. Wij gingen dan na hoeveel ongewenste mails er nog in onze mailboxen terecht komen, maar ook of er legitieme mails zijn die toch geblokkeerd raken (valse positieven). Dat doen we ook met een viertal testmailboxen van fictieve gebruikers die nogal dol zijn op porno en het downloaden van ‘warez’ en hun e-mailadressen dus nogal hebben laten rondslingeren. We zijn wat de beveiliging betreft tevreden zo-dra we minder dan vijf ongewenste mails per dag binnenkrijgen en geen enkel legitiem bericht tegengehouden wordt. Ter informatie: Data TestLab krijgt momenteel in totaal zo’n zesduizend met pieken tot negenduizend mails per dag binnen waarvan meer dan 98% tot zelfs 99% ongewenst is. We hebben de volgende diensten getest: Abo-It F-Secure DeSpamOplosser, Bel-gacom e-Services Secure Mail, MxLab, Panda, TrendMicro. We hadden ook Kaspersky, Symantec en InfoSupport uitgenodigd om mee te doen aan de test, maar dat is niet gelukt. Kasperky is bezig met een nieuwe e-mailbeveiligingsdienst en die was nog niet klaar voor onze test. Symantec en InfoSupport werken allebei op basis van de MessageLabs dienst (die we vorig jaar ook getest hebben), maar die konden we niet testen omdat die niet in staat blijkt e-mail af te leveren aan een mailserver die geen vast en statisch ip-adres heeft op poort 25. En onze mailserver hangt niet meer aan een vast ip-adres op internet. Waarom zouden we, als we een filterdienst gebruiken en onze mailserver dus niet meer open en bloot op internet toegankelijk hoeft te zijn? Maar daar blijkt MessageLabs geen rekening mee gehouden te hebben. Symantec vertelt ons, dat de volgende versie van de MessageLabs software wel degelijk post zal kunnen afleveren op een dynamisch-domeinadres in plaats van een vast ip-adres.

Abo-It F-Secure DeSpamOplosser

Het Nederlandse bedrijf ABO Automatisering (kortweg Abo-It) uit Gelderland is zo’n twaalf jaar geleden opgericht als een onderneming voor beheer, verkoop en advies inzake automatisering. De laatste jaren zijn daar ook allerlei hostingactiviteiten bijgekomen. Een van de nieuwste diensten die het bedrijf levert, is een e-mailfilterdienst. Deze is op een oplossing van het Finse F-Secure gebaseerd en heet ‘DeSpamOplosser’. Als klant hoeft u zich zo goed als niet met het beheer van deze dienst bezig te houden. Zo-dra u de MX-records van uw domein(en) heeft omgezet naar die van Abo-It, werkt de filter al. Bij de eerste mails die in quarantaine terecht komen, krijgt elke gebruiker volautomatisch een overzicht via e-mail toegestuurd en kan hij meteen via een webinterface zijn quarantaine beheren of zijn profiel bekijken en desgewenst wijzigen. In dat profiel kan een gebruiker instellen welke taal hij wil gebruiken en of hoe vaak hij quarantaine-overzichten wil ontvangen. Onder profiel is er ook nog een gebruikersaccount, en die bevat alle e-mailaliassen voor die gebruiker. Het blijft dus vanuit het standpunt van de gebruiker allemaal supereenvoudig. Onze prestatiemeting toonde 1,21 ongewenste berichten per mailbox en per dag, en 2,57 valse positieven die dagelijks gered moesten worden. Dat is de tweede slechtste score uit deze test.

Belgacom e-Services Secure Mail

Belgacom doet al jaren veel meer dan alleen telefonie. Het is natuurlijk ook een internetprovider en een hoster. Dit laatste betekent het aanbieden van allerlei diensten aan bedrijven en particulieren via het internet. Mail Security is er daar een van. Belgacom heeft de hele webbeheerinterface voor deze beschermingsdienst ondergebracht onder het e-Services luik dat doorgaans bij een telefoonabonnement hoort. Met e-Services kunt u namelijk zelf uw abonnement beheren en informatie opvragen, uw facturen bekijken en zo verder. De mail security dienst is hieronder ingedeeld. Het goede nieuws inzake beveiliging is, dat Belgacom koos voor IronPort om de bescherming uit te voeren. Volgens onze eigen testen van mail security appliances is dat zo ongeveer de beste die u in huis kunt halen. De beheerinterface die u krijgt voor de dienst is door Belgacom zelf gebouwd en steunt helemaal niet op de webinterface van IronPort. Er is dan ook nergens uit op te maken dat het om een IronPort gaat. U kunt dat wel zien als u de hoofdingen van ontvangen e-mails nakijkt, want daarin staan dan wel vermeldingen van IronPort. De webinterface toont u eerst een statusscherm voor uw domein met statistiekinformatie in grafische vorm. Als u meerdere domeinen liet beschermen, kunt u hier ook andere domeinen kiezen. Een globaal overzicht voor al uw domeinen tegelijk is niet voorzien. Bovenaan zijn er drie tabbladen te zien. Het eerste, ‘statistiscs’ (statistieken), is wat standaard geopend wordt. De volgende heet ‘policy’ en hier kunt u per domein enkele beveiligingsinstellingen configureren. Veel stelt dat niet voor: u kunt kiezen of u de beveiliging aan of uit wil voor spam en voor malware, en of gevonden spam of malware gewist moet worden, of in quarantaine gezet. Dat soort dingen. Het derde tabblad is de quarantaine. Hier kunt u ook weer per domein de in qua-rantaine gezette mails zien en zonodig “redden” als er een valse positieve tussen zou zitten. Er is geen voorziening om gebruikers hun eigen quarantaine te laten beheren. Tijdens onze test maten we een gemiddelde van 0,64 ongewenste mails per dag en per gebruiker, en geen enkele valse positieve. Dat is de beste score uit deze test.

MX Lab Managed Email Security

MX Lab is een bedrijf uit Erpe-Mere en werd opgericht in 2005 als een afdeling van Pixel Design. Ze leveren een Europees gerichte, pure antimalware-dienst die met software van Commtouch werkt, een Amerikaans bedrijf dat hier niet zo bekend is maar in Amerika een goede reputatie heeft op het gebied van antispam, onmiddellijke virusuitbraakbescherming en reputatiefiltering gebaseerd op gepatenteerde, vaak voorkomende patroonherkenning (‘Recurrent Pattern Detection’ of RPD). MX Lab zegt dat er drie antivirusmotoren gebruikt worden voor de ‘nul uur’-antivirusdienst. Welke dat zijn, vertelde het bedrijf er niet bij. Een nul-uurantivirusdienst wil zeggen, dat er bescherming geboden wordt vanaf het allereerste opduiken van een nieuw virus, ook als de signatuurdatabases van de antimalwareproducenten nog niet bijgewerkt zijn. Dit werkt op basis van speciale systemen die virusuitbraken zo vroeg mogelijk proberen te detecteren.

Daarnaast ondersteunt MX Lab ook archivering van mail. Als u dat activeert, wordt alle (gefilterde) mail standaard 365 dagen bewaard, maar die instelling kunt u wijzigen. Permanente opslag is ook mogelijk, maar dan moet er natuurlijk voldoende opslagcapaciteit zijn.

Het webbeheer heeft een kleurenpalet in grijsgradaties met toetsjes in opvallende andere kleuren zoals oranje. Het ziet er modern en toch smaakvol uit. De bediening is erg eenvoudig gehouden. Bovenaan is er een menubalk waarbij elk menuonderdeel kan uitklappen in een submenu. Na de inlog ziet u een dashboard met een stastistische grafiek van de beveiligingsoperaties en u kunt dan in het hoofmenu kiezen voor configuratie, quarantaine, archief, logs en rapporten. Bij configuratie kunt u alleen zwarte en witte lijsten opmaken, domeinbeheerders opgeven, bestemmingsmailservers en ip-specifieke toegang definiëren en het archief instellen inzake opslagparameters. De quantarantaine laat u zien welke berichten in zak en as beland zijn, en dan kunt u ze bekijken en wissen of doorsturen. Tijdens onze test bleef deze quarantaine altijd leeg. Het systeem was dus kennelijk heel erg zeker van wat spam was, want alles wat als spam gemarkeerd werd, werd tijdens onze test ook gewist. Met het menu-onderdeel logs konden we dat echter wel controleren. Bij ‘archief’ ziet u de inhoud van het archief. U kunt erin zoeken en bepaalde berichten opnieuw laten doorsturen of wissen. De rapportagemodule laat u mooie taart- en staafgrafieken genereren op basis van de beveiligingscijfers. Tijdens onze test stelden we 1,07 spamberichten per dag en per gebruiker vast, en we moesten geen enkele valse positieve betreuren tijdens de testperiode. Dat is erg goed.

Panda Managed Email Protection

Panda Security is afkomstig uit Spanje. Hun Managed Email Protection filtert zowel de spam als de malware uit uw mails zodra uw MX-velden omgezet zijn. Het beheer gebeurt via een webinterface waarmee heel wat mogelijk blijkt. U kunt witte en zwarte lijsten aanmaken, diensten per domein en per gebruiker opgeven, vertrouwde-adreslijsten bijhouden per domein of per gebruiker, een filtermodus kiezen per domein of per gebruiker, een virusquarantaine bijhouden, een filterreglement opstellen, uitgaande mail filteren en NDR-validatie toepassen per domein of per gebruiker. De webinterface heeft een prettig blauwgrijs uiterlijk en werkt met een uitklapbare menuboom uiterst links en een detailpaneel met tabbladen rechts daarvan. Die tabbladen vormen in feite het hoofdmenu en laten u kiezen uit: beheer, filtering, instellingen en hulp. De menuboom uiterst links komt dan overeen met de gekozen hoofdrubriek. De ‘Rules Engine’ of reglementmotor bevat normaal een standaardreglement dat toegepast wordt zodra u de dienst activeert. U kunt zelf regels bijmaken of bestaande regels wijzigen. Dat dient meer om vast te kunnen leggen wat er moet gebeuren met mails nadat vastgesteld werd dat ze malware of spam bevatten. U kunt in die regels opgeven dat bijlagen gewist moeten worden, of dat de berichten naar de vuilbak of naar een kopiebestemming moeten. Tijdens onze test haalde Panda helaas de slechtste score van iedereen. Onze gebruikers kregen gemiddeld 2,11 ongewenste berichten per dag en per gebruiker, we moesten gemiddeld 2,57 valse positieven per dag redden en tot onze grote verbijstering liet deze dienst als enige een virus door! Nee: Panda heeft nog wat werk voordat deze dienst kan concurreren met de rest.

Trend Micro InterScan Messaging Hosted Security

Bij het Amerikaanse Trend Micro, dat vooral bekend is als antimalware-softwareproducent, kunt u tegenwoordig ook een abonnement voor een hosted mail security-oplossing krijgen. Na het omzetten van uw MX-velden krijgt u alleen nog maar legitieme post voor uw eigen domeinen binnen en geen malware of andere ongewenste mails: dat is althans de bedoeling. Qua beheer krijgt u toegang tot een webinterface waarmee heel wat mogelijk is. U kunt uw eigen domeinen, witte en zwarte lijsten beheren; er is een prachtig dashboard waarmee u in een oogopslag allerlei statistieken en grafiekjes te zien krijgt over uw postverwerkingsstatus. Dat laat nogal deprimerend zien dat slechts een paar procent van alle verwerkte post ‘schoon’ was. Een quarantaine is er ook. Gebruikers kunnen zelf inloggen en hun eigen quarantaine uitmesten, of een beheerder kan dat voor hen doen. De beheerder moet dat dan wel per domein en per gebruiker doen; er is geen voorziening om een globale quarantaine voorgeschoteld te krijgen. Domein- en gebruikerslijsten kunnen gelukkig wel via csv-bestanden geüpload worden. In onze testweek moesten we in totaal drie mails redden uit de quarantaine: dat zijn er ongeveer 0,43 per dag. Onze gebruikers troffen 1,21 ongewenste berichten per dag en per mailbox aan. Dit is een resultaat in de middenmoot van de test.

Conclusie

De grootste troeven van een gehoste beveiligingsdienst voor e-mail zijn de ontlasting van uw netwerk en een veel eenvoudiger tot geen beheer. Bij veel uitbaters van dergelijke diensten mag u de dienst een tijdlang gratis uitproberen om te kijken of ze u bevalt. Van alle geteste diensten waren wij het meest onder de indruk van die van Belgacom en die van MX Lab. Deze twee scoorden de beste prestaties tijdens onze test en kosten absoluut niet veel. Die twee bevelen we u dan ook warm aan.

Johan Zwiekhorst

De gehoste oplossing biedt als voornaamste voordelen: ontlasting van uw internetbandbreedte omdat alleen nog maar legitieme mails binnenkomen en weinig of geen beheer.