Unsere neue Artikelserie soll Ihnen bei den kritischen Aufgaben der Administration von Exchange Server 2003 helfen. Eine zentrale Anforderung an den Administrator ist, den Anwender vor Bedrohungen durch E-Mails zu schützen und das Spam-Aufkommen einzuschränken. Im ersten Teil der Serie haben wir die Schutzmöglichkeiten über statische und dynamische Real-Time Blockierlisten erläutert. In diesem Teil sollen Challenge-Response-Lösungen und die verschieden Arten von Server- und Clientfilter vorgestellt werden.
Unsere neue Serie zu Exchange Server 2003 basiert auf Kapitel 13 des Standardwerks „Exchange Server 2003“ von William Boswell aus dem Verlag Addison-Wesley. Sie können dieses über 850 Seiten starke Buch auch in unserem Buchshop bestellen oder als eBook herunterladen.
|
Teil 2: Spam und Virenabwehr durch Challenge-Response und Filter |
|
Teil 6: Höhere Diensteverfügbarkeit durch Exchange-Cluster, I |
|
Teil 7: Höhere Diensteverfügbarkeit durch Exchange-Cluster, II |
|
Teil 8: Höhere Diensteverfügbarkeit durch Exchange-Cluster, III |
Blockierung durch Challenge-Response
Eine Möglichkeit, Spam zu hundert Prozent zu sperren, besteht darin, alle unbekannten Absender zur Identifizierung zu zwingen. Bei diesem Ansatz wird ein Dienstanbieter verwendet, der alle eingehenden Nachrichten filtert. Erhält er eine E-Mail von einem Absender, der vorher noch nie eine Nachricht geschickt hat, dann isoliert er sie und sendet eine Herausforderung an den Absender zurück, auf die letzterer reagieren soll.
Welche Reaktion gefordert wird, hängt vom Hersteller ab. SpamLion bittet den Absender z.B., einen Hyperlink anzuklicken. Das ähnelt den Registrierungsüberprüfungen von Mailinglistenmanagern wie Majordomo. Bei SpamArrest muss der Absender eine Bitmap-Datei lesen, die ein Wort darstellt, und dieses Wort in die Antwortmail eingeben.
Solche Systeme sind ungewöhnlich leistungsfähige Filter, bieten aber nicht immer die optimale Lösung. Dies ist vor allem dann der Fall, wenn erwünschte Nachrichten nicht von Menschen verschickt werden. Ein Paradebeispiel sind abonnierte Mailinglisten, ebenso wie Firmen-E-Mails, die wichtige Produktinformationen für Kunden enthalten. Die wenigsten Betreiber einer Mailingliste machen sich die Mühe, auf Herausforderungsnachrichten zu reagieren. Die Folge davon ist, dass möglicherweise wichtige Informationen nie beim Empfänger ankommen. Wenn dieser sich nicht die Zeit nimmt und den Domänennamen einer Mailingliste im Voraus freischaltet, dann wandern die E-Mails dieser Liste direkt in den Papierkorb.
Ein weiteres Problem bei diesem Ansatz besteht darin, dass die Kunden, die ein System nutzen, von der Qualität seiner Messaginginfrastruktur abhängig sind. Wenn das System zusammenbricht, wegen Überlastung nicht erreicht werden kann oder durch einen globalen verteilten DoS-Angriff (Denial of Service) zum Stillstand gebracht wird, dann kommt beim Kunden der gesamte E-Mail-Verkehr zum Erliegen.
Signaturbasierte Filter
Eine weitere Möglichkeit, Spam und Viren auszufiltern, besteht darin, den Inhalt einer Nachricht zu untersuchen und dann mit einer Kombination aus Schlüsselwörtern, Regeln und Inhaltsanalyse zu bestimmen, ob die Nachricht „spammig“ ist oder möglicherweise einen Virus enthält.
Wenn der Hersteller die Regeln häufig aktualisiert, kann dieser Ansatz äußerst effektiv sein. Eine auf Regeln basierende Filterung wird jedoch dadurch eingeschränkt, dass schädliche Inhalte sehr verschieden aussehen können. Ein regelbasierter Antispamfilter entdeckt vielleicht eine Nachricht mit der Betreffzeile „You Can Last Twice as Long“, aber übersieht „You, Can La$t Twice /As Long mxplxct“. Ein anderes Beispiel: Eine Virusmail wird dann entdeckt, wenn sie eine VBS-Datei enthält, bleibt aber unter Umständen unerkannt, wenn stattdessen eine ZIP-Datei angehängt ist.
Fast alle Antivirenprogramme nutzen Signaturen in irgendeiner Form. Die Beispiele dafür sind zu zahlreich, als dass man sie hier anführen könnte. Qualitätsunterschiede zeigen sich bei signaturbasierten Lösungen oft darin, wie schnell Signaturen zur Verfügung stehen bzw. ein neuer Angriff erfasst und in die Signaturdatei aufgenommen werden kann und wie einfach sich die Signaturen innerhalb eines Unternehmens weitergeben lassen.
Auch einige Hersteller von Antispamprogrammen nutzen Signaturen, weil ihr Ergebnis vorhersagbar und der Verteilungsmechanismus bekannt ist. Auf Regeln beruhen unter anderem die folgenden verbreiteten Antispamprodukte:
-
iHateSpam von Sunbelt Software
-
MailMarshal von NetIQ
-
SurfControl von SurfControl
Hashbasierte Filter
Antiviren- und Antispamprogramme, die auf Signaturen basieren, blockieren möglicherweise auch erwünschte E-Mails, die dem Filtermechanismus verdächtig vorkommen. Hashbasierte Filter versuchen diesen Fehler zu vermeiden, indem sie einzelne Exemplare unerwünschter Nachrichten abfangen und auf einen digitalen Fingerabdruck, Hash genannt, reduzieren. In der Kryptographie wird ein Hash aus einer unidirektionalen Funktion mit einer Ausgabe fester Länge konstruiert, die sehr empfindlich auf die Eingabe reagiert. Bei einer guten Hashfunktion wird durch ein einziges verändertes Byte in der Eingabe der Hashinhalt zu 50 Prozent modifiziert.
Ein Anbieter eines hashbasierten Programms ist bemüht, Spam und Viren zu bekommen. Wenn der unerwünschte Inhalt bestätigt ist, wird ein Hash produziert und eine Aktualisierung verschickt. Die Clients erhalten den Hash und prüfen damit eingehende Nachrichten.
Im Vergleich zur Verwendung von Signaturen haben hashbasierte Filter etliche Vorteile. Sie sind sehr schnell, weil Hash-Algorithmen auf Leistung optimiert sind, und praktisch unfehlbar, denn es ist schlicht unmöglich, dass zwei Nachrichten in freier Wildbahn den gleichen Hash haben. Da ein Hash auch sehr kompakt ist, lassen sich Aktualisierungen schnell und einfach an die Clients verschicken.
Aber ein hashbasierter Filter hat auch einen großten Nachteil. Wenn der Anbieter nicht bemerkt, dass eine Virenattacke einsetzt oder eine neue Spam-E-Mail abgeschickt wird, sind die Clients den unerwünschten Nachrichten ausgeliefert.
En Beispiel für ein hashbasiertes Programm ist Brightmail Anti-Spam von Brightmail.
Bayes-Filter
Im Kampf gegen schwer zu fassende Spam-E-Mails nutzen viele Anbieter von Antispamprogrammen einen Entscheidungsprozess, der auf den Arbeiten von Thomas Bayes beruht, einem Mathematiker und Theologen des 18. Jahrhunderts. In einem Text mit dem Titel „Essay Towards Solving a Problem in the Doctrine of Chances“ stellte Reverend Bayes die These auf, dass es möglich sei, anhand der Häufigkeit eines Ereignisses in der Vergangenheit die Wahrscheinlichkeit seines Auftretens in der Zukunft zu berechnen.
Bayes’ Logik definiert den Prozess, in dem ein naiver Lernender Kenntnisse über einen Sachverhalt gewinnt. Ein Spamfilter, der diese Entscheidungsprozesse verwendet, muss also den Unterschied zwischen erwünschter E-Mail und Spam lernen. Das dauert ein wenig. Die meisten Bayes-Filter zerlegen den Inhalt einer Nachricht in Token und analysieren, wie oft ein bestimmter Token in bekannten Spam-E-Mails verwendet wurde. Das Ergebnis einer Bayes-Analyse für eine Spam-E-Mail, durchgeführt von InBoxer, einem Outlook-Plug-In von Audiotrieve, ist in folgender Abbildung dargestellt. Wie Sie sehen können, hat der Filter bemerkt, dass es sich bei der Nachricht mit einer Wahrscheinlichkeit von 98,03 Prozent um Spam handelt, weil das Wort „Viagra“ bereits in elf unerwünschten Mails enthalten war. In Verbindung mit einer leeren Betreffzeile (auch fast immer ein Zeichen von Spam) trifft er die Entscheidung, die Nachricht zu sperren.
Durch die tokenbasierte Analyse sind Bayes-Filter besonders gut im Identifizieren von Mails, die gewollte Falschschreibungen enthalten. Ein regelbasierter Filter lässt sich möglicherweise von einem Satz wie „Kure baldne$$ with hare im-plant$“ täuschen, aber ein Bayes-Filter weiß, dass Token mit Sonderzeichen fast immer auf Spam hinweisen, und ordnet die E-Mail entsprechend ein. Wenn die Nachricht jedoch sorgfältig verfasst ist, wird auch ein Bayes-Filter nicht aktiv. Außerdem verzichten viele Spammer ganz auf Worte und verschicken stattdessen E-Mails mit eingebetteten Grafiken, bei denen eine Bayes-Analyse nicht möglich ist. Solche Nachrichten werden aber von Outlook Web Access und Outlook 2003 blockiert.
Weitere Antispam-Programme mit Bayes-Filtern sind:
-
MailEssentials für Exchange/SMTP von GFI Software
-
OutlookSpamFilter von Novosoft, ein Outlook-Plug-In
-
SpamKiller von McAfee (beruht auf der legendären Technologie von Spam-Assassin)
Randfilter
Sie können einen Antispamfilter auf einem Front-End-Server mit SMTP installieren. Er überwacht den ein- und ausgehenden SMTP-Verkehr Ihrer Organisation und weist verdächtige Mails entweder ab oder markiert sie. Dadurch wird verhindert, dass sich auf Ihren Servern Spam ansammelt und Speicherplatz verbraucht. Ein Randfilter überwacht den gesamten Verkehr, und wenn er Bayes-Filter verwendet, lernt er rasch die typischen Muster von Spam-E-Mails.
Sie können einen Smarthost (einen Front-End-SMTP-Server) mit einem Antispamprogramm einrichten, der Nachrichten sperrt oder mit einer Spambewertung versieht. Diese Bewertung nutzen Exchange-Server oder Outlook-Clients, um Nachrichten nach dem entsprechenden Attribut auszufiltern. Exchange 2003 enthält einige benutzerdefinierte Ereignisnachrichtensenken, die Antispamprogramme zum Filtern einsetzen können. Der neue Intelligent Message Filter (IMF) von Microsoft verwendet diese Ereignisnachrichtensenken zusammen mit regelbasierter Überprüfung und einer Matrix zur Entscheidungsfindung, um Spam zu markieren und zu beseitigen. Zu den unter Windows laufenden SMTP-Randfiltern gehören folgende:
-
OrangeBox Mail von Cobion
-
MailSweeper SMTP Edition von Clearswift
-
Trend InterScan Message Security Suite, http://www.trendmicro.com
Auch ein externer Dienstleister ist ein Randfilter, der alle ein- und ausgehenden Mails durch sein System leitet und nach Spam und Viren untersucht. Da ein solcher Dienstleister Millionen von E-Mails prüft, lernen die Filter die Spamsignaturen sehr schnell und arbeiten dadurch effizient und effektiv. Beispiele für externe Dienstleister sind:
Wenn in Ihrer Organisation Sicherheit, Datenschutz oder Zuverlässigkeit eine große Rolle spielen, dann sollten Sie vor Abschluss eines Vertrages eingehend Rücksprache mit dem Vertreter des Dienstleisters halten, um sicherzustellen, dass Sie den Dienst problemlos abbestellen können, wenn er Ihren Anforderungen nicht entspricht.
Speicherfilter
Wenn es in Ihrem Budget keinen Spielraum für weitere Server, mehrstufige Firewalls oder externe Dienstleister gibt und Ihr öffentlich zugänglicher Exchange-Server hinter einer preisgünstigen Firewall steckt, die die Portweiterleitung für eingehenden SMTP-Verkehr durchführt, können Sie auf Speicherfiltern beruhende Antispam- oder Antivirenprogramme verwenden. Die meisten bekannten Anbieter von Antivirenprogrammen bieten auch Programme zur Spamabwehr; wenn Sie beides kombinieren, nutzen Sie den Vorteil garantierter Kompatibilität und einen möglichen Preisnachlass. Produkte von einem Hersteller einzusetzen, bietet die beste Garantie für Stabilität und Leistungsfähigkeit.
Wenn Sie speicherbasierte Antiviren- und Antispamprogramme verschiedener Hersteller miteinander kombinieren, sollten Sie die Kompatibilität gründlich prüfen. Achten Sie dabei besonders auf die Quarantäneverfahren der beiden Anwendungen. Sie möchten sicher nicht, dass der Server instabil wird, weil sich beide Programme um eine Nachricht zanken, die wie Spam aussieht, aber einen Virus enthält.
Clientfilter
Auch wenn Sie sich dafür entscheiden, Rand- und Speicherfilter gegen Spam und Viren einzusetzen, sollten Sie immer zusätzlich noch Clientfilter verwenden. Oft ergänzen die Benutzer ihre dienstlichen Mails mit POP3-E-Mails von externen Mailservern. Mit clientbasierten Filtern erweisen Sie diesen Benutzern einen Dienst.
Wenn Sie Clientfilter testen, achten Sie darauf, wo gesperrte Mails gespeichert werden. Verschiebt der Filter die Nachrichten einfach vom Posteingang des Benutzers in einen anderen Ordner auf dem Server, dann haben Sie zwar den Benutzern einen Dienst erwiesen, nicht aber sich selbst. Falls möglich, wählen Sie einen Clientfilter, der Spam entweder nach einer kurzen Zeit vollständig löscht oder in ein Repository auf dem lokalen Rechner verschiebt.
Kleine Firmen ohne Exchange-Server können auch die Junk-E-Mail-Filterung von Outlook verwenden. Outlook 2000 und die aktuelleren Versionen enthalten vorgefertigte Regeln zum Erkennen von Spam (Junk-E-Mails) und Pornographie. In Outlook 2003 ist die Konfiguration mit der Schaltfläche JUNK-E-MAIL auf der Registerkarte EINSTELLUNGEN im Menü OPTIONEN relativ einfach. Den Filter können Sie mit Listen aus dem Internet einrichten. Eine solche Liste, die sich herunterladen und direkt in ein Outlook-Profil aufnehmen lässt, finden Sie zum Beispiel bei GazNET. Outlook 2003 enthält auch einen intelligenten Filter, der über Office Update aktualisiert wird.
Ausblick
In den ersten beiden Teilen der Serie haben wir uns um die Bedrohung durch Spam und Viren gekümmert. Der nächste Teil beschäftigt sich mit dem Backup und Restore von einzelnen Postfächern bis hin zu ganzen Exchange-Servern. (ala)
Unsere neue Serie zu Exchange Server 2003 basiert auf Kapitel 13 des Standardwerks „Exchange Server 2003“ von William Boswell aus dem Verlag Addison-Wesley. Sie können dieses über 850 Seiten starke Buch auch in unserem Buchshop bestellen oder als eBook herunterladen.
|
Teil 2: Spam und Virenabwehr durch Challenge-Response und Filter |
|
Teil 6: Höhere Diensteverfügbarkeit durch Exchange-Cluster, I |
|
Teil 7: Höhere Diensteverfügbarkeit durch Exchange-Cluster, II |
|
Teil 8: Höhere Diensteverfügbarkeit durch Exchange-Cluster, III |