SPAMFILTER SERVICE. Whitepaper

Transkript

1 SPAMFILTER SERVICE Whitepaper 1

2 Whitepaper Problemstellung Spam Was ist Spam? Bedrohung der IT-Sicherheit Kosten durch Spam Rechtliche Fragestellungen Infomail Anforderungen an Spamfilter Filtern unerwünschter s Sicherer Transport erwünschter s Kosten Interne vs. externe Spamfilter Filterung im Client Filterung im Mailserver Filterung im Gateway Filterung in der Cloud Kombinierte Ansätze Übersicht: Interne vs. Externe Spamfilter Hornetsecurity Spamfilter Service Cloud Architektur Control Panel Schutz des eingehenden -Verkehrs Umleitung des Mailverkehrs Verarbeitungsschritte Voranalyse im Gateway (Blocking) Aktive Analyse Behandlung von Infomails Puffern / Zwischenspeichern von s Erweitertes Routing Virusschutz

3 4.5 Outbound Security Attachment Filter / Content Filter Anbindung an Mailserver / Infrastruktur der Kunden Audit Log Anpassung an eigenes Corporate Design Optionale Leistungen Continuity Archivierung Verschlüsselung

4 1 Problemstellung Spam Unter allen elektronischen Kommunikationsformen ist die die meist genutzte in Unternehmen. Allerdings ist der Anteil der s, die werbende und unerwünschte Inhalte (Spam) an den Empfängern übermitteln, weiterhin extrem hoch. Gegenmaßnahmen von Internet-Providern gegen Spam in den letzten Jahren waren zwar durchaus erfolgreich, widerholt gelang die Abschaltung großer Botnetze, die zum Spamversand eingesetzt wurden. Das hat auch zur deutlichen Reduktion der weltweit verschickten Menge an Spam geführt, trotzdem sind weiterhin etwa fünf von sechs verschickten s Spam (Abbildung 1). Abbildung 1: Entwicklung des Anteils an Spam am -Verkehr seit 2004 Die unerwünscht zugesandten s richten erhebliche Schäden an. Wesentlich sind Kosten für die Übertragung, Verarbeitung und Speicherung von Spam, Administrationsaufwand und nicht zuletzt Kosten durch Arbeitszeitverluste der Mitarbeiter. Weiterhin ist Spam oft Träger von Viren und anderen Schadprogrammen oder Teil einer kombinierten Attacke auf die Sicherheit von IT- Systemen. Kosten für Spamfilter betragen dagegen nur einen Bruchteil der durch Spam verursachten Kosten. Spamfilterlösungen bieten zudem heute viel mehr als nur die Abwehr von Spam und Viren. Gründe 4

5 für den Einsatz von Spamfiltern gibt es jedenfalls reichlich und kein Unternehmen kann es sich mehr leisten, ohne Spamfilter zu arbeiten. Dieses Whitepaper erläutert detailliert die Anforderungen an Spamfilter. Die Lösung wird an Hand des Spamfilterservice von antispameurope beschrieben, die Analyse der Anforderungen hat aber darüber hinaus allgemeine Gültigkeit. 1.1 Was ist Spam? Spam wird in Wikipedia definiert als unerwünschte, in der Regel auf elektronischem Weg übertragene Nachrichten [ ], die dem Empfänger unverlangt zugestellt werden und häufig werbenden Inhalt haben. Diese Definition entspricht dem Empfinden der meisten Menschen, die von Spam behelligt werden. Leider ist die Definition technisch nur schwer nutzbar: Woher weiß ein System, dass eine unverlangt zugestellt wurde und nicht die Genehmigung dazu vom Empfänger tatsächlich gegeben wurde? Unverlangt ist nicht automatisch auch unerwünscht es kommt durchaus vor, dass eine unverlangte erwünscht ist, z. B. die Anfrage eines neuen Kunden. Was genau ist werbender Inhalt? Es ist deshalb kein Wunder, dass verschiedene Personen konkrete s unterschiedlich als Spam oder erwünscht einstufen. Es ist sogar nicht ungewöhnlich, dass ein und dieselbe Person eine Nachricht das eine Mal als Spam, das andere Mal als erwünschte einstuft. Wie soll dann ein technisches System das gewünschte Ergebnis mit hoher Sicherheit liefern? Viele Spamfilter-Hersteller verwenden auf Grund dieser Schwierigkeit eine andere Definition, das sogenannte Massenmail-Kriterium. Danach ist eine dann als Spam einzustufen, wenn sie innerhalb kurzer Zeit in großer Zahl an verschiedene Adressaten verschickt wird, womöglich noch von verschiedenen Absendern. Leider gilt das per se auch für bestimmte Arten erwünschter s, z.b. Newsletter. Eine einzelne oder nur in sehr geringer Zahl verschickte mit sehr eindeutig missbräuchlichem Inhalt wird durch das Massenmail-Kriterium hingegen nicht erfasst. Vor Hintergrund verschiedener Definitionen von Spam sind allgemeine Angaben über Erkennungsraten und Fehlklassifikationsraten deshalb mit Vorsicht zu genießen. Sie sind exakt allenfalls individuell, d. h. für jeden Benutzer einzeln berechenbar. Jeder Nutzer muss deshalb letztlich für sich selbst entscheiden, welche s er haben möchte und welche nicht. Der Spamfilter muss diese Entscheidung dann bestmöglich abbilden. Dennoch muss ein Spamfilter auch in der Grundkonfiguration schon gute Ergebnisse liefern, denn sonst würde der Aufwand für das Training des Filters auf den einzelnen Benutzer verlagert. 5

6 1.2 Bedrohung der IT-Sicherheit Nach Auswertungen von Hornetsecurity ist davon auszugehen, dass an -Nutzer in Unternehmen im Durchschnitt mehrere zehn s pro Monat verschickt werden, die Träger von Viren, Trojanern, Phishing-Attacken oder anderen direkten Angriffen auf die Sicherheit von IT- Systemen sind. Ein leistungsfähiger Virusscanner mit aktuellen Signaturen ist deshalb ein unverzichtbarer Bestandteil von Antispam-Lösungen. Die Beobachtungen zeigen aber weiterhin, dass bei weitem nicht alle genannten Bedrohungen direkt und unmittelbar von Antiviruslösungen (AV-Lösungen) erkannt werden. Es kommt hingegen relativ häufig vor, dass per verschickte Viren zum Zeitpunkt des Versands von nur sehr wenigen oder sogar gar keinem der zahlreichen AV-Programme erkannt werden. Die Hersteller der AV-Lösungen reagieren dabei im Allgemeinen recht schnell, einige in Minuten, andere innerhalb weniger Stunden nach dem Auftauchen neuer Schädlinge. Gemeinsam ist diesen Vorfällen dennoch, dass erst nach relativ langer Zeit alle AV-Programme den Schädling sicher erkennen. Ob ein Schädling von einem bestimmten AV-Programm schnell oder erst spät erkannt wird, variiert dagegen von Vorfall zu Vorfall. Werden s mit Schadcode in das Postfach des Empfängers zugestellt und aktiviert der Empfänger den Schadcode, bevor der lokal installierte AV-Schutz aktualisiert wurde, dann ist der Schaden angerichtet. Im Fall des Falles kann dies für das Unternehmen bedrohliche Ausmaße erreichen z. B. weil als Folge Firmengeheimnisse ausgespäht wurden oder zu schützende Daten in die Öffentlichkeit gelangt sind. Gute Antispamlösungen haben deshalb zusätzliche eigene Schutzmechanismen zur Erkennung von Attacken und Schadcode in s. Diese zusätzlichen Mechanismen setzen nicht beim Schadcode selber an, sondern bei dessen Träger, der . mit schädlichen Inhalten können dadurch erkannt werden, ohne dass ein AV-Programm anschlägt. Wichtig sind zudem Frequenz und Geschwindigkeit von Filter-Updates: Der beste Filter und das beste AV-Programm taugen nichts, wenn sie mit veralteter Information versorgt sind. Nicht vergessen werden darf die Bedrohung der Zuverlässigkeit der IT-Systeme durch große Mengen von Spam. Spam-Attacken können dazu führen, dass Mailsysteme buchstäblich überrannt und der Mailverkehr eines Unternehmens dadurch stunden- oder gar tagelang verzögert oder lahmgelegt wird. Abbildung 2 zeigt den Verlauf einer solchen Attacke. Die Attacke verläuft in zwei Wellen, von denen die erste Welle eine gegenüber Normallast etwa 18-fache Belastung des Mailservers auslöst. Die erste Welle dauert etwa dreieinhalb Stunden, die zweite Welle etwa eineinhalb Stunden. 6

7 Abbildung 2: Zeitlicher Verlauf einer Spamattacke Ein auf Normallast mit z. B. 30% Lastreserve ausgelegtes System würde im gezeigten Fall mehr als einen Tag benötigen, um die durch die Spamattacke aufgelaufene Menge an s zu verarbeiten und die zwischen den Spams festsitzenden erwünschten s den Empfängern zugänglich zu machen. Problematisch ist also nicht nur die Gesamtmenge an Spam, sondern während akuten Attacken die Menge der eingehenden Spams pro Zeiteinheit. Die Infrastruktur inklusive Spamfilter muss, um solche Attacken zuverlässig bewältigen zu können, auf Spitzenlast ausgelegt sein also im gezeigten Beispiel auf das 18-fache der Normallast. Die damit verbundenen Kosten sind entsprechend hoch. Zudem ist ein auf mögliche Spamattacken ausgelegtes System schon deshalb unwirtschaftlich, weil es außerhalb von Spamattacken nicht annähernd ausgelastet wird. 1.3 Kosten durch Spam Kosten durch akute Schadenfälle hängen sehr stark vom konkreten Fall ab und sind deshalb kaum zu beziffern. Die Aufstellung möglicher, durch Spam verursachter Schäden kann aber bei der Einschätzung der Größenordnungen helfen: Einbußen an produktiver Arbeitszeit, vor allem an Büroarbeitsplätzen, bei Ausfall des Mailservers Aufwände für die Wiederherstellung des Servers 7

8 Aufwände für die Wiederherstellung von Systemen und Daten bei Virenbefall Schäden auf Grund verloren gegangener s und ggf. anderer Daten Verlust von Aufträgen wegen verzögerten Eingangs von Bestellungen und Anfragen Reputationsschaden Spamfilter sollten deshalb mit einem effektiven Virusschutz ausgerüstet und so ausgelegt sein, dass sie auch bei hohem -Aufkommen als Folge von Spamwellen nicht überlastet werden. Spam verursacht allerdings auch ohne akuten Notfall oder Schadenfall erhebliche Kosten in Unternehmen. Von Bedeutung sind: Kosten durch die Übertragung von Spam (Leitungskosten, Traffickosten, reduzierte Bandbreite für andere Anwendungen) Kosten durch die Verarbeitung von Spam (Server-Hardware, Strom) Kosten durch die Speicherung von Spam (Plattenplatz, Backup) Kosten durch verlorene Arbeitszeit von Mitarbeitern (manuelles Löschen von Spam, Suchen fälschlich geblockter oder gelöschter s) Kosten durch die Anschaffung und Installation einer Spamfilterlösung (SW-Lizenzkosten, ggf. Hardware / Appliance, Personalaufwand für die Installation und erstmalige Einrichtung) Kosten durch den laufenden Betrieb der Spamfilterlösung (Strom, Administrationsaufwand) Der größte Teil dieser Kosten entsteht durch Produktivitätsverlust (verlorene Arbeitszeit). Mehrere voneinander unabhängige Untersuchungen beziffern diese Kosten mit einigen Hundert Euro pro Mitarbeiter im Jahr. Diese Kosten sind naturgemäß umso höher, je mehr Spam vom Spamfilter nicht erkannt und in die Mailboxen der Mitarbeiter durchgelassen wird. Auf der anderen Seite kann eine einzelne fälschlich geblockte (sog. Falsch-Positive) hohe Kosten verursachen. Gute Spamfilter müssen daher sowohl eine hohe Erkennungsrate, wie eine niedrige Rate an Falsch-Positiven aufweisen. Personalaufwand für die Administration von Spamfiltern ist ein weiterer erheblicher Kostenblock. Dazu gehören auch Supportleistungen für Endnutzer, z.b. zur Beantwortung von Fragen oder Hilfe bei der Suche nach vermissten s. Je nach Komplexität der Lösung und Größe der Organisation können leicht Aufwände von mehreren Arbeitsstunden entstehen. 1.4 Rechtliche Fragestellungen Das Versenden von Spam ist in vielen Staaten gesetzlich verboten. Grundsätzlich muss der Empfänger der Zusendung von -Werbung zuvor zugestimmt haben. In Deutschland ist dies z. B. im Wettbewerbsrecht geregelt 1. In jedem Fall muss dem Empfänger eine einfache Möglichkeit zum Widerspruch gegen den Versand der -Werbung gegeben werden. Leider hindert die rechtliche Situation professionelle Spammer nicht am Versand von Spam. Mangels Zugriffsmöglichkeit auf den Absender sind die rechtlichen Möglichkeiten zum Stoppen von Spam dann schnell erschöpft. 1 Siehe u.a. 7, UWG: Unzumutbare Belästigungen 8

9 Es bleibt das Filtern von Spam durch technische Maßnahmen. Auch hier sind jedoch Grenzen gesetzt. Wenn Mitarbeitern z. B. die Nutzung der dienstlichen Adresse auch zu privaten Zwecken gestattet wird, so wird das Unternehmen zum Telekommunikationsdienstleister im Sinne des Telekommunikationsgesetzes. Das Filtern von kann dann eng betrachtet als strafbare Unterdrückung im Sinne der 206 und 303a des Strafgesetzbuches gewertet werden. Der einfachste Weg, dieses Problem zu umgehen, führt über das Verbot der privaten Nutzung der betrieblichen -Systeme. Ein solches Verbot muss allerdings auch überwacht und durchgesetzt werden. Und selbst dann sind die Schwierigkeiten nicht vollständig behoben: s enthalten nämlich häufig personenbezogene Daten. Schon eine persönliche -Adresse, etwa in der Form wird allgemein als personenbezogene Information angesehen. Jede , die eine solche Adressangabe enthält, unterliegt damit dem Datenschutz. Sollte eine private trotz Verbots in das betriebliche -System geraten sein, z.b. weil eine dritte Person eine private an einen Mitarbeiter geschickt hat, so darf diese grundsätzlich nicht eingesehen werden. Allgemein kann jedoch angenommen werden, dass die Abwehr von Spam zur Aufrechterhaltung der Infrastruktur und einer geordneten -Kommunikation im Sinne einer Interessenabwägung zulässig ist. Zur Sicherheit sollte dabei folgendes beachtet werden: 1. Die Verweigerung der Annahme von s durch den empfangenden Mail-Server mit einer entsprechenden Fehlermeldung bereits während Übermittlung ( blocken ) wird allgemein als unproblematisch betrachtet. In der Regel obliegt es dem sendenden Mail-Server, den Absender darüber zu informieren, dass seine nicht übermittelt wurde. Gleichzeitig ist eine solche nie vollständig in den Einflussbereich des Empfängers gelangt. Von einer Unterdrückung kann deshalb nicht ausgegangen werden. 2. Sofern die vom empfangenden Mail-Server vollständig empfangen und dieser Empfang quittiert wurde, liegt die Sache anders: Der sendende Mail-Server geht in diesem Fall davon aus, dass die vollständig an den Empfänger übermittelt wurde. Aus diesem Grund sollten s, die erst nach vollständigem Empfang vom Spamfilter als Spam erkannt werden, dem Empfänger zumindest in Form einer Quarantäne oder als gekennzeichnete zugänglich gemacht werden. Der Empfänger kann dann selber entscheiden, wie er mit als Spam erkannten s umgehen möchte. 1.5 Infomail Bei der Mehrzahl der Spammails ist der Spam-Charakter recht eindeutig feststellbar. Es gibt jedoch eine Grauzone, in der a-priori nicht eindeutig feststellbar ist, ob eine vom Empfänger erwünscht oder unerwünscht ist. In diese Grauzone fallen z. B. viele Newsletter. Sofern die rechtlichen Voraussetzungen eingehalten werden, ist der Versand von Newslettern per legitim. Von einer unverlangten Zustellung kann 9

10 in diesen Fällen nicht ausgegangen werden. Ähnliches gilt für eine erste Kontaktaufnahme per E- Mail: Obwohl in solchen Fällen dem Empfänger die unverlangt zugeschickt wird, kann nicht per se davon ausgegangen werden, dass sie unerwünscht ist. Als Infomail bezeichnet Hornetsecurity solche s, deren Empfang vom Benutzer zwar nicht als unerwünscht angesehen wird, die jedoch den täglichen Arbeitsfluss stören und den Blick auf wichtigere s verstellen. Die separate Behandlung von Infomails ist deshalb eine sinnvolle und kostensparende Eigenschaft von Spamfiltern. 2 Anforderungen an Spamfilter 2.1 Filtern unerwünschter s An die Kernfunktion von Spamfiltern, das Herausfiltern unerwünschter s, sind folgende Anforderungen zu stellen: Sichere Erkennung bekannter Viren und anderer Malware Zusätzliche Schutzmechanismen gegen neu auftretende Viren und andere per verbreitete Attacken Möglichst sichere Erkennung vom Benutzer nicht erwünschter s (hohe Erkennungsrate), Rechtlich einwandfreier Umgang mit ausgefilterten bzw. blockierten s Möglichkeit zur Erkennung und Behandlung von Infomails Möglichkeit zur Anpassung der Filter an individuelle Anforderungen (z. B. Blacklisting) 2.2 Sicherer Transport erwünschter s Versehentlich ausgefilterte erwünschte Nachrichten (sog. Falsch-Positive ) sind mindestens ebenso unerwünscht wie nicht ausgefilterte Spamnachrichten. Auch die Leistungsfähigkeit und Zuverlässigkeit der Filter ist zu beachten, eine Unterbrechung des -Verkehrs durch Ausfall oder Überlast des Filtersystems würde in den meisten Unternehmen zu einer Störung der Arbeitsabläufe führen und damit genau den Schaden verursachen, der durch den Einsatz der Filter eigentlich verhindert werden sollte. Aus dieser Sicht sind folgende Anforderungen durch einen Spamfilter zu erfüllen: Sichere Erkennung vom Benutzer erwünschter s (niedrige Falsch-Positiv-Rate), Übersicht über alle verarbeiteten s, um ggf. ein unerwünschtes Blocken oder Ausfiltern bestimmter s nachvollziehen zu können Möglichkeit zur Anpassung der Filter an individuelle Anforderungen (z. B. Whitelisting) Hohe Verfügbarkeit des Spamfilters im Dauerbetrieb (keine Ausfälle im Mailverkehr), auch bei hoher Last, z. B. durch Spamwellen 100% gesicherte Verarbeitung aller s keine darf verloren gehen 10

11 2. 3 Kosten Gute Spamfilter führen zu einer deutlichen Reduktion der durch Spam verursachten Kosten. Ganz kostenlos lassen sich Spamfilter aber nicht betreiben. Spamfilter verursachen in Unternehmen folgende Kosten: Laufende oder einmalige Lizenzkosten Kosten für Hardware (Installation, Abschreibung) Stromkosten Kosten durch Administrationsaufwand Durch Fehler des Spamfilters verursachte Kosten Kosten durch nicht erkannten Spam Kosten durch fälschlich gefilterte erwünschte s Kosten durch Unterbrechung des Mailbetriebs Je nach Art der Spamfilter-Lösung können einzelne Kostenelemente komplett entfallen. Wichtig ist aber immer, die Gesamtkosten zu berechnen und nicht einzelne Kostenelemente isoliert zu betrachten. Die Kosten durch Administrationsaufwand, können beispielsweise die Lizenzkosten einer Lösung um ein Vielfaches übersteigen. 3 Interne vs. externe Spamfilter Spam kann prinzipiell an jedem Punkt des Transportwegs gefiltert werden. Im eingehenden - Strom werden in der Praxis Spamfilter an folgenden Stellen eingesetzt: Filterung im -Client Filterung im -Server Filterung im -Gateway am Perimeter Filterung außerhalb der eigenen Infrastruktur (in der Cloud) Die Vor- und Nachteile der einzelnen Ansätze werden in den folgenden Abschnitten kurz erörtert. 3.1 Filterung im Client Spamfilterung im Client ist der scheinbar einfachste Ansatz. Viele -Clients enthalten bereits Module zur Filterung von Spam, wie z. B. den Junk -Mail-Filter in Microsoft Outlook. Von Sicherheitsanbietern sind Programme erhältlich, die zusätzlich im Client installiert werden können, auch viele Antivirus-Lösungen enthalten Module, die s im Client zumindest auf Schadcode untersuchen. 11

12 Vorteile dieses Ansatzes: Bei mitgelieferten Spamfiltern: Keine zusätzlichen Lizenzkosten In der Regel sehr individuelle Ausgestaltung der Filterregeln möglich Nachteile des Ansatzes: Der Spamfilter funktioniert nur, wenn der -Client im Betrieb ist Keine Entlastung des Mailservers die gesamte Spamlast durchläuft den Server Hoher Installations- und Administrationsaufwand durch lokale Installation auf allen Clients, wachsend mit der Anzahl der Clients / Mitarbeiter Schwer kalkulierbare, oft hohe Gesamtkosten (TCO) trotz scheinbar niedriger Lizenzkosten Zentrale Übersicht und zentrale Steuerung für alle Clients eines Unternehmens schwierig bis unmöglich Schutz gegen neue Gefahren (Zero Day Exploits) nur verzögert 3.2 Filterung im Mailserver Vorteile dieses Ansatzes: Zentrale Installation und Administration, dadurch reduzierter Aufwand gegenüber der Filterung im Client Zentrale Vorgabe und Durchsetzung von Unternehmensrichtlinien möglich Nachteile des Ansatzes: U. u. deutlich erhöhte Systemlast des Mailservers durch Spam-/Virusprüfung, dadurch ggf. leistungsstärkeres System erforderlich Schwer kalkulierbare, oft hohe Gesamtkosten (TCO) trotz scheinbar niedriger Lizenzkosten u.a. durch Administrationsaufwand, erhöhte Systemlast und lokale Speicherkosten (Quarantäne) Schutz gegen neue Gefahren (Zero Day Exploits) nur verzögert Gefahr der Blockade des Mailverkehrs bei Ausfällen, Fehlern oder Überlast des Mailservers (single point of failure) 3.3 Filterung im Gateway Filterlösungen am Perimeter werden in der Regel als Appliance angeboten und installiert, d. h. Lösungen aus kombinierter Hard- und Software. Das Gateway fungiert dann als Filter vor dem Mailserver. 12

13 Vorteile dieses Ansatzes: Turn-Key -Ansatz, dadurch in der Regel reduzierter Installations- und Wartungsaufwand Zentrale Installation am Perimeter, zentrale Übersicht und Steuerung möglich Entlastung und Schutz des nachfolgenden Mailservers Nachteile des Ansatzes: Intransparente Gesamtkosten (TCO), Kosten für Strom, Kühlung, Datenverkehr und interne Wartungsaufwände sind nur schwer zu beziffern Schutz gegen neue Gefahren (Zero Day Exploits) nur verzögert Gefahr von Sicherheitslöchern im Netzwerk bei Fehlkonfiguration Gefahr der Blockade des Mailverkehrs bei Ausfällen, Fehlern oder Überlast, insbesondere bei nicht redundanter Auslegung (single point of failure) Schlecht skalierbar, bei erhöhtem Mailaufkommen müssen größere oder zusätzliche Systeme installiert werden 3.4 Filterung in der Cloud Die Filterung in der Cloud erfolgt außerhalb der schützenswerten eigenen Infrastruktur. In der Regel wird diese Form der Spamfilterung von Dienstleistern als standardisierter Service angeboten. Vorteile dieses Ansatzes: Zentrale Übersicht und Steuerung Zentraler Betrieb durch Dienstleister, eigenes Personal wird entlastet Klar bestimmbare Gesamtkosten, i.d.r. deutlich niedriger als bei lokalen Lösungen Schnelle und einfache Installation, praktisch kein lokaler Aufwand Einfach skalierbar In der Regel hoch redundant, dadurch hohe Zuverlässigkeit gegen Ausfall Unmittelbarer Schutz gegen neu auftretende Gefahren Nachteile des Ansatzes: Auftragsdatenverarbeitung gemäß BDSG: Datenschutzfragen müssen durch Vertrag klar geregelt werden 3.5 Kombinierte Ansätze In der Praxis werden oft mehrere Maßnahmen kombiniert eingesetzt, z. B. ein einfaches Blocking auf Basis von IP-Blacklists im Gateway kombiniert mit einer Spamfiltersoftware im Mailserver. Auf diese Weise wird die Last des Mailservers wirksam reduziert. Nachteil der kombinierten Lösungen: Es müssen zwei Teillösungen beschafft, installiert und gewartet werden, die Gesamtlösung ist dadurch komplexer und teurer. 13

14 Im Markt erhältlich sind außerdem hybride Lösungen, die Cloud-Ansätze mit lokalen Installationen verbinden. Vorteil dieser Lösungen: Die Datenschutzproblematik wird vereinfacht, Daten werden im eigenen Netzwerk verarbeitet. Nachteil: Solche Lösungen sind meist erst ab einer bestimmten Unternehmensgröße erschwinglich, die Kosten liegen generell über denen einer Cloud-Lösung. 3.6 Übersicht: Interne vs. Externe Spamfilter Vor- und Nachteile der verschiedenen Ansätze zur Filterung von Spam zeigt die nachfolgende Tabelle in der Übersicht: Eigenschaften Lokale Software (Client) Lokale Software (Server) Gateway (Appliance ) Cloud Services Anschaffungskosten o ++ o Installationsaufwand -- o o ++ + Laufende Betriebskosten -- o o Skalierbarkeit o Zuverlässigkeit -- - o Sicherheit gegen Fehlkonfiguration Transparenz und Durchsetzung zentraler Richtlinien Schutz gegen Zero Day Exploits Datenschutz ++ o bzw. ++ *) -- o o o o o o bzw. ++ *) -- bzw. ++ *) Hybride Lösung o bzw. ++ *) Tabelle 1: Übersicht über verschiedene Ansätze zur Filterung von Spam *) Bei Abschluss und Einhaltung entsprechender interner Betriebsvereinbarungen **) Bei Abschluss und Einhaltung einer entsprechenden Vereinbarung über Auftragsdatenverarbeitung gemäß BDSG 14

15 4 Hornetsecurity Spamfilter Service 4.1 Cloud Architektur Die große Mehrheit der Angriffe auf die IT-Sicherheit von Unternehmen kommt aus dem Internet. Was liegt daher näher, als auch die Abwehr dieser Angriffe in das Internet, die Cloud, zu verlagern, also Cloud Security zu nutzen? Der Begriff Cloud Security hat seinen Ursprung im Begriff Cloud Computing, letzterer von Forrester Research definiert als ein Pool aus abstrakter, hochskalierbarer Infrastruktur mit Anwendungen, die nach Verbrauch abgerechnet werden. Bildlich kann man sich eine Cloud als eine Wolke von Rechnern vorstellen, die aus der Distanz wie ein homogenes Gebilde wirkt und entsprechend als ein homogenes System behandelt und genutzt werden kann. Wesentliche Vorteile von Cloud-Computing: Dynamische Bereitstellung von Ressourcen nach Bedarf Höhere Verfügbarkeit durch massive Redundanz Keine Installation dedizierter Hard- und Software Hardware- und Betriebssystem-unabhängig Daraus resultierend erheblich flexibler, leistungsfähiger und kostengünstiger als entsprechende dedizierte Infrastrukturen. Unterschieden wird zwischen verschiedenen Cloud-Typen: Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) Ferner gibt es Unterschiede in der Art der Bereitstellung Private Clouds einem für eine Organisation dedizierten Pool von Systemen, der für z. B. verschiedene Anwendungen gemeinsam genutzt wird. Public Clouds Pools von Systemen, die von mehreren Organisationen gemeinsam genutzt werden. Hybrid Clouds eine Mischform von Private und Public Clouds; z. B. Nutzung einer Public Cloud als Ergänzung für eine Private Cloud. Community Clouds im Prinzip eine Private Cloud für eine Gemeinschaft von Nutzern (z. B. Mitglieder eines Verbandes). 15

16 Vor allem für Public Clouds gelten zusätzlich zu den allgemeinen Vorteilen von Cloud-Computing folgende Vorteile: Keine langfristige Kapitalbindung (OPEX statt CAPEX) Keine Installation von Hardware und Software Kein oder nur geringer interner Administrationsaufwand Hornetsecurity nutzt das Prinzip der Public Cloud um Systeme und Netzwerke seiner Kunden vor Angriffen aus dem Internet zu schützen. Die Systeme von Hornetsecurity werden dazu wie das Vorwerk einer Festung vor die internen Netze der Kunden geschaltet. Hornetsecurity bildet das Gateway für Daten wie s und Webtraffic, die aus dem Internet kommend in das interne Netz der Kunden transportiert werden sollen. Wesentliche Vorteile von Cloud-based Security: Massiv redundante und verteilte Auslegung des Gesamtsystems, dadurch erheblich leistungsfähiger und robuster gegenüber Attacken als Einzelinstallationen, Abwehr von Attacken, Malware etc. außerhalb der Infrastruktur der Unternehmen, dadurch Entlastung und geringere Gefährdung der Infrastruktur, Vereinfachung der Schutzsysteme am Perimeter des Unternehmensnetzes, diese werden dadurch robuster, günstiger und der Administrationsaufwand sinkt deutlich, 24/7 Überwachung der Systeme durch Security-Experten, dadurch Gewährleistung der Sicherheit auch außerhalb der Arbeitszeiten des eigenen IT-Personals. Eine Herausforderung für Public Clouds besteht in der Herstellung der Sicherheit und Abgrenzung der Daten verschiedener Nutzer untereinander. Die Lösungen von Hornetsecurity sind deshalb voll mandantenfähig und verfügen über abgestufte Benutzerberechtigungen. Daten sind hierarchisch abgelegt, so dass immer nur der Zugriff entsprechend der jeweiligen Nutzer-Hierarchieebene möglich ist. Die Systeme von Hornetsecurity werden verteilt in verschiedenen gesicherten Rechenzentren betrieben. Generell ist der tatsächliche Ort der Verarbeitung oder Lagerung von Daten nicht auf ein bestimmtes System festgelegt. So steht z. B. für eine einzelne vorab nicht fest, welches System sie durchläuft. Trotzdem können bei Hornetsecurity bestimmte Bereiche der Cloud an bestimmte Aufgaben gebunden werden. So kann gewährleistet werden, dass eine z. B. in Deutschland gefiltert oder in der Schweiz archiviert wird. Da, wo es auf Grund großer Datenmengen sinnvoll ist, können Systeme auch in den Rechenzentren von Provider-Partnern und Firmenkunden aufgestellt und betrieben werden als Hornetsecurity Managed Appliance. Hornetsecurity kombiniert dadurch die Vorteile der Cloud mit denen dedizierter Systeme. 4.2 Control Panel Das Hornetsecurity Control Panel ist der zentrale Zugangspunkt zu allen Informationen und Einstellungen zu Hornetsecurity Services. Es unterstützt Administratoren und Benutzer bei der Verwaltung von benutzerdefinierten Einstellungen, beim Umgang mit empfangenen s und bei der statistischen Auswertung des -Verkehrs. 16

17 Das Control Panel stellt Benutzern eine einfach zu bedienende Oberfläche zur Verfügung, mit deren Hilfe jeder einzelne den Fluss seiner persönlichen Mails überwachen und steuern kann. Es können eigene Black- und Whitelisten gepflegt werden, falsch als Spam erkannte Mails können ausgelöst und unerwünscht zugestellte Mails als Spam gemeldet werden. Abbildung 3: Hornetsecurity Control Panel Administratoren erhalten weitergehende Werkzeuge an die Hand, mit deren Hilfe Maildomains, komplexe Konfigurationen und die Postfächer der Benutzer übersichtlich verwaltet werden können. Außerdem stehen globale und tiefergreifende Kontroll- und Konfigurationsmöglichkeiten zur Verfügung. Im Control Panel vorgenommene Einstellungen werden automatisch in die Hornetsecurity Cloud übertragen und dort verteilt, typisch nach drei, in Ausnahmefällen spätestens zehn Minuten nach Speicherung arbeiten allen Systeme in der Cloud mit den neuen Einstellungen. Über das Control Panel erfolgt auch die Einrichtung von Benutzern, entweder von Hand, durch Hochladen entsprechender Listen oder durch Abgleich mit einem LDAP-Server. Die Einrichtung von Benutzern ist auch automatisiert durch Analyse des eingehenden Mailverkehrs möglich. Wichtig: Der Spamfilter funktioniert immer für alle Benutzer einer Domain, unabhängig davon, ob Benutzer eingerichtet sind oder nicht. Einzelne Benutzer können allerdings explizit von der Filterung ausgenommen werden. Die Nutzung des Control Panels ist mit jedem Browser mit aktuellem Flash-Plugin möglich. Als webbasierte Anwendung wird das Control Panel automatisch immer in der aktuellsten Version gestartet. So haben alle Nutzer stets Zugriff auf die aktuellsten Features. Derzeit ist das Control Panel in 17 Sprachen verfügbar: Chinesisch, Deutsch, Dänisch, Englisch, Französisch, Italienisch, Japanisch, Katalanisch, Polnisch, Russisch, Schwedisch, Slowakisch, Spanisch, 17

18 Ukrainisch, Griechisch, Portugiesisch (PT und BR). Weitere Sprachen sind in kurzer Zeit implementierbar. 4.3 Schutz des eingehenden -Verkehrs Umleitung des Mailverkehrs Hornetsecurity schaltet seine Systeme als Schutzwall zwischen das Internet und die IT-Infrastruktur der Kunden. Im eingehenden -Verkehr muss also sichergestellt werden, dass s, die aus dem Internet an Kunden geschickt werden, über Systeme von Hornetsecurity und nicht direkt auf die Infrastruktur der Kunden geleitet werden. Im Internet legt der sogenannte MX-Record (MX: Message Exchange) im Internet-Adressbuch Domain-Name-Service (DNS) fest, welcher -Server für den Empfang von s einer Domain zuständig ist. Wenn Sie also über eine eigene Internet Domain verfügen (z. B. IhreFirma.de ), wird einfach der MX-Record für diese Domain so verändert, dass er auf die Mail- Gateways von Hornetsecurity zeigt. s an diese Domain werden vom Mailserver des Absenders dann automatisch und ohne weiteren Eingriff an die Infrastruktur von Hornetsecurity übermittelt, dort geprüft und dann an Ihren -Server weitergeleitet (Abbildung 4). Abbildung 4: Umleitung von s über die Hornetsecurity Infrastruktur Zusätzlich stellen Sie Ihre Firewall so ein, dass s nur noch aus den Netzen von Hornetsecurity die Firewall passieren. Das ist notwendig, weil Schad- s sonst unter Umgehung des MX-Records und damit unter Umgehung des Hornetsecurity Schutzes direkt auf Ihren Mailserver gesendet werden könnten. Nach der Umstellung der Firewall schlägt jeder direkte Zustellversuch fehl und Ihre Systeme sind endgültig vor Spam sicher. Die neue Einstellung sorgt dann auch gleich dafür, dass sogenannte Denial-of-Service (DoS) Attacken auf Ihre Mail-Infrastruktur erheblich erschwert werden. Ziel dieser Attacken ist die gänzliche 18

19 Unterbindung von Nutzverkehr durch Überschwemmung von Leitungen und Systemen mit extrem vielen Datenpaketen. Sofern diese Attacken jetzt nicht auf die Infrastruktur von Hornetsecurity sondern unter Umgehung des MX-Records auf Ihre Infrastruktur zielen, werden sie gleich an der Firewall abgewehrt und nicht erst bis zum Mailserver durchgelassen Verarbeitungsschritte Durch die Umstellung des MX-Records werden erwünschte und unerwünschte s an Ihre Domain jetzt an die Gateway-Systeme von Hornetsecurity gesendet. Die Verarbeitung Ihrer s dort geschieht in zwei Schritten: Voranalyse im Gateway (Blocking) und Aktive Analyse mit abschließendem Viruscheck (Abbildung 5). Abbildung 5: Lauf einer durch die Systeme von Hornetsecurity und Analyseschritte Voranalyse im Gateway (Blocking) Innerhalb des Bereichs der Voranalyse ist das primäre Ziel, bekannte Versender von unerwünschten s (Spam) und maliziöse Inhalte bereits vor der abschließenden Nachrichtenübermittlung zu erkennen. Die Erkennung soll möglichst bereits in diesem sehr frühen Stadium erfolgen, um weder unnötige Bandbreite, noch Verarbeitungs-Ressourcen zu verbrauchen. Während des Verbindungsaufbaus durch den versendenden Mailserver werden von den Systemen von Hornetsecurity bereits Informationen über den absendenden Server, wie beispielsweise dessen im Internet eindeutige IP-Adresse, übermittelt und analysiert. Anhand von aufwändig und sorgfältig geführten Datenbanken kann Hornetsecurity bereits mit diesen Informationen eindeutig bekannte Versender von Spam erkennen und an der Übermittlung hindern. Dieses Verfahren ist häufig unter 19

20 dem Begriff IP-Blacklisting bekannt. Durch ähnliche Mechanismen wird die Anzahl an Verbindungsaufbauversuchen durch versendende Server kontrolliert und ggf. begrenzt und dadurch ein Denial of Service oder auch Flooding Schutz gewährt. Fällt die Analyse während des Verbindungsaufbaus nicht negativ aus, beginnt die weitere Untersuchung der Daten. Im Rahmen der Übermittlung der Headerinformationen wird verifiziert, ob es sich um einen Versuch handelt, unerwünschte s zuzustellen oder sogar Computer-Viren, - Würmer und Verweise zu gekaperten und verseuchten Webseiten zu übermitteln. Im Einzelnen werden folgende Erkennungsmechanismen genutzt: Überwachung der Anzahl von Verbindungsaufbauversuchen Blockierung definierter, eindeutig als Spam-Versender bekannter IP-Adressen Überprüfung auf Existenz des Empfängers, z. B. SMTP Pass-Through Check Überprüfung der Header und Subject Informationen Einhaltung von Übermittlungsstandards im -Verkehr Erkennung eindeutiger Spam-Muster Erst wenn alle Stufen der Voranalyse im Hornetsecurity Spam Filter erfolgreich und ohne Erkennung bekannter Spams, Computerviren oder anderen nicht gewünschten oder potentiell schadhaften Inhalten abgeschlossen sind, wird der Empfang der an den Absender positiv quittiert. Wird die während der Voranalyse hingegen als Spam klassifiziert, wird statt einer Quittungsmeldung die Verbindung abgebrochen und eine Fehlermeldung zurückgegeben. Eine Besonderheit ist der SMTP Pass-Through Check. Dieses Feature ist für eine Domain durch den Administrator einstellbar und sorgt dafür, dass vor Annahme einer durch die Gateways von Hornetsecurity beim Zielserver geprüft wird, ob dieser bei einem Zustellversuch die entgegennehmen würde. Dadurch wird frühzeitig ausgeschlossen, dass z. B. s an nicht existente Adressaten oder Adressaten mit voller Mailbox angenommen werden. Im Fall einer Fehlermeldung des Zielservers wird genau diese Fehlermeldung an den absendenden Server weitergegeben und die zurückgewiesen. Bereits in der Voranalyse im Gateway werden statistisch derzeit über 95% der Spam-Zustellversuche erkannt und abgelehnt (Stand Sommer 2011). Dennoch ist die Voranalyse insgesamt bewusst so eingestellt, dass s im Zweifel durchgelassen werden. Höchstes Ziel ist hier die Vermeidung von Falsch-Positiven, also die irrtümliche Spamklassifizierung und somit Zurückweisung von erwünschten Mails. Sofern während der Voranalyse eine fälschlicherweise zurückgewiesen wird, was statistisch extrem selten vorkommt, dient der Inhalt der Fehlermeldung dazu, dass der versendende Mailserver den Versender über die erfolgte Zurückweisung informiert. Der Versender kann daraufhin mit dem Support von Hornetsecurity Kontakt aufnehmen und über die fälschliche Zurückweisung informieren. Die Kontaktaufnahme erfolgt über eine neutrale Website ( Abbildung 6). Der Hornetsecurity Support prüft die Meldung unverzüglich und ergreift die notwendigen Maßnahmen um eine Wiederholung auszuschließen. Der Versender wird über die getroffenen Maßnahmen informiert. 20

21 Abbildung 6: Formular zur Rückmeldung bei fälschlich geblockter Im Hornetsecurity Control Panel haben Administratoren und Benutzer zudem stets den vollständigen Überblick über alle angenommenen und abgewehrten s. Angezeigt und als Suchkriterium genutzt werden u.a. die Absender- und Empfängeradresse, Datum und Uhrzeit, Betreff, IP-Adresse des sendenden Servers sowie die Statusmeldung des empfangenden Mailservers. Da die Message-ID mit angezeigt wird ist letztere auch hilfreich bei der Suche nach einer bestimmten Nachricht im Mailserver. 21

22 4.3.4 Aktive Analyse Sofern eine die Prozesse der Voranalyse durchlaufen hat, wird die korrekte Übermittlung dem absendenden Mailserver bestätigt. Bei einer negativen Voranalyse wird die Annahmebestätigung der verweigert und stattdessen dem absendenden Server eine entsprechende Fehlermeldung übermittelt. Nutzer der Hornetsecurity -Security Lösung können die nun folgenden Prozesse beeinflussen. Durch gezieltes Whitelisting kann der Empfang von s von bestimmten Domains und Empfängern explizit individuell erlaubt werden, ebenso können über Blacklisting s bestimmter Absender als Spam markiert werden. Während der aktiven Analyse erfolgt eine Prüfung der empfangenen unter verschiedenen Gesichtspunkten. Durch die Verwendung von selbst entwickelten, hochspezialisierten Algorithmen erfolgt inhaltsabhängig eine systematische Analyse der -Inhalte. Die Inhalte werden statisch, syntaktisch, semantisch und heuristisch bewertet, ebenso wie Textinhalte werden auch Bildinformationen und Text in Bildern ausgewertet. Hierzu wird nötigenfalls zur Erkennung von Spamtexten, die als Bilder verschickt werden, auch Optical Character Recognition (OCR) in Echtzeit eingesetzt. Externe Inhalte oder Links zu Internetseiten werden mit bekannten Spam-Mustern abgeglichen. Eine Übersicht der Verfahren liefert Abbildung 7. Zusätzlich werden alle s vor der Zustellung an den Empfänger einer abschließenden Prüfung auf Computerviren unterzogen. Bereits bekannte und somit erkannte Viren werden vollständig blockiert und dem Nutzer nicht zugestellt. Neue und bisher nicht bekannte Viren werden vom Frühwarnsystem erkannt, und zwar durch die so genannte Outbreak-Erkennung. Weiterhin werden s auf Phishing-Links und URLs geprüft, die auf Schadcode oder sicherheitsgefährdende Webseiten verweisen. Weitere Informationen zu eingesetzten Methoden zur Virusabwehr finden Sie im Abschnitt 0, 4.4 Virusschutz. Im Einzelnen werden in der zweiten Stufe folgende Erkennungsmechanismen genutzt: Heuristische Filter Bayes-Filter Inhaltsanalyse Optical Character Recognition (OCR) Domain- und Benutzerspezifische Black- und Whitelists Virusprüfung 22

23 Abbildung 7: Übersicht über die von Hornetsecurity genutzten Spam-Erkennungsstufen Der Spamerkennung nachgeschaltet arbeitet der Hornetsecurity Content Filter. In dieser Stufe werden abhängig von einstellbaren Policies s mit unerwünschten Anhängen geblockt oder diese Anhänge entfernt (siehe Abschnitt 0). Erst wenn alle Prüfungsprozesse ohne Beanstandungen durchlaufen wurden, erfolgt eine Zustellung an den Empfänger. Sollte bei einer der Prüfungen festgestellt werden, dass es sich um eine unerwünschte handelt, so wird die protokolliert, in die Quarantäne verschoben und der Empfänger mit Hilfe einer Status- (Frequenz konfigurierbar) darüber informiert (Abbildung 8). Zusätzlich ist der Zugriff auf s in der Quarantäne über das Hornetsecurity Control Panel möglich (Abbildung 9). Durch die hohe Erkennungsrate bereits in der Voranalyse werden in der zweiten Stufe nur noch vergleichsweise wenige Spammails ausgefiltert, was die Quarantäne klein und übersichtlich hält. 23

24 Abbildung 8: Spamreport (Digest) mit einer neu in die Quarantäne eingestellten Spam Durch die inhaltsabhängigen und umfangreichen spezialisierten Algorithmen kann Hornetsecurity für den Spam Filter Service eine Spam-Erkennungsrate von 99,9% vertraglich zusichern, in der Praxis werden durchgängig über 99,99% erreicht. Die vertraglich zugesicherte Falsch-Positiv-Rate liegt unter 0,00015 pro Clean-Mail. 24

25 Abbildung 9: Vollständige Übersicht über den Verkehr im Hornetsecurity Control Panel Behandlung von Infomails Als Infomail bezeichnet Hornetsecurity solche s, deren Empfang vom Benutzer zwar nicht generell als unerwünscht angesehen wird, die jedoch den täglichen Arbeitsfluss stören und den Blick auf wichtigere s verstellen, z. B. vom Benutzer bestellte Newsletter. Da diese Nachrichten kein Spam im eigentlichen Sinne sind, werden sie separat behandelt. Administratoren können den Infomailfilter im Control Panel für ihre gesamte Domain aktivieren. Zusätzlich ist konfigurierbar, ob Benutzer die Behandlung von Infomails abweichend von den Einstellungen für die Domain selber aktivieren oder deaktivieren können. Mit aktiviertem Infomailfilter werden Infomails und Newsletter ausgefiltert und wie Spammails in Quarantäne gestellt. Im Spamreport wie im Control Panel sind diese Mails als Infomail separat gekennzeichnet. Nutzer erhalten so einen Überblick über empfangene Infomails und können sich einzelne Infomails per Mausklick zustellen (Abbildung 10). 25

26 4.3.6 Puffern / Zwischenspeichern von s Abbildung 10: Spamreport mit Infomails Falls der SMTP Pass-Through Check aktiviert ist und der -Server eingehende s temporär nicht annimmt, gibt Hornetsecurity diese Information im eingehenden -Verkehr an den absendenden Mailserver weiter. Im Normalfall wird der absendende Mailserver dann die Pufferung übernehmen. Sollte dies nicht der Fall sein oder die Pufferzeit im sendenden Mailserver zu kurz sein, wird die im Normalfall vom sendenden Mailserver als nicht zustellbar an den Absender gemeldet. Sofern kein SMTP Pass-Through Check aktiviert ist, puffert Hornetsecurity eingehende s im Standard 7 Tage, falls der empfangende -Server nicht erreichbar ist oder die temporär aus sonstigen Gründen nicht abnimmt. Hornetsecurity empfiehlt aus technischen Gründen und zur Verbesserung der Filtereffektivität den SMTP Pass-Through Check nicht ohne Grund zu deaktivieren. Bei längeren Ausfallzeiten eines Mailservers mit aktiviertem SMTP Pass-Through Check empfiehlt Hornetsecurity seinen Kunden allerdings eine Meldung an den Hornetsecurity Support. Dort kann dann SMTP Pass-Through temporär deaktiviert und der Puffer aktiviert werden. 26

27 Inhalte zwischengespeicherter s werden aus den Systemen von Hornetsecurity nach vollständiger Übermittlung wieder gelöscht, sofern der Kunde nicht den Continuity-Service oder den Archive-Service nutzt Erweitertes Routing Viele Unternehmen haben mehr als einen Mailserver im Einsatz. Grund dafür ist nicht nur die Größe eines Unternehmens, auch die Trennung von Daten zwischen verschiedenen Niederlassungen, Unternehmensbereichen oder Abteilungen kann mehr als einen Mailserver sinnvoll machen. Oft gibt es auch historische Gründe: Unternehmen kaufen andere Unternehmen hinzu und erben damit auch die vorhandene Infrastruktur. Das Problem in diesen Fällen: der für das Routing von s wichtige MX-Record einer Domain kann nicht auf mehrere Mailserver gleichzeitig verweisen. Deshalb werden in solchen Installationen oft verschiedene Domains genutzt, jeder Mailserver bekommt so eine eigene Domain und seinen eigenen MX-Record. Als Folge haben auch die Benutzer der verschiedenen Mailserver Adressen aus unterschiedlichen Domains. Eine bessere Lösung ist das adressspezifische Routing. Jeder Adresse wird dazu ein Mailserver fest zugeordnet. Ein Mail-Router übernimmt die Aufgabe, die s entsprechend der Zuordnung an den richtigen Mailserver zuzustellen. Im Spamfilter Service von Hornetsecurity ist ein solches erweitertes Routing im Standard enthalten. Zielserver können je Benutzer, Gruppe oder Domain bestimmt werden ( Abbildung 11). Damit ist sichergestellt, dass jeder Benutzer seine s über den für ihn bestimmten Mailserver beziehen kann. Das sorgt für eine klare Struktur im Mail-Routing: s werden zentral über die Gateways von Hornetsecurity entgegengenommen und von dort auf die jeweiligen Zielserver weitergeleitet. Adressumschreibungen, d. h. die Änderung der Empfänger E- Mail Adresse im Mailheader, ist zusätzlich auf Anfrage möglich. Abbildung 11: Unterschiedliche Zielserver je Benutzer, Gruppe oder Domain - Konfiguration im Hornetsecurity Control Panel 27

28 4.4 Virusschutz Im eingehenden Verkehr werden alle s vor der Zustellung an den Empfänger einer abschließenden Prüfung auf Computerviren unterzogen. Die Prüfung besteht aus einer Reihe von Mechanismen. Im Einzelnen werden folgende Verfahren zur Virenabwehr eingesetzt: Modifizierter ClamAV-Scanner Für bekannte Viren wird der der signaturbasierte ClamAV eingesetzt. Zur Erreichung der von Hornetsecurity geforderten Qualität an Erkennungsleistung, Geschwindigkeit und Vermeidung Falsch-Positiver werden die verfügbaren Viren-Signaturen durch Hornetsecurity modifiziert und ergänzt. Das Update der Signaturen erfolgt im mindestens halbstündigen Rhythmus. Hornetsecurity Virusscanner Der Hornetsecurity Virusscanner nutzt Signaturen, die speziell für Viren, die sich per verbreiten, entwickelt und optimiert werden. Durch Signaturupdates im 60 Sekunden-Takt ist eine sehr schnelle, sehr viel flexiblere und umfassendere Erkennung möglich als mit einem generischen Scanner wie ClamAV. Hornetsecurity Phishingfilter Im Phishing-Filter erfolgt die Analyse von Verweisen (Links/URLs) in s um nachzuladenden Schadcode zu erkennen. Dazu werden u.a. nachladbare schädliche Sciptbefehle erkannt. Dies ermöglicht die Erkennung von Phishing s und schädlichen Drive-By Downloads. Hornetsecurity Outbreak Engine Hornetsecurity analysiert permanent auf sog. Honeypot-Accounts ( Adressen die nur einen Zweck haben: Spam zu empfangen) eingehenden Mails auf ungewöhnliche Anhänge, Links, Absender oder Inhalte. Die Ableitung von Signaturen daraus erfolgt innerhalb kürzester Reaktionszeit (typisch < 5 Minuten) G DATA Signaturaustauschdaten Hornetsecurity arbeitet mit dem Technologiepartner G DATA zusammen, um frühzeitig neue Viren und Phishing-Varianten zu erkennen und erfolgreich auszufiltern. Dazu werden laufend Daten mit potentiellem Schadcode ausgetauscht, analysiert und die Ergebnisse der Analyse zur Erkennung folgender Übermittlungen des Schadcodes eingesetzt. Archive (z. B. ZIP) werden bis in die achte Ebene nach Viren untersucht, d. h. Viren werden auch in Archiven gefunden, die wiederum in Archiven abgelegt sind. Archive mit mehr als acht Ebenen werden als virusbehaftete behandelt. Ausnahme: Durch Kennwort geschützte (verschlüsselte) Archive werden nicht nach Viren untersucht. 28

29 Alle s, die durch einen der o.g. Mechanismen als schädlich erkannt wurden, werden als Virus- Mails in der Quarantäne gesondert gekennzeichnet und behandelt (Abbildung 12). Eine nachträgliche Zustellung von als Virus klassifizierten s ist nur durch einen Administrator, nicht aber durch Benutzer möglich. Ob Benutzer über Virus-Mails in der Quarantäne informiert werden, ist im Control Panel konfigurierbar. Abbildung 12: Als Virusträger eingestufte s im Control Panel Hornetsecurity sichert für seine Virenerkennung im -Verkehr eine Erkennungsrate von 99,99% bezogen auf die Gesamtzahl eingehender Übermittlungsversuche zu. 4.5 Outbound Security Im Hornetsecurity Spam Filter Service ist der Hornetsecurity Relay Service enthalten. Der Relay Service dient zunächst der Sicherheit im ausgehenden -Verkehr. Um den Relay Service zu nutzen wird das Hornetsecurity Mail Relay im Mailserver des Kunden als Smarthost bzw. Relay eingetragen. Ausgehende s werden dann vom Mailserver des Kunden an das Hornetsecurity Mail Relay geschickt, dort geprüft und an die Zieladresse im Internet weitergeleitet. Im Relay werden dabei folgende Prüfungen durchgeführt: Prüfung auf bekannte Viren Prüfung auf die Einhaltung der Policies bezüglich Anhängen (Content Filter) Basisprüfung auf Spamversand Prüfung auf ungewöhnlichen Verkehr (aktive Bots im Kundennetz) Auch im ausgehenden Mailverkehr ist es sinnvoll, die Firewall so zu schließen, dass Mails aus dem internen Netz (SMTP-Port) nur an die Relays von Hornetsecurity geschickt werden können. Einem eventuell im internen Netz aktiven Bot wird dadurch der Versand von Spam nach außen erheblich erschwert. 29

30 Durch den Versand von ausgehenden s über die Hornetsecurity Relays wird zudem eine weitere Funktion aktiviert, nämlich das Hornetsecurity Bounce-Management. Als Bounc werden automatisch von Mailservern erzeugte Nachrichten bezeichnet, die z. B. über die Abwesenheit von Benutzern oder Verzögerungen bei der Zustellung von s informieren. Echte Bounces sind erwünscht, das Problem sind Bounces, die einen Benutzer auf Grund gefälschter Absenderadressen erreichen. Spammer bedienen sich häufig gefälschter Absenderadressen um ihre Botschaften zu versenden. Richten sich Spams dann z. B. an nicht existente Mailadressen, werden dadurch oftmals Bounce- Mails erzeugt, die an die Adresse des vermeintlichen Absenders geschickt werden (Abbildung 13). Dadurch erzeugte Bounce-Attacken können im Extremfall sogar erhebliche negative Auswirkungen für die Mailsysteme des vollkommen unschuldigen vermeintlichen Absenders haben. Abbildung 13: Beispiel für Bounce (Backscatter) Spam die Spamnachricht ist im Anhang der Bounc enthalten. 30