IronPort Email Security Appliances

Da ich an der Uni in letzter Zeit wieder mehr damit zu tun hatte, möchte ich hier einen kurzen Überblick über die IronPort Email Security Appliances abgeben.

Prinzipiell entsprechen die IronPorts ja in mehreren Punkten dem, was ich normalerweise auf keinen Fall mag: Blackboxes, die minimale Konfigurationsmöglichkeiten bieten und fast ausschliesslich mit Daten einer zentralen Stelle arbeiten. Anders als viele andere Produkte dieser Art haben die IronPorts aber einen gravierenden Vorteil: Sie funktionieren einfach verdammt gut.

Was ist überhaupt eine IronPort? Da heute immer mehr Bedrohungen und Müll per Email verschickt werden, wird es immer wichtiger, brauchbare Filtermethoden zu finden, um ihrer Herr zu werden. Da dieses Filtern immer mehr Ressourcen benötigt und den Umgang mit Schadsoftware beinhält, ist es auf jeden Fall sinnvoll, dieses Filtern nicht vom Mailserver durchführen zu lassen. Deshalb hat es sich schon lange durchgesetzt, dass eingehende Emails nicht direkt an den Mailserver einer Organisation, sondern erst an sogenannten Email Security Appliances übergeben werden. Diese prüfen eingehende Mails auf Herz und Nieren und reichen die, die nicht ausgesiebt wurden, weiter an den eigentlichen Mailserver, wo sie dann von den Empfängern abgeholt werden.

Ich habe selbst schon solche Appliances gebaut und betreibe sie immer noch für meinen eigenen, privaten Mailserver, daher habe ich mich bereits mit den Anforderungen an solche Systeme auseinandergesetzt. Hauptsächlich gilt es, zwei Bedrohungen von den Empfängern fernzuhalten: Spammails und Viren. Welche Methoden es zum Filtern gibt, beschreibe ich in anderen Artikeln in diesem Blog - heute geht es um die IronPorts.

Anders als viele andere Security Appliances, suchen die IronPorts nicht in erster Linie den Inhalt der Emails nach verdächtigen Daten durch, sondern sie führen eine "Reputationsliste", auf der versendende Mailserver aufgelistet werden. Der Administrator der IronPorts legt einfach fest, welche Aktionen mit Mails von Absendern (gemeint ist der versendende Server, nicht der User) bestimmter Reputation durchgeführt werden sollen. Normalerweise spaltet sich das einfach in "Annehmen" und "Ablehnen". Abgelehnte Mails werden schon beim Versuch des Verbindungsaufbaus abgewiesen. Die IronPorts brauchen also die Mails nicht erst entgegenzunehmen, zu untersuchen und dann zu bewerten, sondern nehmen nur von Mailservern an, die eine gewisse Reputation geniessen. Hört sich fast beängstigend an, nur auf so eine Liste zu setzen - aber es wirkt. Die Reputationsliste ist ausgesprochen effektiv. Virenverseuchte PCs, die als Spamschleuder herhalten müssen, werden so auf jeden Fall effektiv geblockt.

Erst wenn Mails diese erste Hürde genommen haben, wird ihr Inhalt nach üblichen Regeln auf Spam und Viren untersucht. Dabei bieten die IronPorts sehr komfortable Wege, Mails mit unsicherem Inhalt eine Quarantäne zu legen, wo die Empfänger selbst entscheiden können, ob sie sie zugestellt bekommen wollen oder nicht. Einmal pro Tag erhält jeder User, für den Mails in einer Quarantäne gelandet sind ein Infomail mit dem Absender und Betreff des verdächtigen Mails und er kann über Links in diesem Infomail anklicken, was weiter damit geschehen soll. Die Appliances bieten dabei sogar die Möglichkeit, dass sie sich merken, von welchen Absendern ein User Mails angenommen hat, um zukünftige verdächtige Mails dieses Absenders gleich anzunehmen. Whitelisting also.

Ein weiteres, sehr vielversprechendes Feature ist der "Virus Outbreak Filter". Ebenso wie die Reputationsliste wird eine Liste über Virus Outbreaks von IronPorts geführt, die unter anderem von den Daten aller im Einsatz befindlichen IronPorts weltweit gefüttert wird. Schaltet ein Admin dieses Feature nicht ab, senden die Appliances also Daten über erhaltene Mails an IronPort, wo diese beiden Listen erstellt werden. Empfangen nun genug IronPorts verdächtige Daten, die noch nicht von AntiVirus Herstellern behandelt werden, landen alle Mails, die dem Muster dieser Daten entsprechen, in einer eigenen Quarantäne. Sobald die AntiVirus Hersteller Signaturen nachlegen, die diese Bedrohung behandeln können, geben die IronPorts die Mails frei und lassen sie von den Virus Filtern durchsuchen. Erscheint innerhalb eines bestimmten Zeitraumes (normalerweise) ein Tag, kein Update für die Antivirussignaturen, werden die Mails trotzdem freigegeben. Somit ist dieser Filter qausi ein weiterer, heuristischer, Antivirusscanner, der aber keine Mails verwirft, sondern sie nur zurückhält, bis ein "richtiger" Antivirus Scanner damit umgehen kann.

Die IronPorts bieten noch mehr Möglichkeiten, aber im Wesentlichen waren das ihre grossen Vorzüge gegenüber anderen Produkten. Wir haben eine Domain, die nur Spam empfängt auf die IronPorts verweisen lassen und über 97% aller eingehenden Mails wurden alleine schon durch die Reputationsliste aufgehalten. Durchgekommen sind von den täglich ca. 140.000Mails etwas 2 Spammails pro Monat. Aber alle Testmails, die wir verschickt haben. (Diese Zahlen schreibe ich aus dem Gedächtnis - mich bitte nicht darauf festnageln). Auf jeden Fall ist das für mich mehr als nur eindrucksvoll.