© photocase.com

Der kalifornische Hersteller Ironport lässt mit der Mailsecurity-Appliances C10 ein überaus ansehnliches Gerät sowohl auf Firmen als auch auf Internet Service Provider los. Das Gerät blockt Spam, scannt auf Viren und setzt die Unternehmens-Policy durch.

Die Anwender dedizierter Mailserver lassen sich in zwei recht gegensätzliche Gruppen unterteilen: (Internet) Service Provider und Firmen. ISPs müssen sehr viele E-Mails mit möglichst wenig Hardware verarbeiten. In Firmen ist der Durchsatz meist sekundär, die dortigen Admins wollen hauptsächlich eine Unternehmens-Policy umsetzen.

Typische Policies regeln den Gebrauch des Mediums E-Mail und unterbinden zum Beispiel das Versenden und Empfangen von MP3s und anderer Plattenplatz fressender Multimedia Anwendungen oder von verschlüsselten Mails, bei denen der Virenscan ins Leere liefe. Dabei ist es guter Stil, die internen Benutzer per Mail zu benachrichtigen, wenn eine Mail im Quarantäne-Ordner gelandet ist – ein Service, den nicht jeder Mailserver von der Stange zu bieten vermag.

Firmen wie ISPs eint der Kampf gegen semantische Attacken (Phishing), Mail-Attachments mit Schädlingen und Spam. Der folgende Test hat die Mailserver-Appliance Ironport C10 zum Gegenstand, der laut Hersteller die Synthese zwischen E-Mail-Security und Durchsatz-starkem Umschlagsplatz für E-Mails gelingen soll. Sie ist das kleinste Mitglied einer Appliances-Familie, betrieben mit FreeBSD.

Schickes Teil

Nach dem Auspacken der Ironport C10 fällt auf, dass man ein edles Teil erworben hat: Stahl und glänzende Nieten erfreuen das Auge. Das sauber verarbeitete Chassis verbirgt nach Auskunft des Herstellers Hardware von Dell. Alle Serviceverträge wickelt der Hersteller aber selbst ab – der Kunde hat bei Schäden und Systemausfällen lediglich einen Ansprechpartner, egal ob für die Software oder die Hardware.

Es liegt eine Mappe mit der Dokumentation auf CD bei. Sie ist so geschrieben, dass auch Leute, die vielleicht alle fünf Jahre einen neuen Mailserver aufsetzen, damit zurechtkommen. Beachtlich ist vielleicht, dass der Qickstart Guide auch beschreibt, dass es in einem Rechenzentrum Zonen warmer und kalter Luft gibt und man daher die Appliance so positionieren sollte, dass sie kalte Luft ansaugt und dann nach hinten in die Warmluftzone ausstößt.

Die getestete C10 ist eine 1U-Rack-mountable-Appliance mit einer 40-GByte-Raid-1-Festplattenkonfiguration, davon entfallen 2,5 GByte auf die Mailqueues und Quarantäneordner. Der Hersteller sieht seine C10 als Gesamtlösung und macht keine Angaben zur eingesetzten CPU. Das unterliegende Betriebssystem heißt Async OS und ist ein modifiziertes und auf die Anzahl gleichzeitig möglicher TCP-Verbindungen optimiertes FreeBSD. Die BSD-Lizenz erlaubt, dass der Hersteller keine Quellen veröffentlicht.

Der Ansatz, BSD-Derivate für Security-Appliances zu verwenden, ist nicht neu. Eine der ersten war die Nokia IP Platform, eine Checkpoint-Firewall-1-Appliance. Das System war noch relativ offen und der Kunde konnte in Grenzen auch eigene Software installieren. Seither schränken die Hersteller die Kommandozeile zunehmend ein. Im Ironport Async OS ist nur noch ein proprietärer, aber recht umfangreicher Befehlssatz zugänglich – mit reinen BSD-Kenntnissen kommt man hier nicht sehr weit.

Installation und Grundkonfiguration

Die Ironport C10 ist über ein Browser-GUI, über SSH oder eine serielle Verbindung administrierbar. Dank des beiliegenden seriellen Kabels reicht ein alter Konfigurationslaptop. Die Tester entschieden sich für die Browser-basierte Variante per HTTPS, gelegentlich kombiniert mit der Kommandozeile, um Befehle wie »nslookup«, »ping« oder »telnet« zu nutzen, die das GUI nicht hergibt.

Das GUI war mit allen getesteten Browsern kompatibel und zeigte die Performance einer echten Applikation. Gut gefiel auch der »Help«-Button, der stets einen treffenden, kontextbezogenen Hilfetext (in einem Popup-Fenster) liefert. Das manuelle Durchstöbern des 400 Seiten starken HTML-Manuals mit der »Search«-Funktion war nie nötig.

Um ein- und ausgehende Mail sauber unterscheidbar zu machen, empfiehlt der Hersteller zwei getrennte Listener auf TCP-Port 25 und jeden Listener auf eine eigene Netzwerkkarte zu packen. Die flexible Appliance erlaubt aber auch, beide Listener auf derselben Netzwerkkarte, aber unterschiedlichen TCP-Port-Nummern zu betreiben sowie zusätzliche Listener für Spezialfälle zu konfigurieren – je nachdem, was sich am besten in die eigene Umgebung integriert.

Zusätzlich benutzten die Tester bei der Grundkonfiguration auf der Kommandozeile den Aliasconfig-Befehl zum Erzeugen der ersten E-Mail-Aliases (ähnlich der Sendmail-»alias.db«) und den Masquerade-Befehl, um die internen Header aus den ausgehenden Mails zu filtern (analog zu »MASQUERADE_AS« in der »sendmail.cf«-Datei). Danach war das Gerät für Empfang und Versand bereit. Anschließend ging es per Browser-GUI ans Definieren von Policies und an das Einstellen der Filter.

Virenfilter

Viren bekämpft die Appliance präventiv über den Outbreak-Filter (siehe Abschnitt “Neue Technologien”) und/oder reaktiv mit dem Antivirenscanner Sophos. Mit Sophos [1] hat Ironport sicherlich eine gute Wahl getroffen. Der Administrator sollte aber nicht übersehen, dass der Schutz vor Mailviren aus zwei Dingen besteht: dem AV-Scanner und der zu implementierenden Policy. So schützt das Blockieren ausführbarer Formate vor einem großen Teil aller Viren sogar ohne Pattern (siehe Abbildung 1 und Kasten “Tipps für die eigene Policy”).

Abbildung 1: Die Ironport C10 steuert die Antiviren-Policy feingliedrig. Die Voreinstellungen für verschlüsselte und nicht scannbare E-Mails sind nicht besonders streng.

Um auch anspruchsvolle Unternehmens-Policies einfach zu pflegen, muss ein Virenscanner-Frontend drei Abläufe aus dem Effeff beherrschen:

• Eingehende (inbound) und ausgehen- de (outbound) E-Mail
  unterscheiden: Das Ironport-System tut das entweder durch logische
  Zuordnung der Sender- und Empfängeradressen (analog zur
  »access.db« und den Relaydomains in Sendmail) oder
  durch separate Listener für ein- und ausgehende Mail (siehe
  Abbildungen 2 und 3).
• Benutzerdefinierte Regeln auf In- und Outbound anwenden:
  Mailverkehr-Policies arbeitet die C10 sequenziell ab, das First
  Match gewinnt. Zusätzlich lassen sich Ausnahmen und
  Schachtelungen definieren.
• Interne Mitarbeiter und Administratoren benachrichtigen, wenn
  (und warum) der Scanner E-Mails blockt: Die getestete Appliance
  lässt sich in dieser Hinsicht einfach konfigurieren. Lediglich
  beim Einsatz der so genannten Tokens ist die Doku lückenhaft.
  Das sind Variablen in den Benachrichtigungsmails wie
  »%SENDER%« und »%DETECTED%«, die die
  meisten Virenscanner-Frontends kennen, obwohl es hierzu keine RFCs
  gibt.

Abbildung 2: Die Ironport-Appliance legt über Adresstabellen fest, was herein und heraus darf. Hier die Recipient Address Table (RAT), die bestimmt, für welche Domains die Appliance E-Mails annimmt.

Abbildung 3: Analog zur Sendmail-»access.db« verwaltet die Ironport C10 eine externe Host Access Table, die (anhand der Sender-Domain oder der Quell-IP-Adresse identifizierte) Sender mit unterschiedlichen Policies verknüpft.

Spamfilter

Die Spambekämpfung mit der Ironport-Appliance umfasst drei Teile, die der Admin auf der Appliance mit Feature Keys aktiviert: Symantec Brightmail Antispam, Senderbase-Reputation-Listen und einen proprietären Service von Ironport selbst. Die Wahl wird wohl meist auf den Erwerb eines Feature Key für Symantec Brightmail [2] fallen. Brightmail bedient sich offenbar der Spamassassin-Techniken [3] – wer die separat bei Symantec erhältliche Linux-Version auseinander nimmt, stößt auf das Archiv »etc/Mail-SpamAssassin-2.60.tar.gz«. Wie das mit der GPL von Spamassassin vereinbart ist, bleibt unklar.

Symantec Brightmail arbeitet verblüffend wirksam: Es schaltet schnell und ohne Konfiguration Spam komplett ab! Nur im chinesischen Zeichensatz abgefasster Mailmüll kommt teilweise durch. Symantec erreicht das mit einer Ködertechnik (Decoy-Accounts). Die Amerikaner verstreuen dazu eigene Mailadressen auf Webseiten und in Newsgroups. Die Suchmaschinen der Spider gehen diesen Adressen ins Netz. Jede auf den Köder-Accounts eingehende E-Mail muss Spam sein. Symantec wertet ihn aus und produziert daraus Pattern, die Brightmail alle zehn Minuten zugespielt bekommt.

Neue Technologien

Neben den bekannten Produkten Sophos und Symantec Brightmail implementiert Ironport in das Gerät auch die hausgemachten Mechanismen E-Mail-Reputation (guter Ruf, Leumund, [4]), Service Senderbase [2], den Ironport-Virus-Outbreak-Filter und den Ironport-Spamfilter. Die Eigenentwicklungen greifen auf die Senderbase-Datenbank zu. Sie überwacht den durchlaufenden E-Mail-Verkehr und gewinnt daraus Daten, die von der Quell-IP-Adresse auf die dahinter stehenden Identität schließen. Daraus entstehen Black- und Whitelists.

Übers Bonded-Sender-Programm ([5], Grundlage ist auch die Ironport Senderbase) dürfen sich Sender explizit in die Whitelist eintragen, sie verpflichten sich zugleich vertraglich zu Geldstrafen, falls sie oder ihre Kunden gegen die unterzeichnete Antispam-Policy verstoßen – ein nicht sehr transparenter und proprietärer, aber interessanter Ansatz.

Abseits von Antispam und -viren fällt auf, dass die Ironport-Appliance auch Domainkeys zusammen mit den zugehörigen DNS-Records erzeugen kann und sogar ausgehende E-Mails senderbezogen signiert. Sie diskriminiert dabei aufgrund der Senderadresse und kann Domains, Subdomains und auch Benutzer(-gruppen) unterscheiden. Das Signieren soll vor dem Diebstahl der eigenen Mailsender-Adressen (Identity Theft) schützen, da es das Spoofing legitimiert ausgehender E-Mails verhindert.

Messung des Mail-Durchsatzes

Für ISPs ist die Durchsatzleistung ihres Mailservers essenziell. Die Kenngröße ist auch Firmen mit hohem Mailaufkommen wichtig. Ironport gibt für die C10 einen Durchsatz von 90000 Mails (je 15 KByte) pro Stunde bei reinem Forwarding an. Die Tester haben unter Laborbedingungen (siehe Kasten “So haben wir getestet”) gemessen. Im reinen Forwarding waren es bis zu 180000 Mails pro Stunde, im Queueing etwa 144000. Tabelle 1 zeigt Postals Messwerte. Das Ironport-GUI lieferte parallel übereinstimmende Werte (Abbildung 4). Beim Zuschalten weiterer Policies sowie der Antispam- und Antivirenscanner, sank der Durchsatz nur geringfügig.

Abbildung 4: Die Ironport C10 im Stresstest mit Postal. Zuerst die Werte im Queueing (zirka 2400 Mails/min), gegen Ende folgen die Werte für reines Forwarding (zirka 3400 Mails/min).

Ein Mailserver in einem mittelgroßen Unternehmen hat selten mehr als fünf Verbindungen zeitgleich offen. Anders ist das beim Einsatz als Mailrelay bei großen ISPs, wo ständig zu sehr vielen Kundenrechnern und anderen Mailservern Verbindungen offen sind. Die Ironport-Appliance schaffte es im Test, 4300 Verbindungen zugleich offen zu halten – ein guter Wert. Postal war so eingestellt, dass es nur E-Mail-Header schickte.

Prädikat: Empfehlenswert

Die Ironport-C10-Appliance hat das bisher für unmöglich gehaltene Kunststück geschafft und die zunächst skeptischen Tester begeistert. Das lag natürlich nicht nur an der sauberen Verarbeitung hochwertiger Materialen bei der Hardware, sondern auch an dem überzeugenden Maildurchsatz und vor allem an den stimmigen Konzepten der Software.

Der Käufer kann passend zu seinen Anforderungen (und zu seinem Geldbeutel) Filterkomponenten gegen Spam und Viren aktivieren. Die Administrationsmöglichkeiten erwiesen sich im Test als ausreichend und verständlich, die Dokumentation ebenfalls. Das macht die Ironport C10 zu einer echten Empfehlung.

Bleibt nur zu hoffen, dass der Wettbewerb der Hersteller untereinander Ironport auf Dauer keinen Strich durch die Rechnung macht. So hat Sophos [1] mit Puremessage ebenso eine hauseigene Appliance auf dem Markt wie Symantec Geräte mit dem Symantec-Virenscanner und Brightmail Antispam [2]. Der (margenstarke) Markt für Geräte, die der betrieblichen E-Mail-Sicherheit dienen, verdient noch eine Weile ein ausgereiftes Gerät wie die Ironport C10. (jk)