© photocase.com

Sie laufen auf Red Hats Enterprise-Linux, kosten Geld und jonglieren mit E-Mails: Drei kommerzielle Mailserver wollen mit inneren Werten überzeugen. Wie gut ihnen das gelingt, zeigt dieser Test.

Die Aufgabe scheint simpel zu sein: Jeder Mailserver empfängt und versendet E-Mail. Passende Software gibt es seit den Anfängen des Internet, zu den längst etablierten Größen gehören Sendmail, Postfix, Q-Mail, Microsoft Exchange und Lotus Notes. Dennoch verlassen derzeit etliche neue Linux-basierte Produkte die Entwicklerlabors. Sie wollen vieles schneller und besser lösen als die rüstigen Senioren am Markt.

Das Testfeld umfasst die kommerziellen Mailserver von Axigen [1], Kerio [4] und Merak [7]. Alle Kandidaten sind Neuentwicklungen, die nicht auf einem Open-Source-Mailserver basieren. Für den Test liefen sie unter Red Hat Enterprise Linux 4.

Die zentralen Testkriterien bilden Administration, Look&Feel, Webmail-Funktion, die Eignung als Groupware-Server sowie die Performance der Applikation auf einer leistungsstarken Hardware (siehe Kasten “Test-Hardware”).

Testumgebung

Als Testsystem diente ein Dell Poweredge 1850/1950 unter Red Hat Enterprise Linux 4. Über einen Gigabit-Switch war der Server mit dem Test-Client verbunden, einem Apple G4 Powerbook mit Mac OS X 10.4.6. Benchmark-Software war Postal [15]. Der Server verfügt über zwei Dual-Core-CPUs Intel Xeon 5080 mit 3,73 GHz (Nummer 1 in Abbildung 6), 4 GByte RAM (2), einen SCSI-Raidcontroller (3) und zwei identische Festplatten mit 10000 U/min. Auf den ersten Blick fällt positiv auf, dass alle Hardwarekomponenten einfach zugänglich und teils bequem herausnehmbar ausgeführt sind. Bügel arretieren die Bauteile fest auf der Platine (4). Selbst bei Vibrationen lockert sich keine Komponente. Abbildung 6: Auf diesem Dell Poweredge mussten sich die drei Mailserver beweisen. Die Komponenten: 1 CPU, 2 RAM, 3 SCSI-Raidcontroller, 4 Arretierbügel, 5 PCI-Express-Steckplätze, 6 Steckkontakte, 7 Battery-Pack des SCSI-Raidcontrollers. Optimiert auf typische Mailserver-Last Die Serverplatine ist gut für CPU- und I/O-hungrige Applikationen wie Mailserver optimiert. Die beiden Dual-Core-CPUs befinden sich nahe beim RAM und sind gut an den SCSI-Raidcontroller angebunden. Bei einem für Grafik ausgelegten Mehrzwecksystem wäre dies anders gelöst. Eventuell wäre der Mail-Durchsatz bei Festplatten mit 15000 U/min noch um ein paar Prozent zu steigern. Leider hat Dell die Backup-Batterie des SCSI-Raidcontrollers recht lieblos platziert (7) und mit zwei dünnen Leitungen angeschlossen, statt sie direkt auf dem Controller zu integrieren. Das mitgelieferte RAM ist auf dem Stand der Technik: Es handelt sich um registrierte DDR-SDRAM-Module (Abbildung 7), die sehr schnell arbeiten und eine hohe Datensicherheit gewähren. Die RAM-Chips sind im BGA-Verfahren ausgeführt (Ball Grid Array). Dabei ersetzen auflötbaren Kügelchen an Kontaktflächen auf der Chip-Unterseite die bisherigen Pins. Im Vergleich zu herkömmlichen Modulen lässt sich dieses moderne RAM schneller takten. Abbildung 7: Oben: Das im Dell-Server verbaute DDR-SDRAM-Modul (Double Data Rate), PC2 mit 333 MHz und 2 GByte. Die hohe Taktfrequenz und die Nutzung beider Taktflanken führen zu schnellen Zugriffszeiten. Entscheidend für Serversysteme ist, dass das Modul mit einem ECC-RAM ausgestattet ist (Error Correction Code). Es erkennt Fehler, die gelegentlich bei der Datenübertragung entstehen. Dagegen ist das unten abgebildete 400-MHz-RAM wegen fehlender ECC-Funktionalität nur für Desktop-PCs zu empfehlen. Negativ fiel die ungewöhnliche PCI-Express-Anbindung (PCI-E, Nummer 5 in Abbildung 6) für PCI-Karten auf, die Dell standardmäßig mit diesem Modell ausliefert. Diese Anbindung schränkt die Auswahl der Erweiterungskarten (zum Beispiel Multiport-Netzwerkkarten) stark ein. Gegen einen Aufpreis von 20 Euro liefert Dell den Server mit PCI-X-Slots, für die es derzeit noch deutlich mehr geeignete Karten gibt. Verzeihliche Schönheitsfehler Die Tester stießen auf weitere Schönheitsfehler. Als ersten die Energieversorgung der Ventilatoren: Sie sind per Steckkontakt (6) mit der Platine verbunden. Andere Hersteller integrieren die Energieversorgung der FANs in deren Arretierung. Damit klappt der Tausch eines Ventilators einfacher und schneller. Außerdem hat Dell es verpasst, die Innenseite des Gehäusedeckels für weitere Erläuterungen zur Platine und zum Handling zu nutzen. Insgesamt ist der Dell Poweredge 1950 aber ein schönes Gerät, das sich für Serveranwendungen wie die hier getesteten Mailer bestens eignet. Bei der aktuellen Marktsituation sollte der Kunde aber daran denken, die zusätzlichen 20 Euro für eine PCI-X-Ausrüstung zu investieren. (Norbert Landowski)

Axigen Mailserver

Als einziges Produkt im Test stellt sich der Axigen Mailserver nicht als Alternative zu Microsoft Exchange oder Lotus Notes dar. Er konkurriert eher mit der kommerziellen Version von Sendmail [9]. Axigen hat das Browser-basierte Admin-GUI übersichtlich und klar strukturiert. So macht die Admin-Arbeit richtig Spaß. Nach kurzer Einarbeitung liegt alles Notwendige in Reichweite (Abbildung 1). Die Administration erinnert an den vor kurzem im Linux-Magazin getesteten Ironport Mailserver [11].

Abbildung 1: Die übersichtliche Axigen-Weboberfläche für Administratoren. Hier sind die Auswahl der Serverdienste sowie weitere Basis-Einstellungen zu sehen.

Zur Grundkonfiguration des Axigen gehört die Definition der Listener (Kombination aus IP-Adresse und TCP-Portnummer), auf welchen Services (SMTP, POP3, IMAP) oder das Webmail-Interface lauschen. Diese Ordnung führt besonders in Multi-Domain-Umgebungen zu klaren Strukturen, weil sie die einzelnen Dienste übersichtlich trennt.

Axigen unterstützt klassische Webmail-Funktionen inklusive einer einfachen Ordnerstruktur. Praktisch für den Admin: Viele tägliche Aufgaben erledigen die User selbst, sie modifizieren die Ansichten und ihre Benutzerdaten bis hin zum Passwort ohne fremde Hilfe. Im Stresstest kam das Webmail-GUI problemlos mit mehreren tausend E-Mails in der User-Inbox zurecht.

Webmail mit Grenzen

Schmerzlich vermissen lässt das Programm eine Suche nach Begriffen in der Betreffzeile oder im E-Mail-Body sowie eine Multidrop-Funktion (Catch all). Letztere speichert E-Mail, die für nicht existierende Empfänger ankommt, in einer Sammel-Inbox. Auch bessere Funktionen zur Viren- und Spam-Bekämpfung sind zu wünschen. Laut Support sollen die meisten dieser Features in der kommenden Version 2.0 enthalten sein.

Generell gestaltet sich Filtern bei Axigen recht schwierig. Wer Mail als Spam oder Viren oder nach eigenen Kriterien automatisch verarbeiten will, muss sich in den Sieve-Standard einarbeiten (RFC 3028 und 3685, [3]). Der Axigen-Server verarbeitet benutzerdefinierte Sieve-Skripte ([2] und Abbildung 2), die Mails anhand der Header filtern und sortieren. Das Beispiel-Sieve in Listing 1 leitet alle von Spamassassin markierten E-Mails, deren Score größer als 7 ausfällt, in einen Junkmail-Ordner der User-Inbox. Es ist via Sieve auch möglich, Header-Regeln für Mails zu erstellen.

Abbildung 2: Um Mails zu filtern, muss der Axigen-Anwender eigene Sieve-Skripte schreiben und auf dem Server ablegen. Andere Webmailer lösen diesen Aufgabe wesentlich benutzerfreundlicher.

01 require ["fileinto", "comparator-i;ascii-numeric"];
02 if header :value "gt" :comparator "i;ascii-numeric" "X-SPAM-SCORE" "7" {
03   fileinto "inbox.junk";
04 }

Eigene Skriptsprache

Zur Kommunikation mit Viren- und Spamfiltern nutzt Axigen die hauseigene Skriptsprache AFSL (Axigen Filters Scripting Language). AFSL-Skripte legen fest, welche Applikation sich eine ankommende E-Mail als Nächstes vornimmt und gegebenenfalls als Spam oder Virenträger kennzeichnet. Anschließend werten Sieve-Skripte diese Marken aus. Für den freien Virenscanner Clam-AV liefert Axigen passende Skripte mit. Wer einen anderen Scanner verwenden will, schreibt das passende Skript selbst oder wendet sich an das Supportteam. Dies erwies sich im Test als professionell und kooperativ.

Axigen hat auch das Sender Policy Framework in seinen Mailserver implementiert (siehe Kasten “SPF und Caller-ID”). Aktivieren lässt sich dieser Mechanismus per Web-GUI.

Kerio Mailserver

Gleich bei der Installation brillierte der Kerio Mailserver: Als Einziger im Testfeld erkannte er, dass auf Red Hat Enterprise Linux 4 ein Sendmail-Daemon vorinstalliert ist und Port 25 belegt. Auch später überzeugte er, unter anderem mit der guten Integration von Viren- und Spamschutz-Funktionalität (Abbildung 3). Er darf sich mit seinem Outlook-Connector und der Weboberfläche für Groupware-Funktionen als ernst zu nehmende Alternative zum Microsoft Exchange Server 2003 bezeichnen.

Abbildung 3: Kerio integriert Viren- und Spamschutz sehr gut in seinen Mailserver und in die Administrationssoftware. Die Oberfläche erklärt die einzelnen Einstellmöglichkeiten gut.

Kerio liefert für Administration und Monitoring eigene Client-Software mit, die ganz wie der Mailserver selbst auf diversen Betriebssystemen läuft. Der Client organisiert die Verwaltungsfunktionalitäten nach Microsoft-Vorbild. Es entsteht der Eindruck, dass Kerio die Verwaltungsoberfläche des Exchange Server auf einem Linux-Produkt abzubilden versucht. Für die Zielgruppe ist das sogar sinnvoll: Kerio will die Kunden vom Microsoft-Produkt weglocken und sie nicht mit einer ungewohnten Arbeitsumgebung abschrecken.

Auch die benutzerübergreifende Termin- und Adressbuchverwaltung ist dem Microsoft-Vorbild täuschend ähnlich. Die Terminvereinbarung und Aufgabenkoordination von Gruppenprojekten funktioniert problemlos sowohl über das Webmail-Interface (Abbildung 4) wie auch mit Outlook, Entourage und anderen Clients [5].

Abbildung 4: Der Kerio Mailserver konkurriert mit Microsofts Exchange Server. Dazu gehört eine gut funktionierende Gruppenterminverwaltung, auch per Webinterface.

Für die Integration in vorhandene Directory-Service-Infrastrukturen stellt Kerio eigene Active Directory Extensions (für Microsofts AD) sowie Open Directory Extensions (für das Apple-Pendant) zur Verfügung. In einer Microsoft-Umgebung installiert der Admin diese Extension auf einem AD-Katalogserver, um in der Active-Directory-Verwaltungskonsole »Users and Computers« die Menü-Option »Kerio Mailserver Account« einzubinden (Abbildung 5). Damit sind Mailbox-relevante Benutzerinformationen zentral im Active Directory zu pflegen.

Abbildung 5: Die Integration in Active Directory hat Kerio gut gelöst. Es gibt ein zusätzliches Tab bei jedem User, in dem der Admin die E-Mail konfiguriert.

Viren- und Spamschutz

Der Kerio Mailserver enthält eine lizenzierte Version der McAfee Antivirus Engine. Im Test hat das Programm andere Virenscanner (etwa Sophos AV) automatisch erkannt und im Auswahlmenü angeboten. Es ist auch möglich, mit zwei Antivirus-Produkten zu scannen. Bei neuen Viren ist dies interessant, weil sich die Zeitspanne vom Bekanntwerden bis zum Pattern-Update bei den Herstellern oft deutlich unterscheidet.

Im Gegensatz zu reinen Sicherheitsprodukten für E-Mails ([11], [12]) bietet Kerio keine Möglichkeit, den internen Empfänger verständlich über eingegangene Viren zu benachrichtigen. Positiv ist dagegen, dass Kerio E-Mail-Attachments auf Wunsch auch anhand des Mime-Typs oder der Datei-Endung blockt. Damit setzt der Server zum Beispiel eine Firmen-Policy um, die Executables und MP3-Dateien verbietet.

Auch zur Spam-Bekämpfung bringt Kerio Mailserver umfangreiche Möglichkeiten mit, vom proprietären Spam Eliminator über Blacklists wie ORDB, Spamcop und weitere bis zu Caller-ID [6] und Sender Policy Framework (siehe Kasten “SPF und Caller-ID”) oder zum verzögerten SMTP-Greeting-Dialog.

Merak Mailserver

Der Merak Mailservers überwältigt zunächst mit einer Fülle von Features, versteckt viele nützliche und sinnvolle Funktionen aber in einer sehr unübersichtlichen Benutzerführung. Zum Beispiel bringt Merak Funktionen für das Testen eines Antiviren-Scanners per Eicar-Testvirus mit und kombiniert Spamassassin und Bayesian-Filter.

Nach der Installation muss der Kommandozeilen-Wizard den Admin-User und eine Default-Domain anlegen. Danach bleibt die Wahl zwischen drei Werkzeugen: eines für die Kommandozeile, das zweite mit einem Browser-basierten GUI und als drittes eine Konsole zur Remote-Administration. Die drei unterscheiden sich in Umfang und Anwendungsgebiet leider sehr; nur wer zur Konsole greift (Abbildung 8), kann alle Features zentral administrieren. Etwas heikel ist, dass der Merak Mailserver in den Default-Einstellungen für alle privaten IP-Adressen (RFC 1918) relayt.

Abbildung 8: Nur die Konsole gewährt zentralen Zugriff auf alle Einstellungen von Merak Mailserver. In dem Produkt verbergen sich so viele Funktionen, dass die Oberfläche nicht ausreicht und überladen ist.

Obwohl der Server im Labortest nur ein Sechzigstel der Durchsatzraten erreicht, die Merak im Web nennt [7] (angeblich 20000 E-Mails pro Sekunde auf Dual-Pentium-Hardware), glänzte er mit den höchsten Durchsatzraten von allen getesteten Mailservern. Die Webmail-Oberfläche bringt eine Fülle von Skins und Layouts mit. Im Gegensatz zu den beiden Konkurrenten kam Meraks Software aber nicht mit einigen tausend E-Mails in der User-Inbox zurecht. Zum Teil ließ sich eine prallvolle Mailbox per Webmail nicht einmal mehr öffnen.

Eine vollständige Integration in eine Directory-Service-Umgebung, wie sie mit dem Kerio Mailserver möglich ist, gelingt Merak nicht. Der Mailserver unterstützt zwar LDAP, um Mailclients auf seine interne Verzeichnisstruktur (Adressbücher, öffentliche Ordner, Terminkalender) zugreifen zu lassen, aber es fehlt eine Synchronisation mit dem Active Directory oder dessen Einsatz zur Benutzerverwaltung. In jedem Fall muss der Admin seine Benutzer sowohl im Merak Mailserver wie auch in Active Directory pflegen. Ein doppelt angelegter User kann sich immerhin zur Anmeldung am Mailserver oder Webclient gegen das Active Directory authentifizieren.

Die Groupware-Funktion ist – anders als bei Kerio – gesondert zu lizenzieren. Das Merak-Lizenzmodell ist komplex und schwer zu verstehen. Die Konsole integriert folgerichtig ein Lizenzfenster, das zudem eine gute Übersicht über Zusatzfunktionen liefert.

Ursprünglich entwickelte die tschechische Softwarefirma Icewarp [8] den Merak Mailserver. Aus diesem Hause stammt auch ein Virenscanner, der im Merak Mailserver zum Einsatz kommt. Das GUI unterstützt die Engines AVG, F-Secure und McAfee. Andere Produkte lassen sich manuell einbinden, es genügt die Pfadangabe zur ausführbaren Datei oder zur Shared Library zusammen mit ein paar Optionen. Als einziges Test-Produkt informiert Merak interne Empfänger über virusinfizierte E-Mails. Zur Spam-Bekämpfung implementiert Merak unter anderem Greylisting [13] und Spamassassin [14], das sich per Bayesian Filters trainieren lässt.

Bei allen nachgemessen

Alle drei Kandidaten mussten sich unter Laborbedingungen in einem Test behaupten. Fürs Benchmarking lief die jeweilige Software auf der Testmaschine (siehe Kasten “Testumgebung”). Wichtigstes Testkriterium: Wie viele Testmails der Größe 10 KByte akzeptiert der jeweilige Mailserver pro Minute für lokale User-Inboxen [15].

Es gibt etliche sinnvolle Platzierungen für einen Mailserver im LAN. Er kann hinter einem Mail-Relay angeordnet sein oder hinter einem Virenscanner oder als Mail-Gateway zwischen dem Internet und dem internen Netzwerk vermitteln. Das Anforderungsprofil dieser Fälle unterscheidet sich stark. Ein Mailserver im LAN hinter einem Relay oder einem AV-Scanner muss möglichst viele E-Mails auf wenigen (ein bis vier) gleichzeitigen TCP-Verbindungen akzeptieren. Der Test für dieses Szenario begnügte sich mit einer Einzelverbindung.

Passendes Szenario

Beim Einsatz als Internet-Mail-Gateway sieht sich der Server gleichzeitig mit vielen E-Mails von einer hohen Anzahl an Systemen konfrontiert. Um auch diesen Fall abzudecken, diente der Durchsatztest mit 200 gleichzeitigen TCP/SMTP-Verbindungen. In beiden Szenarios sendete die Testsoftware 10 KByte große E-Mails. Ein dritter Test schloss den Einfluss von Filesystem-Aktivitäten aus: Hier musste der Server nur E-Mail-Header verarbeiten, die Mails enthielten keinen Body.

Der abschließende Test betraf die Leistungsfähigkeit des POP3-Servers, wenn das Produkt einen mitliefert. Hier versuchte der Client, die prallvolle User-Inbox zu leeren – der Server hatte also nur eine Verbindung gleichzeitig zu bedienen. Die Messungen liefen jeweils für 60 bis 90 Minuten. Meist waren die Messwerte aber bereits nach 10 bis 15 Minuten stabil und veränderten sich nicht mehr. Die Ergebnisse eines Sendmail-Daemon [10] sind als Referenz zusätzlich angegeben. Sendmail lief in einer Default-Installation und zusätzlich mit einer üblichen Optimierung: 248 Kindprozesse (»MaxDaemonChildren«) und ein »RefuseLA«-Wert von 248.

Alle Messwerte sind in Tabelle 1 wiedergegeben (siehe auch Abbildung 9). Im Labor erreichten die drei Testkandidaten überraschend gute Durchsatzraten. Sie eignen sich damit für mittlere bis große Unternehmen. Der Axigen Mailserver scheint zwar durch seine Konfigurationsmöglichkeiten eher für Internetprovider ausgelegt, schneidet aber beim Durchsatz schlechter ab als die beiden Konkurrenten. Merak brilliert mit hohen Durchsatzraten, schreckt aber durch seine unhandliche Konfiguration und die verwirrende Feature-Vielfalt etwas ab. Das besonderes Vertrauen der Tester gilt dem Kerio Mailserver, da er auch unter den strengen Laborbedingungen nie einen Fehler machte.

Abbildung 9: Das Reporting-Werkzeug der Kerio-Adminkonsole bestätigt die Messergebnisse. Die Testsoftware liefert hier über eine Verbindung 10-KByte-Mails an. Kerio schafft knapp 500 Stück binnen 20 Sekunden, entsprechend 1500 Mails pro Minute.

Gefällig

Am besten gefiel den Testern aber der Axigen Mailserver. Er eignet sich jedoch nicht für Unternehmen, die einen Mailserver mit Groupware-Funktionen benötigen oder gar von Microsoft Exchange auf Linux migrieren möchten. Doch wer einen guten Mailserver mit hervorragender Webmail-Unterstützung sucht, wird mit dem Axigen-Server glücklich.

Der Kerio Mailserver ist ein rundum durchdachtes Produkt, das besonders durch seine Groupware-Funktionalität und die Integration mit Active Directory beeindruckt. Er bewährte sich unter den strengen Laborbedingungen als sehr zuverlässiger Partner. Einen zwiespältigen Eindruck hat der Merak Mailserver hinterlassen. Dieses Produkt lockt mit einer enormen Funktionsvielfalt, verlangt allerdings eine deutlich längere Einarbeitungszeit als die Konkurrenz. (fjl)