Anti-Spam für Exchange – Scharfe Gesetzgebung hin oder her, der Anteil des Nachrichtenmülls ist deswegen nicht kleiner geworden. Wer seinen Anwendern eine freundliche E-Mail-Umwelt bewahren möchte, kommt an Spam-Filtern nicht vorbei. Die Real-World Labs haben fünf dieser Tools auf ihre Entsorgungsqualität hin untersucht.

Spam hat viele Namen: Junk-, Bulk-Mail, Phishing und viele andere, die aus Anstandsgründen hier nicht auftauchen dürfen.Unabhängig davon haben sie alle eines gemein: Sie nerven den Administrator, die Mitarbeiter und beschäftigen die Gerichte, zumindest in den USA. Vergangenes Jahr ist es Microsoft und Institutionen in New York immerhin gelungen,den aggressiven und dreisten Spam-Schreiber Scott Richter in den Bankrott zu treiben. Auch auf der legislativen Seite haben die USA Schritte eingeleitet, mit denen sie solche Subjekte zur Rechenschaft ziehen wollen. Viel zur Eindämmung des Mail- Mülls haben sie jedoch nicht beigetragen. Die Lage ist weiterhin ernst. Der Dauertest des »Barracuda Spam Filters« im Netz der Network Computing beweist es: Zwischen Mai und Oktober 2005 hat er 3,1 Millionen Nachrichten blockiert was einem Anteil von 78,06 Prozent des gesamten Aufkommens entspricht. Im Jahr 2004, als der Test begann, lag es auf gleichem Niveau.

Wo kommt der ganze Dreck her? Symantec hat über ihr eigenes Mail-Probe-System festgestellt, dass 54 Prozent des Spam aus den USA stammen, während Asien und Europa es gemeinsam auf 42 Prozent bringen.Die Inhalte sind immer noch geprägt von Finanz- und Produktangeboten, angefangen bei Fonds, Aktien, Software, Uhren bis hin zu den berüchtigten Wunderpillen und Genitalverlängerungen. Die jüngste Leserumfrage der Network Computing zeigt eindeutig, dass die Anwender in Deutschland nicht daran glauben, dass Gesetze die Lage verbessern.Wer das Problem in den Griff bekommen möchte,muss technische Lösungen finden. Daher haben die Real-World Labs 16 Hersteller zu einem Vergleich ihrer Anti-Spam-Filter für Exchange-Server eingeladen.Der Test hat sich absichtlich auf solche Installationen beschränkt, da er die Angebote vor allem für kleine und mittelgroße Unternehmen mit limitiertem IT-Wissen untersuchen wollte.Dort dominiert Exchange. Alle Produkte, die sich nicht in diese Plattform einbinden, seien es Appliances oder Dienste, waren vom Vergleich ausgeschlossen.

Die Produkte von Cloudmark, Commtouch Software,Mailfrontier,Red Earth Software, Sunbelt Software und Symantec haben diese Kriterien erfüllt.Mailfrontier ist übrigens kurz nach dem Test vom Firewall-Anbieter Sonicwall gekauft worden.Unglücklicherweise hat die Analyse des »iHateSpam« von Sunbelt unbrauchbare Resultate erzielt. Der Grund: Die Cache- Datei des Systems wurde während des Tests korrumpiert, sodass die Spam-Engine keine brauchbaren Mails erhielt. Die Support-Abteilung des Anbieters hat sich immens bemüht, das Problem aus der Welt zu schaffen. Sie teilte mit, so etwas sei bislang noch nicht aufgetreten. Leider ließ der Testzeitraum nicht zu, auf deren Lösung zu warten, weshalb das Produkt schließlich herausgenommen werden musste. Clear-swift, GFI Software, Hexamail, Lyris Technologies, McAfee, NetIQ, Suftcontrol, Sybari Software, Trend Micro und Tumbleweed lehnten übrigens eine Teilnahme ab.

Genauigkeit entscheidend

Die Produkte mussten demonstrieren, wie exakt sie filtern, ohne dass sie jemand vorher an die Bedingungen im Netz angepasst hatte. Out-of-the-Box sozusagen. Ein wichtiges Kriterium, da es zeigt, ob die kommerziellen Lösungen für die von ihnen anvisierte Kundenklientel taugen. Denn kleine Firmen wollen wenig Administrationsaufwand investieren und wünschen trotzdem hohe Trefferquoten. Spam zu bekämpfen, darf gerade bei solchen Unternehmensgrößen nicht viel erfordern. Aus diesem Grund hat die Genauigkeit ein Gewicht von 30 Prozent am Gesamtergebnis der Lösungen erhalten. Damit ist sie das wichtigste Kriterium bei der Bewertung ihrer Qualität. Um die Resultate zu verstehen, ist es wichtig, die Bedingungen zu verstehen, unter denen die Genauigkeit bewertet wurde.

Sie unterscheiden sich nämlich stark von den Kriterien, die die Hersteller gerne hierfür anlegen.Letztere erklären gerne, je exakter ihre Engines und Signaturen Spam identifizieren, desto besser das Ergebnis. Dabei übersehen sie jedoch einen wichtigen Punkt:Wie oft klassifizieren ihre Lösungen legale Nachrichten als Spam? Der Test legte in der Tat offen, dass die Engines nur allzu gern legale Bulk-Mails, seien es Newsletter oder Mailing-Listenverkehr, als Müll kategorisieren.

Daher wurde für den Test Folgendes festgesetzt: Spam, der trotz der Filter die Inbox erreicht, heißt False-Negative.Legale Nachrichten, die fälschlicherweise abgewiesen wurden, heißen False-Positives. Da für jede Organisation False-Positives weitaus schlimmere Folgen haben, weil beispielsweise eine wichtige Bestellung im Filter hängen bleibt,wurden sie fünfMal schwerer eingestuft als False-Negatives. Ein False-Positive sind also gleichwertig mit fünf -Negatives. Die Labs haben auch die von ihnen nicht gewichteten Ergebnisse aufgelistet, damit sich jeder ein eigenes Bild machen kann.

Die Hersteller geben ihre Genauigkeit meist in Werten an, die 99 Prozent leicht überschreiten. Einige geben gar an, ihr Produkt verursache überhaupt keine False-Positives. Die Resultate des Vergleichs brandmarken diese Angaben als pures Marketing. Wer das Produkt aufwändig an das Netz und die darin dominierenden Mails anpasst, mag dieses Niveau erreichen. Den Labs war jedoch wichtig, dass die Software- Filter zeigen, was ihnen ohne diesen Tuning-Aufwand gelingt. Denn nur wenige Firmen besitzen die erforderlichen Mittel, mit denen sie Spam-Regeln filigran modifizieren können. Das soll jedoch nicht bedeuten, dass eine Firma ein Produkt kaufen sollte, ohne es vorher selbst zu testen.

Zu den Ergebnissen, die eindeutig vom Marketingwert abweichen: »Mail Security for Exchange « von Symantec hat 12 legale Mails aufgehalten, während »Policy Patrol« von Red Earth Software unglaubliche 643 False-Positives verursachte. In der gewichteten Bewertung erreichten Symantec und »Server Edition« von Cloudmark eine Genauigkeit von 93,5 respektive 92,4 Prozent, während Pest Patrol bei -10,7 Prozent landete. Die Ergebnisse von Red Earth waren so schlecht, dass Zweifel am Testverfahren aufkamen.

Der Hersteller ist immens von Out- Bound-Mails abhängig, mit denen das Tool seine Policies in Echtzeit anpasst. Der Test verzichtete aber auf Out-Bound-Mails, so dass die Software in der Tat eine Art Blindflug durchzustehen hatte. Die Testspezifikationen, die den Herstellern mit der Einladung zugeschickt wurden, haben aber ausdrücklich darauf hingewiesen, dass keinerlei Bayesian-Filter-Training durchgeführt werde. Außerdem ist es in der Praxis eher ungewöhnlich, dass ein Unternehmen interne Mails über den Spam-Filter hinweg nach draußen schickt.Ein jedes Produkt sollte von sich aus in der Lage sein, Müll zu filtern, ohne auf Out- Bound-Analysen angewiesen zu sein. Schließlich ist es diese Kunst,wofür Unternehmen Geld ausgeben. Also ein konzeptioneller Fehler des Produkts, und nicht des Testverfahrens. Alle anderen Produkte haben übrigens unter dem Strich gut abgeschnitten.

Sie wurden mit echten Nachrichten konfrontiert, die zu Testzwecken aus dem E-Mail-Verkehr des Verlags abgezweigt wurden. Darunter waren alle Inhalte, mit denen Redakteure im Alltag konfrontiert sind: klassische Worddokumente, HTML-Inhalte,Massenmailings und andere legale Nachrichten, die Spam sehr ähnlich und daher schwierig zu analysieren sind.

Administration und Berichte

Für Lösungen dieses Segments ist es entscheidend, dass sie leicht zu administrieren und zu konfigurieren sind. Wer beispielsweise die Entscheidung, ist es Spam oder nicht, vom User auf den Administrator verlagert, schafft einen idealen Nährboden für Chaos. Denn für den einen ist es Müll, für einen anderen wichtige Information. Der Mitarbeiter ist als einziger befähigt, diese Entscheidung im besten Sinn, nämlich in seinem eigenen Sinn, zu treffen.Eine gute Anti-Spam-Software unterstützt sie dabei, indem sie den Usern die volle Kontrolle über ihre Mailboxen gibt. Alle getesteten Lösungen leiten Spam in einen Ordner in dem jeweiligen User-Account auf der Exchange-Maschine.Nur Policy-Patrol von Red Earth fällt wieder aus dem Rahmen,weil hier der Administrator die Verantwortung trägt. Er darf diese Default-Konfiguration ändern, in einem lästigen Prozess.

AufWeb basierende Quarantäne ist inzwischen recht populär,wobei aber nur Commtouch und Mailfrontier auch aufWeb basierende Quarantäne- Interfaces besitzen. Beide und auch Symantec fassen den Inhalt der Folder in einer Mail zusammen, die sie an die User schicken.Wenn der Administrator es will, kann er potenziell illegale Mails auch nur kennzeichnen, automatisch an die entsprechenden Accounts durchreichen oder den Anwendern erlauben, eigene Regeln zu verfassen. Die Berichtsstärke bei Spam ist ebenfalls wichtig, weil sie einmal den Kauf der Lösung rechtfertigt und zudem offen legt,wie effizient die aktuellen Regeln greifen.Gut strukturierte Trendanalysen liefern außerdem gute Argumente,um die jährlichen Ausgaben für die Updates und die Lizenzen zu begründen.Die Berichte liefern Fakten.

Tatsachen, die all den Nörglern im Haus, die schon bei zwei Spams pro Woche aus der Haut fahren, den Wind aus den Segeln nehmen. Im Test hat Mailfrontier in dieser Disziplin am besten abgeschnitten.

Die Architektur

Real-Time-Black-Listen (RBL) sind inzwischen nahezu nutzlos, da Spammer infizierte Computer benutzen, mit denen sie ihren Müll verteilen. Wer nur nach Schlagwörtern und Phrasen sucht,wird zu viele False-Positives erzeugen.Red Earth vertraut beiden Verfahren, wodurch sich die erbärmlichen Resultate im Test fast von selbst erklären. Wer solche einfachen Ansätze für das Filtern wählt, wird jede als illegal interpretierte Nachricht löschen und auf das Prinzip Hoffnung setzen müssen. Heute sind Engines gefragt, die aus dem Body und dem Header der Mail Hashes berechnen und auf dieser Grundlage entscheiden.Die Hersteller aktualisieren dazu die Datenbank ihrer Engines per automatischen Prozess, damit sie die jüngsten Hashes kennen. Commtouch und Cloudmark folgen einem anderen Prinzip: Ihre Engines schicken die Hashes an deren zentrale Server, die sie im Detail analysieren. Das Ergebnis schicken die Server manchmal zurück zum Kunden,wo sie in einem lokalen Cache zwischengelagert werden. Dieses Verfahren verzögert eine Mail im Schnitt um eine Sekunde.

Wer sein Exchange im Cluster betreibt, sollte prüfen, ob das Anti-Spam-Produkt dies auch unterstützt. Auch hier ist Vorsicht vor Marketing- Sprache angebracht. Einige Hersteller kennzeichnen ihre Lösungen als »clusteraware «. In Fakten übersetzt heißt es, dass sie Cluster erkennen, aber nicht auf Probleme reagieren, die dort auftreten.Und falls die Mail an vielen Stellen in das Unternehmen strömt, so sollte die Software ihre Policy replizieren können. Anderenfalls müsste dies der Administrator übernehmen und sofort mit mehr Aufwand rechnen.

Die Kosten

Der Durchschnittspreis im diesem Vergleich liegt bei etwa 12,50 Dollar pro User und Jahr. Als Rahmenbedingung war vorgegeben: 1000-User- Lizenz und ein Zwei-Jahres-Vertrag. Nur Red Earth ist diesem Schema nicht gefolgt. Der Hersteller verlangte einmalig 3423 Dollar, was 1,71 Dollar pro Anwender ergibt. Der kleinste Preis im Test. Commtouch,Cloudmark und Mailfrontier liegen in der Nähe des Durchschnitts, während Symantec nahezu das Dreifache verlangt. Bei Commtouch sind die Antiviren-Funktionen, die das Produkt ebenfalls beherrscht, und die dazu nötige Lizenz aber nicht eingerechnet.Kommen diese Kosten hinzu, liegt das Produkt mit 11,50 Dollar an vierter Stelle. Cloudmark verlangt 9, Mailfrontier 11,60 Dollar pro User.

Symantec senkt ihre Preise, sobald sich der Anwender für andere Produkte aus deren Portfolio entscheidet.Nichtsdestotrotz bleibt deren Angebot das teuerste im Test.Der geringe Preis von Red Earth erteilt nebenbei eine wichtige Lektion: Ein Käufer sollte neben den Kosten auch auf die Funktionen und die Genauigkeit achten. Denn manchmal bekommt der Kunde exakt das, wofür er zahlt. Und bei Red Earth ist das ziemlich wenig. Unter dem Strich hat der Gateway-Server von Mailfrontier den besten Eindruck hinterlassen und erhält daher die Auszeichnung »Referenz« der Network Computing. Das leicht zu konfigurierende Tool präsentierte die besten Berichte, hat bei der Genauigkeit nahezu 90 Prozent erreicht und hält Preis und Leistung ausgewogen in Balance.

Gateway Server 4.1 von Mailfrontier (Sonicwall)

Der Firewall-Anbieter Sonicwall hat Mailfrontier vor kurzem gekauft.Aus Verständlichkeitsund Bekanntheitsgründen wurde in diesem Test Mailfrontier als Name beibehalten. Die Installation des Gateway-Servers 4.1 ist leicht, da ein Wizard diese Prozedur an bekannte Windows- Mechanismen anlehnt. Der Gateway-Server umfasst Kopien der Java-Runtime-Engine und »Apache Tomcat« für die administrative Konsole. Der Wizard warnt zuerst vor den großen Speicherwünschen des Gateway-Servers. 40 GByte benötigt das Tool vor allem für seine auf Web basierende Quarantäne, die es »Junk Box« nennt.

Einmal installiert, werden die Lizenzschlüssel per Web-Konsole eingetragen. Sie schalten die einzelnen Module des Tools frei.Dann wurde der Microsoft-SMTP-Service auf einen anderen Port gebunden.Auf diese Weise konnte der Gateway- Server sich an den Standard-SMTP-Port 25 koppeln und die Nachrichten an den Microsoft- Port weiterreichen.Einige einfache Parameter waren dann noch einzurichten, unter anderem die Tagging- und die Outlook-Regeln. Insgesamt dauerten die Installation und das Setup rund 20 Minuten, ein Reboot inklusive. Das Design der Spam-Engine ist simpel, aber effizient. Die Software betrachtet drei Teile jeder Nachricht: Sender und seine Reputation, Inhalt inklusive Header und Body sowie Kontaktpunkte wie URLs, Telefonnummern und Mailtos.

Die Reputation ist abhängig vom Mailverkehr, den der Sender sonst noch verschickt. Für jede Nachricht ermittelt das Tool einen Spam- Wert, den es für jeden der drei Teile separat berechnet. Falls die Mail bei zwei oder mehr Ana-lysen durchfällt,wird sie vom Gateway-Server als Müll interpretiert. Falls nur ein Teil durchrasselt, kennzeichnet der Server die gesamte Meldung mit einem Tag. Besteht die Mail alle drei Analysen, darf sie den Server als legale Sendung passieren. Versagt die Mail bei einer der drei Prüfroutinen, kann das Tool mehrere Aktionen initiieren.

Im Test musste es den Subjekt-Eintrag automatisch um Spam-Tags erweitern und an den User durchreichen. Im Default leitet die Mailfrontier- Lösung solche Inhalte automatisch in die aufWeb basierende Quarantäne. Der Administrator darf dem Filter auch befehlen, alle verdächtigen Nachrichten sofort zu löschen, an den Sender zurückzuschicken, an einen Dritten weiterzuleiten oder an den Mitarbeiter durchzureichen.Als einziges Produkt im Test hat Mailfrontiers Tool versucht, Phishing-Attacken zu verhindern. Dies geschieht mit Hilfe der Reputation des Senders.Da Phishing-Mails aus Prinzip Falschmeldungen sind, warnt das Tool die Anwender explizit, auf diese legal erscheinenden Anfragen im Spam-Folder zu reagieren.Eine aus Sicherheitssicht mehr als sinnvolle Funktion.

Der Hersteller gab an, dass ein Unternehmen maximal 10 Minuten pro Woche in die Administration zu investieren habe. Die Kunden, so dessen Aussage, wendeten wöchentlich im Schnitt 5 Minuten für diesen Zweck auf.Durchaus realistische Werte,wie der Test zeigte.Auf lange Sicht wird ein Unternehmen niemanden gesondert einstellen müssen, um das Tool zu verwalten. Aber gerade zu Beginn sollte es damit rechnen, mehr Zeit für die Feinabstimmung des Systems zu benötigen. Denn nur so ist eine höhere Genauigkeit zu erreichen. Gerade hier hat Mailfrontier nämlich mit einer Trefferquote von 89,6 Prozent nur den dritten Rang erreicht. Sie hat insgesamt 37 False-Positives und 150 False- Negatives verursacht.

Bei den Berichtsfunktionen hat das Tool dagegen am besten abgeschnitten.Alle Berichte sind direkt über das Web-Interface zu erreichen. Sie sind so aufbereitet, dass der Administrator per Klick gleich in die Details abtauchen oder die Infos für seinen Vorstand aufpolieren kann. Die Dashboard-Ansichten der Konsole schaffen einen schnellen Überblick über die Leistung der vergangenen 24 Stunden. Das Tool zeigt auch die Top-Sender und -Empfänger genauso wie die Domains, die als Quelle dominierten.Mailfrontier berechnet ebenso, wie viel Bandbreite das Tool mit den Filtern schonte und wie sich der Spam- Anteil entwickelte.Wer mit den mehr als zwölf Berichten trotzdem nicht zufrieden ist, darfWizard- gesteuert eigene einrichten.

Server Edition 1.6 von Cloudmark

Auch diese Software ist leicht zu installieren,weil sie kaum Eingriffe von Seiten des Administrators verlangt.Der Verantwortliche richtet einfach einen entsprechenden User-Account mit Exchange- Rechten ein. Der Installationsprozess fragt nach dem Aktivierungs-Code, der Server-IP-Adresse und den Domain- und User-Credentials.Zuletzt aktiviert er eine Check-Box, über die der Administrator verdächtige Mails direkt in einen Spam- Exchange-Folder leiten kann. Das ganze Setup dauerte nicht länger als eine halbe Stunde. Die Server-Edition bindet sich per Plug-in in die Microsoft-Management-Konsole (MMC) ein.

Als Microsoft-Produkt ist die Integration in Exchange selbsterklärend eng. Cloudmark erklärte, dass ihre Kunden die Regeln meist einmal aufsetzten und dann getrost vergäßen. Klingt überzeugend, da das Tool auch nicht viel bietet, was modifizierbar wäre. Dies wird sicher einigen gefallen, diverse Optionen mehr wären aber durchaus wünschenswert. Die eingeschränkten Anpassungsfunktionen und die begrenzten Berichte kosteten den ansonsten sehr genauen Filter die Spitzenposition im Test.Wer aber Simplizität den Vorzug gibt, wird mit diesem Werkzeug mehr als zufrieden sein. Nach Herstellerangaben verkraftet die Server-Edition bis zu 2000 User pro Installation,wobei ihre Stärke bei Netzen zwischen 50 und 250 Accounts liege.

Der Filter-Dienst ähnelt dem von Commtouch, weil er ebenfalls auf lokale Definitionen verzichtet.Cloudmark folgt einem interessanten Spam-Prinzip: Der Hersteller setzt auf rund eine Million von Endanwendern, die dessen Desktop-Werkzeug benutzen.Die Kunden werden zu Sensoren, wobei der Hersteller für jede Spam Fingerabdrücke in Form von Hashes erstellt. Dazu tastet er die Header, den Body-Inhalt sowie Mime-Anhänge ab und befragt die zentrale Cloudmark-Datenbank,wie viele Spam- Anteile diese eine Nachricht enthält. Die Datenbank wiederum schickt ihre Antwort an die Server-Edition beim Kunden, die daraufhin eine Aktion auslöst.

Eine Million User können nicht irren. Deswegen hat Cloudmark im Test auch die saubersten Ergebnisse geliefert, mit einer Trefferquote von 93,5 Prozent. Die False-Positives und -Negatives lagen bei 28 respektive 69 Meldungen. Kein Zweifel, dass Cloudmarks ungewöhnliches Anti-Spam-Konzept in der Praxis gereift ist und daher gut greift. Die Berichte waren dagegen schwach. Der Server zeigte nur an,wie viel Zeit und Geld das Tool bereits eingespart hat.Auch eine aufWeb basierende Quarantäne fehlt.Cloudmark erklärte, dieser Folder verwirre Mitarbeiter mehr als er ihnen helfe.Eine durchaus strittige Position, die sich dadurch erklären lässt, wo der Hersteller seine Stärken sieht: bei kleinen Unternehmen mit bis zu 250 Accounts.

Mail Security 4.6 für Exchange mit Premium-Anti-Spam-Dienst von Symantec

Symantec bringt die Anti-Spam-Technik von Brightmail in ihr Produkt ein.Hinter dem Premium-Anti-Spam-Dienst verbirgt sich in der Tat der Brightmail-Service.Mail-Security selbst bindet sich in Microsofts »Intelligent Message Filter« und die »Spam Confidence Level« ein. Eine Funktion, die sonst niemand beherrschte. Die Installation war leicht. Der Administrator muss ein paar Fragen beantworten: auswählen, dass er den IIS nicht neu starten möchte, die IP und den Port für die Web-Konsole angeben, eine administrative E-Mail-Adresse eintragen und beide Symantec-Lizenzen aktivieren. Eine für Mail-Security, die andere für den Brightmail- Dienst. Die Software benutzt außerdem einen Spam-Folder-Agenten, der Müllnachrichten mit Hilfe von Server-Regeln automatisch an den entsprechenden Ordner des Anwenders weiterleitet. Diese Option wurde aber nicht untersucht.

Niemand sollte der Versuchung nachgeben, das Geld für den Premium- Dienst einzusparen.Denn so schont er zwar seine Geldbörse, wird sich dann aber mit einer reinen heuristischen Analyse-Engine zufrieden geben müssen, die Symantec zudem recht unregelmäßig aktualisiert. Die Trefferquote wird dann dramatisch von den Testergebnissen abweichen. Die Grundeinstellungen wurden im Test über die administrative Konsole abgewickelt. Es ist zuerst nötig, die Live-Updates zu konfigurieren. Sie spielen stündlich die frischen Viren- und Spam-Signaturen ein. Dann muss dem Premium-Dienst mitgeteilt werden, verdächtige Mails zu brandmarken und in die Spam-Folder umzuleiten.

All das erfolgte auf Symantecs Empfehlung hin. Im Test sollte die Software auch Spam-Berichte speichern, damit sie für spätere Analysen vorliegen. Die gesamte Prozedur dauerte knapp 30 Minuten. Symantec benutzt 2,5 Millionen Probe-Accounts bei größeren ISPs, mit denen der Anbieter Spam-Ausbrüche kurz nach ihrem Beginn aufdecken möchte. Das Operating-Center von Brightmail beobachtet die Probes permanent und generiert aus neuen Müllmeldungen Definitionen, die es über das Live-Update schließlich Mail-Security mitteilt. Symantec ergänzt diese um eigene Filtertechniken. Dazu zählen eigene RBL-Listen, Signaturen und URL-Daten. Damit erreiche er, so der der Anbieter, die höchste Trefferquote der gesamten Industrie, nahezu 99,99 Prozent. Das entspricht einer False-Positive bei einer Million Nachrichten.

Im Test hat Symantec tatsächlich mit 12 die wenigsten Fehleinschätzungen getroffen. Damit erreichte der Anbieter eine doppelt so gute Trefferquote wie der Zweitplatzierte. Bei der gewichteten Bewertung schaffte er 92,4 Prozent und liegt damit insgesamt nur auf dem zweiten Platz. Denn bei den False-Negatives tappte das Tool 184 Mal in die Falle. Die Berichte von Mail-Security-for-Exchange sind schwach, denn Symantec hat nur Highlevel- Ansichten berücksichtigt.Wer mehr erfahren will, muss die Daten in CSV exportieren. Der Hersteller verspricht immerhin, in der kommenden Version Berichte zeitlich gesteuert per Mail zu versenden. Insgesamt hat der hohe Preis von 32,25 Dollar pro User und Jahr das Gesamtbild stark getrübt.Wenn ein Unternehmen bereits andere Symantec-Produkte einsetzt, darf es einen Rabatt erwarten.

Anti-Spam Enterprise Solution 4.1 von Commtouch

Die Installationsprozedur des Tools war eine der gelungensten im Test. Sie dauerte nur rund 20 Minuten.Mit Hilfe eines Wizards werden viele Default-Parameter angeboten, inklusive einer MSDE-Engine, die Spam-Statistiken erstellt. Commtouch kann zudem eine existierende MS-SQL-Installation automatisch konfigurieren, falls der Administrator diese Option während des Setups anklickt.Unternehmen mit großen Mailvolumina ist zu empfehlen, die MSDE-Engine durch SQL zu ersetzen, da die Obergrenze der Engine-Datenbank bei 2 GByte liegt. Nach der Installation ist ein Neustart nötig.

Für die Administration verwendet das Tool ein ausgefeiltes Web-Interface.Die Anordnung der Funktionen hat beeindruckt, denn durch sie ist alles intuitiv erreichbar. Der Hersteller hat empfohlen, dass sein Produkt die »Recieved from«-Header des im Tests verwendeten »CommuniGate Pro«-Mail-Servers ignorieren solle. Der Hersteller wünschte zusätzlich, dass das Tool sich per LDAP in die ADS einbindet und Reports zu gewissen Datenlaufzeiten erstellt. Dem wurde im Test prompt Folge geleistet.

Die Software sollte zudem die Subjekt-Einträge bei Spam und Bulk-Mails um Tags erweitern.Zusätzlich modifizierten die Tester die Outlook-Server- Regeln, damit der Server alle gekennzeichneten Nachrichten automatisch in die entsprechenden Spam-Ordner leitet. Commtouch unterscheidet in der Tat zwischen Spam- und Bulk-Mails, sodass der Administrator unterschiedliche Aktionen für beide Typen aufsetzen darf. Inklusive einer aufWeb basierenden Quarantäne, die der Anwender selbst pflegt. Die Commtouch-Suite folgt einem einzigartigen Spam-Engine-Design, das den proprietären Algorithmus »Recurrent-Pattern-Detection « (RPC) verwendet. Er soll das verräterischste Schlüsselkriterien einer Spam erkennen: ihr Verbreitungsmuster.

Der Hersteller aktualisiert die Definitionen in seiner Engine aber nicht. Sein Tool sucht vielmehr nach Pattern. Das geschieht folgendermaßen: Wenn das Anti-Spam-Gateway eine Mail erhält, gleicht es diese Nachricht mit seiner lokalen Policy ab.Diese darf der Administrator für das gesamte Unternehmen und für einzelne User definieren. Falls die Mail auf keinen Regeleintrag zutrifft, durchsucht Commtouch den lokalen Cache des Gateways. Damit will das Tool herausfinden, ob das zentrale Commtouch-Anti- Spam-Detection-Center diese Nachricht schon einmal klassifiziert hat. Falls immer noch keine Regel für diese Mail zu finden ist, befragt das Gateway das Remote-Center, das Commtouch als Provider hostet. Ist das Center nicht erreichbar, leitet die Lösung die Meldung in den User-Ordner.

Wurde die Nachricht bereits als Spam oder Bulk eingestuft, ergreift das Gateway die nötigen Maßnahmen, wie es der Administrator per Konfiguration vorgegeben hat. Dank dem RPCAlgorithmus kann Anti-Spam-Enterprise Nachrichten als Spam-verdächtig kategorisieren und so lange zurückhalten,bis das zentrale Detection- Center diese Nachricht entsprechend freigibt oder als illegal einstuft. Im Test lag dieses Konzept häufig richtig,denn es verursachte nur 48 False-Negatives. Insgesamt erreichte es eine gewichtete Trefferquote von 74, 5 Prozent aber nur den vierten Platz,weil es sein gutes Ergebnis mit 154 False-Positives schmälerte.

Diese Trefferquote sei ungewöhnlich gering, merkte der Hersteller an, und sei durch den ungewöhnlich hohen Anteil an Bulk-Nachrichten (Pressemeldungen) des Verlags zu erklären. Commtouch selbst gibt eine Spam-Erkennung von 97 Prozent an, sofern ihr Tool entsprechend an die lokalen Bedingungen angepasst wird.Dies hat der Test aber gesondert verboten. Die Berichtsfunktionen des Web-Interfaces sind adäquat. Das Tool generiert Reports zu Top- Spammern und -Empfängern inklusive detaillierter Ansichten.Der Administrator darf die Berichte auch per Intervall automatisch erstellen lassen. Leider ist es nicht möglich, eigene Masken aufzusetzen. Das hätte die Reporting-Funktionen weitaus besser abschneiden lassen.

Policy Patrol Spam Filter 4 von Red Earth

Das Tool war schwieriger zu konfigurieren als die anderen im Test. Es sollte alle Spam-Mails an den Anwender durchleiten, im Default aber sammelt es diese in einem einzigen Ordner. Der Administrator muss dann entscheiden,ob er die Nach-richt an den Empfänger durchschleust oder löscht.Wer dies ändern möchte,muss lästige Konfigurationsschritte durchstehen. Denn er muss dies bei jedem einzelnen Filter eintragen.Red Earth sollte hier unbedingt nachbessern. Von diesen Problemen abgesehen, hat der auf Windows-Routinen setzende Wizard die Software in wenigen Schritten aufgesetzt. Policy-Patrol nutzt eine ganze Reihe von Scan-Techniken, die den Spam-Anteil einer Mail bewerten. Dazu zählen unter anderen:DNSBlacklists inklusive einer Spamhaus-Block-Liste,URL-Blacklists, Sender- Policy-Framework, Bayesian-Filter und Schlagwortsuche. Für jede Technik darf der Administrator eine Aktion festlegen, inklusive Weiterleiten in die Inbox,Verwerfen der SMTP-Session,Nachricht umleiten und Festlegen eines Spam-Confidence-Levels.

Policy-Patrol lernt,wie ein Unternehmen E-Mails benutzt,indem das Tool seine Bayesian-Filter daran anpasst. Dazu baut es bei-spielsweise White-Listen für Empfänger auf, indem es die entsprechenden Namens- und Domainangaben in den Out-Bound-Mails protokolliert. Da der Test aber ausdrücklich auf Out-Bound-Nachrichten verzichtete, hat das Tool diesen Filter kaum akklimatisieren können.Deshalb die miserablen Ergebnisse. Bei der gewichteten Trefferquote erreichte Policy-Patrol -10,7 Prozent. Die Spam-Engine hat insgesamt 987 Meldungen falsch eingestuft, darunter 643 False-Positives. Da der Test diesen Fehler mit dem Faktor 5 gewichtete, lag das Tool rechnerisch bei 3559 Mails falsch.Mehr, als im Test überhaupt versendet wurden. In den Testspezifikationen war übrigens ausdrücklich aufgeführt, das Bayesian-Filter nicht angepasst werden.

Es wirkte so, als ob das Werkzeug Nachrichten anhand recht simpler Regeln per Tag kennzeichnete.Einige der eingesetzten Test-Tools haben beispielsweise Mails von einem User-Account aus verschickt, der gleichzeitig auch als Empfänger eingetragen war. Dies ist zwar ungewöhnlich, verstößt aber gegen keinen RFC-Standard. Policy- Patrol hat auch diverse Redakteur-zu-Redakteur-Meldungen eingefangen, die einige Spam-ähnliche Begriffe und Phrasen enthielten. In einem Verlag werden manchmal interessante Gespräche geführt. Eine Anpassung der Filter hätte in diesem Fall sicher einige der Fehler vermieden.

Die Software protokolliert die Geschichte jeder versendeten Mail und erklärt,welche Regel die Mail auslöste. Eine gute Monitoring- Funktion, die im Test übrigens dabei half, mit Red Earth die Ursachen für die miserable Trefferquote zu isolieren. Die Berichte zeigen jede Mail einzeln an. Alle anderen wichtigen Reports fehlen aber. Am Ende konnte leider nur der geringe Preis des Produkts Pluspunkte sammeln.

Fazit

Jedes Unternehmen kämpft gegen Spam, auch kleine und mittelgroße. Gerade diese Firmen suchen Lösungen, die ihr Versprechen einhalten, zugleich wenig kosten und wenig Administration erfordern.

Da in solchen Netzen Exchange dominiert, haben die Real- World Labs fünf Anti-Spam-Filter für diese Plattform und 1000 User untersucht. Am Ende hat sich der Gateway-Server 4.1 von Mailfrontier (von Sonicwall gekauft) die Auszeichnung »Referenz« der Network Computing verdient. Die Software hat eine gute Trefferquote erreicht, ist leicht zu verwalten und hält Preis und Leistung gut in Balance. Die Server-Edition 1.6 von Cloudmark liegt knapp dahinter. Ihre Reports waren zu schwach, und eine aufWeb basierende Quarantäne fehlte.Mail-Security 4.6 für Exchange mit dem Premium-Anti-Spam-Dienst ist ebenso wegen der zu knapp ausgefallenen Reports zurückgefallen. Aber vor allem der hohe Preis ist für die dritte Position verantwortlich.Anti-Spam-Enterprise-Solution von Commtouch hat zwar eine gute Trefferquote erzielt, sie hat aber als eine der wenigen Lösungen im Test keine AV-Engine integriert. Der letzte Platz von Red Earth ist vor allem mit den miserablen Erkennungsraten zu erklären. Das Werkzeug passt seine Regeln mit Hilfe eines Bayesian-Filters an, der sich auf Out-Bound- Mails konzentriert.Der Test sah solche Nachrichten aber nicht vor. Auch das Management und die Installation sind schwach gelungen.

pm@networkcomputing.de