Die Mail-Appliance C60 von Ironport schützt Mail-Server nicht nur vor Viren und Spam. Policy-gesteuert stellt sich der SMTP-MTA gegenüber Massenmails schwerhörig und verhindert Attacken.

Nur wenige Männer sind tatsächlich an Viagra-Tabletten oder Penis-Verlängerungen interessiert. Dennoch müllen Spammer die Postkörbe der Mail-Nutzer mit genau diesen Angeboten zu. Statistische Erhebungen zeigen, dass bereits mehr als die Hälfte der über das Internet verbreiteten Mails aus unerwünschtem Massenwerbe-Mailings mit überwiegend zweifelhaften Angeboten besteht. Da die Schutzmechanismen immer besser werden, rüsten die Spammer weiter auf. Wurden früher Zehntausende mit Mailings über Wundermittelchen belästigt, geht der gleiche Mist heute an Hunderdtausende oder Millionen raus. Vor Spam und virenbehafteten Mails schützen verschiedene Plug-In-Programme, die sich in etablierte Mailserver einbauen lassen. Diese Tools passen dabei aber nur auf bestimmte Produkte und verhindern nicht, dass groß angelegte Massenmail-Attacken den Mail-Server lahm legen können oder zumindest dessen Antwortzeiten rapide verlängern. Eine Alternative zu den Software-Lösungen stellt die Mail-Appliance C60 von Ironport dar. In der Ausgabe 10-11/2004 unterzog Network Computing dieses Gerät einem ersten Test. In der Zwischenzeit liegen Ergebnisse längerfristiger Untersuchungen vor.

Steckbrief

Ironport C60

Hersteller: Ironport

Charakteristik: Mail-Gateway mit Spam- und Virenfilter

Kurzbeschreibung: Die Ironport-C60-Appliance filtert eingehende und ausgehende E-Mail auf Viren und Spam. Zudem überprüft sie die Quell-Domänen und Mailserver. Gegenüber suspekten Versendern kann sich die C60 träge verhalten oder nur wenige Mails pro Stunde akzeptieren, um somit Massenmail-Attacken abzublocken.

Web: www.ironport.com

Preis: rund 55000 Euro

Die Ironport-C60-Maschine enthält zwei Xeon-CPUs und ein RAID-10-Platten-Array. Auf der Maschine arbeitet ein gehärtetes BSD-System mit einem Hersteller-eigenen SMTP-MTA. Auf diesem »AsyncOS« laufen der Spam-Filter »Anti-Spam« von Brightmail und der Virenscanner von Sophos. Drei Netzwerk-Interfaces verbinden die Appliance mit dem zu überwachenden und dem Verwaltungs-Netzwerk.

Für den Test installierte Network-Computing die Appliance mit einem Gigabit-Interface des Datenpfades in die DMZ der Real-World Labs Poing, in der auch der MDaemon-7.1-Mailserver arbeitet. Das 100-MBit/s-Verwaltungs-Interface stellte eine Verbindung zum internen Netzwerk her. Die C60 verwaltet eine Reihe von »Listenern« für bestimmte Mail-Forwarding-Aufgaben. Der Inbound-Listener bekommt eine eigene IP-Adresse innerhalb der DMZ und empfängt jeglichen ankommenden Mail-Traffic aus dem Internet. Dieser Listener tritt nach außen hin also als der MX der Testdomäne auf. Die ausgehende Mail wickelt ein anderer Listener mit einer weiteren IP-Adresse ab, welche der MDaemon-Mailserver als Smart-Gateway anspricht. Zu jedem Listener gibt es ein Policy-Regelwerk, das durchgehende Mails prüft.

Das Besondere an der C60 ist, dass sie akribisch über alle Vorgänge Buch führt. Ironport zeichnet auf, wann von welcher Domäne wie viele Mails eintrafen, wie sich prozentual der Mailfluss dieser Domäne verändert und wie viele schlechte Mails – also Virenpost oder Spam – davon eintreffen. Die Appliance prüft zudem, ob die Domänen die Mail-Absender zu den sendenden Mail-Servern passen und ob diese Mail-Server als Spam-Quellen verschrien sind. Dazu führt das System Reverse-Lookups aus und verwaltet eine »Sender-Base«, welche die gültigen Mail-Server von Providern und großen Unternehmen kennt. Der Adminstrator kann diese gesammelten Mail-Statisitken in individuellen Reports abrufen.

Fällt etwa eine Mail-Domäne als permanenter Störenfried negativ auf, definiert der Verwalter einfach eine Schutz-Policy. Fortan nimmt die C60-Appliance nur noch wenige Mails pro Minute von dieser Domäne entgegen. Treffen zu viele Mails ein, antwortet der MTA mit Fehlermeldungen über eine temporäre Störung – aber eben nur gegenüber dieser Domäne. Zudem kann die C60 auf Wunsch sehr träge gegenüber unerwünschten Domänen auftreten. Versucht ein als schwarzes Schaf markierter Server eine eingehende SMTP-Verbindung aufzubauen, lässt die C60 erst einmal mehrere Sekunden verstreichen, bevor sie überhaupt auf diese Anfrage mit einem »Hello« reagiert.

Das Test-Setup der Ironport-Appliance braucht in den Real-World Labs kaum eine Stunde. Zuerst richtet Network Computing das Administrations-Interface der Applinace, die Mail-Domain-Informationen und die beiden Listener für In- und Outbound ein. Dieser Vorgang geschieht, bevor sich die Appliance in den Datenpfad einschaltet. Anschließend wird die Konfiguration der Labor-Firewall passend geändert, um dem Gerät die Kommunikation mit der Außenwelt zu ermöglichen. Zu guter Letzt ändert Network Computing die Basiseinstellung des MDaemon-Mailservers, sodass dieser Nachrichten nicht mehr direkt, sondern über den C60 als Smart-Host versendet.

Die Ironport-Appliance erledigt ihren Auftrag fehlerlos. In zwei Monaten Testphase kommen kein Virus und nur eine Spam-Mail durch. Die Reports führen Hunderte abgelehnter Mails auf. Der Adminstrator legt fest, wie die C60 mit unerwünschten Mails verfährt. Das System kann die Mail abweisen, mit Vermerken versehen und zustellen, oder an andere Mail-Server leiten.

Die Konfiguration des Geräts stellt sich als leicht gewöhnungsbedürftig dar. Das Web-Interface der Appliance gibt eine gute Übersicht über das aktuelle Geschehen und erstellt auf Wunsch auch blitzschnell Reports. Allerdings verfügt die grafische Web-Oberfläche nur über begrenzte Konfigurationstools. Der Anwender kann die grundlegenden Policies betrachten, ändern und neue einrichten. Detaillierte Konfigurationsoptionen finden sich auf der Web-Oberfläche jedoch nicht. Hierzu muss der Verwalter die Kommandozeile der Appliance über eine Secure-Shell-Sitzung ansprechen. Die herstellereigene Kommandosprache gibt dann Zugriff auf alle Funktionen des Geräts. Zudem muss die Shell für die Ersteinrichtung und die Erstellung weiterer Listeners herhalten. Auch die Verwaltung der Lizenzschlüssel ist nicht über das Web-Interface möglich.

So benötigt der Administrator eine längere Eingewöhnungsphase, bis er im Umgang mit dem Ironport-Mailgateway zurechtkommt. Wie üblich erlaubt die Kommandozeile dann aber einem erfahrenen Benutzer, Regelwerke zügiger und detaillierter zusammenzustellen als mit einer GUI. In einem Großteil der Fälle wird man zudem auf Sondereinstellungen weitgehend verzichten können, denn die Grundkonfiguration der Listener lässt sich ohne Modifikationen gut für den Alltagsbetrieb einsetzen. [ ast ]