Das Hosted E-Mail Security hält als "E-Mail-Firewall" das Kunden-Gateway frei von Spam, Phishing, Viren und anderen Schadprogrammen sowie DoS- und DHA-Attacken auf den E-Mail-Server. Hosted E-Mail Security ist erhältlich als reines Anti-Spam-Modul sowie in Kombination mit einem Anti-Viren-Modul für maximalen Schutz vor unerwünschten Nachrichten und gefährlichen Anhängen.
Die Integration von CYTEC Hosted E-Mail Security in die bestehende Infrastruktur ist äußerst einfach, es muss lediglich der MX-Record im DNS geändert werden. Damit werden alle ein- und ausgehenden E-Mails des Kunden über ein Hochleistungs-Rechenzentrum von CYTEC geleitet und dort auf Spam, Viren und andere unerwünschte Inhalte überprüft. Dabei kommen verschiedene Antiviren- und Anti-Spam-Techniken zum Einsatz, unter anderem das Heuristikmodul Kaspersky BitHunt. Jede überprüfte E-Mail erhält einen bestimmten Status, etwa "saubere Nachricht", "Spam" oder "schädlicher Code". Saubere Nachrichten werden ohne Verzögerung oder Modifikation an den Kunden weitergeleitet. Mit den restlichen Mails kann unterschiedlich verfahren werden. Zum einen ist es möglich, die E-Mails mit Änderungen im Betreff oder im Header an den Kunden weiterzuleiten, damit dieser selbst über das weitere Vorgehen entscheiden kann. Zum anderen können E-Mails in die Quarantäne verschoben werden, wo sie bis zu 15 Tage lang aufbewahrt werden. Wenn nötig, kann jede beliebige Nachricht aus der Quarantäne wiederhergestellt und an den Adressaten gesendet werden. Die Konfiguration und der Zugriff auf die Reports und Statistiken erfolgen über ein komfortables Web-Interfaceim Rahmen einer gesicherten Verbindung (SSL).
Hier die wichtigsten Komponenten von Hosted E-Mail Security im Überblick:
- 2.1 Viren-Abwehr: Durch eine Kombination verschiedener Systeme zur Erkennung schädlicher Programme werden sowohl bereits bekannte als auch neue Viren, E-Mail-Würmer, trojanische Programme und andere Schadsoftware erkannt und blockiert.
- 2.2 Spam-Abwehr: Unerwünschte E-Mails (Spam) werden gefiltert und können zurückgehalten werden. Sie werden 15 Tage in einem Speicher auf bewahrt, auf den – wenn nötig – zugegriffen werden kann.
- 2.3 Sicherheits-Policies: Unerwünschte Anhänge (zum Beispiel Archive, MS-Office-Dokumente, Bilder, Musik-Dateien) im elektronischen Postverkehr werden sowohl anhand der inneren Dateistruktur als auch anhand der Dateiendung erkannt und blockiert.
- 2.4 Nachrichten-Zustellung: Alle an die E-Mail-Adresse des Kunden gesendeten Nachrichten, die zur Weiterleitung freigegeben wurden, werden ohne merkliche Verzögerung zugestellt.
- 2.5 Steuerung und Reports: Ein Web-orientiertes Verwaltungs-Interface ermöglicht den Zugriff auf Konfigurationstools, Statistiken und Reports.
In den folgenden Abschnitten werden diese Komponenten nun etwas genauer vorgestellt.
2.1 Viren-Abwehr
Das Filtern von Bedrohungen aus dem Internet weit vor dem Firmen-Gateway sorgt für ein erhöhtes Sicherheitsniveau: Aggressive Trojaner, Spyware-Programme und andere bösartige Attacken gelangen erst gar nicht zum Kunden. Dazu überprüft CYTEC Hosted E-Mail Security sämtliche E-Mails anhand verschiedener Antiviren-Technologien auf bekannte und unbekannte Schädlinge:
- Im Prescan werden solche Massenmails aussortiert, die – teilweise in abgewandelter Form – in hoher Zahl in den Datenzentren eintreffen. Der Kunde ist so geschützt vor DoS- und DDoS-Attacken und benötigt auch weniger Ressourcen, um das eintreffende Mailvolumen zu bewältigen.
- Der Format-Filter erkennt rund 80 Dateiformate zuverlässig nicht nur an der Dateiendung, sondern anhand der internen Struktur der Daten. So kann unerwünschter Content wie Videos oder ausführbare Dateien geblockt werden.
- Unabhängige Antiviren-Engines sorgen für eine höchstmögliche Erkennungsrate und erfüllenauch die Anforderung vieler Firmen, am Gateway eine andere Engine einzusetzen als auf den Workstations und Fileservern. Dank hervorragender Reaktionszeiten auf neue Bedrohungen und ständiger Updates durch Experten von Fortinet sind die Schutzsysteme immer auf dem neuesten Stand.
- BitHunt ist ein System zur proaktiven Erkennung von Bedrohungen, das bis zu 95 Prozent aller neuen schädlichen Programme erkennt. Damit ist es wesentlich leistungsfähiger als Heuristikenin Standardprodukten (etwa Antiviren-Software für Workstations oder Fileserver). Da BitHuntsehr ressourcenhungrig ist, kann es nur auf der hochspezialisierten Hardware in den Forinet-Datenzentren in vollem Funktionsumfang zum Einsatz kommen. Dadurch profitieren Kunden der CYTEC Hosted Security Services exklusiv von dieser zusätzlichen Sicherheitsstufe, gleichzeitigkönnen Virenschreiber ihre neuen Kreationen vorab nicht auf eine Erkennung durch BitHunttesten. Die Kombination all dieser Technologien garantiert die bestmögliche Malware-Erkennung bei einer minimalen False-Positive-Rate. Alle Nachrichten, in denen schädlicher Code entdeckt wurde, können entweder gelöscht oder in einen speziellen Speicher verschoben werden, aus dem jede beliebige E-Mail auf gesonderte Anfrage des vom Kunden autorisierten Administrators wiederhergestellt werden kann.
2.2 Spam-Abwehr
Der Spam-Filter vereint in sich bekannte "formale" Spam-Erkennungsmethoden mit einer Content-Filterung, mit deren Hilfe Spam auf Grund von inhaltlichen Kriterien und einer heuristischen Suchenach Key-Words sowie eines ungefähren Abgleichs mit Muster-E-Mails erkannt wird. Durch diese unterschiedlichen, hintereinander geschalteten Analyseschritte erreicht das Anti-Spam-Modul eine sehr hohe Trefferquote bei der Spam-Erkennung, gleichzeitig wird die Fehlerrate minimiert:
- Listen. Absenderadresse und IP-Adresse des Absenders werden mit Blacklists abgeglichen, dievon Providern oder verschiedenen öffentlichen Organisationen geführt werden (so genannte RBL– Real-Time Black Lists). Der Systemadministrator hat die Möglichkeit, eigene Whitelists mit Adressenanzulegen, von denen E-Mails grundsätzlich angenommen werden.
- Formale E-Mail-Merkmale. Zu den typischen Merkmalen von Spam zählen unter anderem das Fehlen einer gültigen Absender- oder Empfängeradresse beziehungsweise eine unangemessen große Empfängerzahl, das Fehlen einer IP-Adresse im Domain-Name-System (DNS) und vieles mehr. Überdies werden bei der Spam-Filterung auch Größe und Format der Nachricht berücksichtigt.
- E-Mail-Inhalt. Die E-Mails werden auf Spam-typische Merkmale untersucht, etwa die Verteilungspezifischer Wortverbindungen innerhalb der Nachricht. Der Spam-Filter analysiert nicht nur den Text im E-Mail-Body selbst, sondern auch den Inhalt angehängter Dateien.
- Signaturen (Muster). Für jede Spam-Mail wird automatisch eine so genannte lexikalische Signaturerstellt, mit deren Hilfe diese Nachricht zukünftig selbst mit geringfügigen Modifikationen erkannt werden kann.
- Modul zur Erkennung von grafischem Spam. Dieses Modul analysiert Mails, deren Text in Bilddateien eingebettet ist. Die Bemühungen der Spammer, auf diese Weise herkömmliche Spam-Filter zu umgehen, haben bei CYTEC Hosted E-Mail Security keinen Erfolg.
- Urgent Detection System (UDS). Kann eine E-Mail nicht eindeutig als Spam oder als sauber eingestuft werden, so erfolgt eine Anfrage an den UDSServer, der Daten zu den letzten Massenversendungen enthält. Informationen über neuen Spam werden unmittelbar nach Entdeckung durch die Spam-Analytiker hinzugefügt. Der Spam-Filter zeichnet sich insbesondere dadurchaus, dass er unerwünschte Nachrichten mit Hilfe einer inhaltlichen Analyse erkennt. Die E-Mails werden auf der Grundlage einer sinnbezogenen Analyse automatisch in verschiedene Kategorien eingeteilt.
Dank seiner hochspezialisierten Rechenzentren können die CYTEC Hosted Security Services auchTechnologien zum Schutz vor Spam und Malware anbieten, die in Standardprodukten nicht einsetzbarsind – sei es, da sie besonders ressourcenintensiv sind oder zusätzliche Hardware erfordern. Das führt gegenüber traditionellen Systemen zu einer verbesserten Arbeitsqualität.
2.3 Sicherheits-Richtlinien
Neben der Filterung von Malware und Spam bietet Hosted E-Mail Security die Möglichkeit,bestimmte Dateiformate zu blockieren. Der Dateityp wird dabei sowohl über die innere Struktur der Datei als auch über die Dateinamenserweiterung bestimmt. Die Blockierung bestimmter Dateitypen gewährleistet ein höheres Maß an Sicherheit und ermöglicht die effektive Umsetzung der vom Unternehmen festgelegten IT-Sicherheits-Policy. Folgende Formate werden unterstützt:
- Anwendungen (EXE, SYS, DLL und andere)
- Microsoft-Office-Dokumente (DOC, DOT, XLS, XLT, PPT, PPS und andere)
- RTF-Dokumente
- Archive (RAR, ARJ, ZIP und andere)
- Videodateien (AVI, MPG)
- Musikdateien (MP3, OGG)
2.4 Nachrichten-Zustellung
Treten beim E-Mail-Server des Kunden Probleme auf, werden die versandbereiten Nachrichten in einespezielle Warteschleife eingereiht (FailSafe). Der Administrator des Kunden kann diese E-Mails jederzeit einsehen. In regelmäßigen Abständen versucht FailSafe, sich mit dem E-Mail-Server des Kunden zu verbinden. Sobald dies gelingt, werden die zurückgestellten Nachrichten erneut gesendet.
2.5 Steuerung und Reports
Die Konfiguration der Services erfolgt über ein komfortables Web-Interface, auf das der Administrator – nach entsprechender Authentifizierung – über eine gesicherte SSL-Verbindung zugreifen kann. Dort können auch unterschiedliche Berichte erstellt werden. Folgende Berichtstypen stehen dabei zur Auswahl:
- Empfangene E-Mails: Informationen zu empfangenen E-Mails in jeder Domain des Kunden sowie zum Anteil der unerwünschten Korrespondenz am gesamten E-Mail-Verkehr innerhalb eines bestimmten Zeitraums
- Gesendete E-Mails: Anzahl der gesendeten E-Mails pro Domain und Anwender
- Spam: Anzahl, Umfang und wichtigste Quellen von Spam
- Malware: Anzahl und Umfang der überprüften Dateien, am weitesten verbreitete Schadprogramme zum Zeitpunkt der Berichtserstellung
- Top 10: Die jeweils zehn populärsten Schadprogramme, Spam-Quellen, aktivsten Adressaten und so weiter
- Hauptbericht: Zusammenfassende Informationen für alle Domains des Kunden, beinhaltet alle oben genannten Daten in einem Dokument
- Executive Report: Knapper Bericht für die Unternehmensleitung
|
