Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange SPAM-Schutz

Mitglied: padimonu

padimonu (Level 1) - Jetzt verbinden

13.07.2018 um 11:39 Uhr, 1844 Aufrufe, 11 Kommentare

Hallo Zusammen,

wir sind auf der Suche nach einem neuen SPAM Schutz für den MS Exchange.
Hier die Eckdaten:
MS Exch 2016
Win SRV 2016
derzeitiger Mail Scanner: Trend Micro ScanMail

Da wir derzeit mit Trend Micro unzufrieden sind, würden wir gerne diesen durch eine andere Software ersetzen. Durch unsere UTM werden schon einige Mails gefiltert. Attachement Blocking und so Geschichten wurden dann über die zusätzliche Software auf dem Exch noch genauer definiert. Ein Scanner mehr oder weniger schadet ja auch nicht .
Habt ihr da Erfahrung mit einem Produkt? Könnt ihr was empfehlen? Hab gesehen Sophos bietet ja auch ein Security Gateway an.
Mitglied: Kraemer
13.07.2018 um 12:15 Uhr
Moin,
Zitat von padimonu:
Ein Scanner mehr oder weniger schadet ja auch nicht .

diese "Einschätzung" teile ich überhaupt nicht! Die Fehlersuche wird dadurch massiv erschwert.

Gruß

PS: Deine Frage kann man dir nicht beantworten, weil du nichts darüber schreibst, wie euer Mailverkehr aussieht
Bitte warten ..
Mitglied: certifiedit.net
13.07.2018, aktualisiert um 12:16 Uhr
Hallo Padimonu,

was habt ihr denn derzeit für eine UTM im Einsatz? Allerdings würde ich wenn nur einen guten Scanner einsetzen.

Ja, Sophos bietet mit seinen SGs auch einen guten Spamschutz an. Bei Fragen hierzu kannst du dich gerne an die Sophos Seite wenden oder mir eine PN schreiben bzw lass uns gerne auch mal direkt telefonieren.

VG,

Christian
Bitte warten ..
Mitglied: Vancouverona
13.07.2018 um 14:56 Uhr
Hallo Padimonu,

zunächst eines vorneweg: Wir sind Mittelstand, 24/7 online, da wir weltweit Standorte haben. Unser Mailaufkommen liegt bei 27-30k Mails pro Woche. Wir haben bei uns ein mehrstufiges System verwirklicht:

  1. Firewall: Hier werden alle bekannten SMTP-Scanner abgewiesen. Vereinfacht gesagt: Wir sperren alle, die mehrfach mit "504 5.7.4 Unrecognized authentication type" und "550 5.7.1 Unable to relay" in den SMTP Receive Logs aufgefallen sind. Die Liste müssen wir derzeit noch manuell pflegen.
  2. Exchange: DNS Blacklists, damit bleiben die meisten "Drecksmails" draußen. Für jede eingesetzte Blacklist haben wir eine spezifische Abweisungsnachricht hinterlegt, falls es mal einen externen Partner versehentlich trifft. Gleichzeitig haben wir dort eine Telefonnummer zur Kontaktaufnahme hinterlegt, falls es mal sehr dringend ist. Darüber hinaus pflegen wir eine eigene IPBlockliste, pflegen Empfängerblocklisten (Adressen und Domänen), die automatisiert aus in der Vergangenheit eingegangenen unerwünschten Mails erstellt werden.
  3. Sophos PureMessage: Wir nutzen im wesentlichen den Virus-Scan und den Content-Filter, um kurzfristig auf Bedrohungen reagieren zu können. Hierdurch landen pro Tag ca. 300 Mails in der Quarantäne, die dann geprüft und weitergeleitet werden.
  4. Exchange Server (Teil 2): Alle eingehenden Mails mit Officeanhängen (Word, Excel, Powerpoint,...) werden moderiert, d.h. durch ein Team überprüft und anschließend freigegeben.

Was uns am meisten fehlt, ist ein echtes Whitelisting für "wichtige" Mails, das mindestens zwei Kriterien berücksichtigen müsste:

  1. Mailadresse
  2. Name oder IP des sendenden Mailservers
  3. Optional wäre auch noch ein "SPF OK" ganz schön

Die meisten Produkte kennen eine Whitelist auf Mailadressenbasis für SPAM. Das ist aber nahezu nahezu unbrauchbar.

Beispiel für SMTPReceiveLog (Relay-Versuch abgewiesen):
Beispiel für DNS Blacklist Eintrag (Powershell)
Grüße
Jörg
Bitte warten ..
Mitglied: SachsenHessi
13.07.2018 um 15:56 Uhr
ich empfehle REDDOXX.
Das hat ein selbstlernendes Whitelisting (vom Prinzip her).
Und ist ein außerdem noch als revisionssichere, gesetzeskonforme Archivierung geeignet.

SH
Bitte warten ..
Mitglied: certifiedit.net
13.07.2018 um 16:03 Uhr
Zitat von SachsenHessi:

ich empfehle REDDOXX.
Das hat ein selbstlernendes Whitelisting (vom Prinzip her).
Und ist ein außerdem noch als revisionssichere, gesetzeskonforme Archivierung geeignet.

SH

Würde ich ehrlich gesagt besser trennen (SPAM Filter und (Mail)archiv). Außerdem ist selbsterlernend gang und gäbe, die Frage ist, wie gut es ist.
Bitte warten ..
Mitglied: ArnoNymous
13.07.2018 um 17:05 Uhr
Moin

bisher mit Vamsoft ORF sehr zufrieden.

Gruß
Bitte warten ..
Mitglied: bastian23
13.07.2018 um 19:04 Uhr
Bi,

wir verwenden bei einigen Kunden https://efa-project.org
und sind mehr als zufrieden.
Bitte warten ..
Mitglied: sleaper
13.07.2018 um 21:49 Uhr
Hallo padimonu,

Schau dir doch mal MicroFocus Secure Mail Gateway (ehemals GWAVA) an....

https://www.microfocus.com/de-de/products/secure-gateway/

Vom gleichen Hersteller gibts auch ne anständige rechtskonforme Mail Archivierungsloesung (auch fuer Social Media)

https://www.microfocus.com/de-de/products/retain-email-archiving/archive ...

Fuer weitere Fragen darfst du mich gerne Kontaktieren

(Ja, wir sind Micro Focus Partner )

Viele Gruesse

Sascha Leaper
Bitte warten ..
Mitglied: Dani
13.07.2018 um 22:30 Uhr
Moin,
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.

Grundsätzlich rate ich dir zu einem Produkt, welches als SMTP-Proxy agiert und nicht als SMTP-Relay. Wer den Unterschied nicht kennt, sollte erstmal nachsitzen. Somit gibt es eigentlich keine Quarantäne mehr - Mail zugestellt oder abglehnt. Keine unnötige Archivierung von Mails. Somit wird auch der Speicherplatz geschont. Die Lösung beinhaltet zu 99% auch einen Malware/Virenscanner und lehnt verseuchte Mails je nach Konfiguration immer ab. Wenn's etwas mehr sein darf wird dort auch Blacklist/Whitelist und weitere Parameter geprüft, bevor die Mail zugestellt wird.

Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.

@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.


Gruß,
Dani
Bitte warten ..
Mitglied: Vancouverona
17.07.2018 um 16:23 Uhr
Zitat von Dani:

Moin,
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.

Der PureMessage Scanner scannt jede eingehende Mail einzeln. Findet er etwas (Virus, SPAM, OLE-Objekte, etc.), wird es in die Quarantäne von PureMessage verschoben. Findet er nix, kann Exchnage weitermachen.

Der Weg ist: Von Exchange angenommen, von Puremessage in der Queue gelesen und ggf. aussortiert, von Exchange zugestellt.

Vorteil von PureMessage: Es erkennt Dateitypen an Hand des Formates und nicht nur an Hand der Dateiendung. Eine als "*.DOC" umbenannte Excel-Datei wird als Exceldatei identifiziert. Der Exchange eigene Scanner macht daraus eine Word-Datei. Das ist z.b. dann wichtig, wenn mir einer ein DOC-Datei mit Makro unterschieben möchte: PureMessge kann das erkennen, für Exchange ist es nur eine Word-Datei.

Grundsätzlich rate ich dir zu einem Produkt, welches als SMTP-Proxy agiert und nicht als SMTP-Relay. Wer den Unterschied nicht kennt, sollte erstmal nachsitzen. Somit gibt es eigentlich keine Quarantäne mehr - Mail zugestellt oder abglehnt. Keine unnötige Archivierung von Mails. Somit wird auch der Speicherplatz geschont. Die Lösung beinhaltet zu 99% auch einen Malware/Virenscanner und lehnt verseuchte Mails je nach Konfiguration immer ab. Wenn's etwas mehr sein darf wird dort auch Blacklist/Whitelist und weitere Parameter geprüft, bevor die Mail zugestellt wird.

Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.

@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.

SMTP-Anfragen, die nicht am Exchangeserver ankommen, brauchen von diesem nicht verarbeitet werden. Es macht einen Unterschied, ob die Firewall 10000 Pakete wegwirft oder der Exchangeserver 10.000 mal auf eine Kontaktaufnahme antworten muss, um dann nach 20 Schritten festzustellen, dass da jemand mit 'nem Auth Fehler kommt, oder der Versender auf einer Blacklist steht.

Vielleicht noch ein Mißverständnis: Wir nutzen keine Sophos UTM.

Und ansonsten: Es sind drei Protokolldateien zu sichten, um herauszufinden, warum eine Mail nicht angekommen ist: Firewall Log, SMTP Receive Log und Puremessage Log.

Gruß Jörg
Bitte warten ..
Mitglied: Dani
23.07.2018 um 20:34 Uhr
Guten Abend Jörg,
Der Weg ist: Von Exchange angenommen, von Puremessage in der Queue gelesen und ggf. aussortiert, von Exchange zugestellt.
Dann ist es doch eigentlich schon zu spät. Der optimale Weg ist, SMTP Proxy prüft diverse Parameter (Blacklist, Malware, SFP, DKIM, Absenderscore, etc...) Wenn der Gesamtescore über einem Wert X wird die E-Mail abgelehnt. Anderenfalls wird die E-Mail an den Exchange-Server zugestellt.

SMTP-Anfragen, die nicht am Exchangeserver ankommen, brauchen von diesem nicht verarbeitet werden. Es macht einen Unterschied, ob die Firewall 10000 Pakete wegwirft oder der Exchangeserver 10.000 mal auf eine Kontaktaufnahme antworten muss, um dann nach 20 Schritten festzustellen, dass da jemand mit 'nem Auth Fehler kommt, oder der Versender auf einer Blacklist steht.
Richtig, daher ist der SMTP-Proxy eigentlich vor einem SMTP MTA zu vervorzugen. Denn die Verbindung zum Exchange bzw. die E-Mail wird erst zugestellt, wenn die Mail nach der Bewertung unter einem bestimmten Score bleibt.

Vielleicht noch ein Mißverständnis: Wir nutzen keine Sophos UTM.
Okay.

Und ansonsten: Es sind drei Protokolldateien zu sichten, um herauszufinden, warum eine Mail nicht angekommen ist: Firewall Log, SMTP Receive Log und Puremessage Log.
Mit einem SMTP-Proxy hast du genau eine Protokolldatei.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
SPAM SCHUTZ SecurePoint vs. TOBIT
Frage von OSelbeckErkennung und -Abwehr2 Kommentare

Hallo zusammen, habt Ihr Erfahrungen mit dem SPAM Schutz von TOBIT oder SecurePoint? Ein Kunde ist vom Tobit Spam ...

HTML
Intranet Schutz
gelöst Frage von finnhannemannHTML8 Kommentare

Hallo liebe Community, ich habe für mein Unternehmen ein Passwort System installiert. Es läuft auf einem Webserver und ist ...

Windows 7
Schutz vor Ramsoftware
gelöst Frage von stefan00166Windows 79 Kommentare

Liebe User, Ich habe bei mir daheim einen Windows 7 Pc der alt Netzwerkserver missbraucht wird. Darauf sind 2 ...

Microsoft
Schutz vor Ransomware
Frage von scar71Microsoft7 Kommentare

Hallo zusammen, mich würde interessieren, welche Schutzmechanismen ihr bereits im Kampf/Schutz vor bzg. gegen Ransomware (etc.) im Unternehmen implementiert ...

Neue Wissensbeiträge
Windows Server
Windows DNS Server Denial of Service Vulnerability
Information von Dani vor 1 TagWindows Server

Moin, Microsoft is aware of a vulnerability involving packet amplification that affects Windows DNS servers. An attacker who successfully ...

Batch & Shell

Automatisches Mailing im Batch mit mit sTunnel und Blat.exe

Anleitung von JHB-Kaltduscher vor 1 TagBatch & Shell3 Kommentare

Ich habe die Lösung für die Frage: Ich kann GoogleMail SMTP nicht einrichten? Folgende Teile nötig: sTunnel + blat.exe ...

Entwicklung
NVIDIA KI programmiert PacMan neu
Information von lcer00 vor 2 TagenEntwicklung

Hallo, Das dürfte ein wichtiger Meilenstein in der Evolution von KI sein. Die Matrix und Skynet lassen schon mal ...

Windows Tools
Windows Terminal 1.0 erschienen
Information von Frank vor 5 TagenWindows Tools

Auf der Microsoft Build hat Microsoft Windows Terminal Version 1.0 veröffentlicht. Die finale Version kann entweder über den Windows ...

Heiß diskutierte Inhalte
Hardware
Gaming-Laptop
Frage von MrLabelHardware42 Kommentare

Hallo, ich würde mir gerne meinen ersten Gaming Laptop kaufen. Meine Frage ist, komme ich mit maximal 1000,- hin ...

Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!!
Frage von MysticFoxDEMicrosoft36 Kommentare

Moin Zusammen, ich bin dem Letzt beim Debuggen einer Netzwerkproblematik auf ein meiner Ansicht nach sehr kritisches Problem in ...

LAN, WAN, Wireless
WLAN-Reichweite verstärken
Frage von f3nrIsLAN, WAN, Wireless20 Kommentare

Hallo, ich habe von einem Bekannten den Auftrag bekommen, mich ein bisschen schlau zu machen, wie man auf seinem ...

Datenbanken
Oracle Standard Lizenzierung - Trennung von der VMWare Farm
Frage von inspiratioDatenbanken15 Kommentare

Hallo zusammen, die Thematik ist einwenig komplex. Wir haben einen Server worauf eine Oracle Datenbank läuft. Dieser Server ist ...