Exchange SPAM-Schutz
Hallo Zusammen,
wir sind auf der Suche nach einem neuen SPAM Schutz für den MS Exchange.
Hier die Eckdaten:
MS Exch 2016
Win SRV 2016
derzeitiger Mail Scanner: Trend Micro ScanMail
Da wir derzeit mit Trend Micro unzufrieden sind, würden wir gerne diesen durch eine andere Software ersetzen. Durch unsere UTM werden schon einige Mails gefiltert. Attachement Blocking und so Geschichten wurden dann über die zusätzliche Software auf dem Exch noch genauer definiert. Ein Scanner mehr oder weniger schadet ja auch nicht .
Habt ihr da Erfahrung mit einem Produkt? Könnt ihr was empfehlen? Hab gesehen Sophos bietet ja auch ein Security Gateway an.
wir sind auf der Suche nach einem neuen SPAM Schutz für den MS Exchange.
Hier die Eckdaten:
MS Exch 2016
Win SRV 2016
derzeitiger Mail Scanner: Trend Micro ScanMail
Da wir derzeit mit Trend Micro unzufrieden sind, würden wir gerne diesen durch eine andere Software ersetzen. Durch unsere UTM werden schon einige Mails gefiltert. Attachement Blocking und so Geschichten wurden dann über die zusätzliche Software auf dem Exch noch genauer definiert. Ein Scanner mehr oder weniger schadet ja auch nicht .
Habt ihr da Erfahrung mit einem Produkt? Könnt ihr was empfehlen? Hab gesehen Sophos bietet ja auch ein Security Gateway an.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380173
Url: https://administrator.de/contentid/380173
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
diese "Einschätzung" teile ich überhaupt nicht! Die Fehlersuche wird dadurch massiv erschwert.
Gruß
PS: Deine Frage kann man dir nicht beantworten, weil du nichts darüber schreibst, wie euer Mailverkehr aussieht
diese "Einschätzung" teile ich überhaupt nicht! Die Fehlersuche wird dadurch massiv erschwert.
Gruß
PS: Deine Frage kann man dir nicht beantworten, weil du nichts darüber schreibst, wie euer Mailverkehr aussieht
Hallo Padimonu,
was habt ihr denn derzeit für eine UTM im Einsatz? Allerdings würde ich wenn nur einen guten Scanner einsetzen.
Ja, Sophos bietet mit seinen SGs auch einen guten Spamschutz an. Bei Fragen hierzu kannst du dich gerne an die Sophos Seite wenden oder mir eine PN schreiben bzw lass uns gerne auch mal direkt telefonieren.
VG,
Christian
was habt ihr denn derzeit für eine UTM im Einsatz? Allerdings würde ich wenn nur einen guten Scanner einsetzen.
Ja, Sophos bietet mit seinen SGs auch einen guten Spamschutz an. Bei Fragen hierzu kannst du dich gerne an die Sophos Seite wenden oder mir eine PN schreiben bzw lass uns gerne auch mal direkt telefonieren.
VG,
Christian
Hallo Padimonu,
zunächst eines vorneweg: Wir sind Mittelstand, 24/7 online, da wir weltweit Standorte haben. Unser Mailaufkommen liegt bei 27-30k Mails pro Woche. Wir haben bei uns ein mehrstufiges System verwirklicht:
Was uns am meisten fehlt, ist ein echtes Whitelisting für "wichtige" Mails, das mindestens zwei Kriterien berücksichtigen müsste:
Die meisten Produkte kennen eine Whitelist auf Mailadressenbasis für SPAM. Das ist aber nahezu nahezu unbrauchbar.
Beispiel für SMTPReceiveLog (Relay-Versuch abgewiesen):
Beispiel für DNS Blacklist Eintrag (Powershell)
Grüße
Jörg
zunächst eines vorneweg: Wir sind Mittelstand, 24/7 online, da wir weltweit Standorte haben. Unser Mailaufkommen liegt bei 27-30k Mails pro Woche. Wir haben bei uns ein mehrstufiges System verwirklicht:
- Firewall: Hier werden alle bekannten SMTP-Scanner abgewiesen. Vereinfacht gesagt: Wir sperren alle, die mehrfach mit "504 5.7.4 Unrecognized authentication type" und "550 5.7.1 Unable to relay" in den SMTP Receive Logs aufgefallen sind. Die Liste müssen wir derzeit noch manuell pflegen.
- Exchange: DNS Blacklists, damit bleiben die meisten "Drecksmails" draußen. Für jede eingesetzte Blacklist haben wir eine spezifische Abweisungsnachricht hinterlegt, falls es mal einen externen Partner versehentlich trifft. Gleichzeitig haben wir dort eine Telefonnummer zur Kontaktaufnahme hinterlegt, falls es mal sehr dringend ist. Darüber hinaus pflegen wir eine eigene IPBlockliste, pflegen Empfängerblocklisten (Adressen und Domänen), die automatisiert aus in der Vergangenheit eingegangenen unerwünschten Mails erstellt werden.
- Sophos PureMessage: Wir nutzen im wesentlichen den Virus-Scan und den Content-Filter, um kurzfristig auf Bedrohungen reagieren zu können. Hierdurch landen pro Tag ca. 300 Mails in der Quarantäne, die dann geprüft und weitergeleitet werden.
- Exchange Server (Teil 2): Alle eingehenden Mails mit Officeanhängen (Word, Excel, Powerpoint,...) werden moderiert, d.h. durch ein Team überprüft und anschließend freigegeben.
Was uns am meisten fehlt, ist ein echtes Whitelisting für "wichtige" Mails, das mindestens zwei Kriterien berücksichtigen müsste:
- Mailadresse
- Name oder IP des sendenden Mailservers
- Optional wäre auch noch ein "SPF OK" ganz schön
Die meisten Produkte kennen eine Whitelist auf Mailadressenbasis für SPAM. Das ist aber nahezu nahezu unbrauchbar.
Beispiel für SMTPReceiveLog (Relay-Versuch abgewiesen):
findstr /C:"550 5.7.1 Unable to relay" "C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive\RECV2018*.LOG"
Beispiel für DNS Blacklist Eintrag (Powershell)
Add-IPBlockListProvider -Name "SpamCop.NET" -Enabled $True -LookupDomain "bl.spamcop.net" -RejectionResponse "Your IP is blacklisted by SpamCop.net (bl.spamcop.net). Goto https://www.spamcop.net/bl.shtml to find out how to remove your address from this blacklist."
Grüße
Jörg
Zitat von @SachsenHessi:
ich empfehle REDDOXX.
Das hat ein selbstlernendes Whitelisting (vom Prinzip her).
Und ist ein außerdem noch als revisionssichere, gesetzeskonforme Archivierung geeignet.
SH
ich empfehle REDDOXX.
Das hat ein selbstlernendes Whitelisting (vom Prinzip her).
Und ist ein außerdem noch als revisionssichere, gesetzeskonforme Archivierung geeignet.
SH
Würde ich ehrlich gesagt besser trennen (SPAM Filter und (Mail)archiv). Außerdem ist selbsterlernend gang und gäbe, die Frage ist, wie gut es ist.
Hallo padimonu,
Schau dir doch mal MicroFocus Secure Mail Gateway (ehemals GWAVA) an....
https://www.microfocus.com/de-de/products/secure-gateway/
Vom gleichen Hersteller gibts auch ne anständige rechtskonforme Mail Archivierungsloesung (auch fuer Social Media)
https://www.microfocus.com/de-de/products/retain-email-archiving/archive ...
Fuer weitere Fragen darfst du mich gerne Kontaktieren
(Ja, wir sind Micro Focus Partner )
Viele Gruesse
Sascha Leaper
Schau dir doch mal MicroFocus Secure Mail Gateway (ehemals GWAVA) an....
https://www.microfocus.com/de-de/products/secure-gateway/
Vom gleichen Hersteller gibts auch ne anständige rechtskonforme Mail Archivierungsloesung (auch fuer Social Media)
https://www.microfocus.com/de-de/products/retain-email-archiving/archive ...
Fuer weitere Fragen darfst du mich gerne Kontaktieren
(Ja, wir sind Micro Focus Partner )
Viele Gruesse
Sascha Leaper
Moin,
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.
Grundsätzlich rate ich dir zu einem Produkt, welches als SMTP-Proxy agiert und nicht als SMTP-Relay. Wer den Unterschied nicht kennt, sollte erstmal nachsitzen. Somit gibt es eigentlich keine Quarantäne mehr - Mail zugestellt oder abglehnt. Keine unnötige Archivierung von Mails. Somit wird auch der Speicherplatz geschont. Die Lösung beinhaltet zu 99% auch einen Malware/Virenscanner und lehnt verseuchte Mails je nach Konfiguration immer ab. Wenn's etwas mehr sein darf wird dort auch Blacklist/Whitelist und weitere Parameter geprüft, bevor die Mail zugestellt wird.
Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.
@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.
Gruß,
Dani
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.
Grundsätzlich rate ich dir zu einem Produkt, welches als SMTP-Proxy agiert und nicht als SMTP-Relay. Wer den Unterschied nicht kennt, sollte erstmal nachsitzen. Somit gibt es eigentlich keine Quarantäne mehr - Mail zugestellt oder abglehnt. Keine unnötige Archivierung von Mails. Somit wird auch der Speicherplatz geschont. Die Lösung beinhaltet zu 99% auch einen Malware/Virenscanner und lehnt verseuchte Mails je nach Konfiguration immer ab. Wenn's etwas mehr sein darf wird dort auch Blacklist/Whitelist und weitere Parameter geprüft, bevor die Mail zugestellt wird.
Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.
@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.
Gruß,
Dani
Zitat von @Dani:
Moin,
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.
Moin,
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.
Der PureMessage Scanner scannt jede eingehende Mail einzeln. Findet er etwas (Virus, SPAM, OLE-Objekte, etc.), wird es in die Quarantäne von PureMessage verschoben. Findet er nix, kann Exchnage weitermachen.
Der Weg ist: Von Exchange angenommen, von Puremessage in der Queue gelesen und ggf. aussortiert, von Exchange zugestellt.
Vorteil von PureMessage: Es erkennt Dateitypen an Hand des Formates und nicht nur an Hand der Dateiendung. Eine als "*.DOC" umbenannte Excel-Datei wird als Exceldatei identifiziert. Der Exchange eigene Scanner macht daraus eine Word-Datei. Das ist z.b. dann wichtig, wenn mir einer ein DOC-Datei mit Makro unterschieben möchte: PureMessge kann das erkennen, für Exchange ist es nur eine Word-Datei.
Grundsätzlich rate ich dir zu einem Produkt, welches als SMTP-Proxy agiert und nicht als SMTP-Relay. Wer den Unterschied nicht kennt, sollte erstmal nachsitzen. Somit gibt es eigentlich keine Quarantäne mehr - Mail zugestellt oder abglehnt. Keine unnötige Archivierung von Mails. Somit wird auch der Speicherplatz geschont. Die Lösung beinhaltet zu 99% auch einen Malware/Virenscanner und lehnt verseuchte Mails je nach Konfiguration immer ab. Wenn's etwas mehr sein darf wird dort auch Blacklist/Whitelist und weitere Parameter geprüft, bevor die Mail zugestellt wird.
Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.
@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.
Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.
@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.
SMTP-Anfragen, die nicht am Exchangeserver ankommen, brauchen von diesem nicht verarbeitet werden. Es macht einen Unterschied, ob die Firewall 10000 Pakete wegwirft oder der Exchangeserver 10.000 mal auf eine Kontaktaufnahme antworten muss, um dann nach 20 Schritten festzustellen, dass da jemand mit 'nem Auth Fehler kommt, oder der Versender auf einer Blacklist steht.
Vielleicht noch ein Mißverständnis: Wir nutzen keine Sophos UTM.
Und ansonsten: Es sind drei Protokolldateien zu sichten, um herauszufinden, warum eine Mail nicht angekommen ist: Firewall Log, SMTP Receive Log und Puremessage Log.
Gruß Jörg
Guten Abend Jörg,
Gruß,
Dani
Der Weg ist: Von Exchange angenommen, von Puremessage in der Queue gelesen und ggf. aussortiert, von Exchange zugestellt.
Dann ist es doch eigentlich schon zu spät. Der optimale Weg ist, SMTP Proxy prüft diverse Parameter (Blacklist, Malware, SFP, DKIM, Absenderscore, etc...) Wenn der Gesamtescore über einem Wert X wird die E-Mail abgelehnt. Anderenfalls wird die E-Mail an den Exchange-Server zugestellt.SMTP-Anfragen, die nicht am Exchangeserver ankommen, brauchen von diesem nicht verarbeitet werden. Es macht einen Unterschied, ob die Firewall 10000 Pakete wegwirft oder der Exchangeserver 10.000 mal auf eine Kontaktaufnahme antworten muss, um dann nach 20 Schritten festzustellen, dass da jemand mit 'nem Auth Fehler kommt, oder der Versender auf einer Blacklist steht.
Richtig, daher ist der SMTP-Proxy eigentlich vor einem SMTP MTA zu vervorzugen. Denn die Verbindung zum Exchange bzw. die E-Mail wird erst zugestellt, wenn die Mail nach der Bewertung unter einem bestimmten Score bleibt. Vielleicht noch ein Mißverständnis: Wir nutzen keine Sophos UTM.
Okay.Und ansonsten: Es sind drei Protokolldateien zu sichten, um herauszufinden, warum eine Mail nicht angekommen ist: Firewall Log, SMTP Receive Log und Puremessage Log.
Mit einem SMTP-Proxy hast du genau eine Protokolldatei.Gruß,
Dani