Exchange SPAM-Schutz

Mitglied: padimonu

padimonu (Level 1) - Jetzt verbinden

13.07.2018 um 11:39 Uhr, 2375 Aufrufe, 11 Kommentare

Hallo Zusammen,

wir sind auf der Suche nach einem neuen SPAM Schutz für den MS Exchange.
Hier die Eckdaten:
MS Exch 2016
Win SRV 2016
derzeitiger Mail Scanner: Trend Micro ScanMail

Da wir derzeit mit Trend Micro unzufrieden sind, würden wir gerne diesen durch eine andere Software ersetzen. Durch unsere UTM werden schon einige Mails gefiltert. Attachement Blocking und so Geschichten wurden dann über die zusätzliche Software auf dem Exch noch genauer definiert. Ein Scanner mehr oder weniger schadet ja auch nicht ;-) face-wink.
Habt ihr da Erfahrung mit einem Produkt? Könnt ihr was empfehlen? Hab gesehen Sophos bietet ja auch ein Security Gateway an.
Mitglied: Kraemer
13.07.2018 um 12:15 Uhr
Moin,
Zitat von padimonu:
Ein Scanner mehr oder weniger schadet ja auch nicht ;-) face-wink.

diese "Einschätzung" teile ich überhaupt nicht! Die Fehlersuche wird dadurch massiv erschwert.

Gruß

PS: Deine Frage kann man dir nicht beantworten, weil du nichts darüber schreibst, wie euer Mailverkehr aussieht
Bitte warten ..
Mitglied: certifiedit.net
13.07.2018, aktualisiert um 12:16 Uhr
Hallo Padimonu,

was habt ihr denn derzeit für eine UTM im Einsatz? Allerdings würde ich wenn nur einen guten Scanner einsetzen.

Ja, Sophos bietet mit seinen SGs auch einen guten Spamschutz an. Bei Fragen hierzu kannst du dich gerne an die Sophos Seite wenden oder mir eine PN schreiben bzw lass uns gerne auch mal direkt telefonieren.

VG,

Christian
Bitte warten ..
Mitglied: Vancouverona
13.07.2018 um 14:56 Uhr
Hallo Padimonu,

zunächst eines vorneweg: Wir sind Mittelstand, 24/7 online, da wir weltweit Standorte haben. Unser Mailaufkommen liegt bei 27-30k Mails pro Woche. Wir haben bei uns ein mehrstufiges System verwirklicht:

  1. Firewall: Hier werden alle bekannten SMTP-Scanner abgewiesen. Vereinfacht gesagt: Wir sperren alle, die mehrfach mit "504 5.7.4 Unrecognized authentication type" und "550 5.7.1 Unable to relay" in den SMTP Receive Logs aufgefallen sind. Die Liste müssen wir derzeit noch manuell pflegen.
  2. Exchange: DNS Blacklists, damit bleiben die meisten "Drecksmails" draußen. Für jede eingesetzte Blacklist haben wir eine spezifische Abweisungsnachricht hinterlegt, falls es mal einen externen Partner versehentlich trifft. Gleichzeitig haben wir dort eine Telefonnummer zur Kontaktaufnahme hinterlegt, falls es mal sehr dringend ist. Darüber hinaus pflegen wir eine eigene IPBlockliste, pflegen Empfängerblocklisten (Adressen und Domänen), die automatisiert aus in der Vergangenheit eingegangenen unerwünschten Mails erstellt werden.
  3. Sophos PureMessage: Wir nutzen im wesentlichen den Virus-Scan und den Content-Filter, um kurzfristig auf Bedrohungen reagieren zu können. Hierdurch landen pro Tag ca. 300 Mails in der Quarantäne, die dann geprüft und weitergeleitet werden.
  4. Exchange Server (Teil 2): Alle eingehenden Mails mit Officeanhängen (Word, Excel, Powerpoint,...) werden moderiert, d.h. durch ein Team überprüft und anschließend freigegeben.

Was uns am meisten fehlt, ist ein echtes Whitelisting für "wichtige" Mails, das mindestens zwei Kriterien berücksichtigen müsste:

  1. Mailadresse
  2. Name oder IP des sendenden Mailservers
  3. Optional wäre auch noch ein "SPF OK" ganz schön

Die meisten Produkte kennen eine Whitelist auf Mailadressenbasis für SPAM. Das ist aber nahezu nahezu unbrauchbar.

Beispiel für SMTPReceiveLog (Relay-Versuch abgewiesen):
Beispiel für DNS Blacklist Eintrag (Powershell)
Grüße
Jörg
Bitte warten ..
Mitglied: SachsenHessi
13.07.2018 um 15:56 Uhr
ich empfehle REDDOXX.
Das hat ein selbstlernendes Whitelisting (vom Prinzip her).
Und ist ein außerdem noch als revisionssichere, gesetzeskonforme Archivierung geeignet.

SH
Bitte warten ..
Mitglied: certifiedit.net
13.07.2018 um 16:03 Uhr
Zitat von SachsenHessi:

ich empfehle REDDOXX.
Das hat ein selbstlernendes Whitelisting (vom Prinzip her).
Und ist ein außerdem noch als revisionssichere, gesetzeskonforme Archivierung geeignet.

SH

Würde ich ehrlich gesagt besser trennen (SPAM Filter und (Mail)archiv). Außerdem ist selbsterlernend gang und gäbe, die Frage ist, wie gut es ist.
Bitte warten ..
Mitglied: ArnoNymous
13.07.2018 um 17:05 Uhr
Moin

bisher mit Vamsoft ORF sehr zufrieden.

Gruß
Bitte warten ..
Mitglied: bastian23
13.07.2018 um 19:04 Uhr
Bi,

wir verwenden bei einigen Kunden https://efa-project.org
und sind mehr als zufrieden.
Bitte warten ..
Mitglied: sleaper
13.07.2018 um 21:49 Uhr
Hallo padimonu,

Schau dir doch mal MicroFocus Secure Mail Gateway (ehemals GWAVA) an....

https://www.microfocus.com/de-de/products/secure-gateway/

Vom gleichen Hersteller gibts auch ne anständige rechtskonforme Mail Archivierungsloesung (auch fuer Social Media)

https://www.microfocus.com/de-de/products/retain-email-archiving/archive ...

Fuer weitere Fragen darfst du mich gerne Kontaktieren

(Ja, wir sind Micro Focus Partner ;-) face-wink )

Viele Gruesse

Sascha Leaper
Bitte warten ..
Mitglied: Dani
13.07.2018 um 22:30 Uhr
Moin,
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.

Grundsätzlich rate ich dir zu einem Produkt, welches als SMTP-Proxy agiert und nicht als SMTP-Relay. Wer den Unterschied nicht kennt, sollte erstmal nachsitzen. Somit gibt es eigentlich keine Quarantäne mehr - Mail zugestellt oder abglehnt. Keine unnötige Archivierung von Mails. Somit wird auch der Speicherplatz geschont. Die Lösung beinhaltet zu 99% auch einen Malware/Virenscanner und lehnt verseuchte Mails je nach Konfiguration immer ab. Wenn's etwas mehr sein darf wird dort auch Blacklist/Whitelist und weitere Parameter geprüft, bevor die Mail zugestellt wird.

Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.

@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.


Gruß,
Dani
Bitte warten ..
Mitglied: Vancouverona
17.07.2018 um 16:23 Uhr
Zitat von Dani:

Moin,
meiner Meinung nach gehört auf den Exchange-Server kein Malwarescanner. Was soll der Anschauen die Datenbank oder Logdateien?! Man kann natürlich einen Installieren, dann aber bitte an Best Practices von Microsoft halten.

Der PureMessage Scanner scannt jede eingehende Mail einzeln. Findet er etwas (Virus, SPAM, OLE-Objekte, etc.), wird es in die Quarantäne von PureMessage verschoben. Findet er nix, kann Exchnage weitermachen.

Der Weg ist: Von Exchange angenommen, von Puremessage in der Queue gelesen und ggf. aussortiert, von Exchange zugestellt.

Vorteil von PureMessage: Es erkennt Dateitypen an Hand des Formates und nicht nur an Hand der Dateiendung. Eine als "*.DOC" umbenannte Excel-Datei wird als Exceldatei identifiziert. Der Exchange eigene Scanner macht daraus eine Word-Datei. Das ist z.b. dann wichtig, wenn mir einer ein DOC-Datei mit Makro unterschieben möchte: PureMessge kann das erkennen, für Exchange ist es nur eine Word-Datei.

Grundsätzlich rate ich dir zu einem Produkt, welches als SMTP-Proxy agiert und nicht als SMTP-Relay. Wer den Unterschied nicht kennt, sollte erstmal nachsitzen. Somit gibt es eigentlich keine Quarantäne mehr - Mail zugestellt oder abglehnt. Keine unnötige Archivierung von Mails. Somit wird auch der Speicherplatz geschont. Die Lösung beinhaltet zu 99% auch einen Malware/Virenscanner und lehnt verseuchte Mails je nach Konfiguration immer ab. Wenn's etwas mehr sein darf wird dort auch Blacklist/Whitelist und weitere Parameter geprüft, bevor die Mail zugestellt wird.

Somit ist der Exchange Server soweit entlastet, damit dieser seiner eigentlichen Aufgabe nachgehen kann.

@Vancouverona
Das dreifache Sicherheitssystem mit UTM, Exchange und Sophos verstehe ich nicht. Wem ist da geholfen? Außer das es die Fehlersuche meiner Meinung nach erschwert.

SMTP-Anfragen, die nicht am Exchangeserver ankommen, brauchen von diesem nicht verarbeitet werden. Es macht einen Unterschied, ob die Firewall 10000 Pakete wegwirft oder der Exchangeserver 10.000 mal auf eine Kontaktaufnahme antworten muss, um dann nach 20 Schritten festzustellen, dass da jemand mit 'nem Auth Fehler kommt, oder der Versender auf einer Blacklist steht.

Vielleicht noch ein Mißverständnis: Wir nutzen keine Sophos UTM.

Und ansonsten: Es sind drei Protokolldateien zu sichten, um herauszufinden, warum eine Mail nicht angekommen ist: Firewall Log, SMTP Receive Log und Puremessage Log.

Gruß Jörg
Bitte warten ..
Mitglied: Dani
23.07.2018 um 20:34 Uhr
Guten Abend Jörg,
Der Weg ist: Von Exchange angenommen, von Puremessage in der Queue gelesen und ggf. aussortiert, von Exchange zugestellt.
Dann ist es doch eigentlich schon zu spät. Der optimale Weg ist, SMTP Proxy prüft diverse Parameter (Blacklist, Malware, SFP, DKIM, Absenderscore, etc...) Wenn der Gesamtescore über einem Wert X wird die E-Mail abgelehnt. Anderenfalls wird die E-Mail an den Exchange-Server zugestellt.

SMTP-Anfragen, die nicht am Exchangeserver ankommen, brauchen von diesem nicht verarbeitet werden. Es macht einen Unterschied, ob die Firewall 10000 Pakete wegwirft oder der Exchangeserver 10.000 mal auf eine Kontaktaufnahme antworten muss, um dann nach 20 Schritten festzustellen, dass da jemand mit 'nem Auth Fehler kommt, oder der Versender auf einer Blacklist steht.
Richtig, daher ist der SMTP-Proxy eigentlich vor einem SMTP MTA zu vervorzugen. Denn die Verbindung zum Exchange bzw. die E-Mail wird erst zugestellt, wenn die Mail nach der Bewertung unter einem bestimmten Score bleibt.

Vielleicht noch ein Mißverständnis: Wir nutzen keine Sophos UTM.
Okay.

Und ansonsten: Es sind drei Protokolldateien zu sichten, um herauszufinden, warum eine Mail nicht angekommen ist: Firewall Log, SMTP Receive Log und Puremessage Log.
Mit einem SMTP-Proxy hast du genau eine Protokolldatei.


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

Windows Server
Lizenzrecht Microsoft HILFE!!!!
gelöst tAmtAm44Vor 12 StundenFrageWindows Server25 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 1 TagFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 1 TagFrageGroupware7 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 1 TagFrageWindows 1013 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 22 StundenFrageSAN, NAS, DAS14 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Outlook & Mail
Outlook kann keine Verbindung mit dem Posteingangsserver (SMTP) herstellen
gerry56Vor 1 TagFrageOutlook & Mail11 Kommentare

Hallo! Seit der Mailserverumstellung habe ich Probleme mit dem versenden von E-Mails Die Situation ist folgende. Ich habe verschiedene E-Mailadressen, die ich für diverse ...