kickinho
Goto Top

Viren- und Spamschutz des E-Mail Verkehrs lokal oder beim Netzanbieter?

Hallo Admin-Gemeinde!

Ich möchte Euch um Eure fachkundige Meinung in Bezug auf den Spam/- und Virenschutz innerhalb des E-Mail Verkehrs bitten!

Wir arbeiten in einem Windows Server 2003 Netzwerk mit 8 aktiven Servern und ca. 45 Clients. Grundsätzlich sortiert unsere Firewall (Sonicwall TZ231) vorab virenbefallene E-Mails aus. Einer der genannten Server kontrolliert via GFI Mail Security sämtliche eingehenden E-Mails auf Viren und Spams und leitet die sicheren E-mails an den Exchange-Server weiter und verbannt die gefährlichen in die Quarantäne und die "Verdächtigen" an ein seperates Postfach. Desweiteren werden E-Mails über die Avira Exchange Management Console auf dem Exchange Server auch noch auf gefährliche, vorher nicht gefundene Inhalte überprüft.
Unser Internetanbieter hat mir jetzt ein überarbeitetes Angebot mit einem zusätzlichen Spam-Filter angeboten, der die E-Mails auf Spams kontrolliert, bevor sie an unser Relay weitergegeben werden. Da der "Spaß" natürlich nicht kostenlos ist, möchte ich euch um eure Einschätzung bitten, ob dieser zusätzliche Spam-Schutz auf Grundlage der o.g. Umgebung überhaupt notwendig ist!

Vielen Dank vorab für Eure fachkundigen Tipps face-smile

Content-ID: 152358

Url: https://administrator.de/contentid/152358

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

45877
45877 05.10.2010 um 10:16:36 Uhr
Goto Top
Hallo,

einfache Frage: Bist du so zufrieden wie es ist mit Anzahl der Spams die durchkommen und dem Aufwand den du treiben musst?
Wenn ja, brauchst du es nicht, wenn nein ist es zumindest ne Option.
Ansonsten würde ich erkannten Spam immer direkt ablehnen und nicht in die Quarantäne stecken, denn die schaut sich ja wohl eh niemand richtig an oder?
godlie
godlie 05.10.2010 um 10:31:18 Uhr
Goto Top
"Ansonsten würde ich erkannten Spam immer direkt ablehnen...."

Was aber nun mit Mails die fälschlicherweise als Spam erkannt wurden?
Ich würde Spams markieren und mittels Transportregel in den Junk-EMail Ordner verbannen.

Das Ablehnen von Spam ist glaub ich insofern nicht ganz erlaubt, denn es könnte ja sein
das ein Mitarbeiter diesen Spam haben will ( da war mal was vor ein paar jahren wenn ich
mich recht entsinne )...
45877
45877 05.10.2010 um 10:58:23 Uhr
Goto Top
Hallo,

wenn die Mail direkt abgelehnt wird, sieht es der Absender und kann sich telefonisch oder
per snail mail melden. Wird sie nur falsch erkannt und in die Quarantäne zu den anderen
20 000 Spams von dem tag gepackt, dann sieht es erstens keiner (auch nicht der Absender),
außerdem darfst du die Spams nicht einfach löschen, sonden musst sie archivieren falls soch was Bilanzrelevantes drin sein sollte usw..
Yali0n
Yali0n 05.10.2010 um 11:02:59 Uhr
Goto Top
Hi!

Wir verwenden für den ganzen Spaß Nospamproxy.

Dieser lehnt die unerwünschten mails direkt ab - dadurch erhält der Absender auch die Information das es nicht zugestellt werden konnte.

Funktionieren tut das ganze über eine Dynamische Trustlist.
Falls nun ein False-Positive fall eintritt, kann der sender (extern) unserem mitarbeiter bescheid geben.
Der sendet ihm ein Mail und damit wird der externe in der Trustlist aufgenommen und kann mails reinschicken (ohne Administrativen aufwand)

Ev. wäre das auch eine alternative ...
Der-Phil
Der-Phil 05.10.2010 um 11:44:10 Uhr
Goto Top
Hallo,

ich kann aus eigener Erfahrung sagen, dass es sich bei dieser Größe der Firma absolut lohnt, das, "wegzugeben".
Wir haben einen Managed-Ironport-Service, der das macht. Da zahlt man dann ca. 2-4 Euro pro Monat und Postfach und hat den ganzen Ärger nicht!

Bedenke einfach, welche Kosten deine interne Struktur verursacht.

Jetzt zum großen ABER:
Was für Software kommt denn bei deinem Provider zum Einsatz? Wenn es nur um einen schlecht trainierten Spamassassin geht und ClamAV, kannst Du das Ganze vergessen!
Du musst das Ganze in jedem Fall testen.

Bei der oben angesprochenen Ironport-Variante wird 99% auf SMTP-Ebene abgelehnt. Nur wenn der Contentfilter überhaupt greift, muss der User die Mail prüfen und ggf. freigeben.

Phil
Anulu1
Anulu1 05.10.2010 um 12:51:22 Uhr
Goto Top
Hallo,
die Spamfilter vom Provider sind meisten nicht gut. Es werden zu oft richtige Mails geblockt. Es gibt von Trend Micro eine Virtuelle Appliance . Diese arbeitet sehr gut und ist leicht zu warten. Der Preis stimmt hierfür auch. Allerdings muß man alle Spamfilter zuerst richtig konfigurieren. Anfangs ist es sinnvoll zu testen ob der Spamfilter richtig arbeitet. Dazu werden als Spam erkannte Mails nicht gleich gelöscht sondern in einen Ordner (Entweder Benutzerspezifisch oder allgemeiner Spamordner) verschoben.Dann kan man nach und nach die Whitelist aktualiseren. Nach einigen Wochen hat man dann einen super Spamfilter.

Gruß,
Christoph
Kickinho
Kickinho 05.10.2010 um 13:02:43 Uhr
Goto Top
Erstmal vielen Dank für Eure zahlreichen Antworten!

Aktuell ist es so, dass E-Mails an Subdomains bei uns automatisch abgeblockt werden. D.h. es werden nur Mails an real existierende Empfänger weitergeleitet oder als Spam markiert und gesondert abgelegt.

@ godlie: Das direkt abblocken von Spams möchten wir nicht, weil es oft vorkommt das Mails irrtümlich im Spam-Verzeichniss landen.

@ anulo & @Yali0n: Die Lösung werde ich mir gleich mal anschauen! Vielen Dank für Eure Tipps!

@der_phil: Da werde ich mich nochmal beim Provider informieren.

Die Lösung soll nämlich 15,- € pro Monat kosten für die gesamte Domain. Und wenn man sich das Geld sparen könnte, wäre das schon eine schöne Sachen.
Haltet ihr 15,- € für überteuert?
Der-Phil
Der-Phil 05.10.2010 um 13:12:28 Uhr
Goto Top
Hallo,

ist 20.000 Euro für ein Auto teuer? Kommt drauf an, für welches...

Ein vernünftiger Virenschutz kann es für 15Euro pro Domain eigentlich nicht sein! Da ist die Lizenz zu teuer.

@direkt ablehnen:
Ich glaube, es ist hier nicht klar, was das bedeutet! Es gibt hier praktisch keine "false-positives" und wenn, ist es egal. Direkt beim SMTP-Verbindungsaufbau wird abgelehnt. Wird das ausnahmsweise mal "unberechtigt" gemacht, erhält der Absender eine Mail mit Begründung für das Ablehnen --> er kann ohne Probleme reagieren.
Bei mir passiert das Ganze ca. 2mal pro Monat und betroffen sind ausschließlich chinesische Lieferanten, die über Spamserver verschicken.

Ein guter Filter auf SMTP-Ebene VERHINDERT false-positives, weil fast gar nicht nach dem Content geschaut werden muss!

Phil