Die Guten ins Töpfchen
Artikel erschienen in Swiss IT Magazine 2006/01
Laut dem deutschen BSI (Bundesamt für Sicherheit in der Informationstechnik) besteht das Mail-Aufkommen heute zu 60 bis 90 Prozent aus Spam. IT-Abteilungen sind deshalb gefordert, unternehmenskritische Kommunikationssysteme vor Eindringlingen, Missbrauch und böswilligen Überlastungsversuchen zu schützen. Deshalb setzen immer mehr Firmen auf spezialisierte und extrem leistungsfähige Geräte am äusseren Rand ihres Netzwerks, die Spam- und Viren-Mails schon «vor der Türe» aussortieren.
Doch die Kernfrage beim Umgang mit Mail-Strömen lautet: Wie erkennt man möglichst viele der unerwünschten Mails, ohne den regulären Kommunikationsfluss zu behindern? Hier sind Unterscheidungsmerkmale gefragt, mit denen sich die «Guten» von den «Schlechten» trennen lassen.
Eine sehr effiziente Herangehensweise ist die reputationsbasierte Prävention. Sie ist quasi die nächste Generation von identitätsbasierten Spam-Bekämpfungsversuchen wie Blacklists und Whitelists. Die Entscheidung fällt auf Basis umfangreicher Infor-mationen über die Quelle der Nachricht. Da nur der Absender analysiert wird und nicht der Empfänger, gewährleistet das Vorgehen zudem ein hohes Mass an Datenschutz.
Ziel ist es, die Wahrscheinlichkeit möglichst exakt einzuschätzen, ob über eine IP-Adresse Spam versendet wird. Die Klassifizierung erfolgt mittels statistischer Daten wie der Anzahl und Grösse der gesendeten Nachrichten des Mailservers oder über die Zahl eingehender Beschwerden. Das Ergebnis dieser Analyse ist eine Bewertung der Vertrauenswürdigkeit, der sogenannte Reputation Score. Nachrichten von verdächtigen Absendern können dann je nach Wahl des Administrators begrenzt oder vollständig blockiert werden. E-Mails von bekannten Absendern wie Geschäftspartner oder Kunden gehen abhängig von der Konfiguration an den Filtern vorbei direkt ins Firmennetzwerk. So können Unternehmensrichtlinien für präventive und reaktive Schutzmassnahmen auf einfache Art und Weise umgesetzt werden.
Ein wesentlicher Vorteil des Verfahrens: Die Prüfung erfolgt, bevor die Mail überhaupt auf einem der Empfängersysteme angenommen wird. Daher eignen sich Reputationsfilter speziell als äusserer Schutzwall der Infrastruktur. Denn je früher unerwünschte Mails ausgefiltert werden, um so weniger werden die nachfolgenden Systeme belastet.
Um die Idee der reputationsbasierten Prävention in die Praxis umzusetzen, ist eine möglichst objektive Einschätzung der Seriosität aller Absender nötig. Doch woher kommt die Reputation für eine möglicherweise dem Empfänger noch völlig unbekannte Absenderadresse? Hier hilft SenderBase, die weltweit erste und grösste Datenbank zur Analyse und Bewertung des globalen Mail-Aufkommens. Gespeist aus einem riesigen globalen Netzwerk, beinhaltet sie Daten von über 100'000 teilnehmenden Organisationen. Derzeit nutzen mehr als 40'000 Mailadministratoren die Datenbank regelmässig. Pro Tag werden dadurch die Daten von mehr als fünf Milliarden E-Mails ausgewertet und Informationen von mehr als 20'000 IP-Adressen gespeichert. Als Ergebnis bietet SenderBase derzeit Einblick in das Sendeverhalten von über 30 Prozent des weltweiten E-Mail-Verkehrs. Die Datenbank wird seit 2002 ständig weiterentwickelt und bewertet historische Daten über drei Jahre hinweg.
Mehr als 110 Parameter dienen als Grundlage zur Bewertung von IP-Adressen, etwa diejenigen von offenen Proxies und Relays, also ungeschützten Mailservern, die sich von jedermann missbrauchen lassen. Buch geführt wird beispielsweise auch über Beschwerden nach erfolgtem Spam-Versand, korrekte DNS-Einträge und Akzeptanz von Return-E-Mails, Herkunftsland sowie die Einträge aus mehreren verschiedenen Blacklists. Einsicht in einen Teil der Informationen bietet die Datenbank als Web-basierten Service öffentlich unter www.senderbase.org.
Die Datenbank arbeitet rund um die Uhr und wird permanent mit Daten versorgt. Durch aktive weltweite Kooperationen lassen sich neue Spam- oder Wurmwellen frühzeitig erkennen und die
IP-Adressen der betreffenden Absender blockieren.
Betreiber der SenderBase-Datenbank ist IronPort. Das Unternehmen gibt sich jedoch nicht damit zufrieden, die Informationen zu sammeln und aufzubereiten. Vielmehr stellt es das Know-how rund um den sicheren E-Mail-Verkehr in einer Appliance, der IronPort-C-Serie, zur Verfügung. Die Anwender der C-Serie müssen sich also nicht im Detail mit der Bewertung und dem Abgleich zahlreicher Parameter herumschlagen, die Plattform erledigt dies auf Wunsch autonom. Denn angesichts der stetig steigenden Komplexität von IT-Infrastrukturen erwarten die IT-Verantwortlichen zunehmend Komplettlösungen für den ganzen Themenbereich E-Mail.
Vorbeugung ist gut, aber eine Reaktion auf unerwünschte Mail-Inhalte ist für die Sicherheit unverzichtbar. Sich auf rein präventive Massnahmen zu verlassen, reicht nicht aus. Deshalb integriert IronPort auf der Plattform ein zusätzliches reaktives System, das die Inhalte überprüft. Dieses Content Scanning System besteht aus einem Musterfilter, der Anti-Spam-Lösung Symantec Brightmail und dem Antivirus-Paket von Sophos. Brightmail ist mit etwa 300 Millionen geschützten Mailboxen die derzeit am weitesten verbreitete reaktive Anti-Spam-Lösung. Sie bietet den Vorzug einer niedrigen False-Positive-Rate von 1:1 Million. Dies ist gerade im Unternehmenseinsatz wichtig, da irrtümlich abgewiesene Mails dem Ansehen schaden können und unnötige Mehrarbeit bei Benutzer und IT verursachen. Gleichzeitig erreicht Brightmail eine Spam-Erkennungsrate von mehr als 95 Prozent. Da die Lösung mit täglich über 30'000 Update-Informationen automatisch versorgt wird, fällt kein Administrationsaufwand an.
Josef Portmann von der Abteilung Informatik, IT-Technik & Support der Schweizerischen National-Versicherungs-Gesellschaft betreibt die IronPort-Lösung in der Praxis: «Die Reduktion der Spam-Rate von täglich fünf bis zehn pro Mitarbeiter auf nahezu Null ist eine herausragende Leistung. Die Kosten und der Zeitaufwand für unseren Helpdesk haben sich durch den Wegfall von Anfragen verunsicherter Anwender deutlich verringert.»
Der Sophos-Virenschutz zeichnet sich durch eine performante Scan-Engine aus, die automatisch aktualisiert wird. Für den Anwender bedeutet dies einen minimalen Bedienungsaufwand. Das Benutzerinterface wird ergänzt durch die Möglichkeit zum zentralen Management im Mail-Flow-Monitor, dem Werkzeug zur Fernverwaltung des Mail-Flusses durch die Appliances.
Der eigentliche Clou liegt jedoch in der regelbasierten Kombination aus reputationsbasierten Filtern und der Inhaltsprüfung. Denn Mails von bekannten und verifizierten Absenderadressen müssen nicht durch den Antispamfilter laufen. Vielmehr kann der Administrator festlegen, dass E-Mails von Geschäftspartnern direkt ausgeliefert werden. Sendungen von unbekannten, aber nicht als schädlich eingestuften Absendern müssen sich hingegen der Prüfung durch den Inhaltsfilter unterziehen.
Irmgard Schlembach ist freie Journalistin aus München