Je kunt je eigen filter tegen ongewenste en gevaarlijke e-mail draaien. Maar er valt ook veel te zeggen voor het uitbesteden van antispam- en mailbeveiligingsdiensten. Wij hebben vier van zulke hosted mail securitydiensten getest.We hebben de volgende vier diensten getest: Abo-It De SpamOplosser(F-Secure), MxLab (Commtouch), Panda en TrendMicro.
Het is erg gesteld met onze e-mail. De meest recente cijfers zeggen dat we wereldwijd slechts een vijfde geldige e-mails verwerken en vier vijfde rommel die niemand wenst. Het draaien van een filtersysteem om al die spam tegen te houden is dus geen overbodige luxe en zelfs noodzakelijk. Je kunt zo'n filter of 'mail security appliance' (MSA) perfect zelf draaien. Al die ongewenste mails kunnen dan wel nog steeds de internetverbinding belasten. De mails komen immers eerst aan en worden pas daarna gefilterd. Een erg interessant alternatief is om dat filter uit te besteden. Een 'Hosted Mail Security'-dienst ontvangt alle e-mails, filtert er de ongewenste rommel uit en stuurt alleen de gewenste mail aan de mailserver van het bedrijf. De internetbandbreedte wordt dan minder belast en je hoeft zelf ook geen filter meer te beheren.
Uitbesteding
Hoe werkt zo'n uitbestede mailfilterdienst? Mailservers op het internet kunnen e-mails bestemd voor een domein op de bijbehorende mailserver(s) afleveren dankzij de zogenaamde MX-inschrijvingen in de domeingegevens. Die MX-gegevens zeggen naar welke mailserver post voor dat domein gestuurd moet worden. Normaal vul je daar het ip-adres of de domeinnaam van je eigen mailserver in. Als je een hosted filter gebruikt, vul je in de MX-velden de gegevens van de servers van die filterdienst in. Zo eenvoudig is het. Het duurt maximaal zo'n 48 uur voor de gewijzigde domeindata met de nieuwe MX-velden zich door het internet verspreid hebben (‘gepropageerd'), maar vanaf dat moment ontvangt de filterdienst alle e-mail bestemd voor het omgezette domein. Voor de veiligheid herconfigureer je de eigen mailserver na die 48 uur, zodat die alleen post aanvaardt van de filterdienst. Zo kan niemand rechtstreeks spam of malware binnenpompen. De filterdieHoe werkt zo'n uitbestede mailfilterdienst? Mailservers op het internet kunnen e-mails bestemd voor een domein op de bijbehorende mailserver(s) afleveren dankzij de zogenaamde MX-inschrijvingen in de domeingegevens. Die MX-gegevens zeggen naar welke mailserver post voor dat domein gestuurd moet worden. Normaal vul je daar het ip-adres of de domeinnaam van je eigen mailserver in. Als je een hosted filter gebruikt, vul je in de MX-velden de gegevens van de servers van die filterdienst in. Zo eenvoudig is het. Het duurt maximaal zo'n 48 uur voor de gewijzigde domeindata met de nieuwe MX-velden zich door het internet verspreid hebben (‘gepropageerd'), maar vanaf dat moment ontvangt de filterdienst alle e-mail bestemd voor het omgezette domein. Voor de veiligheid herconfigureer je de eigen mailserver na die 48 uur, zodat die alleen post aanvaardt van de filterdienst. Zo kan niemand rechtstreeks spam of malware binnenpompen. De filterdienst haalt alle ongewenste rommel weg en levert wat overblijft netjes aan de mailserver af.
Zelf draaien of uitbesteden
Als je het spamfilter of 'mail security' zelf draait, heb je altijd de volledige controle in handen. De eigen mails gaan dan niet via systemen van derden, behalve dan via internetproviders. Een filterdienst werkt uiteraard met een SLA ('service level agreement') die je een zekere kwaliteit garandeert en natuurlijk ook de nodige privacy en beveiliging: de eigen mails worden door niemand anders bekeken. Een filterdienst kan overigens ook grote volumes e-mail verwerken. Dus druk e-mailverkeer is ook al geen reden om een eigen filter te draaien. De gehoste oplossing biedt als voornaamste voordelen: ontlasting van de internetbandbreedte omdat alleen nog maar gewenste mails binnenkomen en weinig of geen beheer.
Dat laatste is dan meteen ook het nadeel en de reden waarom sommige bedrijven toch liever zelf een filter draaien. Zo zijn ze immers zeker alle touwtjes in handen te hebben. Een lokaal draaiend spamfilter kan ook alle uitgaande mail controleren. Op die manier worden alle adressen voor uitgaande mail op een witte lijst gezet zodat ze probleemloos post kunnen binnengooien. Bij een gehost spamfilter kan dat doorgaans niet, al staan sommige aanbieders wel toe een lijst van goedgekeurde afzenders te definiëren. Als je wel een eigen mailserver wil draaien, maar niet zelf met de spam- en malwarefiltering bezig wil zijn, dan kan een gehoste beveiligingsoplossing zeker het overwegen waard zijn.
Een bepaalde mate van vertrouwen is daarbij wel noodzakelijk, omdat het smtp-protocol mails onversleuteld uitwisselt en de post dus ook onbeveiligd verwerkt wordt. Dat wordt natuurlijk een groter probleem als de dienst ook archivering ondersteunt.
Praktijktest en testprocedure
Wat verwachten we van een filterdienst? De dienst moet al het vuile werk voor ons opknappen en dus hebben we graag zo weinig mogelijk beheer. De post omleiden en er verder geen omkijken naar hebben, verdient onze voorkeur. We willen natuurlijk wel enige rapportage, zodat we weten wat er gebeurt. En we wensen ook een behoorlijke quarantaine zodat we twijfelgevallen handmatig kunnen inspecteren en alsnog ‘redden'.
Voor deze test hebben we elke filterdienst ongeveer een week lang al de post voor het domein datatestlab.com laten filteren. De diensten moesten hun werk dus daadwerkelijk in een ‘live' omgeving uitvoeren. Wij gingen vervolgens na hoeveel ongewenste mails er nog in onze mailboxen terecht kwamen, maar ook of geldige mails toch geblokkeerd raakten (vals positieven). Dat deden we ook met een viertal testmailboxen van fictieve gebruikers die nogal dol zijn op het downloaden van porno en ‘warez' en hun e-mailadressen dus overal op het internet hebben laten rondslingeren.
We zijn wat de beveiliging betreft tevreden zodra we minder dan vijf ongewenste mails per dag binnenkrijgen en geen enkel geldig bericht tegengehouden wordt. Ter informatie: Data TestLab krijgt momenteel in totaal zo'n zesduizend met pieken tot negenduizend mails per dag binnen waarvan meer dan 98% tot zelfs 99% ongewenst is.
Deelnemers
We hebben de volgende vier diensten getest: Abo-It DeSpamOplosser (F-Secure), MxLab (Commtouch), Panda en TrendMicro. We hadden ook Kaspersky, Symantec en InfoSupport uitgenodigd om mee te doen aan de test, maar dat leverde helaas niets op. Kasperky is bezig met een nieuwe e-mailbeveiligingsdienst en die was nog niet klaar voor onze test. Symantec en InfoSupport werken allebei op basis van de MessageLabs dienst, maar die konden we niet testen omdat die niet in staat blijkt e-mail af te leveren aan een mailserver die geen vast en statisch ip-adres heeft op poort 25. Onze mailserver hangt niet meer aan een vast ip-adres op internet. Waarom zouden we, als we een filterdienst gebruiken en onze mailserver dus niet meer open en bloot op internet toegankelijk hoeft te zijn? Maar daar blijkt MessageLabs geen rekening mee gehouden te hebben. Symantec vertelt ons, dat de volgende versie van de MessageLabs software wel degelijk post zal kunnen afleveren op een dynamisch-domeinadres in plaats van een vast ip-adres. We zullen de dienst dus in de toekomst hopelijk wel kunnen testen.
Abo-It F-Secure DeSpamOplosser - quarantaine
Het Nederlandse bedrijf ABO Automatisering (kortweg Abo-It) uit Gelderland is zo'n twaalf jaar geleden opgericht als een onderneming voor beheer, verkoop en advies inzake automatisering. De laatste jaren zijn daar ook allerlei hostingactiviteiten bijgekomen. Een van de nieuwste diensten die het bedrijf levert, is een e-mailfilterdienst. Deze is op een oplossing van het Finse F-Secure gebaseerd en heet 'DeSpamOplosser'. Als klant hoef je je zo goed als niet met het beheer van deze dienst bezig te houden. Zodra je de MX-records van jouw domein(en) hebt omgezet naar die van Abo-It, werkt de filter al. Bij de eerste mails die in quarantaine terecht komen, krijgt elke gebruiker volautomatisch een overzicht via e-mail toegestuurd en kan meteen via een webinterface zijn quarantaine beheren of zijn profiel bekijken en desgewenst wijzigen. In dat profiel kan een gebruiker instellen welke taal hij wil gebruiken en of hoe vaak ze quarantaine-overzichten wil ontvangen. Onder profiel is er ook nog een gebruikersaccount, en die bevat alle e-mailaliassen voor die gebruiker. Het blijft dus vanuit het standpunt van de gebruiker allemaal supereenvoudig.
Onze prestatiemeting toonde 1,21 ongewenste berichten per mailbox en per dag, en 2,57 valse positieven die dagelijks gered moesten worden. Dat is de op twee na slechtste score uit deze test.
Productinfo
Product: DeSpamOplosser
Producent: F-Secure; www.f-secure.com
Leverancier: Abo Automatisering, www.abo-it.nl
Adviesprijs: 3,95 euro/mailbox/maand
MX-Lab Managed Email Security - rapportage
MX Lab is een Belgisch bedrijf uit Erpe-Mere en werd opgericht in 2005 als een afdeling van Pixel Design. Het levert een op Europa gerichte pure antimalware-dienst die met software van Commtouch werkt, een Amerikaans bedrijf dat hier niet zo bekend is, maar in Amerika een goede reputatie heeft op het gebied van antispam, onmiddellijke virusuitbraakbescherming en repuratiefiltering gebaseerd op gepatenteerde vaak voorkomende patroonherkenning ('Recurrent Pattern Detection' of RPD). MX Lab zegt dat er drie antivirusmotoren gebruikt worden voor de 'nul uur'-antivirusdienst. Welke dat zijn, vertelde het bedrijf er niet bij. Een nul-uurantivirusdienst wil zeggen, dat er bescherming geboden worden vanaf het allereerste opduiken van een nieuw virus, ook als de signatuurdatabases van de antimalwareproducenten nog niet bijgewerkt zijn. Dit werkt op basis van speciale systemen die virusuitbraken zo vroeg mogelijk proberen te detecteren.
Daarnaast ondersteunt MX Lab ook archivering van mail. Als je die dienst activeert, wordt alle (gefilterde) mail standaard 365 dagen bewaard, maar die duurtijd kun je wijzigen. Permanente opslag is ook mogelijk, maar dan moet er natuurlijk voldoende opslagcapaciteit zijn.
Het webbeheer heeft een kleurenpalet in grijsgradaties met toetsjes in opvallende andere kleuren zoals oranje. Het ziet er modern en toch smaakvol uit. De bediening is erg eenvoudig gehouden. Bovenaan is er een menubalk waarbij elk menuonderdeel kan uitklappen in een submenu. Na de inlog zie je een dashboard met een statistische grafiek van de beveiligingsoperaties. Je kunt dan in het hoofdmenu kiezen voor configuratie, quarantaine, archief, logs en rapporten. Bij configuratie kun je alleen zwarte en witte lijsten opmaken, domeinbeheerders opgeven, bestemmingsmailservers en ip-specifieke toegang definiëren en het archief instellen inzake opslagparameters. De quarantaine toont de gefilterde berichten. Die kun je onderzoeken en daarna wissen of doorsturen. Tijdens onze test bleef deze quarantaine altijd leeg. Het systeem was dus kennelijk heel erg zeker van wat spam was, want alles wat als spam gemarkeerd werd, werd tijdens onze test ook gewist. Met het menu-onderdeel logs konden we dat echter wel controleren.
Bij 'archief' zie je de inhoud van het archief. Je kunt erin zoeken en bepaalde berichten opnieuw laten doorsturen of wissen. De rapportagemodule genereert op aanvraag mooie taart- en staafgrafieken op basis van de beveiligingscijfers.
Tijdens onze test stelden we 1,07 spamberichten per dag en per gebruiker vast. We hoefden geen enkele valse positieve betreuren tijdens de testperiode. Dat is een erg goede score.
Productinfo
Product: Managed Email Security
Producent: Commtouch, www.commtouch.com
Leverancier: MX Lab, www.mxlab.eu
Adviesprijs: 18 euro/gebruiker/jaar (1 tot 20 gebruikers), alleen inbound; ook outbound start vanaf 20 euro/gebruiker/jaar; archivatie vanaf 50 euro/maand flat fee.
Panda Managed Email Protection
Panda Security is een Spaans bedrijf. Hun Managed Email Protection filtert zowel de spam als de malware uit e-mails zodra de MX-velden omgezet zijn. Het beheer gebeurt via een webinterface waarmee heel wat mogelijk blijkt. Je kunt witte en zwarte lijsten aanmaken, diensten per domein en per gebruiker opgeven, vertrouwde-adreslijsten bijhouden per domein of per gebruiker, een filtermodus kiezen per domein of per gebruiker, een virusquarantaine bijhouden, een filterreglement opstellen, uitgaande mail filteren en NDR-controle toepassen per domein of per gebruiker. De webinterface heeft een prettig blauwgrijs uiterlijk en werkt met een uitklapbare menuboom uiterst links en een detailpaneel met tabbladen rechts daarvan. Die tabbladen vormen in feite het hoofdmenu en laten je kiezen uit beheer, filtering, instellingen en hulp. De menuboom uiterst links komt dan overeen met de gekozen hoofdrubriek. De 'Rules Engine' of reglementmotor bevat normaal een standaardreglement dat toegepast wordt zodra je de dienst activeert. Je kunt zelf regels bijmaken of bestaande regels wijzigen. Dat dient meer om te bepalen wat er moet gebeuren met mails nadat vastgesteld werd dat ze malware of spam bevatten. Je kunt in die regels opgeven dat bijlagen gewist moeten worden, of dat de berichten naar de vuinislbak of naar een kopiebestemming moeten.
Tijdens onze test haalde Panda helaas de slechtste score van iedereen. Onze gebruikers kregen gemiddeld 2,11 ongewenste berichten per dag en per gebruiker, we moesten gemiddeld 2,57 valse positieven per dag redden en tot onze grote verbijstering liet deze dienst als enige een virus door! Nee: Panda heeft nog wat werk voordat deze dienst kan concurreren met de rest.
Productinfo
Product: Managed Email Protection
Producent: Panda Security, E; www.pandasecurity.com
Adviesprijs: 19,56 euro/user (vanaf 100 users, jaarcontract)
Trend Micro Interscan Messaging Hosted Security - witte en zwarte lijsten
Bij Trend Micro, dat vooral bekend staat als antimalware-softwareproducent, kun je tegenwoordig ook een abonnement voor een hosted mail security-oplossing krijgen. Na het omzetten van de MX-velden krijg je alleen nog maar geldige post voor het eigen domeinen binnen en geen malware of andere ongewenste mails: dat is althans de bedoeling. Qua beheer is er een webinterface waarmee heel wat mogelijk is. Je kunt je eigen domeinen, witte en zwarte lijsten beheren. Er is een prachtig dashboard waarmee je in een oogopslag allerlei statistieken en grafiekjes te zien krijgt over de postverwerkingsstatus. Dat laat overigens nogal deprimerend zien dat slechts een paar procent van alle verwerkte post ‘schoon' is. Een quarantaine is er ook. Het beheer gebeurt via een uitgebreide webinterface waarmee gebruikers zelf kunnen inloggen en hun eigen quarantaine uitmesten, of een beheerder kan dat voor hen doen. De beheerder moet dat dan wel per domein en per gebruiker doen. Er is namelijk geen voorziening om een globale quarantaine voorgeschoteld te krijgen. Domein- en gebruikerslijsten kunnen gelukkig wel via csv-bestanden geüpload worden.
In onze testweek moesten we in totaal drie mails redden uit de quarantaine: dat zijn er ongeveer 0,43 per dag. Onze gebruikers troffen 1,21 ongewenste berichten per dag en per mailbox aan. Dit is een resultaat in de middenmoot van de test.
Productinfo
Product: InterScan Messaging Hosted Security
Producent: Trend Micro Inc.; USA; www.trendmicro.com
Leverancier: Trend Micro Nederland, tel. +31 35 64 62 647; www.trendmicro.nl
Adviesprijs: 18,68 euro/gebruiker/jaar IMHS Standaard of 28,30 euro/g/j IMHS Advanced, vanaf 105 gebruikers; een gebruiker mag meerdere aliassen en/of mailboxen hebben
Conclusie
De grootste troeven van een gehoste beveiligingsdienst voor e-mail zijn de ontlasting van het eigen netwerk en een veel eenvoudiger tot geen beheer. Bij veel uitbaters van dergelijke diensten mag je de dienst een tijdlang gratis uitproberen om te kijken of ze je bevalt. Van alle geteste diensten waren wij het meest onder de indruk van die van MX Lab. Die haalde de beste prestaties tijdens onze test en kost ook niet veel.
De Kern
* Mail Security weert alle spam en malware uit e-mail.
* De gehoste oplossing ontlast ook nog het eigen netwerk.
Johan Zwiekhorst, Data Testlab
Lees ook