Forefront säubert Exchange-Mails

Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
Die Sicherheitsprodukte "Forefront Security für Exchange Server" beziehungsweise "Sharepoint Server" von Microsoft sollen Malware aufspüren und eliminieren, bevor sie den Client erreicht. Den Sicherheitsfilter für Exchange hat die COMPUTERWOCHE genauer unter die Lupe genommen.

Der Sicherheitsfilter "Forefront Security" ist sowohl für den Exchange Server als auch den Sharepoint Server verfügbar. Beide Forefront-Module gingen aus den Produkten von Sybari hervor, die sich Microsoft im Juni 2005 mit der Übernahme des Sicherheitsanbieters ins Haus geholt hat, und wurden seinerzeit unter dem Namen "Antigen" vermarktet. Die überarbeiteten Produkte bietet Microsoft nun zusammen mit der eigenen Firewall Internet Security and Acceleration Server (ISA) und dem neuen Intelligent Application Gateway (IAG) unter der Dachmarke "Forefront" an. Die auf dem amerikanischen Markt bereits erhältliche Forefront-Komponente "Client Security" zur Abwehr von Bedrohungen wie Viren, Würmern, Trojanern und sonstiger Malware auf Business-Desktops, Laptops und Servern soll das Sicherheitspaket schließlich vervollständigen.

Forefront als Kommunikationsplattform

Im Kern handelt es sich bei Forefront um ein Framework, in das Drittanbieter ihre Sicherheitsprodukte einklinken können. Forefront fungiert dann als Kommunikationsplattform zu den umgebenden Systemen, also Exchange oder Sharepoint. Die eigentlichen Sicherheitssysteme, die Scan-Engines mit den entsprechenden Signaturdateien zur Erkennung von Viren, Spam oder Trojanern, kommen von anderen Anbietern. Derzeit sind das AhnLab, Authentium, CA mit VET und Innoculate, ferner Norman, Kaspersky, Sophos sowie Virus Buster. Hinzu kommt Microsofts Antiviren-Engine, die auf der Technik des rumänischen Sicherheitsanbieters Gecad basiert, den der Softwarekonzern im Jahr 2003 gekauft hat.

Die beiden Module "Forefront Security für Exchange Server" und "Forefront Security für Sharepoint Server" ähneln sich in Konzept und Arbeitsweise. Beide Server-Systeme, Exchange und Sharepoint, stellen, wenn auch unterschiedlich implementiert, eine Plattform für den Informationsaustausch dar. Bei Exchange handelt es sich dabei in erster Line um den Austausch von Mails mit allen denkbaren oder erlaubten Anhängen, während Sharepoint primär dem direkten Dokumentenaustausch dient. Da beide Server-Systeme aufgrund der Möglichkeit des Informations-Uploads als Datensenke operieren, sind sie auch beide den gleichen Risiken durch Viren, Trojaner und andere Malware ausgesetzt. Folglich sind die Sicherheitsprinzipien in den beiden Forefront-Modulen vergleichbar. Die Implementierung in das jeweilige Gastsystem, also Exchange beziehungsweise Sharepoint, ist jedoch naturgemäß unterschiedlich umgesetzt.

Wir haben uns "Forefront Security für Exchange Server" genauer angesehen. Die hier vorgestellten Konzepte gelten aber auch für den Sharepoint-Server. Mit der Installation von Forefront erhält der Benutzer das Recht, alle neun Engines einzusetzen. Die eigentlichen Scan-Ergebnisse und die Qualität der Sicherheitsfunktionen hängen demnach in erster Linie von der Leistungsfähigkeit der Partner-Engines ab. Da sich Engines wie Signaturdateien ständig ändern, haben wir uns auf die Inbetriebnahme und Integration von Forefront in den Kontext von Exchange konzentriert. Darüber hinaus untersuchten wir die Verwaltungsmöglichkeiten und den Komfort des Tools.

Forefront integriert sich in die Architektur des jeweiligen Wirtssystems, das es schützen soll – sprich: Exchange oder Sharepoint. Im Test richteten wir Forefront auf einem bestehenden Exchange Server 2007 ein. Dieser lief unter der englischen Version des Windows Server 2003 R2. Das Basisbetriebssystem war zudem mit den Windows-Rollen File Server, Application Server, Domain Controller mit Active Directory, dem DNS-Dienst und natürlich Exchange bestückt. Bei Exchange verwendeten wir eine Standardinstallation der Version 2007, an der Microsoft wesentliche Neuerungen vorgenommen hat: Für Forefront relevant ist die Aufteilung der Exchange-Dienste in Rollen.

Exchange erkennt nun die fünf Server-Rollen "Hub Transport", "Edge Transport", "Unified Communication", "Mailbox" und "Client Access". Die Rollen stehen für die verschiedenen Funktionen, die für den jeweiligen Betrieb von Exchange benötigt werden. Hinter der Rolle Mailbox liegen die Postfächer der Benutzer und ihre Verwaltung, der Hub Transport übernimmt den Austausch der Mails und wird sowohl für die interne als auch die externe Kommunikation über das Internet benötigt. Der Edge Transport ist nur bei der Kommunikation mit dem Internet notwendig. Der Rolle Unified Communication wiederum ist gänzlich neu und bildet Dinge wie die Sprachein-/ausgabe ab, während die Rolle Client Access die Schnittstelle für spezielle Client-Zugänge wie etwa Outlook Web Access implementiert.

So wurde getestet

  • Im Test wurde Forefront Security für Exchange Server auf einem bestehenden Exchange Server 2007 eingerichtet.

  • Dieser lief unter der englischen Version des Windows Server 2003 R2.

  • Das Basisbetriebssystem war zudem mit den Windows-Rollen File Server, Application Server, Domain Controller mit Active Directory, dem DNS-Dienst und Exchange bestückt.

  • Bei Exchange wurde eine Standardinstallation der Version 2007 verwendet.

Die Aufteilung der Exchange-Funktionen in Rollen erlaubt eine Platzierung der Rollen auf eigenen Servern. Das kann eine 1:1-Abbildung mit einer Rolle auf einem Server, oder eine beliebige Mischform sein. Bei geringem Mail-Bedarf lassen sich außer dem Edge Transport sämtliche Exchange-Rollen auf einem Server platzieren.

Ein ankommende Mail wird immer über die drei Server-Rollen Edge Transport, Hub Transport und Mailbox geleitet. Auf all diesen drei Servern kann nun Forefront zum Einsatz kommen und die Mail und ihre Anhänge untersuchen. Die Rollen Client Access und Unified Communication haben in Verbindung mit Forefront keine Bedeutung, da über diesen Weg keine Viren eingeschleust werden können.

Setup und Installation

Wir packten die Rollen auf einen Server und installierten darauf anschließend Forefront für Exchange. Das Forefront-Setup ist innerhalb von wenigen Minuten abgeschlossen. Bei der Aufteilung der Exchange-Rollen auf mehrere physische Server muss der Administrator die Forefront-Module auf jedem Server separat installieren, sofern er darauf auch Sicherheitsüberprüfungen der Mails durchführen möchte.

Bei der Installation von Forefront sind die Scan-Engines für den späteren Betrieb auszuwählen. Von den neun Engines lassen sich jeweils nur fünf aktivieren, die allerdings auch im Betrieb gewechselt werden können. Der gesamte Installationsprozess, dessen Dauer vor allem von der Auslastung des Exchange-Servers bestimmt wird, war in wenigen Minuten erledigt. Der dafür erforderliche Restart von Exchange-Diensten lässt sich verzögern, da dies tagsüber im produktiven Betrieb in den meisten Fällen unerwünscht ist. Im Test führten wir den Neustart direkt und ohne Probleme aus - Exchange stand anschließend wieder zur Verfügung.

Administration

Die Verwaltung von Forefront erfolgt unabhängig von Exchange im "Security Administrator", der Administrationskonsole von Forefront. Eine zentrale Verwaltung aller Forefront-Instanzen auf allen Exchange-Servern ist derzeit noch nicht möglich, mittels Fernwartung kann die Management-Konsole aber auch auf andere Forefront-Instanzen zugreifen. Das GUI des "Security Administrator" ist ansprechend und eingängig, hat mit dem Microsoft Standard "MMC" (Microsoft Management Console) jedoch nichts gemein. Hier muss Microsoft bis zur nächsten Version noch Integrationsarbeit leisten.

Die Verwaltung der Sicherheitsüberprüfungen der Mail-Dienste gliedert Forefront in vier Bereiche. Unter "Settings" finden sich allgemeine Einstellungen, wie etwa die Update-Prozesse der Scan Engines, Templates und weitere generelle Optionen. Hinter dem Bereich "Filtering" verbirgt sich die Konfiguration der eigentlichen Analyse der ausgetauschten Mails. Unter "Operate" sind die Funktionen des Virenscans zusammengefasst. Des Weiteren sind hier periodische Jobs oder Ad-Hoc-Aufträge einzugruppieren. Unter "Reports" schließlich finden sich die Berichte über die Ergebnisse der Forefront-Arbeit.

Forefront integriert neun unterschiedliche Scan-Engines. Davon lassen sich bis zu fünf den Scan-Jobs zuweisen.
Forefront integriert neun unterschiedliche Scan-Engines. Davon lassen sich bis zu fünf den Scan-Jobs zuweisen.

Mit der Installation von Forefront wird lediglich eine Basisversion der Scan-Engines eingerichtet, die jeweils aktuellen Engines und Signaturdateien müssen erst geladen werden. Dies erledigten wir im nächsten Schritt. Unter "Settings – Scanner Updates" ist der Vorgang eingeblendet.

Die eigentlichen Updates kommen von Microsoft und nicht direkt von den jeweiligen Herstellern der Sicherheits-Tools. Dies ist dem Softwarekonzern zufolge notwendig, weil er Veränderungen an den Modulen vornehmen muss, um sie in Forefront zu integrieren. Dies bedeutet in jedem Fall eine Zeitverzögerung gegenüber dem Ursprung, also dem Hersteller der Engines oder Signaturdateien. Für den Test haben wir die Scan-Engines von Norman Virus Control, Sophos Virus Detection und von CA InoculeIT manuell geladen. Das Update der Signaturdateien und deren Integration verliefen im Test reibungslos und waren in wenigen Minuten abgeschlossen. Forefront blendet dazu die wichtigsten Informationen über den Update-Status und Termine ein. Ein integrierter Scheduler erlaubt zudem ein periodisches Update der Scan-Engines und ihrer Signaturdateien. Diese Option verwendeten wir für die weiteren Engines. Das Update-Polling nach neuen Engines lässt sich im Scheduler bis auf Minutenebene einstellen.

Mail-Prüfung – schnell oder gründlich

Die Untersuchung der Mails auf Schadcode kann auf unterschiedliche Weise vorgenommen werden: entweder in Echtzeit, als Realtime Scan oder periodisch im Hintergrund. Ferner lässt sich der Scan-Durchlauf der Postfächer auch manuell anstoßen. Jedem dieser Scan-Jobs sind eigene Engines zuzuweisen. So kann beispielsweise der Realtime Scan so eingestellt werden, dass er nur wenige Engines verwendet. Daraufhin wird die Mail relativ schnell durchgeschleust. Bei Virenverdacht wiederum lässt sich ein manueller Scan-Lauf durchführen, der dann alle verfügbaren Engines mit der Virensuche beauftragt. Da es allerdings wenig sinnvoll ist, dieselbe Engine mehrmals hintereinander auf eine Mail anzuwenden, werden die geprüften Messages mit einer Kennung versehen, welche Engine bereits angewandt wurde.

Bei der Maximalkonfiguration liegen die drei Exchange Rollen Edge Transport, Hub Transport und Mailbox auf drei unterschiedlichen Servern, und jede Server-Rolle verwendet eigene Engines. In der Minimalkonfiguration wiederum liegen alle Exchange-Rollen und die Forefront-Scan-Engines auf einem Server.

Durch die Bereitstellung mehrerer unterschiedlicher Scan-Engines ist die Wahrscheinlichkeit, den Angreifer zu erkennen, sicher höher. Da sich Engines und Angriffsmuster der Hersteller unterscheiden, steigt mit jeder weiteren Engine die Erkennungsrate für den Angriffscode. Rein statisch betrachtet, würde die Verwendung aller Scan-Engines die höchste Erkennungsrate bieten. Das erfordert dann jedoch auch entsprechend Rechenleistung - und damit leistungsfähige Server-Systeme. Daher ermöglicht es Forefront, eine optimierte Einstellung vorzunehmen, um den besten Kompromiss zwischen Sicherheit und Scan-Laufzeit zu erzielen: Unter den Bios-Settings kann der Administrator ein Optimum zwischen der benötigten Rechenzeit und Sicherheit definieren. Prinzipiell lässt sich jedoch jede der Scan Engine separat einstellen und konfigurieren – etwa hinsichtlich der Intervalle, in denen nach Updates der Engines und Muster gesucht werden soll, oder des Zeitpunkts, zu dem der Mail-Scan erfolgen soll.

Die Untersuchung selbst kann alle Elemente der E-Mail wie Header, Betreff, Absender oder Dateiinhalt umfassen. Daneben steht eine Vielzahl weiterer Parameter zur Verfügung. Wir operierten wechselseitig mit unterschiedlichen Engines für den Realtime-Scan sowie den Manuel Scan Job. Um die Aktivierung der Engines zu prüfen, versandten wir mehrere mit Viren verseuchte Test-Mails an Testnutzer. Diese Mails erkannte Forefront korrekt und sortierte sie aus.

Variable Reaktionsmöglichkeiten bei Virenbefall

Die Reaktionen auf das Erkennen einer verseuchten Mail lassen sich einstellen: Die mit Malware behaftete Message kann unter Quarantäne gestellt oder der Mailanhang entfernt werden. Auch diese Optionen konnten wir im Test erfolgreich nachstellen. Konfigurierbar ist auch die Meldung, die der Benutzer erhalten soll, wenn Forefront eine Nachricht von Viren säubert oder etwa im Mail-Betreff einen Hinweis anbringen soll. Dabei wird nach 21 unterschiedlichen Personen oder Rollen unterschieden - von einem zu spezifizierenden Virus Administrator, dem Absender der Mail über den Empfänger der Mail bis hin zu Verantwortlichen für die Inhalte der Mail. Die Benachrichtigung dieser Personen erfolgt über eine SMTP-Message. In unserem Fall sollte der Sender der infizierten Mail informiert werden - die Nachricht wurde uns korrekt zugestellt. Die Ergebnisse seiner Virensuche präsentiert Forefront unter der Rubrik "Reports – Incidents". Dort ist nachzulesen, wann welche Mail oder ein Dateianhang aus welchem Grund aussortiert wurde.

In Forefront lassen sich Listen von vertrauenswürdigen Absendern (White List) konfigurieren. Von diesen Adressen stammende Mails spart Forefront von der Untersuchung aus. Im Content-Filtering erfolgt eine weitere Spezifizierung über die Inhalte der übermittelten Nachricht oder ihrer Anhänge. Im Test prüften wir darüber hinaus sicherheitsrelevante Dateianhänge wie etwa .exe-, oder .vbs. Sie wurden korrekt erkannt und gemeldet. (kf)

Fazit

Mit Forefront für Exchange Server (beziehungsweise Sharepoint Server) bietet Microsoft eigene Produkte, um den Mail- und Dokumentenaustausch abzusichern. Die eigentliche Erkennungsrate - und damit die Leistung der Lösung - wird allerdings von den Partnern gesteuert. Damit ist Microsoft zumindest in dieser Hinsicht "aus dem Schneider". Dennoch wird das Unternehmen die Verantwortung kaum gänzlich den Partnern überlassen können. Die Verwaltung dieser Partner-Engines in Forefront ist schlüssig. GUI und Logik entsprechen allerdings noch nicht ganz dem Microsoft-Stil.