Schutz vor Blended Threats

18.08.2006
Von Sabine Hensold 
An der Universität Mainz nahm die Spam-Flut überhand. Mit einem neuen E-Mail-Sicherheitskonzept für rund 40000 Nutzer konnte die Hochschule Abhilfe schaffen.
Die Universität Mainz hat für E-Mails die Dreiklassengesellschaft eingeführt: "Gutes" wird direkt ausgeliefert, "Verdächtiges" muss sich der Spam-Überprüfung unterziehen, "die Schlechten" müssen draußen bleiben.
Die Universität Mainz hat für E-Mails die Dreiklassengesellschaft eingeführt: "Gutes" wird direkt ausgeliefert, "Verdächtiges" muss sich der Spam-Überprüfung unterziehen, "die Schlechten" müssen draußen bleiben.

Hochschulen, die als Vorreiter bei der Einführung der elektronischen Post viele E-Mail-Adressen veröffentlicht haben, sind besonders häufiges Ziel von Spam, Spyware und Viren. Für die rund 35000 Studenten aus über 130 Nationen und die Mitarbeiter der Johannes-Gutenberg-Universität in Mainz stellt E-Mail ein unverzichtbares Kommunikationsmittel dar - sei es, um Kontakt zu Kollegen auf der anderen Seite des Erdballs zu halten, oder einfach, um eine Anfrage ins Nachbarbüro zu schicken. Das Zentrum für Datenverarbeitung (ZDV), das die E-Mail-Systeme der Mainzer Hochschule betreut, steht deshalb vor der Aufgabe, eine stets zuverlässige und sichere Infrastruktur zur Verfügung zu stellen.

Projektsteckbrief

Hier lesen Sie …

An der Universität Mainz gehen pro Tag rund eine Million elektronische Nachrichten ein. Als der Anteil unerwünschter Mails immer weiter zunahm, beschloss die Hochschule, eine neue E-Mail-Sicherheitslösung für die derzeit gut 40000 User einzuführen.

Die Ausgangssituation

Die bisherige Lösung bestand aus insgesamt vier Systemen: Zunächst untersuchten zwei Postfix-Server mit Sophos eingehende E-Mails auf Viren. Die freie Software "Spam Assassin" auf zwei Sendmail-Servern überprüfte daraufhin, ob es sich dabei jeweils um Spam handelte. Allerdings erkannte die Lösung einen zu großen Teil der Spam-Flut nicht. Zudem bot sie keinerlei Schutz vor den "Blended Threats", die durch die Kombination aus E-Mail- und Web-Technik entstehen: Virenschreiber gehen verstärkt dazu über, infizierte Dateien oder Spyware und Spam über oft geschickt getarnte Web-Links in Mails zu verbreiten, damit sie von herkömmlichen, inhaltsbasierenden Filtern unerkannt bleiben.

Die neue Lösung sollte vor Viren schützen und Spam mit einer höheren Erkennungsrate aussortieren. Voraussetzung dabei war, dass die False-Positive-Rate, also die Zahl irrtümlich als Spam eingestufter Mails, künftig höchstens eins zu einer Million betrug. Zudem wollte die Universität Mainz den bislang nicht unerheblichen Aufwand für die Betreuung der Mail-Systeme reduzieren. Zu den weiteren Anforderungen zählten eine hohe Leistungsfähigkeit des Mail Transfer Agents (MTA) sowie umfassende Reporting-Funktionen.

Fündig wurden die Mainzer bei dem Sicherheitsanbieter Ironport. Bereits in der Testinstallation im Juni 2005 konnte dessen integrierte E-Mail-Security-Appliance "C600" durch einfache Inbetriebnahme sowie die Leistung des MTA punkten. Um den nahtlosen Übergang von der Test- in die Produktivumgebung zu ermöglichen, haben die Systemadministratoren die gehosteten Domänen bereits während der Testphase schrittweise auf das neue System übertragen. Ende 2005 ging die Lösung schließlich in Betrieb. Die Einführung erforderte - verteilt über ein halbes Jahr - etwa einen Mannmonat Arbeitszeit.

Die Appliance ist zwischen Firewall und insgesamt acht Microsoft Exchange 2003 Server geschaltet; dabei handelt es sich um zwei Frontend-Server, die über einen L4-Switch ausfallsicher ausgelegt sind, sowie sechs geclusterte Backend-Server. Eine der technischen Herausforderungen lag darin, die C600 an das Active Directory der Universität anzubinden. Auf diese Weise sollten die Mail-Adressen direkt im SMTP-Dialog (Simple Mail Transfer Protocol) auf ihre Gültigkeit überprüft und nur Mails für tatsächlich existierende User angenommen werden. Außerdem hat das Projektteam mehrere SMTP-Listener für unterschiedliche Einrichtungen mit zahlreichen individuellen Policies konfiguriert.

Die Security-Appliance verfolgt einen mehrstufigen Ansatz: Die Kombination aus reputationsgestützten und reaktiven, inhaltsbasierenden Filtern gewährt einen leistungsfähigen Schutz. Insbesondere die Web- und E-Mail-Reputationsfilter können Spam-, Spyware- und Phishing-Mails vom regulären Strom trennen, bevor sie ins interne Uni-Netz gelangen.

Der E-Mail-Reputationsfilter bewertet die Wahrscheinlichkeit, mit der eine bestimmte IP-Adresse nicht legitime Mails versendet. Die Klassifizierung erfolgt mittels umfangreicher statistischer Angaben wie Anzahl und Größe der vom Mail-Server gesendeten Nachrichten oder, wie viele Beschwerden eingehen. Diese Daten sind in der Datenbank des "Senderbase Reputation Service", einem von Ironport entwickelten Verfahren zur Überwachung des weltweiten Mail- und Web-Verkehrs, gespeichert. Um die Seriosität eines Absenders zu ermitteln, analysiert die Datenbank bis zu 110 Parameter.

Schutz vor unseriösen Web-Links

Zudem verhindert der integrierte Web-Reputationsfilter die Infektion von PCs durch eine URL in einer Nachricht. Herkömmliche Filter überprüfen in erster Linie den Inhalt der Nachricht. Angesichts der neuartigen Bedrohungen bieten Inhaltsfilter für sich allein jedoch keinen ausreichenden Schutz. Der ebenfalls auf Sender Base basierende Web-Reputationsdienst analysiert mehr als 45 Parameter, um einzuschätzen, ob ein in einer Mail enthaltener Web-Link als vertrauenswürdig oder unseriös einzustufen ist.

Der Teil des Mail-Stroms, der die Reputationsfilter erfolgreich passiert, wird von einer Reihe inhaltsbasierender Filter weiter gereinigt. Das reaktive Content-Scanning-System besteht aus einem Musterfilter, Ironports Anti-Spam-Lösung und dem Antivirus-Paket von Sophos.

Der Wunsch nach umfassenden Management-, Überwachungs- und Reporting-Tools wurde erfüllt. Ohne zusätzliche Hardware können IT-Mitarbeiter künftig bis zu 40 geclusterte Systeme zentral verwalten. Das integrierte Reporting-System führt genaue Statistiken über alle eingegangenen Mails sowie über Bedrohungen und Reaktionen. Für schnelle Abfragen werden die Berichtsdaten zudem in einer SQL-Datenbank gespeichert. Systemadministratoren stehen dadurch stets alle Informationen zur Verfügung, die sie für kritische Sicherheitsentscheidungen benötigen.

Im Produktivbetrieb benötigt das ZDV zur Pflege der Mail-Systeme jetzt noch eine Stunde pro Woche. Um mit der alten Lösung kompatibel zu bleiben, werden identifizierte Spam-Nachrichten bisher markiert und den Benutzern zugestellt. In einem nächsten Schritt sollen als Spam erkannte Mails zunächst in einer Quarantäne zwischengespeichert werden. Das bedeutet eine erhebliche Entlastung, da die Benutzer dann pro Tag nur noch einen Report über die verdächtigen Mails bekommen und die Spam-Filterung nicht mehr selbst vornehmen müssen. (kf)