| Forefront säubert Exchange-Mails | |
| Variable Reaktionsmöglichkeiten bei Virenbefall |
Keine Kommentare
Bei der Maximalkonfiguration liegen die drei Exchange Rollen Edge Transport, Hub Transport und Mailbox auf drei unterschiedlichen Servern, und jede Server-Rolle verwendet eigene Engines. In der Minimalkonfiguration wiederum liegen alle Exchange-Rollen und die Forefront-Scan-Engines auf einem Server.
Durch die Bereitstellung mehrerer unterschiedlicher Scan-Engines ist die Wahrscheinlichkeit, den Angreifer zu erkennen, sicher höher. Da sich Engines und Angriffsmuster der Hersteller unterscheiden, steigt mit jeder weiteren Engine die Erkennungsrate für den Angriffscode. Rein statisch betrachtet, würde die Verwendung aller Scan-Engines die höchste Erkennungsrate bieten. Das erfordert dann jedoch auch entsprechend Rechenleistung - und damit leistungsfähige Server-Systeme. Daher ermöglicht es Forefront, eine optimierte Einstellung vorzunehmen, um den besten Kompromiss zwischen Sicherheit und Scan-Laufzeit zu erzielen: Unter den Bios-Settings kann der Administrator ein Optimum zwischen der benötigten Rechenzeit und Sicherheit definieren. Prinzipiell lässt sich jedoch jede der Scan Engine separat einstellen und konfigurieren – etwa hinsichtlich der Intervalle, in denen nach Updates der Engines und Muster gesucht werden soll, oder des Zeitpunkts, zu dem der Mail-Scan erfolgen soll.
Die Untersuchung selbst kann alle Elemente der E-Mail wie Header, Betreff, Absender oder Dateiinhalt umfassen. Daneben steht eine Vielzahl weiterer Parameter zur Verfügung. Wir operierten wechselseitig mit unterschiedlichen Engines für den Realtime-Scan sowie den Manuel Scan Job. Um die Aktivierung der Engines zu prüfen, versandten wir mehrere mit Viren verseuchte Test-Mails an Testnutzer. Diese Mails erkannte Forefront korrekt und sortierte sie aus.
Die Reaktionen auf das Erkennen einer verseuchten Mail lassen sich einstellen: Die mit Malware behaftete Message kann unter Quarantäne gestellt oder der Mailanhang entfernt werden. Auch diese Optionen konnten wir im Test erfolgreich nachstellen. Konfigurierbar ist auch die Meldung, die der Benutzer erhalten soll, wenn Forefront eine Nachricht von Viren säubert oder etwa im Mail-Betreff einen Hinweis anbringen soll. Dabei wird nach 21 unterschiedlichen Personen oder Rollen unterschieden - von einem zu spezifizierenden Virus Administrator, dem Absender der Mail über den Empfänger der Mail bis hin zu Verantwortlichen für die Inhalte der Mail. Die Benachrichtigung dieser Personen erfolgt über eine SMTP-Message. In unserem Fall sollte der Sender der infizierten Mail informiert werden - die Nachricht wurde uns korrekt zugestellt. Die Ergebnisse seiner Virensuche präsentiert Forefront unter der Rubrik "Reports – Incidents". Dort ist nachzulesen, wann welche Mail oder ein Dateianhang aus welchem Grund aussortiert wurde.
In Forefront lassen sich Listen von vertrauenswürdigen Absendern (White List) konfigurieren. Von diesen Adressen stammende Mails spart Forefront von der Untersuchung aus. Im Content-Filtering erfolgt eine weitere Spezifizierung über die Inhalte der übermittelten Nachricht oder ihrer Anhänge. Im Test prüften wir darüber hinaus sicherheitsrelevante Dateianhänge wie etwa .exe-, oder .vbs. Sie wurden korrekt erkannt und gemeldet. (kf)
Mit Forefront für Exchange Server (beziehungsweise Sharepoint Server) bietet Microsoft eigene Produkte, um den Mail- und Dokumentenaustausch abzusichern. Die eigentliche Erkennungsrate - und damit die Leistung der Lösung - wird allerdings von den Partnern gesteuert. Damit ist Microsoft zumindest in dieser Hinsicht "aus dem Schneider". Dennoch wird das Unternehmen die Verantwortung kaum gänzlich den Partnern überlassen können. Die Verwaltung dieser Partner-Engines in Forefront ist schlüssig. GUI und Logik entsprechen allerdings noch nicht ganz dem Microsoft-Stil.
