Messaging-Hygiene bei Microsoft: Wie sich Microsoft IT gegen Spam, Viren und E-Mail-Angriffe verteidigt
Aktualisiertes technisches Whitepaper
Download
|
Auf dieser Seite
 | Zusammenfassende Darstellung |
| Einführung |
| Antispam und Anti-Phishing |
| Antivirus |
| Weitere Technologien zur Messaging-Hygiene |
| Bewährte Methoden |
| Schlussbemerkung |
Zusammenfassende Darstellung
Die größer werdende Bedrohung durch unerwünschte E-Mails (Spam), Viren, Phishing und böswillige Software (Malware) im Internet beschäftigt Microsoft ebenso wie jedes andere Unternehmen. In den letzten Jahren ist das Problem kontinuierlich bis zu dem Punkt gewachsen, an dem jedes mit dem Internet verbundene Unternehmen Vorkehrungen gegen solche Angriffe treffen musste. Bedrohungen beschränken sich nicht länger auf die E-Mail-Nachrichten selbst – zu ihnen kommen andere Bedrohungen in Zusammenhang mit E-Mails, wie Denial-of-Service-Angriffe (DoS) auf SMTP-Ebene (Simple Mail Transfer Protocol), gezielte Mailbombardierung (zur Lahmlegung eines Messagingsystems allein durch das Volumen an E-Mails) sowie Angriffe mit Verzeichnisabfragen (zur Beschaffung von großen Mengen gültiger E-Mail-Adressen).
Vor 1998 gab es, wenn überhaupt, nur wenige Tools zur Verteidigung gegen Spam, Viren und andere E-Mail-Angriffe, da das Problem praktisch nicht existent war. Bei der heutigen Umgebung des Internets sieht es die Microsoft IT-Gruppe (Microsoft Information Technology) als notwendig an, gleich mehrere Mechanismen zur Verteidigung gegen diese Bedrohungen einzusetzen. Dieser Ansatz umfasst eine Kombination von Microsoft-Produkten, Sperrlisten von Drittanbietern sowie Software zur Virusüberprüfung von Sybari, die auf mehreren Ebenen der Messaging-Umgebung – vom Gateway bis zum Client – angewendet werden. Mit dem Begriff "Messaging-Hygiene" bezieht sich Microsoft IT auf alle Verteidigungsmechanismen gegen diese und ähnliche Bedrohungen.
Seit 1998 hat Microsoft IT eine Vielzahl an Funktionen zur Messaging-Hygiene in der Microsoft® Exchange-Infrastruktur eingesetzt. Durch die neuesten Verbesserungen an der Architektur der Antivirus- und Antispam-Systeme konnte Microsoft IT fast 50 Prozent der Server konsolidieren, die für die Durchführung dieser Funktionen in der Umgebung erforderlich sind. Neben Änderungen an der Architektur hat sich Microsoft IT dafür entschieden, die Abwehr sowohl auf Ebene des Gateways für Internetmail als auch auf Clientebene zu verstärken. Microsoft IT konnte dadurch sowohl die Betriebskosten senken als auch den Schutz gegen böswillige und unerwünschte E-Mails verstärken.
Microsoft IT verwendete Funktionen zur Messaging-Hygiene von Microsoft Exchange Server 2003, dem Server-Messaging-Produkt von Microsoft, um die Antivirus- und Antispam-Funktionen einer von Drittanbietern bereitgestellten E-Mail-Scansoftware zu ergänzen. Zu den von Microsoft IT eingesetzten Funktionen zählen unter anderem:
| • | Verbindungsfilterung mit Echtzeit-Sperrlisten von Drittanbietern, die bekannte Absender von Spam enthalten |
| • | Absender- und Empfängerfilterung sowie Nachschlagen von Empfängern |
| • | Intelligenter Nachrichtenfilter von Microsoft Exchange – inhaltsbasierte Software zur Spam-Filterung |
Später aktualisierte Microsoft IT seine Messaginginfrastruktur auf Exchange Server 2003 Service Pack 2 (SP2). Microsoft IT verwendet Microsoft Exchange Server 2003 SP2 für einen verbesserten Schutz gegen Spam, um so eine sichere und zuverlässige Messaging-Umgebung zu schaffen. Zu den Verbesserungen zählen:
| • | Aktualisierter und integrierter intelligenter Nachrichtenfilter |
| • | E-Mail-Authentifizierungsprotokoll Sender ID |
| • | Verbesserter intelligenter Nachrichtenfilter mit Phishing-Filterungssoftware |
Als dieses Dokument verfasst wurde, betrug das durchschnittliche Volumen von Nachrichten, die über das Internet an E-Mail-Gateways von Microsoft IT gesendet wurden, zwischen 10 Millionen und 12 Millionen täglich. Der Ansatz auf mehreren Ebenen zur E-Mail-Filterung bedeutet, dass eingehende E-Mails von mehreren Mechanismen analysiert werden und die Menge an Spam durch die einzelnen Mechanismen nach und nach verringert wird. Anhand der folgenden Filterungsstufen wird die Wirksamkeit der in diesem Dokument beschriebenen und bei Microsoft IT eingesetzten E-Mail-Filterungsebenen deutlich. Die Prozentzahlen beziehen sich auf die durchschnittlichen Tagesvolumen.
1. | Durch die Verbindungsfilterung werden ungefähr 80 Prozent aller eingehenden SMTP-Nachrichten blockiert. Diese Verbindungen stammen von bekannten Spamquellen, die in Echtzeit-Sperrlisten von Drittanbietern aufgelistet sind. |
2. | Durch die Absender- und Empfängerfilterung werden 70 Prozent der nach der Verbindungsfilterung empfangenen Nachrichten gelöscht. |
3. | Nach der Verbindungsfilterung und der Absender- und Empfängerfilterung sind fast 95 Prozent der Nachrichten als Spam entfernt worden. Vom intelligenten Nachrichtenfilter werden 6 Prozent der verbleibenden eingehenden Nachrichten als Spam zurückgewiesen. |
Nachdem die vorangehenden Filterungsstufen durchlaufen wurden, werden die verbleibenden E-Mails auf Viren überprüft. E-Mails, die an dieser Stufe vorbeigelangen, werden an die Postfachserver weitergeleitet, von wo aus die Benutzer darauf zugreifen können. Auf den E-Mail-Clients wird ebenfalls eine Filterungssoftware ausgeführt, mit der die Menge an Spam, die den Benutzer erreicht, weiter verringert wird. Durchschnittlich bleiben nur 5 Prozent vom gesamten Tagesvolumen der eingehenden Internet-E-Mails übrig, nachdem alle Filterungsebenen durchlaufen wurden, wie in Abbildung 1 gezeigt wird.
Abbildung 1: Wirksamkeit der Spam-Filterung bei eingehenden Internet-E-Mail-Nachrichten
Als bei Microsoft IT erkannt wurde, dass sich das tägliche E-Mail-Volumen durch Spam- und Virusangriffe verdoppelte, verdreifachte und sogar vervierfachte, konnten die aktuellen Abwehrebenen von Microsoft IT zum Schutz der Messaging-Umgebung weiterhin standhalten, sodass der Einfluss solcher Angriffe auf die Benutzer gegen Null ging.
Jeden Tag erhält die Microsoft IT-Gruppe Anfragen zu den dort verwendeten Methoden zur Abwehr von Spam, Phishing, Viren und E-Mail-Angriffen auf ihre Messaginginfrastruktur. Dieses Dokument bietet einen Einblick in die Strategien, Prozesse und Herausforderungen, die zur Bekämpfung dieses wachsenden Problems gehören. Ein Schwerpunkt dieses Dokuments ist außerdem die Erfahrung von Microsoft IT beim Einsatz von Funktionen von Exchange Server 2003 und Exchange Server 2003 SP2, wie dem intelligente Nachrichtenfilter und Sender ID, zum Herausfiltern unerwünschter E-Mails und zur Erkennung von Phishing-Angriffen.
Dieses Dokument ist für Kunden von Microsoft gedacht, die Exchange Server 2003 oder Exchange Server 2003 SP2 in einer verteilten Umgebung bereits verwenden oder darauf aktualisieren möchten und die den Zufluss von Spam und böswilligen E-Mails in die Messaginginfrastruktur ihres Unternehmens kontrollieren möchten. Die spezielle Zielgruppe besteht aus unternehmerischen, geschäftlichen und technischen Entscheidungsträgern, IT-Architekten sowie Betriebsleitern, die für die Verwaltung des Internet-E-Mail-Flusses in ihren jeweiligen Infrastrukturen zuständig sind. Obwohl sich die meisten in diesem Dokument behandelten Konzepte auf Technologien von Exchange Server 2003 SP2 beziehen, sind einige Informationen auch auf Umgebungen mit vorherigen Versionen von Exchange anwendbar.
Hinweis: Weitere Information über die Antispam-Funktionen von Exchange Server 2003 SP2 finden Sie unter http://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/ast_anti_spam.asp (in englischer Sprache).
Einführung
Die Verbreitung von Spam, Phishing und böswilligem Code (z. B. Viren, Würmer, Trojaner, Macros, Skripts und nicht autorisierte ActiveX®-Steuerelemente) stellt ein wachsendes Problem für jeden dar, der im Internet oder mit E-Mails arbeitet. Vom persönlichen Identitätsdiebstahl durch Spoofing auf Domänenebene bis hin zu böswilligen, orchestrierten Angriffen auf Organisationen, Unternehmen und Regierungsstellen ist kein Benutzer von den Sicherheitsbedrohungen durch E-Mails ausgenommen.
Wie andere große Unternehmen ist Microsoft das Ziel von Sicherheitsbedrohungen. Daher achtet Microsoft IT ständig auf den Schutz seiner Ressourcen – vom Rechenzentrum bis zum Desktopcomputer. Microsoft IT geht bei diesem Problem mit einem proaktiven Ansatz vor und überarbeitet seine Strategien, Implementierungen und Vorgehensweisen zur Bekämpfung von Spam, Viren und anderen E-Mail-Angriffen kontinuierlich.
Der Einfluss von Spam, Phishing, Domänen-Spoofing, Viren und anderen E-Mail-Angriffen auf Unternehmen ist beträchtlich. Für Unternehmen, die für die Verteidigung gegen solche Bedrohungen nicht vorbereitet sind, kann dies verheerend sein. Spam stellt nicht länger nur eine Belästigung dar, sondern ist für Unternehmen kostenaufwändig, zeitaufwändig und hat einen negativen Einfluss auf Bandbreitennutzung, Verwaltung und Ressourcenverwendung. Außerdem erhöhen Viren und andere E-Mail-Angriffe im günstigsten Fall die Ausfallzeit und stellen im ungünstigsten Fall eine Bedrohung für die essenziellen Ressourcen und das geistige Eigentum eines Unternehmens dar.
Übersicht über die Netzwerk- und Messaginginfrastruktur von Microsoft
Um zu verstehen, wie die Strategie der Messaging-Hygiene von Microsoft IT mit der Zeit weiterentwickelt wurde, ist es hilfreich, sich die Größe und den Umfang des Microsoft-Netzwerks und der zugrunde liegenden Messaginginfrastruktur zu verdeutlichen.
Das Unternehmensnetzwerk von Microsoft ist eines der größten Computernetzwerke weltweit. Das Netzwerk besteht aus vielen regionalen Unternetzwerken auf der ganzen Welt und umfasst Folgendes:
| • | Drei Unternehmensrechenzentren |
| • | 19 regionale Rechenzentren weltweit |
| • | Mehr als 300 Sites in ungefähr 230 Städten in 77 Ländern |
| • | Mehr als 3.300 IP-Subnetze |
| • | Mehr als 2.000 Router |
| • | Mehr als 10.000 Server weltweit |
| • | Mehr als 350.000 LAN-Ports (Local Area Network) |
Für die vollständige Ausschöpfung dieses gewaltigen Netzwerks steht eine komplexe Messaging-Umgebung bereit, die 80 Server mit Exchange Server 2003 SP2 an sieben Standorten weltweit umfasst. 36 von diesen Exchange-Servern sind Postfachserver mit Microsoft Windows Server™ 2003. Mit nur wenigen Ausnahmen sind diese Postfachserver in einem Cluster konfiguriert.
Die Verwaltung dieser Messaginginfrastruktur ist eine umfangreiche Aufgabe. Für ungefähr 92.000 Mitarbeiter werden von der Infrastruktur 116.000 Postfächer unterstützt, von denen jedes über eine Speicherbegrenzung von mindestens 200 Megabyte (MB) verfügt. Der gesamte globale E-Mail-Fluss beträgt im Durchschnitt mehr als 12 Millionen Nachrichten am Tag. 3 Millionen davon sind interne E-Mail-Nachrichten. Jeden Tag werden ca. 95 Prozent der eingehenden E-Mails aus dem Internet als Spam, virusinfizierte E-Mails oder aufgrund von ungültigen E-Mail-Empfängeradressen herausgefiltert.
Der Ansatz von Microsoft IT zur Gewährleistung der Sicherheit seiner Messaging-Umgebung wird kontinuierlich weiterentwickelt. Die deutlichsten Gründe dafür sind die große Zunahme von Spam und Viren im Internet und die sich ständig ändernde Beschaffenheit von Bedrohungen im Zusammenhang mit E-Mails. Alle Unternehmen müssen bei der Zuteilung von Ressourcen für dieses Problem wachsamer, flexibler und verantwortungsvoller vorgehen. Für Microsoft IT ist ein Ansatz auf mehreren Ebenen bei der Messaging-Hygiene essenziell. Mit einer einzelnen Methode, so zufrieden stellend sie auch sein mag, kann der Variation von Risiken im Zusammenhang mit Internet-E-Mail nicht entgegengewirkt werden. Durch den Einsatz einer Vielzahl von Methoden zur Filterung von Spam und Viren an mehreren Orten im Netzwerk werden mehrere Schutzebenen bereitgestellt, die für den Aufbau einer wirksamen Verteidigung unverzichtbar sind.
Ein weiterer Grund für die kontinuierliche Weiterentwicklung des Ansatzes von Microsoft IT zur Messaging-Hygiene ist die Beschaffenheit der firmeneigenen Produktionsumgebung. Microsoft IT verwendet in der Produktion häufig unveröffentlichte Betaversionen von Microsoft-Software. Durch diese Praxis erhält Microsoft IT ein nützliches Feedback zu den Produktgruppen in frühen Stadien der Entwicklung und kann somit die Qualität der Produkte bis zu ihrer Veröffentlichung verbessern. Ein Beispiel dafür ist die Verwendung des intelligenten Nachrichtenfilters in der Produktion von Microsoft IT, bevor dieser für Kunden verfügbar war.
Hinweis: Weitere Informationen zum intelligenten Nachrichtenfilter finden Sie unter http://www.microsoft.com/exchange/imf (in englischer Sprache).
Die Verwendung unveröffentlichter Software bei Microsoft IT birgt besondere, jedoch nicht unüberwindbare Herausforderungen in Bezug auf die dabei eingesetzten Strategien, die damit verwendeten Softwarelösungen von Drittanbietern und die Verwaltung der Server selbst.
Vor der Infrastruktur für Messaging-Hygiene
Von 1999 bis Juni 2004 wurde bei Microsoft ein dreistufiger Ansatz in der Architektur für Internet-E-Mail und Messaging-Hygiene verwendet. Die Topologie basierte auf drei miteinander verbundenen Sätzen von Servern, die Antispam- und Antivirus-Funktionen sowie Funktionen für Inhaltsfilterung und Internet-E-Mail-Routing bereitstellten. Alle eingehenden E-Mail-Nachrichten durchliefen diesen Satz von Servern, bevor sie an Exchange-Postfachserver weitergeleitet wurden, wie in Abbildung 2 gezeigt.
Abbildung 2: Messaginginfrastruktur von Microsoft vor Juli 2004
Bis vor Juli 2004 bestand die erste Ebene von Servern aus Exchange Server 2003-Gateways, die sich an der äußersten Begrenzung des Netzwerks befanden. Auf der obersten Ebene wurde durch den intelligenten Nachrichtenfilter, eine Antispam-Lösung von Drittanbietern sowie eine Absender- und Empfängerfilterung eine Spam-Sperrung für aus dem Internet eingehende Nachrichten durchgeführt. Von der obersten Ebene wurden alle Nachrichten, die nicht als Spam identifiziert wurden, an eine nächste Ebene von SMTP-Servern weitergeleitet, die für die Virusüberprüfung der E-Mails zuständig waren. Nach der Virusüberprüfung wurden alle nicht infizierten Nachrichten von der zweiten Ebene an eine dritte Ebene von Servern weitergeleitet – Exchange-Server, die als SMTP-Routingserver konfiguriert waren und von denen eine interne Nachrichtenweiterleitung durchgeführt wurde. Von der dritten Ebene wurden die Nachrichten dann an Exchange-Postfachserver weitergeleitet, auf die von E-Mail-Clients aus zugegriffen wurde.
Zu der Zeit, in der diese Architektur implementiert wurde, bewertete Microsoft IT Dritthersteller von Antispam- und Antivirussoftware und wählte Lösungen aus (anfänglich unter Microsoft Exchange 2000 Server und Microsoft Windows® 2000 Server), die die Anforderungen erfüllten. Obwohl diese Architektur in der Bekämpfung von Bedrohungen durch Internet-E-Mail mehrere Jahre effektiv war, hatte Microsoft IT durch die Weiterentwicklung der Bedrohungen sowie durch Verbesserungen an der Exchange Server-Plattform Gründe dafür, die Architektur mit der Zeit zu überarbeiten. Microsoft IT hatte dabei folgende Ziele:
| • | Verringerung der Gesamtbetriebskosten (TCO) der Umgebung durch die Integration von Virusüberprüfung in die Gatewayplattform von Exchange Server 2003 SP2 |
| • | Erreichen von Homogenität bei der Übermittlung von Internet-E-Mail und Ausschluss von SMTP-Servern von Drittanbietern aus dem Nachrichtenrouting |
| • | Integration der Lösung mit anderen Funktionalitäten von Exchange Server 2003 SP2, wie z. B. SCL-Bewertung (Spam Confidence Level) |
| • | Vereinfachung der Routing-Topologien für Internet-E-Mail bei Microsoft IT |
| • | Erstellung einer skalierbaren Gatewayplattform für Exchange Server 2003 SP2 mit integrierten Funktionen für Messaging-Hygiene |
Aktuelle Infrastruktur für Messaging-Hygiene
Heute hat Microsoft IT diese Ziele der Messaging-Hygiene durch den aktuellen Entwurf der Infrastruktur für Internet-E-Mail und E-Mail-Überprüfung erreicht, wie in Abbildung 3 gezeigt. Durch die Wahl von Exchange Server 2003 als Plattform (später auf Exchange Server 2003 SP2 aktualisiert) für die Antivirus-Funktionen auf Gatewayebene konnte Microsoft IT die Gesamtbetriebskosten sofort reduzieren, indem der dedizierte Satz an Servern für die Virusüberprüfung abgeschafft wurde. Mithilfe der Exchange Server 2003 SP2-Plattform konnte Microsoft IT eine neue Antiviruslösung eines Drittanbieters auswählen, die dem integrierten Ansatz folgt und den systemeigenen SMTP-Stapel von Exchange verwendet.
Abbildung 3: Messaginginfrastruktur von Microsoft IT seit Juli 2004
Exchange Server 2003 SP2 verstärkt die Verteidigung gegen Spam mittels folgender Verbesserungen:
| • | Aktualisierter und integrierter intelligenter Nachrichtenfilter |
| • | Unterstützung für das E-Mail-Authentifizierungsprotokoll Sender ID |
| • | Verbesserte Antispam-Inhaltsfilterung, jetzt mit Anti-Phishing-Filter |
Im Vergleich zur vorherigen Konfiguration des Systems für Messaging-Hygiene werden bei den aktuellen Entwürfen und Ansätzen von Microsoft IT mehr in Exchange enthaltene Funktionen verwendet. Inzwischen durchlaufen alle eingehenden E-Mail-Nachrichten neben dem intelligenten Nachrichtenfilter auch die folgenden zusätzlichen Sicherheitskontrollen der Exchange Server 2003 SP2-Software:
| • | Verbindungsfilterung mit Echtzeit-Sperrliste |
| • | Absender- und Empfängerfilterung mit Filterung leerer Absender |
| • | Nachschlagen von Empfängern |
| • | Nachschlagen der Sender ID |
| • | Unterdrückung der Namensauflösung der Absenderanzeige |
| • | Zweiwöchentliche Updates der Antispam- und Anti-Phishing-Heuristiken des intelligenten Nachrichtenfilters |
Diese Kontrollen bieten verglichen mit traditioneller Software zur Spam-Filterung erweiterten Schutz. Microsoft IT implementiert diese Kontrollen auf den äußersten Exchange-Gatewayservern, um das höchstmögliche Volumen böswilliger Nachrichten an diesem Punkt zu eliminieren. Die verbleibenden Nachrichten werden an die SMTP-Routingserver mit Exchange Server 2003 SP2 zur Virusüberprüfung weitergeleitet, bevor sie die Postfachserver erreichen.
Neben Erweiterungen des Antispam- und Antivirusschutzes verfügt die aktuelle Gatewaykonfiguration über einen verbesserten Lastenausgleich und erhöhte Verfügbarkeit für Internet-E-Mail. Die Abhängigkeit von SMTP-Servern von Drittherstellern wurde aufgehoben, und stattdessen wurden systemeigene Transportfunktionen von Exchange Server 2003 SP2 in der gesamten Gateway-Infrastruktur verwendet. Damit errichtete Microsoft IT eine engmaschige Topologie zwischen den Exchange Server 2003 SP2-Gatewayservern und -SMTP-Routingservern. Zum Schutz vor Notfällen auf Netzwerkebene und in der Umgebung verteilt Microsoft IT die Infrastruktur für Internetgateway und Messaging-Hygiene auf mehrere Rechenzentren. Mit dieser Verteilung wird eine einzelne Fehlerquelle unterbunden, und es werden mehrere physische und logische Pfade errichtet, auf denen Internet-E-Mail weitergeleitet und überprüft werden kann.
Antispam und Anti-Phishing
Die Filterung und Löschung von Spam- und Phishing-E-Mails aus dem Internet ist eine wichtige Funktion der Messaginginfrastruktur von Microsoft IT. Da Spam mit Ziel auf die E-Mail-Domäne von Microsoft einen solch hohen prozentualen Teil des gesamten eingehenden Nachrichtenvolumens ausmacht – ca. 95 Prozent – entschied sich Microsoft IT für die Implementierung von Spam-Filterungslösungen an der äußersten Begrenzung des Netzwerks, auf den Gatewayservern mit Exchange Server 2003 SP2. Durch das Abfangen unerwünschter Nachrichten so nah wie möglich an der Außengrenze des Netzwerks wird der Aufwand für Verarbeitung und Transport dieser Nachrichten über interne Systeme verhindert, und Bandbreitennutzung sowie Verarbeitungszeit werden minimiert.
Microsoft IT setzt mehrere Methoden ein, wie z. B. den intelligenten Nachrichtenfilter zum Filtern von Spam.
Intelligenter Nachrichtenfilter
Der erste Filter, den eingehende Internet-E-Mail durchlaufen muss, ist der intelligente Nachrichtenfilter, der auf den Gatewayservern mit Exchange Server 2003 SP2 an der äußersten Begrenzung der Messaging-Umgebung ausgeführt wird. Die Forschungsgruppe bei Microsoft entwickelte die im intelligenten Nachrichtenfilter verwendete Smartscreen-Technologie ursprünglich für Microsoft Hotmail®, wo Spam zu häufigen Beanstandungen von Kunden führte. Der intelligente Nachrichtenfilter verwendet das in Exchange Server 2003 SP2 integrierte SCL-, PCS- und Sender ID-Framework. Der intelligente Nachrichtenfilter kategorisiert bestimmte Nachrichtenteile, führt eine auf Heuristiken basierende Nachrichtenanalyse durch und weist jeder überprüften Nachricht eine SCL-Beurteilung zu. Die SCL-Beurteilungsskala reicht von 0 bis 9. Je höher die Beurteilung einer Nachricht ausfällt, desto größer ist die Wahrscheinlichkeit, dass es sich um Spam handelt.
Exchange Server 2003 SP2 enthält die neuesten Daten und Updates für den intelligenten Nachrichtenfilter. Durch Verbesserungen am intelligenten Nachrichtenfilter und zweiwöchentliche Updates wird die kontinuierliche Konzentration auf die Erkennung von Spam und die Minimierung fälschlicherweise blockierter Nachrichten gewährleistet. Zu diesen Verbesserungen zählen neue Fähigkeiten bei der Bekämpfung von Spam, wie das Blockieren von Phishing-Schemas. Bei Phishing-Schemas wird durch Irreführung versucht, sensible persönliche Informationen zu erfragen, indem legitimierte Websites nachgeahmt werden.
Die Exchange Server 2003 SP2-Umgebung kann so konfiguriert werden, dass Filterungsaktionen bei Nachrichten durchgeführt werden, deren SCL-Beurteilung höher ist als die von Administratoren festgelegten Schwellenwerte. Im intelligenten Nachrichtenfilter werden zwei Schwellenwerte verwendet, die in Exchange Server 2003 SP2 festgelegt werden – der Gatewayschwellenwert und der Speicherschwellenwert.
Einstellen des Gatewayschwellenwerts
Der Gatewayschwellenwert verfügt über zwei Komponenten:
| • | Durchzuführende Aktion |
| • | SCL-Beurteilung, bei der die konfigurierte Aktion durchgeführt wird |
Wenn der Gatewayschwellenwert beispielsweise auf 8 gesetzt ist, werden alle Nachrichten mit einer SCL-Beurteilung von 8 oder höher der konfigurierten Filterungsaktion unterzogen. Zu den möglichen Aktionen zählen:
| • | Löschen. Die Nachricht wird ohne Archivierung gelöscht. |
| • | Ablehnen. Zunächst wird die Nachricht vollständig empfangen. Wird diese jedoch als Spam identifiziert, wird eine Ablehnungsbenachrichtigung an den Absender gesendet. |
| • | Archivieren. Die Nachricht wird gelöscht, es wird jedoch eine Kopie auf dem Server abgelegt, sodass diese später angezeigt werden kann. |
| • | Keine Aktion. Es wird keine Aktion mit der Nachricht durchgeführt. Die Nachricht wird mit dem zugehörigen SCL-Wert normal weitergeleitet. |
Hinweis: Alle eingehenden E-Mail-Nachrichten treffen zuerst auf den Gatewayschwellenwert und dann auf den Speicherschwellenwert.
Die Aktionen zum Löschen, Ablehnen und Archivieren verfügen alle über spezielle Vor- und Nachteile. Wenn sich eine Organisation für das Löschen oder Ablehnen von Nachrichten ab einer bestimmten SCL-Beurteilung entscheidet, werden diese Nachrichten nicht weitergeleitet. Der Vorteil beim Löschen ist, dass die Nachrichten nicht auf Festplatte geschrieben, auf Viren überprüft oder durch das System gesendet werden. Dadurch wird Verarbeitungszeit gespart. Das Löschen ist jedoch eine schwer wiegende Aktion, da die Nachrichten dauerhaft aus dem E-Mail-Fluss ohne die Möglichkeit einer Wiederherstellung gelöscht werden. Die Aktion zum Löschen ist effektiv, wenn die Anzahl von Nachrichten, die fälschlicherweise als Spam identifiziert werden, bei dem angegebenen Schwellenwert gering ist.
Ähnlich wie beim Löschen, werden bei der Aktion zum Ablehnen Nachrichten, die als Spam identifziert werden, aus dem E-Mail-Fluss entfernt. Im Gegensatz zum Löschen wird beim Ablehnen für den Absender eine Statusinformation in Form einer SMTP-Fehlermeldung (nicht lieferbar) bereitgestellt. In einigen Umgebungen ist es aus Sicherheitsgründen möglicherweise nicht erwünscht, Absender von Spam-Nachrichten über die Filterungsaktionen zu benachrichtigen.
Exchange Server 2003 SP2 bietet folgende Verbesserungen am intelligenten Nachrichtenfilter:
| • | Administratoren können bei der Aktion zum Ablehnen im intelligenten Nachrichtenfilter einen benutzerdefinierten Text angeben. |
| • | Administratoren können eine benutzerdefinierte Nachrichtengewichtung verwenden (auch als "Bad Words"-Liste bezeichnet), um den Filter so anzupassen, dass nach bestimmten Wörtern oder Wortfolgen gesucht wird und je nach Nachrichteninhalt ggf. eine Aktion durchgeführt wird. Benutzerdefinierte Nachrichtengewichtung ist eine dateibasierte Implementierung, die über keine unterstützende Benutzeroberfläche verfügt. Innerhalb der Datei können bestimmte Wörter und Wortfolgen zusammen mit dem jeweiligen Ort im Text (Betreff oder Nachrichtentext) und dem zugehörigen Änderungswert hinzugefügt werden. |
Eine Organisation kann die Aktion zur Archivierung verwenden, um die als Spam blockierten Nachrichten zu untersuchen und den geeigneten SCL-Gatewayschwellenwert anhand der Anzahl fälschlicherweise blockierter Nachrichten zu ermitteln. Ohne geeignete Tools zur Untersuchung archivierter Inhalte und Bewertung fälschlicherweise blockierter Nachrichten wird der Vorteil der Archivierungsaktion für alltägliche Operationen jedoch gemindert. Oft ist das zuverlässigste Tool das menschliche Auge, das den Inhalt der Nachricht direkt überprüft. Bei E-Mail-Volumen, die in die Hunderttausende oder Millionen täglich gehen, ist die visuelle Überprüfung der einzelnen archivierten Nachrichten einfach nicht durchführbar. Ein Alternative ist die Verwendung eines benutzerdefinierten automatisierten Prozesses zur Sammlung der Daten anhand der Betreffzeile oder einer anderen Nachrichteneigenschaft, um sich dann einen Auszug mit ein paar Tausend Nachrichten anzusehen. Administratoren können einfache Skripts schreiben, mit denen solche Daten gesammelt werden können, um den Prozess zu vereinfachen.
Da sich die Speicherplatzanforderung für die Nachrichtenarchivierung proportional zum Volumen des E-Mail-Verkehrs und der Spam-Rate der Umgebung verhält, müssen Organisationen, die über ein hohes E-Mail-Volumen verfügen und die Archivierung nutzen möchten, die notwendige Speicherkapazität ihrer Gateways zur Spam-Filterung einberechnen. Aufgrund des E-Mail-Volumens, das die Messaging-Umgebung von Microsoft täglich aus dem Internet empfängt, verwendet Microsoft IT derzeit für den Gatewayschwellenwert die Aktion zum Ablehnen. In einer frühen Testphase des intelligenten Nachrichtenfilters wurde von Microsoft IT jedoch die Archivierungsaktion verwendet.
Einstellen des Speicherschwellenwerts
Mit dem Speicherschwellenwert wird die SCL-Bewertung festgelegt, bei der eine auf einem Postfachserver eingehende E-Mail-Nachricht in den Junk-E-Mail-Ordner im Postfach des Benutzers verschoben wird. Der Speicherschwellenwert muss zur Durchführung des Speicherroutings unterhalb des Gatewayschwellenwerts liegen. Wenn der Gatewayschwellenwert beispielsweise auf 8 gesetzt ist, muss der Speicherschwellenwert auf 6 gesetzt sein, damit eine Aktion durchgeführt wird. Von der Speichereinstellung wird eine Aktion durchgeführt, wenn der SCL-Wert größer ist als der Wert der Speichereinstellung. Hierin unterscheidet sie sich von der Gatewayeinstellung. Von dieser wird eine Aktion durchgeführt, wenn der SCL-Wert größer oder gleich dem Wert der SCL-Einstellung ist. Eine eingehende Nachricht, die beispielsweise eine SCL-Beurteilung von 5 erhält, kann den Gatewayschwellenwert passieren, übersteigt jedoch den Speicherschwellenwert und wird daher automatisch in den Junk-E-Mail-Ordner des Benutzers weitergeleitet. Eine eingehende Nachricht mit der Beurteilung 4 oder niedriger wird direkt an den Posteingang des Empfängers geleitet, da sie beide Schwellenwerte passiert.
Abgleichen der Schwellenwerte
Das effektivste Verhältnis zwischen Gateway- und Speicherschwellenwert ist abhängig von der Messaging-Umgebung einer Organisation. Das Ziel ist, das größtmögliche Volumen an Spam so früh wie möglich in der Infrastruktur zu stoppen und dabei die Anzahl fälschlicherweise blockierter Nachrichten zu minimieren. Jeder Administrator wird die Feineinstellung des intelligenten Nachrichtenfilters unterschiedlich vornehmen, je nach spezieller Umgebung.
Ein Nachteil bei der Festlegung eines hohen Gatewayschwellenwerts ist, dass ein höheres Volumen an Nachrichten durch die Infrastruktur transportiert werden muss und sich letztendlich die Benutzer auf Desktopebene damit befassen müssen. Durch diesen Nachteil erhöhen sich die Kosten aufgrund mehrere Aspekte der Infrastruktur, von der Speicherung über die Bandbreite bis zur Verwaltung.
Microsoft IT behält beim Löschen zulässiger E-Mails eine Toleranzebene nahe Null bei. Bei Microsoft IT wird ein zurückhaltender Gatewayschwellenwert verwendet, um die Rate fälschlicherweise blockierter Nachrichten niedrig zu halten. Im Allgemeinen sind der beste Indikator für fälschlicherweise blockierte Nachrichten Benutzereskalationen. In der Regel ist es für Organisationen am Besten, zurückhaltend zu beginnen und die Schwellenwerte des intelligenten Nachrichtenfilters auf hohe Werte zu setzen und diese nach Bedarf nach unten anzupassen. Der intelligente Nachrichtenfilter enthält eine umfangreiche Liste von Leistungsindikatoren, mit denen Administratoren die Verteilung der SCL-Beurteilungen auf der Basis eingehender Nachrichten untersuchen können und somit eine gezieltere Feineinstellung der Schwellenwerte für bestimmte Umgebungen vornehmen können.
Zusätzliche Absicherungen gegen Spam
Vor Jahren, als Spam zum Problem für E-Mail-Benutzer wurde, war Microsoft IT wie viele andere Unternehmen vollständig auf Antispam-Softwarelösungen von Drittanbietern auf Unternehmensebene angewiesen. Nun verwendet Microsoft IT den intelligenten Nachrichtenfilter in der Produktionsumgebung. Der intelligente Nachrichtenfilter stellt die Schutzebene gegen Spam am Internetgateway bereit.
Aufgrund der Entwicklung neuer Antivirus- und Antispam-Architekturen, der Verwendung des intelligenten Nachrichtenfilters und der Verwendung von Verbindungsfilterung, Echtzeit-Sperrlisten, Absenderfilterung, Nachschlagen der Sender ID, Nachschlagen des Empfängers und Blockierung von Anlagen konnte Microsoft IT das Spamvolumen in der Internet-E-Mail maßgeblich verringern.
Sender ID-Framework
Sender ID ist ein Framework nach Industriestandard, das zur Bekämpfung von E-Mail-Domänen-Spoofing (Identitätswechsel) entwickelt wurde. Mit Sender ID werden alle Zweideutigkeiten bezüglich der Absenderidentität ausgeräumt. Dabei wird anhand der IP-Adresse des sendenden Servers überprüft, ob die einzelnen E-Mail-Nachrichten von der Internetdomäne stammen, die sie vorgeben. Durch das Verhindern von Domänen-Spoofing können legitime Absender ihren Domänennamen und ihr Ansehen schützen. Außerdem können Empfänger Junk-E-Mail und Phishing-Betrugsversuche effektiv identifizieren und herausfiltern.
Das Sender ID-Framework wird in zwei Phasen implementiert:
| • | Mit Phase 1 wird die Domäne (und das Ansehen) des Unternehmens vor Spoofing und Identitätsfälschung geschützt, indem Sender ID-Einträge für SMTP-Gatewayserver veröffentlicht werden, die mit Internethosts kommunizieren. Dadurch wird die Domäne (und das Ansehen) des Unternehmens vor Spoofing und Identitätsfälschung geschützt. |
| • | In Phase 2 wird die PRA (Purported Responsible Address) implementiert und die Information E-Mail-Absender überprüft, um zulässige eingehende E-Mails zu validieren, indem beim Übertragen der E-Mails von den Internethosts Überprüfungen der Sender ID durchgeführt werden. Dadurch kann der Empfänger der E-Mail die Echtheit der sendenden SMTP-Domäne überprüfen. |
Zu Beginn der Implementierung des Sender ID-Frameworks erstellte Microsoft IT Einträge für das Sender ID-Framework und stellte diese auf dem firmeneigenen DNS-Gatewayserver (Domain Name System) mit Exchange Server 2003 SP2 bereit. Dieser Server kann so konfiguriert werden, dass bei eingehenden E-Mails die Sender ID nachgeschlagen wird. Wenn die Abfrage der Sender ID fehlschlägt, gibt es folgende mögliche Aktionen:
| • | Löschen. Diese Aktion geschieht automatisch – ein Bericht zur fehlgeschlagenen Übermittlung wird nicht generiert. |
| • | Ablehnen. Die E-Mail wird auf Protokollebene abgelehnt. |
| • | Annehmen. Das E-Mail-Objekt wird zur Verarbeitung im intelligenten Nachrichtenfilter mit dem Ergebnis für die Sender ID gekennzeichnet. |
Bei der ersten und zweiten Aktion werden E-Mails gelöscht bzw. abgelehnt, deren Sender ID-Überprüfung fehlschlägt (z. B. ein klarer Fall von Spoofing). Der Rest der E-Mail-Objekte wird mit dem Sender ID-Status gekennzeichnet und weitergeleitet. Bei der letzten Aktion wird das E-Mail-Objekt lediglich mit der Sender ID gekennzeichnet (auch im Fall von Spoofing). Dieser Status wird an den intelligenten Nachrichtenfilter übermittelt und führt zu einer entsprechenden Änderung der SCL-Beurteilung.
Hinweis: Weitere Informationen zum Implementieren des Sender ID-Frameworks finden Sie unter http://www.microsoft.com/senderid (in englischer Sprache).
Spam-Filterung auf Clientebene
Idealerweise sollte Spam niemals die Clientebene erreichen. In der Realität gelangt eine gewisse Menge an Spam durch das Microsoft-Netzwerk auf den Desktopcomputer des Benutzers. Einer der Hauptgründe dafür ist, dass einige zulässige E-Mail-Nachrichten, wie z. B. Newsletter, oft Charakteristiken von Spam enthalten. Daher ist es nicht ratsam, den Filterschwellenwert so niedrig zu setzen, dass alle verdächtigen Nachrichten gelöscht werden. Außerdem haben Benutzer möglicherweise persönliche Bevorzugungen, denen ein einzelner Satz unternehmensweiter Einstellungen nicht entsprechen kann.
Da bei den moderat strengen Schwellenwerten bei Microsoft IT einige Nachrichten mit Spam-Charakteristiken auf Desktopcomputer gelangen können, stellt Microsoft IT eine zusätzliche Abwehrebene auf der Clientebene bereit. Benutzer von Microsoft Office Outlook® 2003 mit aktivierter Antispam- und Anti-Phishing-Smartscreen-Technologie auf Clientdesktops sowie Outlook Web Access 2003 können außerdem eine Liste sicherer Absender und eine Liste blockierter Absender einrichten. Die Liste sicherer Absender enthält vertrauenswürdige E-Mail-Adressen und Domänennamen, von denen der Benutzer immer Nachrichten empfangen möchte. Umgekehrt enthält die Liste blockierter Absender Adressen und Domänennamen, von denen der Benutzer niemals Nachrichten empfangen möchte.
In Exchange Server 2003 SP2 werden alle Nachrichten von vertrauenswürdigen Absendern in den Posteingang des Benutzers übermittelt, und alle Nachrichten von blockierten Sendern werden im Junk-E-Mail-Ordner abgelegt. Diese Übermittlung geschieht ohne Beachtung der SCL-Beurteilung, die der Nachricht zuvor zugewiesen wurde. Benutzer von Outlook 2003 und Outlook Web Access 2003 können dafür die Filterung von Junk-E-Mails auf Speicherebene für ihre Postfächer je nach persönlichem Bedarf übergehen. Es ist ihnen jedoch nicht möglich, die Filteraktionen der Gatewayebene auf der Clientebene zu übergehen. Wenn eine Nachricht den Gatewayschwellenwert überschreitet, wird diese nicht an den Posteingang des Benutzers übermittelt, unabhängig von den Einstellungen auf Clientebene.
Benutzer können auch die Aktionen des Junk-E-Mail-Filters von Outlook 2003 anpassen. Dieser analysiert Nachrichten beim Empfang auf dem Client und legt fest, ob diese als Spam behandelt werden. Der Benutzer kann die gewünschte Sicherheitsstufe wählen. Bei der niedrigsten ist der Schutz deaktiviert, bei der höchsten sind ausschließlich Nachrichten von sicheren Absendern zulässig. Vom Junk-E-Mail-Filter herausgefilterte Nachrichten werden direkt in den Junk-E-Mail-Ordner des Benutzers verschoben. Dort können Sie vom Benutzer angezeigt oder gelöscht werden.
Bei Outlook 2003 wird auch auf eine andere böswillige Praxis mit dem Namen Web-Beaconing beachtet – eine Methode zum Abrufen und Sammeln gültiger E-Mail-Adressen. Beispielsweise kann ein Absender ein speziell codiertes Bild an eine E-Mail-Nachricht anfügen, die an einen unwissenden Empfänger gesendet wird. Das Bild ist so codiert, dass der Absender über die gültige E-Mail-Adresse des Empfängers informiert wird, wenn das Bild angezeigt wird. Benutzer von Outlook 2003 sind vor Web-Beaconing geschützt, da Bilder nicht mehr automatisch angezeigt werden.
Antivirus
Während Spam eine Belästigung darstellt und Leistungs- und Produktivitätsprobleme in Messaging-Umgebungen verursacht, stellt böswillige Software, wie Viren, Würmer und Trojaner, eine weitaus größere Sicherheitsbedrohung für jedes Unternehmen dar. Ein einziger Virusangriff kann große Auswirkungen haben, wie im besten Fall eine Ausfallzeit zur Bereinigung und im schlimmsten Fall die Lahmlegung der Infrastruktur und die Gefährdung oder Zerstörung von sensiblen Daten.
Bevor eine Organisation das Problem von E-Mail-Viren angeht, können die Aufwandskosten für die Virusfilterung stark reduziert werden, indem zuerst der Spam aus der Messaging-Umgebung entfernt wird. An jedem Tag werden bei Microsoft IT üblicherweise mehr als 12 Millionen E-Mail-Sendungen aus dem Internet verarbeitet. Da mindestens 95 Prozent dieser Nachrichten als Spam identifiziert und aus dem E-Mail-Fluss gelöscht werden, kann bei Verarbeitungszyklen, Bandbreite und Speicherplatz für Nachrichten viel eingespart werden, indem der Spam vor der Virusüberprüfung auf der Gatewayebene herausgefiltert wird.
Architektur
In den meisten Messaging-Topologien können die Absicherungen gegen Viren an verschiedenen Orten eingesetzt werden. Unter Beachtung des Ansatzes auf mehreren Ebenen bei der Messaging-Hygiene erachtet es Microsoft IT als das Beste, Absicherungen gegen Viren auf mehreren Ebenen in der Netzwerkumgebung einzusetzen. Zwar wird der Leistungsaufwand bei dieser Praxis erhöht, die Risiken werden jedoch minimiert. Microsoft IT führt eine Abwägung zwischen Leistung und Risiko durch. Jede Organisation muss anhand ihrer speziellen Umgebung bestimmen, an wie vielen Punkten und auf welcher Ebene Absicherungen gegen Viren eingesetzt werden sollen.
Organisationen verfügen normalerweise über drei mögliche Ebenen, auf denen Antiviruslösungen in Messaging-Umgebungen eingesetzt werden können:
| • | Gateway |
| • | Postfachserver |
| • | Client |
Entsprechend der Philosophie einer wirksamen Verteidigung konzentriert Microsoft IT die Antivirussysteme für E-Mails auf die SMTP-Gatewayebene und die Clientebene, wie in Abbildung 4 gezeigt. Durch den Entwurf der Internet-E-Mail-Topologie und spezielle Optimierungen beim E-Mail-Routing wird sichergestellt, dass Nachrichten, die zwischen externen Messagingsystemen und der verwalteten Umgebung von Microsoft IT ausgetauscht werden, die eingerichteten Viruskontrollen nicht umgehen können.
Abbildung 4: Antivirus-Abwehrpunkte in der Messaging-Infrastruktur von Microsoft IT
Aus dem Internet empfangene Nachrichten werden zuerst auf Spam überprüft und dann an die SMTP-Routingserver mit Exchange Server 2003 SP2 weitergeleitet, wo alle E-Mails auf Viren überprüft werden, bevor sie an die Postfachserver weitergeleitet werden. Trotz des Antivirusschutzes auf Gatewayebene wird der Ansatz auf mehreren Ebenen zur Verteidigung durch einen zusätzlichen Antivirusschutz auf Clientebene auf den Desktopcomputern der Benutzer eingehalten. Auf allen Cientcomputern in der verwalteten Umgebung von Microsoft IT muss Antivirussoftware von Drittanbietern installiert, konfiguriert und aktiviert sein sowie regelmäßig aktualisiert werden. Aufgrund der ständigen Durchsetzung der Antivirus-Abwehr durch technische Kontrollen und Richtlinien kann Microsoft IT auch Virusbedrohungen von Angriffsvektoren außerhalb des Messaging-Bereichs bekämpfen. Beispielsweise werden durch die Antivirussoftware auf den Desktopcomputern der Benutzer Infektionen auf Dateiebene verhindert und Viren eliminiert, die über Netzwerkverbindungen übertragen werden.
Um die versehentliche Verbreitung von Viren außerhalb der verwalteten Umgebung von Microsoft IT einzudämmen und die Risiken für Anfälligkeit zu minimieren, werden auch bei ausgehenden E-Mails Virusüberprüfungen vorgenommen, zuerst auf der Clientebene und dann auf der SMTP-Gatewayebene.
Kunden von Microsoft fragen oft an, weshalb die Antivirus-Abwehr bei Microsoft IT nicht auf die Speicherebene konzentriert wird, indem Software von Drittanbietern auf den Exchange Server-Postfachservern als Teil der alltäglichen Vorgänge ausgeführt wird. Da Microsoft IT regelmäßig Betaversionen von Microsoft-Software in der Produktion testet, unterliegen diese Server häufigen Veränderungen, wie z. B. der ständigen Installation von Builds der Exchange Server-Software vor der Veröffentlichung. Um sicherzustellen, dass mögliche Kompatibilitätsprobleme von Anwendungen während der Testphase nicht den Virusschutz der Messaginginfrastruktur beeinträchtigen, konzentriert Microsoft IT seine Viruskontrollen für E-Mails derzeit auf die Clientebene und die Gatewayebene. In anderen Umgebungen sollten eigene Anforderungen für die Antivirus-Abwehr festgelegt und eventuell verschiedene Ebenen ausgewählt werden, auf denen der Schutz implementiert wird. Unabhängig davon, für welche Lösung sich eine Organisation entscheidet, bietet der Ansatz auf mehreren Ebenen zur wirksamen Verteidigung ein höheres Maß an Sicherheit als ein Ansatz mit nur einer Ebene.
Neben der proaktiven Überprüfung auf der Gateway- und der Clientebene kann Microsoft IT Antivirus-Sicherheitskontrollen und -Prozeduren für den Notfall auf den Exchange Server 2003 SP2-Postfachservern aktivieren, wenn ein Virus ausbricht.
Hinweis: Weitere Informationen zu diesen Kontrollen und Prozeduren finden Sie im IT Showcase-Whitepaper "Incident Response: Managing Security at Microsoft" unter http://www.microsoft.com/technet/itsolutions/msit/security/msirsec.mspx. (in englischer Sprache).
Richtlinien für eingehende und ausgehende E-Mails
Bei Microsoft IT bestehen separate Überprüfungsrichtlinien und -prozeduren für eingehende und ausgehende E-Mails. Da eingehende E-Mails aus dem Internet weniger vertrauenswürdig sind als ausgehende E-Mails, sind die Richtlinien für eingehende E-Mails restriktiver.
Virusbenachrichtigungen sind ein Beispiel, bei dem Microsoft IT separate Richtlinien für eingehende und ausgehende E-Mails verwendet. Wenn beispielsweise eine eingehende Nachricht aus dem Internet einen Virus enthält, wird die Infektion entfernt, und der interne Empfänger kann benachrichtigt werden. Die Benachrichtigung stellt die notwendigen Informationen zur Ermittlung der Infektionsquelle bereit und zeigt eventuell korrigierende Maßnahmen auf. Der externe Absender der eingehenden infizierten Nachricht wird aus folgenden Gründen nicht automatisch benachrichtigt:
| • | Die Identität des Absenders könnte gefälscht sein. Daher würde die Benachrichtigung den tatsächlichen Urheber der Nachricht nicht erreichen. |
| • | Benachrichtigungen, die durch eine große Anzahl virusinfizierter E-Mail-Nachrichten ausgelöst werden, können zu einem DoS-Angriff auf einen zulässigen Absender führen, dessen Adresse gefälscht wurde. |
| • | Die Benachrichtigung kann dem externen Benutzer die Funktionalität des Antivirussystems offen legen, der diese Informationen daraufhin missbrauchen könnte. |
Ein weiteres Beispiel für eine restriktive Sicherheitsrichtlinie für eingehende E-Mails ist die Blockierung von Anlagen. Dabei werden potenziell gefährliche Anlagen, wie ausführbare Dateien, aus dem eingehenden Internet-Mail-Fluss entfernt. Dadurch wird das Risiko durch böswilligen Code verringert, der über E-Mails in die Umgebung gelangt. Einzelheiten zum Blockieren von Anlagen werden später in diesem Dokument erläutert.
Da ausgehende E-Mails vertrauenswürdiger sind als eingehende, sind bei Microsoft IT die Richtlinien für ausgehende E-Mails weniger restriktiv. Anlagen bestimmter Dateitypen werden in ausgehenden Nachrichten nicht routinemäßig blockiert. Wenn jedoch eine Infektion in einer ausgehenden Nachricht erkannt wird, wird die Infektion entfernt, und an den internen Benutzer wird eine Benachrichtigung gesendet, in der er aufgefordert wird, seinen Computer auf Viren zu überprüfen. Wenn ein Microsoft-Mitarbeiter versehentlich einen Virus sendet, wird der interne Absender von Microsoft IT benachrichtigt, sodass dieser die Infektionsquelle ermitteln kann.
Um unterschiedliche Sicherheitsrichtlinien für eingehende und ausgehende E-Mails zu implementieren, muss eine Antiviruslösung für E-Mails die Richtung der E-Mails erkennen können. Die Lösung muss außerdem über die Fähigkeit verfügen, die Richtung überprüfter E-Mail-Nachrichten aufgrund von Autorisierungskriterien (wie IP-Adresse oder Authentifizierung) zu erkennen. Andernfalls können gefälschte E-Mails dazu führen, dass das System zur Virusüberprüfung nicht ordnungsgemäß funktioniert und eine falsche Sicherheitsrichtlinie angewendet wird.
SMTP-Routingserver mit Exchange Server 2003 SP2
Nachdem Microsoft IT sich für die Implementierung einer Antivirus-Abwehr mit einem Ansatz auf mehreren Ebenen – auf der SMTP-Gatewayebene und der Clientebene – entschieden hatte, war der nächste Schritt die Auswahl der entsprechenden Technologielösungen. Aus Gründen der Leistung, Interoperabilität und Sicherheit war die Strategie für eine Virus-Scanlösung auf Gatewayebene die Konzentration auf die Exchange Server 2003 SP2-Gatewayplattform – besonders auf den Exchange-SMTP-Routingservern von Microsoft IT.
Microsoft IT hatte zwei Optionen für die Integration der Antiviruslösung in die Exchange Server 2003 SP2-Plattform:
| • | Verwendung der VSAPI-Funktion (Virus Scanning Application Programming Interface) Version 2.5 in Exchange Server 2003 SP2 auf der Transportebene |
| • | Verwendung des Modells der Transportereignissenke in Exchange Server 2003 SP2 |
Ein Antivirenanbieter entscheidet sich möglicherweise für die Implementierung seiner Lösung mithilfe von VSAPI 2.5 oder der Transportereignissenke. Obwohl die beiden Verfahrensweisen eine ähnliche Funktionalität aufweisen, haben sie unterschiedliche Auswirkungen auf das fertige Produkt. Wenn für die Lösung VSAPI verwendet wird, kann z. B. die Nachrichtenanalyse und -dekodierung von Exchange Server 2003 SP2 genutzt werden. Wenn der Anbieter sich also nicht mit den Einzelheiten des Öffnens von Nachrichten und der Durchführung einer eigenen Nachrichtenanalyse befassen möchte, wird er wahrscheinlich VSAPI verwenden. Wenn der Anbieter mehr Granularität und Kontrolle über den Nachrichtenfluss wünscht, wird er stattdessen den Ansatz mit der Transportereignissenke wählen. Die Verwendung der Transportereignissenke setzt voraus, dass von der Antiviruslösung eine eigene Nachrichtenanalyse, Berichterstellung, Leistungsüberwachung sowie andere solcher Aktionen durchgeführt werden.
Microsoft IT führte eine umfangreiche Bewertung durch, bevor die Antivirussoftware augewählt wurde, die den Anforderungen der Umgebung am Besten entsprach. Kunden haben entsprechend ihrer speziellen Umgebung eigene Anforderungen. Diese können sich von den Anforderungen bei Microsoft IT grundlegend unterscheiden. Einige Aspekte der Bewertung können jedoch bei vielen Umgebungen ähnlich sein.
Microsoft IT wählte Sybari Antigen für SMTP als Virus-Scanlösung für seine Umgebung. Microsoft IT entschied sich außerdem für mehrere Virus-Scanmodule – die Komponenten zur Nachrichtenverarbeitung, von denen die Nachrichtenanalyse und -überprüfung durchgeführt wird –, um die Chancen für das Erkennen und Entfernen von Virusinfektionen zu maximieren.
Nachfolgend sind ein paar technische Faktoren aufgeführt, die von Microsoft IT während der Phase der Bewertung berücksichtigt wurden.
Zu den Faktoren im Bereich der Funktionalität zählten:
| • | Erkennungsfähigkeiten für Viren und andere Malware |
| • | Unterstützung für mehrere Typen, Codierungen und Formate von Nachrichten |
| • | Fähigkeit zur Integration in die Exchange Server 2003 SP2-Gatewayplattform einschließlich Unterstützung für mehrere virtuelle SMTP-Server |
| • | Erkennung der E-Mail-Richtung; unterschiedliche Richtlinien für eingehende, ausgehende und interne E-Mails |
| • | Fähigkeiten zur Dateifilterung und Blockierung von Anlagen |
| • | Fehlertoleranz; Fehlerbehebung |
| • | Unterstützung für benutzerdefinierte Antivirus-Aktionen und Benachrichtigungen |
| • | Unterstützung für mehrere Virus-Scanmodule |
Zu den Faktoren im Bereich der Leistung zählten:
| • | Gesamtdurchsatz der Lösung |
| • | Systembelastung |
| • | Charakteristiken der Leistung bei normaler Belastung und Spitzenbelastung |
Zu den Faktoren im Bereich der Benutzerfreundlichkeit und Unterstützung zählten:
| • | Remoteüberwachung und -verwaltung |
| • | Komplexität und administrativer Aufwand |
| • | Qualität des Produktsupports des Anbieters |
| • | Integration in vorhandene betriebliche Tools und Prozesse |
Blockieren von Anlagen
Als Teil der Antivirus-Strategie werden bei Microsoft IT automatisch bestimmte Anlagetypen von eingehenden E-Mail-Nachrichten entfernt. Ausschlaggebend dabei sind Dateierweiterung und -typ. Von der Antivirussoftware auf Gatewayebene werden Anlagen bestimmter Dateitypen (z. B. EXE, CMD und COM) automatisch blockiert, unabhängig davon, ob diese mit Viren infiziert sind. Diese Anlagen stellen ein höheres Risiko in Bezug auf Virusinfektionen dar. Indem sie an der äußersten Begrenzung des Netzwerks blockiert werden, kann die Umgebung vor unbekannter oder neuer Malware geschützt werden, für die noch keine Antivirus-Signaturen entwickelt oder bereitgestellt wurden. Nach dem Blockieren einer Anlage wird die Nachricht selbst dennoch übermittelt, und der interne Empfänger erhält eine entsprechende Benachrichtigung.
Microsoft IT hält es für wichtig, Nachrichten auch dann an Empfänger zu übermitteln, wenn Anlagen entfernt wurden. Wenn der Inhalt der blockierten Anlage zulässig ist, kann der Empfänger diese Informationen mithilfe anderer Methoden abfragen. Beispielsweise kann der Absender die Daten in einem anderen Format neu verpacken oder alternative Methoden der Dateiübertragung wie FTP (File Transfer Protocol) verwenden.
Bei einigen Arten von Malware-Infektionen, wie z. B. Würmern, können große Mengen an E-Mails generiert werden, die über dieselben E-Mail-Gateways oder SMTP-Routingserver an zahlreiche Empfänger gesendet werden. Neben der Bedrohung, die die infizierte Nutzlast darstellt, werden durch das Volumen solcher Nachrichten oft Leistungsprobleme in E-Mail-Systemen verursacht. Bei solchen E-Mail-Nachrichten wird die Infektion zwar durch das Blockieren der Anlage oder das Entfernen des Virus aufgehoben, der DoS-Aspekt eines solchen Angriffs wird dadurch jedoch nicht gemindert. Um diese Bedrohungen effektiv bekämpfen zu können, wurde von Microsoft IT eine Lösung implementiert, bei der das Blockieren der Anlagen mit dem Löschen der Nachricht einhergeht. Wenn die Ursache einer infizierten Nachricht ein Massenmail-Virus ist, wird die gesamte Nachricht vom System aus dem E-Mail-Fluss entfernt. Dadurch wird der Leistungsaufwand in der Umgebung minimiert.
Updates für Antivirus-Dateien
Eine auf Signaturen basierende Antivirus-Abwehr kann nur so effektiv sein wie die Qualität der Virusdefinitionsdateien, auch als Signaturdateien bezeichnet. Um den Schutz vor neuen Virusbedrohungen aufrechtzuerhalten, müssen die Signaturdateien von Organisationen regelmäßig aktualisiert werden. Eine weiterer wichtiger Aspekt ist die Verwendung der neuesten Scanmodule.
Microsoft IT verwendet die Pull-Methode, um die aktuellen Antivirus-Signaturdateien und Scanmodule herunterzuladen. Durch den Pull-Mechanismus kann Microsoft IT flexible benutzerdefinierte Zeitpläne für solche Downloads einrichten, und alle Virus-Scansysteme für E-Mails bleiben einheitlich und auf dem neuesten Stand. Wenn ein Update im Zeitfenster zwischen zwei automatischen Downloads verfügbar ist, kann Microsoft IT das Herunterladen auch manuell durchführen. Diese Möglichkeit gibt Microsoft IT die notwendige Flexibilität, um auf potenzielle Notfallsituationen zu reagieren.
Verwaltungsfragen
Bei der Antivirus-Verwaltung sieht es Microsoft IT als wichtig an, mit exakten Richtlinien und klar definierten, geordneten Prozessen vorzugehen. Bei Microsoft IT werden Prozesse und Prozeduren, soweit dies möglich ist, automatisiert. Um beispielsweise sicherzustellen, dass die Antivirussoftware auf dem neuesten Stand ist und auf allen Servern zu jeder Zeit ausgeführt wird, wurden bei Microsoft IT Prozesse automatisiert, bei denen die Version der auf den Gateways vorhandenen Antivirus-Signaturdateien und Scanmodule überprüft wird. Wenn eine Abweichung erkannt wird, z. B. wenn auf einem bestimmten Server nicht die neueste Signaturdatei ausgeführt wird, erhält ein Administrator eine Warnmeldung zu dem Problem.
Die Überwachung täglicher Statistiken über die Menge verarbeiteter E-Mails und die Anzahl entdeckter Viren ist ein weiterer wichtiger Teil des Verwaltungsprozesses. An einem Tag werden bei Microsoft IT 20.000 Viren entdeckt, an einem anderen Tag sind es möglicherweise 200.000. Trends sind schwer auszumachen, da die Statistiken direkt wiedergeben, welche spezielle Art von Virusangriff auf Microsoft IT verübt wird. Obwohl Microsoft ein häufiges Ziel von Angriffen ist, haben spezielle Angriffe manchmal größere negative Auswirkungen auf andere Unternehmen als auf Microsoft. Der Grund für diese Diskrepanz liegt speziell in der Zieldomäne des Angriffs. Anhand von Metriken, die auf täglichen Statistiken basieren, kann ein Administrator Datum und Uhrzeit des Angriffs in der Branche zurückverfolgen und die Auswirkung dieses Angriffs zu einem bestimmten Zeitpunkt ermitteln.
Virusüberprüfung auf Dateiebene und auf Messaging-Ebene
Der Schwerpunkt dieses Dokuments liegt in der Messaging-Umgebung. Daher beziehen sich die Erörterungen zur Virusüberprüfung vorrangig auf die Messaging-Ebenen. Es ist jedoch nennenswert, dass bei Microsoft IT eine Virusüberprüfung auch auf Exchange Server 2003 SP2-Servern auf Dateiebene durchgeführt wird. Diese Überprüfung findet vollkommen unabhängig von der Überprüfung auf Nachrichtenebene statt und bietet für die Messaging-Umgebung keinen Schutz vor Infektionen durch E-Mails.
Die Überprüfung auf Dateiebene ist wichtig, um die Exchange-Server selbst als Elemente der Infrastruktur zu schützen. Ohne Virusschutz auf Ebene des Betriebssystems können reguläre betriebliche Aktivitäten, wie Serverwartung, Patchen oder Problembehandlungen, zu einer versehentlichen Infizierung des Servers führen. Eine verminderte Verfügbarkeit von Messagingdiensten sowie Datenverlust können die Folge sein.
Organisationen, die Antivirussoftware auf Exchange Server 2003 SP2-Servern auf Dateiebene einsetzen möchten, sollten besondere Vorkehrungen treffen. Da die Antivirussoftware üblicherweise keine Informationen über die interne Struktur der Exchange-spezifischen Daten hat (wie z. B. Exchange-Datenbanken und Protokolldateien), führt eine Überprüfung solcher Inhalte oft zu Serverfehlern, bei denen Daten beschädigt werden können. Die Antivirussoftware auf Dateiebene muss speziell konfiguriert sein, damit auf Exchange Server bezogene Daten, wie Postfachspeicher, Transaktionsprotokolle, temporäre Verzeichnisse, Nachrichtenwarteschlangen und andere relevante Speicherorte von Dateien ausgeschlossen werden. Eine unsachgemäße Konfiguration der Software für Exchange-Server auf Dateiebene ist ein allgemeiner Fehler in Messaging-Umgebungen.
Hinweis: Weitere Informationen zur Verwendung von Antivirustools mit Exchange finden Sie in den Microsoft Knowledge Base-Artikeln "Überblick über Exchange Server 2003 und Antivirus-Software" unter http://support.microsoft.com/kb/823166sowie "Exchange und Antivirus-Software" unter http://support.microsoft.com/kb/328841.
Antivirus-Maßnahmen auf Clientebene
Der Ansatz auf mehreren Ebenen zur Verteidigung bei Microsoft IT verlangt eine Virusüberprüfung auf Clientebene, entweder auf Desktopcomputern im Büro oder auf extern verwendeten Laptops. Neben Outlook 2003 wird auf allen Clientsystemen Antivirussoftware zum Schutz vor Viren ausgeführt.
eTrust-Antivirussoftware
Bei Microsoft IT werden strenge Richtlinien für Antivirussoftware auf Clientebene eingehalten. Für den Zugriff auf das Unternehmensnetzwerk muss auf den Clientcomputern aller Microsoft-Mitarbeiter, wie Desktopcomputer und Laptops, eTrust-Antivirussoftware von Computer Associates installiert, konfiguriert und aktualisiert sein. Wenn die eTrust-Software auf dem System des Benutzers aktiv ausgeführt wird, werden alle Dateien in Echtzeit überprüft. Die kontinuierliche Überprüfung und das Abrufen verfügbarer Updates sind für den Benutzer vollkommen transparent.
Mit der Verwendung des Anmeldeskript-Frameworks stellt Microsoft IT sicher, dass auf den Clientcomptern aller Mitarbeiter eTrust installiert ist und ausgeführt wird. Wenn ein Benutzer sich am Unternehmensnetzwerk anmelden möchte, werden vom Anmeldeskript Sicherheitsüberprüfungen auf dem System ausgeführt. Dabei wird auch der Status der Antivirussoftware auf Clientebene überprüft. Das Unternehmensnetzwerk von Microsoft IT wird außerdem ständig mithilfe intern entwickelter Tools und Prozesse überwacht. In regelmäßigen Abständen über den Tag verteilt wird auf allen mit dem Netzwerk verbundenen Computern überprüft, ob aktuelle Patches und die eTrust-Antivirussoftware installiert sind. Wenn auf einem Clientsystem eTrust nicht ausgeführt wird, erhält der Benutzer eine Benachrichtigung mit Anweisungen zur Installation der aktuellen Antivirussoftware. Wenn der Benutzer die Software nicht innerhalb einer bestimmten Zeitspanne installiert, wird ihm der Zugriff auf das Netzwerk von Microsoft IT verweigert, bis sein System die Anforderungen erfüllt.
Outlook 2003
Wie auf der Gatewayebene, ist auch auf Clients eine Erweiterung der Virusüberprüfung um eine Verwaltungsfunktionalität für Anlagen wichtig, um die Sicherheit der Computer von Benutzern zu gewährleisten. In Outlook 2003 wurden die Funktionen zum Blockieren von Anlagen im Vergleich zu früheren Versionen verbessert. Entsprechend der Idee, Anlagen auf der Gatewayebene zu blockieren, verfügen Outlook-Benutzer nun über die Möglichkeit, ein breites Spektrum von potenziell böswilligen Dateitypen zu blockieren, sodass diese nicht empfangen werden können.
Hinweis: Weitere Informationen zum Entfernen von Dateien finden Sie im Microsoft Knowledge Base-Artikel "Anlagen in Outlook 2003 lassen sich nicht öffnen" unter http://support.microsoft.com/kb/829982.
Neben der Blockierung von Anlagen wird in Outlook 2003 auch der programmtechnische Zugriff auf das Adressbuch eingeschränkt. Dadurch wird die Wahrscheinlichkeit verringert, dass böswilliger Code sich selbst über E-Mails an Empfänger aus dem Adressbuch verbreitet. Von Outlook 2003 wird automatisch eine Benachrichtigung auf dem Bildschirm des Benutzers angezeigt, wenn ein anderer Benutzer als der aktuell angemeldete auf das Outlook-Adressbuch zugreift oder durch ein externes Programm darauf zugegriffen wird.
Microsoft IT erzwingt routinemäßig eine Clientversionskontrolle in der Messaginginfrastruktur, sodass der Zugriff älterer Versionen von Outlook-Clients auf die Exchange-Server blockiert wird. Durch die Aufrechterhaltung der Versionskontrolle für E-Mail-Clientsoftware wird sichergestellt, dass Benutzer die Sicherheitsfunktionen der neuesten Versionen von Outlook nutzen können.
Weitere Technologien zur Messaging-Hygiene
Eine umfangreiche Strategie zur Messaging-Hygiene schützt nicht nur vor Viren und Spam. Auch andere Bedrohungen in Zusammenhang mit E-Mails werden abgewehrt, wie z. B. Mailbombardierungen. Dabei wird ein bestimmter Empfänger oder ein ganzes E-Mail-System mit einer riesigen Menge unerwünschter E-Mails überflutet, um so das System lahm zu legen. Bei dieser Art des Angriffs handelt es sich nicht nur um eine Belästigung oder Spam, sondern um einen gezielten DoS-Angriff.
Eine weitere Art der Bedrohung sind Angriffe mit Verzeichnisabfragen. Dabei wird versucht, große Mengen gültiger Empfängeradressen aufzudecken, indem Serverantworten auf E-Mail-Übermittlungsbefehle analysiert werden. Angriffe mit Verzeichnisabfragen treten auf, wenn Absender unerwünschter E-Mails Spam an einen E-Mail-Server senden und dabei ein breites Spektrum möglicher alphanumerischer Benutzernamen verwenden. Wenn ein E-Mail-Server so konfiguriert ist, dass nicht zustellbare Nachrichten an den Absender zurückgesendet werden, kann dieser die empfangenen Ergebnisse analysieren. E-Mail-Adressen, von denen keine Nachricht zurückgesendet wurde, können somit als gültig identifiziert werden.
Zur Bekämpfung dieser Arten von Bedrohungen reichen Antispam- und Antiviruslösungen nicht aus. Heute nutzt Microsoft IT die in diesem Abschnitt erläuterten Sicherheitsfunktionen von Exchange Server 2003 SP2, um diesen und ähnlichen Bedrohungen entgegenzuwirken.
Verbindungsfilterung
Exchange Server 2003 SP2 enthält eine Verbindungsfilterung, bei der die IP-Adresse des Servers, zu dem eine Verbindung aufgebaut wird, mit einer Liste unzulässiger IP-Adressen (auch als Echtzeit-Sperrliste bezeichnet) verglichen wird. Der Vergleich der IP-Adressen wird unmittelbar nach der Initiierung der SMTP-Sitzung durchgeführt. Eine Organisation ist dadurch in der Lage, Verbindungen mit ihren Gateways auf der frühesten Stufe der Nachrichtenübermittlung zu blockieren. Bevor ein in der Echtzeit-Sperrliste enthaltener Server Nachrichten übermitteln kann, wird die Verbindung unterbrochen. Dieser Ansatz führt zu Leistungseinsparungen sowohl auf Messaging- als auch auf Netzwerkebene.
Organisationen können die Verbindungsfilterung in Exchange Server 2003 SP2 einrichten, indem sie entweder manuell eine globale Verweigerungsliste und eine globale Annahmeliste erstellen oder von Drittanbietern verwaltete Datenbanken mit bekannten blockierten IP-Adressen verwenden.
Die meisten der Exchange Server 2003 SP2-Server werden hinter dem Umkreisnetzwerk des Unternehmens eingesetzt und sind nicht direkt mit dem Internet verbunden. Aufgrund dieser Platzierung ist die Verbindungsfilterung weniger hilfreich, da diese Funktion darauf beruht, dass die IP-Adresse des ursprünglichen Absenders abgefragt wird, um die DNS-Abfrage auszuführen. Mit der Herausgabe von SP2 wurde dieser Mangel behoben, indem ein neuer Algorithmus zur Headeranalyse eingeführt wurde, mit dem das Abrufen der IP-Adresse vollzogen wird. Exchange Server 2003 SP2 kann mit aktivierter Verbindungsfilterung überall in der Organisation positioniert werden. Dabei wird die Filterung genauso wie im Umkreisnetzwerk durchgeführt.
Globale Verweigerungs- und Annahmeliste
Eine Organisation kann ihre eigene statische Liste unzulässiger IP-Adressen erstellen. Wie der Name verdeutlicht, enthält die globale Verweigerungsliste bestimmte IP-Adressen und Netzwerke, von denen eine Organisation grundsätzlich keine E-Mails akzeptiert. Umgekehrt kann eine Organisation eine globale Annahmeliste erstellen. Dabei handelt es sich um eine Liste mit IP-Adressen und Netzwerken, auf deren E-Mails keine Richtlinien zur Blockierung oder Filterung angewendet werden sollen. Die globale Annahmeliste kann beispielsweise IP-Adressen enthalten, die zu untergeordneten Organisationen oder Handelspartnern gehören, zu denen die Organisation ein vertrauenswürdiges Verhältnis hat. Unter solchen Umständen möchte die Organisation das Risiko fälschlicherweise blockierter Nachrichten nicht eingehen, und daher werden die vertrauenswürdigen IP-Adressen der E-Mail-Server des Absenders zur globalen Annahmeliste hinzugefügt.
Hinweis: Neben der Verwendung von globalen Verweigerungs- und Annahmelisten kann eine Organisation Exchange Server 2003 so konfigurieren, dass Verbindungen aufgrund von IP-Adressen angenommen oder abgelehnt werden. Diese Konfiguration kann auf jedem virtuellen SMTP-Server definiert werden und hat Vorrang vor den globalen IP-Filterfunktionen von globalen Annahmelisten, globalen Verweigerungslisten und Echtzeit-Sperrlisten.
Echtzeit-Sperrlisten
Eine Echtzeit-Sperrliste ist eine DNS-basierte Datenbank mit IP-Adressen bekannter gesicherter Spamquellen. Echtzeit-Sperrlisten sind bei Unternehmen erhältlich, deren Tätigkeit es ist, das Internet kontinuierlich zu überwachen und bekannte Spamquellen zurückzuverfolgen. Nach dem Aufspüren der entsprechenden IP-Adressen werden diese zu einer Echtzeit-Sperrliste auf einer Datenbank hinzugefügt. Diese Listen sind oft kostenlos erhältlich oder können gegen eine Gebühr erworben werden, wenn ein Messaging-Administrator erweiterte Dienste wünscht.
Mit Exchange Server 2003 SP2 können Echtzeit-Sperrlisten von Drittanbietern verwendet werden. Wenn der Exchange Server 2003 SP2-Server für die Verwendung der Echtzeit-Sperrliste eines Drittanbieters konfiguriert ist, wird die IP-Adresse des übermittelnden Servers mit der Datenbank für die Echtzeit-Sperrliste abgeglichen. Im Fall einer Übereinstimmung wird die Verbindung verweigert.
Da die Entscheidungen zur Filterung bei Echtzeit-Sperrlisten auf der IP-Adresse des übermittelnden Servers und nicht auf dem Nachrichteninhalt beruhen, fallen Echtzeit-Sperrlisten technisch gesehen in eine separate Kategorie der Antispamsoftware von Drittanbietern. Die Echtzeit-Sperrliste funktioniert wie ein Pförtner, der Nachrichten von bekannten böswilligen oder fragwürdigen Servern davon abhält, in die Umgebung zu gelangen. Eine Nachricht, die durch die Echtzeit-Sperrliste gelangt, ist einen Schritt näher vor dem Eintritt in das Netzwerk. Zunächst wird jedoch der Inhalt der Nachricht von der nächsten Abwehrebene der Messaging-Hygiene untersucht, wie z. B. dem intelligenten Nachrichtenfilter.
Wegen des Volumens von DNS-Abfragen im Zusammenhang mit der Echtzeit-Sperrliste, die bei Microsoft IT täglich durchgeführt werden (zweistelliger Millionenbereich), überträgt Microsoft IT in festgelegten regelmäßigen Abständen eine Spiegelungskopie der Echtzeit-Sperrliste auf die lokalen DNS-Server (im Allgemeinen mehrmals täglich). Bei den meisten Listenanbietern sind für Volumen ab 250.000 Abfragen am Tag lokale Kopien der Echtzeit-Sperrlisten erforderlich. Die Übertragung einer Kopie der Echtzeit-Sperrliste ist beim Listenanbieter als Zonenübertragung bekannt. Microsoft IT hat seine Exchange Server 2003 SP2-Gateways so konfiguriert, dass DNS-Abfragen im Zusammenhang mit der Echtzeit-Sperrliste auf diesen lokalen DNS-Servern durchgeführt werden.
Anbieter von Echtzeit-Sperrlisten
Da unterschiedliche Anbieter von Echtzeit-Sperrlisten unterschiedliche Arten von Listen und Diensten anbieten, wählte Microsoft IT sorgfältig aus mehreren Anbietern aus. Ausschlaggebend für die Entscheidung von Microsoft IT waren die Antworten der Anbieter auf folgende Fragen:
| • | Qualität der Liste. Wird von entsprechenden Zuständigen überprüft, ob eine neu hinzugefügte IP-Adresse wirklich zu einem Absender unerwünschter E-Mails gehört? Können beliebige Personen Einträge zur Liste hinzufügen? |
| • | Sicherheit der Liste. Wird die Liste Sicherheitsüberprüfungen unterzogen? Wird von entsprechenden Zuständigen überprüft, ob IP-Adressen irrtümlich oder aus Böswilligkeit hinzugefügt wurden? |
| • | Vorgang zur Aktualisierung der Liste. Wie sieht der Überprüfungsprozess aus? Wenn das Hinzufügen zur Liste automatisch geschieht, sollte auch das Entfernen aus der Liste automatisch geschehen, sobald das Versenden von Spam gestoppt wurde. Wie schnell werden die Listen aktualisiert? |
| • | Vorgang zur Übertragung der Liste. Lässt der Anbieter vollständige oder inkrementelle Übertragungen im BIND-Stil (Berkeley Internet Name Domain) zu, die mit Windows DNS direkt kompatibel sind? |
| • | Support vom Anbieter der Sperrliste. Welchen Umfang von Support leistet der Anbieter? |
Verwaltungsfragen
Einer der wichtigsten Aspekte bei der Verwendung eines Echtzeit-Sperrlistendiensts ist, dass ein Prozess vorhanden ist, in dem zulässige Absender berücksichtigt werden, die versehentlich in die Liste aufgenommen wurden. Microsoft IT hat seine Gateways so konfiguriert, dass Absender, die durch Echtzeit-Sperrlisten abgelehnt wurden, benachrichtigt werden. Die für blockierte Verbindungen generierte Benachrichtigung enthält Informationen über den Grund, weshalb die Nachricht abgelehnt wurde, über den Anbieter und über die Echtzeit-Sperrliste, durch die die Sperrung veranlasst wurde. Ein Absender muss sich an den Anbieter der Echtzeit-Sperrliste wenden, um das Problem zu lösen und seine IP-Adressen aus der Liste entfernen zu lassen.
Organisationen, die Bedenken bezüglich der Blockierung zulässiger Absender haben oder die sich nicht darauf verlassen möchten, dass Absender den Anbieter der Echtzeit-Sperrliste kontaktieren, können E-Mail-Konten oder Verteilergruppen einrichten und diese zur Ausnahmeliste in Exchange Server 2003 SP2 hinzufügen. Nachrichten, die direkt an die Empfänger in der Ausnahmeliste gesendet werden, umgehen die Regeln für die Echtzeit-Sperrliste. Ein Nachteil der Verwendung einer solchen E-Mail-Adresse ist, dass Absender den Spam dann an diese E-Mail-Adresse senden können. In diesem Fall kann die Adresse jedoch leicht geändert werden.
In großen Unternehmen, die sich für die Verwaltung lokaler Kopien der Echtzeit-Sperrlistendatenbanken auf ihren DNS-Servern entscheiden, ist die enge und koordinierte Zusammenarbeit aller beteiligten Teams wichtig. Bei Microsoft wurde die lokale Spiegelungskopie in den DNS-Datenbanken für die Echtzeit-Sperrliste beispielsweise vom DNS-Entwicklungsteam eingerichtet, die Exchange Server-Gateways, die primären Nutzer dieser Informationen, werden jedoch von der Exchange-Supportgruppe verwaltet. Die Gruppen haben ihre Aktivitäten sorgfältig koordiniert und sind dabei strikten Prozessen gefolgt. Durch den großen Umfang einiger Listen hätte die Leistung in der DNS-Infrastruktur beeinträchtigt werden können. Das DNS-Entwicklungsteam führte Tests und Bewertungen durch, um festzustellen, wie die Listen ihre Umgebung beeinflussen. Beide Gruppen arbeiten weiterhin eng zusammen, um ihre Ziele zu erreichen.
Absenderfilterung
Bei der Absenderfilterung wird die Von-Adresse jeder eingehenden E-Mail-Nachricht untersucht und mit einer Liste blockierter Absender verglichen, die von einem Administrator konfiguriert wird. Diese Liste enthält E-Mail-Adressen und Domänen, von denen Microsoft IT keine E-Mails akzeptiert. Üblicherweise sind in der Liste Adressen enthalten, von denen aus ein großes Volumen unerwünschter E-Mails gesendet wird, wie z. B. E-Mails von Sites, die nichts mit dem Geschäftsbereich zu tun haben. Microsoft IT sieht diese Absender nicht als Urheber von Spam an. Es handelt sich lediglich um Domänen oder Einzelpersonen, von denen keine E-Mails erwünscht sind.
Die Absenderfilterung allein ist keine ausreichende Maßnahme gegen sich ständig verändernde Spam-Nachrichten. Da Spam-E-Mails oft von dynamischen oder zufälligen Absendern stammen, ist die Filterung aufgrund bestimmter Absenderadressen nicht sehr effektiv. Die Absenderfilterung kann jedoch dabei helfen, die Risiken von Angriffen mit Mailbombardierungen zu verringern, die von einer bestimmten Quelle oder E-Mail-Domäne stammen. In der Umgebung von Microsoft IT werden durch die Absenderfilterungsfunktion allein täglich Hunderttausende von Nachrichten blockiert.
Filterung leerer Absender
Zulässige E-Mail-Nachrichten enthalten normalerweise eine gültige Absenderadresse. Nachrichten mit einer leeren Von-Adresse sind in den meisten Fällen nicht legitim. Microsoft IT setzt auf Exchange Server 2003 SP2, um diese Nachrichten an den Gateways zu blockieren, um so die Menge an Spam, die von der Umgebung aufgenommen wird, weiter zu verringern.
Nachschlagen von Empfängern
Microsoft IT nutzt außerdem das Nachschlagen von Empfängern auf den Exchange Server 2003 SP2-Gatewayservern. Bei dieser Funktion von Exchange Server 2003 SP2 wird die Gültigkeit des Empfängers auf Protokollebene überprüft, bevor die Zuständigkeit für die Übermittlung der Nachricht akzeptiert wird. Nachrichten an nicht vorhandene Benutzer werden abgelehnt.
Das Nachschlagen von Empfängern ist hilfreich, da diese Arten von Nachrichten von anderen Filtern nicht unbedingt herausgefiltert werden. Die Messagingserver und das gesamte Netzwerk werden durch die Verarbeitung großer Volumen solcher unerwünschten E-Mails unnötig belastet. Mit dieser Funktion wird die Menge an E-Mails verringert, für die ansonsten Systemressourcen für den Übermittlungsversuch und das Rücksenden aufgewendet würden.
Administratoren sollten das Nachschlagen von Empfängern sorgsam einsetzen. Es ist möglich, dass die Messaging-Umgebung dadurch für Angriffe mit Verzeichnisabfragen anfällig wird. Der allgemeine Ansatz zur Verringerung des Risikos solcher Angriffe ist, die Antwort auf Anforderungen an gültige Empfänger zu verzögern. Mit diesem Ansatz werden Versuche zum schnellen Sammeln von E-Mail-Adressen unterbunden und gleichzeitig Nachrichten an ungültige Empfänger blockiert. Microsoft IT konfiguriert seine Exchange Server 2003 SP2-Gateways so, dass das Risiko von Angriffen mit Verzeichnisabfragen minimiert wird, indem die Serverantwort für ungültige Empfänger verzögert wird, während gültige Nachrichten weiterhin normal angenommen werden.
Hinweis: Weitere Informationen zu diesem Vorgang finden Sie im Microsoft Knowledge Base-Artikel "Es steht ein Softwareupdate zur Verfügung, das die Auflistung von E-Mail-Adressen in Exchange Server 2003 verhindert" unter http://support.microsoft.com/kb/899492.
Empfängerfilterung
Mit der Empfängerfilterungsfunktion in Exchange Server 2003 SP2 schützt sich Microsoft IT vor zu großem Einfluss von gezielten Mailbombardierungen. Oft müssen die Empfänger, die Ziel solcher Angriffe sind, nicht einmal Nachrichten aus dem Internet empfangen. Bei der Empfängerfilterung werden Nachrichten auf der Gatewayebene anhand von Kriterien abgelehnt, wie beispielsweise, an wen die Nachricht gesendet wird.
Obwohl die Empfängerfilterung bei der Bekämpfung von Spam-Bedrohungen in Echtzeit nicht so effektiv ist wie Antispam-Echtzeitlösungen, kann sie extrem hilfreich bei der Verringerung des Risikos von Angriffen mit Mailbombardierungen sein. Kürzlich konnte Microsoft IT mithilfe der Empfängerfilterung Millionen von Nachrichten blockieren, die lediglich an ein paar Empfänger an einem einzigen Tag gerichtet waren.
Eingeschränkte Verteilergruppen
E-Mail-Verteilergruppen sind in Organisationen unerlässlich. Sie haben jedoch das Potenzial, Nachrichtenvolumen zu erhöhen und zu neuen Sicherheitsrisiken in der Messaging-Umgebung zu führen. Verteilergruppen können eine große Anzahl an Empfängern enthalten und sind primäre Ziele für Absender unerwünschter und böswilliger E-Mails. Die erfolgreiche Übermittlung einer böswilligen E-Mail an eine große Verteilergruppe hat einen wesentlich schwer wiegenderen Effekt als wenn dieselbe Nachricht an einen bestimmten einzelnen Empfänger gesendet wird.
Microsoft IT verwendet Funktionen in Exchange Server 2003 SP2, mit denen ein Administrator E-Mail-Verteilergruppen auf zwei Arten beschränken kann. Zum einen kann ein Administrator eine Verteilergruppe so konfigurieren, dass nur Nachrichten von einer Liste angegebener Absender akzeptiert werden. Zum anderen kann ein Administrator eine Verteilergruppe so konfigurieren, dass nur Nachrichten von authentifizierten Benutzern akzeptiert werden. Wenn der Absender nicht authentifiziert ist, wird die Nachricht an eine geschützte Verteilergruppe blockiert. Microsoft IT geht einen Schritt weiter und schränkt alle Verteilergruppen ein, die keine E-Mails über das Internet senden oder akzeptieren müssen. Somit werden externe Benutzer davon abgehalten, E-Mails an diese Verteilergruppen zu senden.
Unterdrückung der Namensauflösung der Absenderanzeige
Microsoft IT verwendet eine Funktion von Exchange Server 2003 SP2, mit der ein Administrator die automatische Namensauflösung der Anzeige des Absenders von eingehenden E-Mail-Nachrichten unterdrücken kann, die anonym gesendet werden. Wenn die Adresse eines Absenders mit einer Proxyadresse im Active Directory®-Verzeichnisdienst übereinstimmt, wird die Absenderadresse vom Outlook 2003-Client normalerweise automatisch zum entsprechenden Anzeigenamen aufgelöst. Wenn ein Administrator Exchange Server 2003 SP2 verwendet, um die automatische Auflösung des Anzeigenamens zu unterdrücken, wird die Nachricht so gekennzeichnet, dass Outlook 2003 den Anzeigenamen nicht auflöst und der Empfänger im Outlook-Nachrichtenheader die Internet-E-Mail-Adresse anstelle des Anzeigenamens aus der globalen Adressliste angezeigt bekommt. Durch diese Funktion erhält der Empfänger ein visuelles Indiz dafür, dass die Nachricht von außerhalb der Exchange Server 2003 SP2-Organisation stammt und daher gefälscht sein könnte.
Bewährte Methoden
Microsoft IT ist sich dessen bewusst, dass die Umgebung jedes Kunden einzigartig ist. Die Sorgen über Spam, Viren, E-Mail-Angriffe und andere Sicherheitsbedrohungen im Zusammenhang mit E-Mails sind jedoch dieselben. Microsoft IT entwickelte bzw. implementierte die folgenden bewährten Methoden, um sicherzustellen, dass das höchstmögliche Maß an Sicherheit erreicht wird und dabei die Benutzerfreundlichkeit gewährleistet bleibt:
| • | Verwendung einer Abwehr auf mehreren Ebenen für die effektivsten Ergebnisse. Aufgrund der Verbreitung von Spam und böswilliger Software im Internet heutzutage ist eine einzelne Verteidigungslinie für Unternehmen nicht mehr effektiv. Nur ein paar Jahre zuvor verwendete Microsoft IT nur eine Filterlösung, durch die nur 40 Prozent des Spams blockiert wurde. Derzeit befindet sich die Menge eingehender Internet-E-Mails am Tag im zweistelligen Millionenbereich, von denen 95 Prozent blockiert werden. Durch den heutigen Ansatz auf mehreren Ebenen zur Verteidigung kann Microsoft IT fast den gesamten Spam blockieren. | ||||||
| • | Suche nach Spam und Domänen-Spoofing am Messaging-Gateway. Um die Menge an Spam und gefälschten Nachrichten, die durch das interne Netzwerk geleitet werden, zu minimieren, beginnt Microsoft IT mit der Suche nach Spam auf der Gatewayebene. Der Zweck ist, die Überprüfung so nah wie möglich an der der äußersten Begrenzung des Netzwerks durchzuführen. Nach der Überprüfung bestehen für verdächtige Nachrichten die Optionen, diese zu archivieren, abzulehnen, zu löschen oder keine Aktion durchzuführen. Aufgrund der Menge an E-Mails, die in der Messaging-Umgebung von Microsoft täglich aus dem Internet eingehen, verwendet Microsoft IT für den Gatewayschwellenwert derzeit die Aktion zum Ablehnen. Das Löschen von Spam am Gateway ist die sinnvollste Option, da die Kosten für die Übermittlung und Speicherung von mutmaßlichem Spam zu hoch sind. Das Ziel ist, so wenig Spam wie möglich im Netzwerk zu verarbeiten und zu transportieren. | ||||||
| • | Überprüfen von Nachrichten auf Spam vor der Überprüfung auf Viren. Da bei der Antispam-Überprüfung ein hoher Prozentsatz eingehender Nachrichten aus dem Internet blockiert wird, ist es sinnvoll, erst nach Spam zu suchen und dann nach Viren. Es ist nicht kosteneffektiv, Nachrichten auf Viren zu überprüfen, die später als Spam identifiziert werden, da diese Nachrichten in den meisten Fällen sowieso blockiert werden. Das Speichern dieser Nachrichten und deren Transport durch das Netzwerk erfordert zusätzliche Netzwerkbandbreite, Serververarbeitungszyklen und Speicherplatz. | ||||||
| • | Löschen von infizierten Nachrichten anstatt Bereinigen. Obwohl es bei einigen Antiviruslösungen möglich ist, einen erkannten Virus aus einer Nachricht zu entfernen und den Nachrichteninhalt zu bewahren (oft als Säubern einer Nachricht bezeichnet), sind solche Versuche möglicherweise nicht vollständig effektiv. Daher führt das Senden dieser Nachrichten durch das System zu einer potenziellen Schwachstelle. Bei einigen Infektionstypen wie Massenmail-Würmern können große Mengen bereinigter Nachrichten immer noch eine Beeinträchtigung der Systemleistung zur Folge haben. Microsoft IT hat sich aufgrund der Menge der täglich empfangenen E-Mails dafür entschieden, infizierte Nachrichten zu löschen anstatt zu bereinigen. Bereinigte Nachrichten tragen zum Gesamtvolumen an E-Mails bei, die im Netzwerk gespeichert und übertragen werden müssen. Microsoft IT ist sich jedoch bewusst, dass einige Unternehmen mit dem Löschen von E-Mails vorsichtig sind und stattdessen versuchen, infizierte E-Mails zu bereinigen. | ||||||
| • | Blockieren von Anlagen bestimmter Dateitypen. Microsoft IT hält das Blockieren von Anlagen für einen wichtigen Zusatz zur signaturbasierten Virusüberprüfung. Das Blockieren von Anlagen bietet eine zusätzliche Abwehrebene, da die Umgebung vor unbekannter oder neuer Malware, die in E-Mail-Anlagen übertragen wird und für die noch keine Signaturdateien verfügbar sind, mehr geschützt wird. Eine bewährte Methode ist, das Blockieren von Anlagen auf der E-Mail-Gatewayebene zu implementieren und die Richtlinie zum Blockieren von Anlagen auf der Gatewayebene mit der Richtlinie zum Blockieren von Anlagen auf dem Client abzugleichen. | ||||||
| • | Deaktivieren der Sicherheitsbenachrichtigungen an Absender aus dem Internet. Bei Microsoft IT ist es eine bewährte Methode, niemals Benachrichtigungen an Absender aus dem Internet zu senden. Dafür bestehen folgende Gründe:
| ||||||
| • | Überprüfen von eingehenden und ausgehenden E-Mails auf Viren. Obwohl es ein vorrangiges Anliegen ist, die Messaging-Umgebung von Microsoft IT frei von Viren zu halten, indem eingehende E-Mails überprüft werden, wird auch darauf geachtet, dass von internen Benutzern nicht versehentlich Viren über ausgehende E-Mails an andere Benutzer und externe Empfänger gesendet werden. | ||||||
| • | Generieren von Sicherheitsbenachrichtigungen für infizierte ausgehende Internet-E-Mails. Wenn ein interner Benutzer versehentlich eine infizierte Nachricht versendet, kann der Computer des Benutzers infiziert sein. In diesem Fall muss der Benutzer benachrichtigt werden, sodass er die Infektion von seinem eigenen System entfernen kann, bevor weitere infizierte E-Mails versendet werden. | ||||||
| • | Verwendung beschränkter Verteilergruppen. Durch beschränkte Verteilergruppen kann das Gesamtvolumen an E-Mails reduziert und das Risiko verringert werden, indem von einem Administrator kontrolliert wird, welche Benutzer Nachrichten an bestimmte Verteilergruppen senden können. Diese Funktion von Exchange Server 2003 SP2 bietet mehrere Stufen der Kontrolle. | ||||||
| • | Einheitliche Durchsetzung von Antivirus-Richtlinien auf Clientsystemen. Einheitlichkeit in der Messaginginfrastruktur ist für die Sicherheit der Messaging-Umgebung unerlässlich. Die einzelnen Benutzer müssen ihre Rollen im Prozess und die ihnen zugewiesenen Steuerungsebenen kennen und verstehen. | ||||||
| • | Kontrollieren der äußersten Begrenzung des Netzwerks und Routing. Um den Ansatz auf mehreren Ebenen bei der Messaging-Hygiene von Microsoft IT zu übernehmen, sollte eine Organisation so viele Abwehrmaßnahmen wie möglich in der Messaginginfrastruktur implementieren. Dabei sollte so nah wie möglich am Internet begonnen werden und die Abwehr auf jeder Ebene bis hin zur Clientebene fortgeführt werden. Die Abwehrmaßnahmen sollten sich gegenseitig ergänzen. | ||||||
| • | Blockieren leerer Absender. Normalerweise sind E-Mails von leeren Absendern nicht legitim. Bei Spam-E-Mails werden häufig leere Absender verwendet, um die Identität des Nachrichtenurhebers zu verdecken. Aus diesem Grund hält es Microsoft IT für die beste Vorgehensweise, E-Mails zu blockieren, in denen kein Absender angegeben ist. | ||||||
| • | Blockieren von E-Mails von bestimmten IP-Adressen und Domänennamen. Im Fall von gezielten Angriffen durch Spam oder Mailbombardierung, bei denen böswillige Nachrichten von einer identifizierten Quelle stammen, sind die auf der IP-Adresse basierende Filterung und die Absenderfilterung schelle und effektive Gegenmaßnahmen, mit denen unerwünschter Messaging-Verkehr blockiert und dessen Einfluss auf die Infrastruktur verringert werden kann. |
Schlussbemerkung
Wie die meisten Unternehmen heutzutage muss Microsoft IT bei der Bekämpfung von Spam, Viren, E-Mail-Angriffen und anderen Sicherheitsbedrohungen für die Infrastruktur stets wachsam sein. Obwohl Microsoft IT aufgrund seiner einzigartigen Betriebsumgebung – einer komplexen Mischung aus Servern, Plattformen, Anwendungen und Betriebssystemen (teils veröffentlicht und teils nicht veröffentlicht) – speziellen Herausforderungen gegenübersteht, sind die Kernprinzipien bei der Verteidigung der Sicherheit in der Infrastruktur dieselben wie bei Microsoft-Kunden.
Der Schwerpunkt bei der Strategie zur Messaging-Hygiene von Microsoft IT ist die Notwendigkeit eines Ansatzes auf mehreren Ebenen. Alle Versuche, Spam, Viren und andere böswillige Angriffe auf einer einzelnen Ebene der Infrastruktur zu bekämpfen, sind einfach nicht wirksam genug. Daher setzt Microsoft IT Antivirussoftware auf mehreren Ebenen der Messaginginfrastruktur ein. Microsoft IT hat seine Abwehr durch eine Kombination aus Lösungen von Drittanbietern und unzähligen in Exchange Server 2003 SP2 und Outlook 2003 enthaltenen Features verstärkt.
Ein Leitprinzip der Strategie von Microsoft IT ist, dass der Großteil von Spam und böswilligen Nachrichten davon abgehalten werden muss, in das Netzwerk zu gelangen. Daher setzt Microsoft IT ein breites Spektrum von Filterprozessen am Netzwerkgateway ein. Microsoft IT hat außerdem die Netzwerkinfrastruktur effektiver gestaltet, indem ein Satz dedizierter Server aus der vorherigen Messaging-Topologie entfernt wurde. All diese Bemühungen haben zu einer Verringerung der Gesamtbetriebskosten bei Microsoft IT beigetragen. Microsoft IT ist sich der flexiblen Beschaffenheit seiner Umgebung bewusst und wird die Strategie der Messaging-Hygiene weiterhin kontinuierlich überarbeiten, um auf die unbeständige Landschaft der Gefahren zu reagieren, die über das Internet in das Netzwerk gelangt.
Weitere Informationen
Wenn Sie weitere Informationen zu Produkten oder Dienstleistungen von Microsoft benötigen, wenden Sie sich in den USA telefonisch unter (800) 426-9400 an das Microsoft Sales Information Center. In Kanada erreichen Sie das Microsoft Canada Information Centre unter (800) 563-9048. In allen anderen Ländern können Sie sich direkt an die nächstgelegene Microsoft-Niederlassung vor Ort wenden. Informationen im Internet finden Sie unter folgenden Adressen:
http://www.microsoft.com/germany/
http://www.microsoft.com/itshowcase (in englischer Sprache)
http://www.microsoft.com/technet/itshowcase (in englischer Sprache)