Von Spam bis zum Datenleck

Maßnahmen für mehr E-Mail-Sicherheit

25.03.2011
Von Frank-Michael Schlede und Thomas Bär

Abwehr mittels Appliance

Neben einer inhaltlichen Überprüfung von E-Mails beim Empfang auf Ebene des Posteingangsservers oder auch des Clients bietet sich für Unternehmen eine vorangestellte "Verteidigungslinie" an. Eine derartige Lösung wurde erstmalig Anfang des Jahres 2000 vom US-amerikanischen Hersteller Ironport zur Produktreife geführt und auf den Markt gebracht. Dabei kommt eine Appliance des heute zu Cisco gehörenden Herstellers zum Einsatz.

Die äußere Verteidigungslinie: Eine Appliance, die einen sogenannten "Reputations-Filter" verwendet, lässt solche Nachrichten erst gar nicht in das Firmennetzwerk gelangen.
Die äußere Verteidigungslinie: Eine Appliance, die einen sogenannten "Reputations-Filter" verwendet, lässt solche Nachrichten erst gar nicht in das Firmennetzwerk gelangen.

Diese prüft, ob das bisherige Verhalten des absendenden Servers durch Spam-Aktivitäten gezeichnet ist. Das bisherige Verhalten wird hierbei als "Reputation" bezeichnet. Ist ein Server bereits mehrfach zum Versand von Spam-Mails benutzt worden, so ist dies in einer speziellen Datenbank festgehalten.

Der Reputationswert wird von Ironport auf einer Skala von -10 bis +10 dargestellt. Ab welchem Wert mit einer Mail wie zu verfahren ist, kann der Mail-Administrator einstellen. In der typischen Einstellung einer Ironport-Appliance werden Mail-Server mit einem Reputationswert von -10 bis -6 komplett als Kommunikationspartner abgelehnt. In einem Bereich von -5 bis -2 lassen sich "Throttle"-Einstellungen wählen. Eine derartige Einstellung beinhaltet dann beispielsweise, dass lediglich drei E-Mails pro Stunde von einem solchen Server entgegengenommen werden.

Der Antivirenschutz kann ebenfalls in der vordersten Linie zum Einsatz kommen: Die meisten Appliances sind in der Lage, die eingehenden Nachrichten vor dem Wechsel in das Firmennetzwerk auf Viren zu untersuchen.
Der Antivirenschutz kann ebenfalls in der vordersten Linie zum Einsatz kommen: Die meisten Appliances sind in der Lage, die eingehenden Nachrichten vor dem Wechsel in das Firmennetzwerk auf Viren zu untersuchen.

In der öffentlich zugänglichen Ironport-Datenbank mit Namen Senderbase werden laut Hersteller die Serverdaten und Transaktionsergebnisse von über 30.000 Providern, Universitäten und Unternehmen gespeichert und als Grundlage für eine Einschätzung des Spam-Potenzials genutzt. Systeme, die entsprechend konfiguriert wurden, übermitteln ihre Informationen automatisch an die Senderbase-Datenbank. Dank der großen Anzahl von Sensoren erkennt das System sehr zügig eine neu entstehende Spam-Schwemme und ist für manipulierte Fehldaten unsensibel.

Zur Startseite