Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Antispam voor bedrijven

01-11-2012, 19:33 door MrRight, 4 reacties
Hallo security-collega's,

Wat is/zijn de dienst(en) voor bedrijven om spam/virussen af te vangen?

(bedrijven van 50+ werknemers)

Wie heeft goede ervaringen met....
Wie heeft slechte ervaringen met....

Moet je dit zelf inregelen met een dienst/appliance?
Of via een dienst van derde partij?

(Ironport in-house? Of McAfee oid.)

Wat zijn redelijke kosten en wat zijn de "garanties"?

Graag hoor ik over ervaringen etc.

Dank.
Reacties (4)
01-11-2012, 20:46 door Anoniem
Bij spam filters is er geen garantie. Niet over wat de detectie ratio is en niet over wat er onterecht gedetecteerd wordt.

Je kunt kiezen tussen software, een appliance of een dienst.

Bij 50 werknemers ben je het beste af bij een dienst (managed service), tenzij er speciale eisen zijn aan de beveiliging. De dienstverlener kan alle mail inzien als hij dat zou willen. De dienst werkt meestal door middel van het veranderen van de MX record.

Bij een appliance is er vendor lock-in. De appliance fabrikant is ook verantwoordelijk voor (het leveren van) de beveiligingsupdates. Dat is soms niet zo best geregeld: te late updates.

Software geeft de meeste vrijheid en flexibiliteit, maar die moet je wel zelf installeren en onderhouden met patches e.d. Je moet ook zorgen voor de server of VM en het besturingssysteem.

In alle gevallen moet je goed op de juridische details letten, soms wordt zonder expliciet te vragen verkeersgegevens bewaard of doorgezonden. Calling home is tegenwoordig meestal standaad geworden, en privacy komt op de laatste plaats. Ze hebben wel een privacy policy waarin soms zo vaag mogelijk wordt omschreven dat ze om privacy geven, maar er verder niets voor doen. Vooral bij clouddiensten moet je opletten wat daar precies mee wordt bedoeld.

Let ook op hoe de software werkt. Als je mail aan de poort weigert d.m.v. een verzender IP blacklist, dan kan dat ervoor zorgen dat je klanten die toevallig op die blacklist staan niet meer in staat zijn via email met het bedrijf te communiceren. Je zou zomaar een order kunnen mislopen. Dergelijke false positives komen soms voor. Voor het spam filter bedrijf is het aangenaam werken want klanten weten vaak niet dat er wat mis is. Het komt dus voor dat gebruikers de indruk hebben dat het goed werkt terwijl dit in werkelijkheid niet zo is. Hetzelfde geldt voor het tijdelijk weigeren mail aan te nemen, het zogenaamde grey-listing. Dat kan ook problemen veroorzaken.

Het klinkt paradoxaal: als je nooit spam ontvangt is dat mogelijk eerder een teken van een slechte filter dan een goede filter. De kans is groot dat er teveel wordt tegengehouden. Het omgekeerde is trouwens niet waar: als je wel spam ontvangt betekent dat niet dat je filter goed werkt.

Virus Bulletin doet anti-spam tests. Bedenk wel dat die tests gebaseerd zijn op mail flows die niet de jouwe zijn, de waarde van scores is daarom beperkt. De false positive scores zijn interessant, maar ook niet altijd van groot belang. Bijvoorbeeld false positives in Russische emails zijn in Nederland niet zo ernstig als in Rusland.
02-11-2012, 10:31 door SirDice
Jaren geleden bij een bedrijf gewerkt met MIMEsweeper. Prima product. Goede content scanning mogelijkheden.

Pikte zelfs allerlei truukjes er uit die mensen probeerden om toch executables te mailen (iets wat absoluut niet toegestaan was). Executable in een zip, in nog een zip, die weer in een rar en dat embedden in een Word document (serieus iemand zien proberen) en mimesweeper pikte 'm zonder problemen op :)

http://www.clearswift.com/products/mimesweeper-for-smtp
02-11-2012, 11:15 door Anoniem
"garanties", tja ik vrees dat geen enkele dienstverlener zich daar aan gaat branden.
er bestaan genoeg dienstverleners op dit gebied, maar we doen dit nog steeds in-house met zeer goede
resultaten (net zoals de 1e reageerder, die beschrijft ook een product ipv een dienst).

We hebben wel eens een aanbieding gehad als onderdeel van een hosting situatie waarbij de aanbieder
antispam aanbood wat "ongeveer 90% van de spam tegenhoudt". Dat vond ik een zeer slechte score,
maar we zijn om andere redenen niet met die aanbieder verder gegaan dus ik heb ze daar niet over
doorgezaagd. Ik neem aan dat men dit soort losse claims doet om niet later in de problemen te komen.
Als er maar 90% wordt tegengehouden dan lijkt me dat onwerkbaar.

Als je met een derde partij in zee gaat check dan ook hoe ze regelen dat zij weten welke mail adressen
binnen jouw bedrijf geldig zijn. Wat je niet moet hebben is een externe filterserver die alle mail aanpakt,
scant, en wat er geen spam is doorstuurt naar jouw eigen server die vervolgens het mailadres niet kent,
een 550 geeft waarna je dienstverlener een bounce stuurt naar het geclaimde afzender adres.
Helaas komt dit veel voor. Het is een oorzaak van nog meer spam, en dat wil je niet.
De dienstverlener moet de mails zelf rejecten (550) als het bestemmingsadres ongeldig is.
Daar zijn verschillende manieren voor.
02-11-2012, 15:02 door Anoniem
Door SirDice: Jaren geleden bij een bedrijf gewerkt met MIMEsweeper. Prima product. Goede content scanning mogelijkheden.

Pikte zelfs allerlei truukjes er uit die mensen probeerden om toch executables te mailen (iets wat absoluut niet toegestaan was). Executable in een zip, in nog een zip, die weer in een rar en dat embedden in een Word document (serieus iemand zien proberen) en mimesweeper pikte 'm zonder problemen op :)

http://www.clearswift.com/products/mimesweeper-for-smtp

MAILsweeper is de Roll Royce onder de content scanners, vooral vanwege de flexibiliteit. Het ondersteunt plug-ins van derden die ook beschikbaar zijn. Je kunt ook zelf executables of scripts maken om bepaalde dreigingen te blokkeren.

Wat betreft het vreemd inpakken: dat heb ik inderdaad ook live zien gebeuren, dus er zijn zeker mensen die dat doen.
Het is overigens niet zo dat content scanners in het algemeen full proof zijn, het is nogal makkelijk content te obfusceren. (Ik zou graag vertellen hoe dat werkt, maar dit is een openbaar forum.)

Ook wat minder goede punten vertellen, anders lijkt het dat ik voor ze werk: het combineren van scanresultaten is niet mogelijk. De spam filter is minder goed, maar er zijn wel plug-ins waarmee je dat kan goedmaken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.