Suchen

Praxistest – Intranator Appliance Pro als Spamfilter einsetzen Spamassassin-Blacklists zum Spamschutz in UTM-Appliance integriert

| Autor / Redakteur: Götz Güttich / Stephan Augsten

Intra2net bietet mit der Intranator Appliance Pro eine UTM-Appliance an. Die Hardware stellt nicht nur den Internetzugang bereit und sichert ihn mit einer Firewall, sondern verfügt darüber hinaus auch über integrierte Mail- und Proxy-Server, VPN- und Fax-Funktionalitäten sowie Features zum Schutz vor Viren, einen Web-Filter und Antispam-Funktionen. Security-Insider.de hat die Antispam-Lösung getestet.

Firmen zum Thema

Der Spamfilter der Intranator-Appliance basiert auf der Antispam-Lösung Spammassassin, einem Open-Source-Projekt.
Der Spamfilter der Intranator-Appliance basiert auf der Antispam-Lösung Spammassassin, einem Open-Source-Projekt.
( Archiv: Vogel Business Media )

Der Spam-Filter der Intranator-Appliance basiert auf der Open-Source-Lösung Spamassassin. Allerdings wurde er um einige wichtige Punkte erweitert, die nach Angaben des Herstellers die Spam-Erkennungswerte deutlich verbessern sollen.

Kernstück der Antispam-Lösung stellt ein netzwerkbasiertes Testverfahren auf Basis mehrerer Blacklisten dar. In ihrer Kombination sollen sie eine wesentlich zuverlässigere Spam-Identifizierung ermöglichen, als „klassische“ Inhaltsfilter wie zum Beispiel bayesische Filter. Abgesehen davon lassen sich Blacklisten von Spammern nicht umgehen.

Bildergalerie

Das von Intra2net zum Identifizieren von Spam eingesetzte System geht von der Annahme aus, dass die meisten Spam-Mails bereits durch relativ einfache Kriterien sehr genau als Spam erkennbar sind. Die Intranator-Lösung setzt bei ihren Blacklisten nicht auf statisch konfigurierte Dienste, sondern auf eine „Best of Breed“-Konfiguration.

Die Antispam-Lösung verwendet aus einer Auswahl von etwa 150 Blacklisten also nur die Listen mit den besten Treffer- und den geringsten Fehlerquoten. Diese Auswahl wird kontinuierlich überwacht und aktualisiert. Dabei verwendet der Hersteller einen fein abgestimmten Mix aus DNS-Blocking-, Hash- und URL-Listen.

In diesem Zusammenhang wollen wir kurz auf Unterschiede zwischen den einzelnen Listentypen eingehen:

  • DNS-Blacklists sind sicher am bekanntesten. Sie identifizieren die Spam-Mails anhand der Absender-IP-Adressen. Ist ein Internet-Host dadurch aufgefallen, dass er besonders viel Spam versendet hat, so landet er auf der DNS-Blacklist und diese stuft anschließend alle Mails, die von ihm kommen, als Spam ein.
  • Hash-Blacklisten vergleichen im Gegensatz dazu die Mail-Inhalte mit Hilfe von Hash-Werten. Sie können also Spam-Mails erkennen, die im Wesentlichen identisch aussehen. Ihr Einsatz ist somit unter anderem sinnvoll, wenn man von Botnetzen initiierte Spamwellen bekämpfen will. Bei solchen Wellen handelt es sich in der Regel immer um Mails vergleichbaren Inhalts.
  • URL-Blacklists erkennen Spam anhand der im Nachrichtentext vorhandenen URL-Verlinkungen. Führt ein Link in einer Mail zu einer bekannten Spam- oder Spyware-Seite, so kann ist es äußerst wahrscheinlich, dass es sich bei der Nachricht um Spam handelt.

Daraus wird klar, dass sich ein hochwertiger Spam-Schutz mit Hilfe von Blacklists nur dann gewährleisten lässt, wenn alle Listentypen parallel zum Einsatz kommen. Darüber hinaus spielt es eine zentrale Rolle, die verwendeten Listen – so wie es Intra2net tut – immer in einer abgestimmten Mischung einzusetzen, um eine konstante Filterquote zu erreichen.

Zur Spam-Abwehr verwendet die Intranator-Appliance zwei unterschiedliche Filterstufen. Zunächst analysiert die Appliance eingehende Mails in Bezug auf ihren Transportweg und schaltet nach dem Empfang von etwa 1000 Spam-Mails in den vollwertigen Filtermodus um.

Seite 2: Hardware und Installation der Intranator-Appliance

(ID:2042922)