Microsoft Antigen 9.0 Verbündete Virenwächter für Exchange
Die Guten ins Töpfchen und die Schlechten ins Kröpfchen: Microsoft Antigen soll vor Viren, Spam, Würmern und anderen unerwünschtem E-Mail-Inhalten schützen. Security-Insider hat Antigen 9.0 für Exchange inklusive Spam-Manager getestet.
Anbieter zum Thema
Seit dem 21. Juni 2005 ist die amerikanische Firma Sybari ein vollständig eingegliedertes Tochterunternehmen von Microsoft. Sybari wird auch weiterhin Sicherheitslösungen anbieten, allerdings nur für Microsoft-Produkte.
Darunter fällt auch das „Antigen 9.0 für Exchange mit Antigen Spam Manager“, das seit Anfang Juli 2006 auf dem Markt ist.
Features
Antigen vereint viele der üblichen Funktionen aktueller Anti-Spam und Anti-Virusprogramme, einige Eigenschaften sind besonders hervorzuheben:
Die Software verwendet bis zu neun verschiedene Antivirus-Scanmodule diverser Hersteller. In alphabetischer Reihenfolge sind das Ahnlab, Cairis, Cavet, Command, Kaspersky, Nai, Norman, Sophos, Spamcure, Sybari, Sybarivcl und VBuster. Damit die vielen Scan-Engines den Server nicht überlasten, kann die parallele Verwendung der Module gesteuert werden.
Antigen verwendet außerdem einen systemeigenen SMTP-Stack für das Routing. Der für SMTP übliche Port 25 muss also nicht mehr konfiguriert werden. Weiterhin bietet das Produkt eine Schnittstelle zum Microsoft Operations Manager.
Zusätzlich erfüllt Antigen folgende Aufgaben:
- Unterstützt Exchange auf Microsoft Cluster, wobei keine separaten Knoten konfiguriert werden müssen
- Virtuelle Server werden unterstützt
- Manuelle und gesteuerte Virensuche in Exchange-Speichergruppen
- Scannen im Arbeitsspeicher
- SMTP-Scan für eingehende und ausgehende Nachrichten
- Filtern des Inhalts (Nachrichtentexte und Betreffzeilen)
- Filtern von Dateien
- Erkennen und Entfernen von E-Mail-Würmern
- Updates für jeden Antivirus-Engine werden zeitgesteuert angefordert
- Verwaltung des Servers über einen Browser (ActiveX-Client)
Drei Installationsarten
Die Lösung besteht aus „Antigen Diensten“ und dem „Antigen Administrator“, die über das Setupprogramm im Modus „remote“ oder „local“ aufgespielt werden können.
Während die lokale Installation interaktiv auf dem Server erfolgt, wird das dezentralisierte Setup über einen Clientcomputer ausgeführt. Hierfür sind allerdings administrative Privilegien erforderlich. Die Einrichtung über einen Remotedesktop (vormals Terminaldienst) in der Installationsart „lokal“ ist ebenfalls möglich.
Seite 2: Setup in zwei Testumgebungen
weiter...
Setup in zwei Testumgebungen
Als Testsysteme dienen ein Windows 2000 Server mit einer 1 Gigahertz (GHz) CPU und 1 Gigabyte RAM sowie ein Windows 2003 Server mit einer Taktfrequenz von 3,2 GHz und 2 Gigabyte Arbeitsspeicher, jeweils mit Exchange Server 2003. Alle Server sind mit den aktuellen Service Packs versehen, die auch für die Installation von Antigen vorausgesetzt werden.
Bei beiden Betriebssystemen verläuft die Installation in der lokalen Installationsvariante reibungslos, was bei der remoten Installation über das Setup leider nicht der Fall ist.
Probleme beim Remote-Setup
Auf Windows 2000 Professional- und XP-Clients kann zwar ein „Antigen Administrator“ installiert werden, doch erhält dieser keinen Zugriff auf den Antigen-Server.
Leider hilft für Windows XP-Clients der Tipp aus der Antigen-Hilfe auch nicht weiter. Dieser schlägt vor, die Dcom-Sicherheit der anonymen Anmeldung auf den Wert „Remote=zulassen“ zu setzen.
Verschiedene Sicherheits-Modi
Die Sicherheit (“Quarantine Security Settings“) kann in Antigen auf zwei Arten vorkonfiguriert werden: „kompatibel“ und „sicher“ (Standard). Im sicheren Modus werden alle Mails und Anhänge auf Viren gescannt.
Der kompatible Modus erlaubt das Verschieben von Mails und Anhängen in den Quarantänebereich, ohne dass der Filter sie scannt. Anschließend erhalten die Mails eine spezielle Markierung. Da Antigen im Testfall sofort die gesamte E-Post untersuchen soll, wird die Konfiguration auf den Wert „secure“ gesetzt.
Nach erfolgreicher Installation werden die Antigen-Dienste automatisch gestartet, so dass kein Neustart des Servers notwendig ist. Die Software wird sofort aktiv, es lädt also alle neun Scan-Module automatisch von der Antigen-Website herunter und installiert sie.
Handling
Bei der Verwaltung zeigt sich dem Administrator nicht die gewohnte Microsoft-Managementkonsole, sondern der „Antigen Administrator“ von Sybari. Die Navigation ist sehr gut umgesetzt: Auf der linken Seite ist eine Bildlaufleiste mit Schaltflächen zu sehen, über der die einzelnen Features angesprochen werden können.
Alles ist übersichtlich und ein erfahrener Administrator mit Kenntnis der Terminologie kann die Einstellungen fast intuitiv gestalten. Der mitgelieferte Hilfetext ist in Form einer Website aufgebaut und erklärt ergebnisorientiert alle Einstellungen.
Mancherorts wären allerdings mehr Hintergrundinformationen hinsichtlich des Zusammenspiels mit dem Exchange Server 2003 wünschenswert.
Verwaltung und Virensuche
Da in diesem Artikel nicht jede Einstellung beschrieben werden kann, stellt Security-Insider einige Features vor, die nach unserer Meinung gut oder weniger gut gelungen sind.
Kurz nach der Installation werden – wie bereits beschrieben – die Scan-Module im Internet herunter geladen. Dies geschieht automatisch, auch wenn der Administrator einige Module aus Performance-Gründen deaktiviert hat. Weil während dieser Setup-Phase der Server zu 99% ausgelastet ist, wäre die Einrichtung zu einem späteren Zeitpunkt empfehlenswert.
Seite 3: Steuerbare Performance
weiter...
Steuerbare Performance
Je mehr Such-Engines später im Betrieb ausgeführt werden, desto stärker wird natürlich der Mailserver belastet. Daher hat man das Feature „Bias“ eingeführt, in den man den maximalen Grad der Serverbelastung auswählen kann.
Voreingestellt ist der Wert „Neutral“ (siehe Abbildung 2), der der mittlere von fünf Einstellungen ist. Ein Administrator sollte daher in Abhängigkeit der CPU-Leistung des Servers seine optimale Bias-Einstellung wählen.
Findet ein Scanmodul einen Virus, kann die Mail repariert oder gelöscht werden. Die Schwachstelle ist die Performance beim Scannen: Für eine einzige Datei aus dem Informationsspeicher werden schonmal mehrere Sekunden benötigt. Unter dem Icon „Scanner Updates“ kann für jeden Engine ein Download-Job zur Aktualisierung definiert werden.
Werbemails verlässlich geblockt
Das Erkennen von Spam-Mail erfolgt wie beim Exchange Server 2003 Service Pack 2 recht zuverlässig. Antigen geht hier noch einen Schritt weiter: Eingehende, ausgehende und interne Mail kann auf spezielle Stichwörter hin überprüft werden (siehe Abbildung 3). Die Stichwortliste kann selbstverständlich erweitert oder bearbeitet werden.
Wird zum Beispiel ein Stichwort entdeckt, kann die Mail markiert und unter Quarantäne gestellt werden. Administratoren sollten beim Filtern von Spam aber die deutschen Gesetze einhalten. Diese setzen E-Mails mit Briefen gleich – elektronische Post fällt also auch unter das Briefgeheimnis. Das Löschen ohne Zustimmung des Empfängers wäre demnach rechtswidrig.
Zweischneidiges Berichtswesen
Alle Vorfälle werden automatisch in Echtzeit in einem Log gespeichert, dass später unter „Report“ zu finden ist. Leider wird nur ein einzelner Bericht erstellt, alle Aktionen und Ereignisse werden untereinander geschrieben. Damit ist die übersichtliche Auswertung einer Statistik ist nicht möglich.
Besser gelungen ist, dass der Administrator genau erkennen kann, warum eine Mail in Quarantäne gestellt wurde. Sollte eine Nachricht aus Versehen dort hineingelangt sein, kann der Administrator sie zum Senden freigeben (siehe Abbildung 4 und 5).
Fazit
Prinzipiell ist eine Sicherung des Exchange Servers mit Antigen sinnvoll. Besonders vorteilhaft ist die Einbeziehung verschiedener Scan-Module zur Virenerkennung.
Das Filtern von Werbemails nach Schlüsselwörtern funktioniert gut. Allerdings ist dieses Feature beinahe überflüssig, wenn bereits eine Spam-Erkennung über den Exchange Server 2003 SP2 aktiviert wurde. Verbesserungswürdig ist die Auswertung der statistischen Daten und die Performance.
Noch läuft das Gesamtpaket nicht perfekt – wenn Microsoft die Kinderkrankheiten in Bedienung und Installation in den Griff bekommt, ist das Produkt aber durchaus empfehlenswert.
Artikelfiles und Artikellinks
(ID:2001992)