Ruim tweederde van alle e-mails die wereldwijd verzonden worden, is ongewenst. In de niet-aflatende strijd tegen spammers spelen ‘mail security appliances’ (MSA’s) een belangrijke rol. Wij testten acht van deze ‘zwarte dozen’ en bekeken hoe goed ze spam filteren en of ze niet te veel valse positieven tegenhouden.
Spam kost bedrijven handenvol geld en zorgt voor veel ergernis bij medewerkers. In het voortdurende gevecht tegen de almaar inventievere spamboeren speelt de bedrijfsmailserver en diens beheerder een belangrijke rol. Bedrijven die hun eigen mailserver(s) draaien, kunnen vandaag niet zonder een mail security appliance of MSA, een ‘zwarte doos’ die gespecialiseerd is in het filteren van spam en het op andere manieren beschermen en controleren van het in- en uitgaande e-mailverkeer. De antispamfilters die standaard zijn ingebouwd in mailserversoftware zoals Microsoft Exchange, IBM Lotus Notes of Novell GroupWise volstaan al lang niet meer om de nieuwste soorten spamaanvallen af te weren.
Een MSA wordt voor de mailserver geplaatst en controleert alle in- en uitgaande post, filtert die indien nodig en verzendt ze uiteindelijk. De mailserver krijgt op die manier als het goed is alleen nog legitieme e-mails te verwerken. Fabrikanten van MSA’s bieden vaak meerdere types aan. De interne software om het e-mailverkeer te beveiligen is dezelfde, maar de hardware verschilt naargelang de hoeveelheid mail die het apparaat moet verwerken. MSA’s die op hoge snelheid vele tienduizenden mails per dag moeten filteren, kosten uiteraard het meest.
In deze test hebben we MSA’s van BorderWare, F-Secure, IronPort, NetASQ, SecPoint, SonicWall, Symantec en Trend Micro. We ontvingen ook een appliance van IBM ISS, maar die vertoonde grote problemen en hebben we uiteindelijk niet kunnen testen. We hopen die op een later tijdstip alsnog apart te kunnen testen. We kozen MSA’s uit die geschikt zijn post voor minstens 250 gebruikers te screenen.
We hebben de MSA’s elk minstens een week lang in een live testomgeving gehangen. Onze testprocedure bestond erin dat we een zo standaard mogelijke configuratie gebruikten en bekeken hoeveel ongewenste mails nog in onze testmailboxen terechtkwam, maar ook of er legitieme mails werden geblokkeerd (valse positieven). We zijn wat de beveiliging betreft tevreden zodra een MSA minder dan vijf ongewenste mails per dag binnenlaat en geen enkel legitiem bericht tegenhoudt.
Borderware Mail Firewall MX-400
De Borderware MSA is een één rekeenheid hoge pizzadoos met drie netwerkpoorten en twee harde schijven in een RAID-1 configuratie met als onderliggend besturingssysteem FreeBSD. De webinterface is erg eenvoudig. Een webbrowser volstaat om er mee te werken. De negen hoofdfuncties zijn: Activiteit, Configuratie, Post, Onderschepping, Inhoudscontrole, Reglement, Gebruikersprofielen, Rapportage en Beheer. Deze MSA is niet alleen een postbeveiligingssysteem, maar kan zelf ook als mailserver ingezet worden. De netwerkconfiguratie ondersteunt ook clustering en replicatie.
Hoewel het mogelijk is om aparte beveiligingsreglementen op te stellen voor elke netwerkpoort, omvatten de standaardvoorzieningen van een beveiligingsreglement zowel controles voor inkomende als uitgaande post. Die controles omvatten een viruswering met behulp van Kaspersky of optioneel McAfee, antispam, controle van het soort bijlage en meer diepgaande inhoudsfiltering. Voor de spamblokkering is Intercept voorzien, BorderWares eigen spamfilter. Als je wilt, kun je een licentie voor BrightMail van Symantec aanschaffen. BorderWare heeft ook het BorderWare Security Network of kortweg BSN opgericht, waarmee informatie uitgewisseld kan worden over verzenders van e-mail: hun reputatie, of het om een inbeller gaat, of hij grote hoeveelheden post verzendt en hoeveel daarvan besmet bleek met een virus of spam was. Daarnaast kan de appliance dreigingspreventie gebruiken.
Prestaties
In onze test kregen we nog ruim een gemiddelde van 4,17 foute berichten per dag en per mailbox binnen, maar zonder valse positieven. Het aantal spamberichten per dag en per mailbox kan lager, maar dan stijgt het aantal valse positieven.
Productinfo
Product: MXtreme Mail Firewall
Producent: BorderWare, USA; www.borderware.com
Leverancier NL: NOXS Netherlands, tel. 030 602 54 00; www.nl.noxs.com
Adviesprijs (excl. btw): 9.155 euro (MX400 Email Security appliance) plus 1.237,50 euro (jaarlijkse licentie voor 250 gebruikers)
F-Secure Messaging Security Gateway X200
Een echt goede spamfilter had F-Secure niet. Daarom heeft het Finse beveiligingsbedrijf een contract afgesloten om de naar zijn mening beste spamfilter in hun beveiligingsappliance te bouwen. Dat is ProofPoint geworden. F-Secure heeft in essentie zijn spamfilterappliance uitgebreid met zijn eigen antimalware-engine en dat op de markt gebracht als een F-Secure Messaging Security Gateway appliance. De X-serie kent verschillende modellen die alleen verschillen in hun verwerkingscapaciteit. De door ons geteste X200 is een klein model, bedoeld voor middelgrote en kleine bedrijven. F-Secure heeft appliances met licenties tot 5000 mailboxen. We hebben de X200 eerder apart getest in Computable nr. 17 en verwijzen je naar het online archief van Computable voor een beschrijving van de werking.
Prestatie
Tijdens onze testperiode noteerden we zes spamberichten per mailbox en per dag en over de hele testperiode van 13 dagen moesten we twee valse positieven redden.
Productinfo
Product: F-Secure Messaging Security Gateway X200
Producent: F-Secure (Finland), www.f-secure.com
Leverancier: Cosyco IT Solutions (www.cosyco.com), Dupaco Distribution (www.dupaco.nl), JH-Systems (www.jh-systems.nl), NetStone (www.netstone.nl)
Adviesprijs (excl. btw): 2249 euro appliance plus 24,04 euro/jaar F-Secure Messaging Security Server licentie tot 250 mailboxen; plus 2,41 euro/jaar extra voor Zero-hour AV Module licentie tot 250 mailboxen
IronPort C100
IronPort heeft verschillende modellen appliances afhankelijk van het volume aan post. De C100 die we hier bespreken is het kleinste model en kan tot duizend gebruikers aan. Er is nog een C300/C600 voor tussen 1.000 en 10.000 gebruikers en het topmodel is de X1000 die bedoeld is voor ISP’s en tot één miljoen berichten per uur aan kan.
Je beheert de IronPort-appliance via een eenvoudig gehouden webinterface. Er zijn vijf tabbladen: Monitor (bewaking), Mail Policies (postreglementen), Security Services (beveiligingsdiensten), Network (netwerkinstellingen) en System Administration (systeembeheer). De spamfilter is van eigen makelij en de antivirusmotor is van Sophos, al kun je ook kiezen voor die van McAfee. Er is ook nog steeds de mogelijkheid om te kiezen voor de Symantec BrightMail.
Deze MSA heeft erg veel mogelijkheden en dat kan overdonderend werken, maar IronPort heeft rekening gehouden met beheerders die nog niet eerder met IronPort gewerkt hebben. De appliance start met een gemakkelijk te volgen vijfstappenwizard die alleen de hoogstnodige vragen stelt en dan standaardreglementen invoegt en toepast.
Een van de redenen waarom meer traditionele mailfilters erg vertragend werken, is dat zij de beveiliging erg serieel aanpakken. Bij IronPort gebeuren de eigenlijke filteroperaties parallel (gelijktijdig). IronPort werkt niet met zwarte lijsten, maar met zogenaamde reputatiescores op basis van SenderBase. Op basis van meer dan 110 parameters voor mail en 45 parameters voor websites en weblinks krijgt iedere mailserver in de lijst een reputatiescore toegewezen. Je kunt bijvoorbeeld een regel opgeven dat mail geblokkeerd moet worden als een aantal mails met bijlagen waarin een exe-bestand in een zip-archief voorkomt plotseling met meer dan 15% of 20% stijgt.
Prestaties
Het werken met mailstatistieken die leiden tot het gebruik van een reputatiescore in plaats van een gewone zwarte lijst en virusuitbraakdetecties zijn stevige pluspunten. Tijdens onze testperiode kwamen gemiddeld slechts 0,54 ongewenste e-mails per dag en per mailbox door en dat hoort bij de beste prestaties van alle hier geteste appliances. Er werden geen legitieme mails geblokkeerd.
Productinfo
Product: IronPort C100
Producent: IronPort, USA; www.ironport.com
Leverancier: IronPort Systems Benelux, tel. +32 476 59 36 60; www.ironport.com
Adviesprijs (excl. btw): 4.200 euro (C100 MTA, Content Scanning, Reputation Filtering, Licentie IronPort Antispam 100 users, Licentie Virus Outbreak Filters 100 users, Licentie Sophos Antivirus 100 users, Licentie Mail Flow Central)
NetASQ MFiltro M300
Het Franse NetASQ kruist de degens met bekende voornamelijk Amerikaanse producenten van MSA’s. De MFiltro appliances van NetASQ zijn, aldus het Franse bedrijf, speciaal ontwikkeld voor het optimaal bestrijden van spam, phishing en malware. Voor dat laatste gebruikt NetASQ standaard de gratis en open source ClamAV engine, maar als optie is een licentie voor een Kaspersky-engine verkrijgbaar.
De appliance start met een installatiewizard die de initiële configuratie voor zijn rekening neemt. Die wizard is gemakkelijk. Het beheer gebeurt via een typische tabbladinterface. Bovenaan zijn er zes tabbladen met de hoofdrubrieken: Monitor (bewaking), Policy (reglement), Applications (applicaties), Administration (beheer), Advanced (geavanceerd) en Maintenance (onderhoud). Het instellen van de beveiligingsreglementen gebeurt visueel: wat wordt er gecontroleerd, aan welke voorwaarden moet er voldaan zijn, en welke actie(s) ondernemen we als dat zo is?
NetASQ produceert aantrekkelijk klinkende teksten over hoe goed hun beveiliging wel is, maar blijft uiterst vaag over hoe een en ander precies in zijn werk gaat. Volgens NetASQ gebruikt de MFiltro acht verschillende antispamtechnieken, waaronder SMTP-protocolanalyse, historische filters, semantische analyses, IP-blacklistingconsultaties enzovoorts. Om valse positieven te vermijden biedt MFiltro volgens NetASQ een ‘uiterst efficiënte’ oplossing, maar het bedrijf vermeldt niet wat dat precies is.
Prestaties
The proof of the pudding is in the eating, en gelukkig presteert deze Franse spamfilter verrassend goed. Deze MSA evenaart de prestaties van IronPort: 0,54 spamberichten per dag en per mailbox en géén valse positieven.
Productinfo
Product: MFiltro M300
Producent: NetASQ, F; www.netasq.com
Leverancier: TopIT, tel. 035 603 82 82, www.topit.nl; Comstor (Westcon), tel. 030 248 95 92, www.comstor.nl
Adviesprijs (excl. btw): M100 (1 tot 200 mailboxen) = 1.980 euro; M300 (200 tot 1000 mailboxen) = 2.599 euro; M1000 (1.000 tot 3.000 mailboxen) = 5.600 euro en M3000 (3.000 tot 15.000 mailboxen) = 22.900 euro.
SecPoint Protector P1000-250
De SecPoint Protector P1000 (de toevoeging -250 slaat op het aantal aangekochte gebruikerslicenties) heeft vier netwerkpoorten. Zoals de meeste andere appliances maakt SecPoint gebruik van een webinterface voor het beheer. Die zit vrij eenvoudig in elkaar. Bovenaan is er een balk met de hoofdmenurubrieken voor het dagelijks beheer: Home (thuispagina), Antispam, Antivirus, Antispyware, IPS, inhoudsfilter, systeem. Een verrassing is dat SecPoint een eigen antimalware-engine gebruikt. Het is echter mogelijk een alternatieve engine te laten gebruiken: je kunt kiezen uit ClamAV, Kaspersky of Norman.
De SecPoint Protector heeft naast antispam ook volledige antimalware-onderschepping voor vrijwel alle protocollen aan boord en inhoudsfilters voor meer dan alleen post. Het is dus meer dan een MSA en eigenlijk een complete UTM-appliance (Unified Threat Management). Veel van de beveiligingsopties zijn niet door de gebruiker zelf instelbaar, buiten dan dat je ze kunt aan- of uitzetten. Dat maakt het beheer eigenlijk erg eenvoudig. Gewoon aanzetten en het werkt.
Prestaties
Deze spamfilter werkt verrassend goed. We troffen geen valse positieven aan en slechts één spambericht om de vier dagen en per mailbox. Dat is de beste score van allemaal en overtreft dus zelfs de prestaties van IronPort en NetASQ.
Productinfo
Product: Protector P1000-250
Producent: SecPoint, Denemarken; www.secpoint.com
Leverancier: SecPoint Nederland, tel. 034 46 53 690; www.secpoint.com
Adviesprijs (excl. btw): 6.000 euro (biedt volledige UTM-functionaliteit voor 250 gebruikers)
SonicWall Email Security 300
De SonicWall appliance die we hier bekijken heet voluit ‘Email Security 300’ of korter SES300. Alle SonicWall ES-appliances hebben dezelfde functionaliteit aan boord, de voorziene modellen verschillen naargelang hun verwerkingscapaciteit. De modellen tot ES500 zijn allemaal bedoeld voor bedrijven met tot 1000 gebruikers. SonicWall heeft ook een enterprise-serie met nog meer capaciteit en dat zijn dan de modellen ES6000 en ES8000. De SonicWall appliances draaien onder het SonicOS besturingssysteem, een door SonicWall speciaal aangepaste versie van Linux.
De webinterface is de eenvoud zelve en ziet er nog bijzonder fraai uit ook. De hoofdrubrieken zijn: systeem, antispam en antiphishing, antivirus, auditing, policy & compliance (mailreglementen), gebruikers- en groepenbeheer, afvalemmer (dit is het quarantainebeheer) en rapportage & bewaking. Dat laatste is de standaardkeuze nadat je ingelogd bent en toont je dus het dashboard met de mooie grafiekjes.
De appliance kan met succes gebruikt worden door de beveiligingsmodules waarvoor je een licentie hebt in te schakelen. Je kunt de beveiliging verder verfijnen door een e-mailbeveiligingsreglement op te stellen (zoniet gebruikt de appliance de standaardregels van SonicWall) en eventueel de appliance gebruik te laten maken van blacklistservers op internet. SonicWall laat desgewenst twee antivirusengines toe: McAfee en Kaspersky.
Prestaties
Tijdens onze test rapporteert de SES300 herhaaldelijk dat hij geen virusupdates kon downloaden hoewel daar geen enkele reden voor was. De enige reden die we kunnen bedenken is, dat de SonicWall-server overbelast was. We hadden de SES300 geconfigureerd om ‘likely spam’ ook als spam te beschouwen. De overgrote meerderheid is dat immers wel degelijk. In de testperiode kwamen we vier valse positieven tegen in ‘likely spam’. Bij de berichten die als effectieve spam gevlagd werden, zaten geen valse positieven. Op onze gebruikersdesktop kwamen nog 1,83 spamberichten per dag en per mailbox door.
Productinfo
Product: Email Security 300
Producent: SonicWall, USA; www.sonicwall.com
Leverancier: ACAL Nederland (www.acal.nl), Azlan Nederland (www.azlan.nl), E92Plus (www.e92plus.nl)
Adviesprijs (excl. btw): 1.556,10 euro (SonicWALL Email Security 300 appliance, 250 gebruikers); 624 euro (SonicWALL Email Protection Subscription And Dynamic Support 8×5 – 250 gebruikers – 1 server – 1 jaar)
Symantec SMS8340
De 8300-serie van Symantecs MSA’s bestaat uit drie modellen: de SMS8340 voor 100 tot 1000 gebruikers, de 8360 voor meer dan 1000 gebruikers, en de 8320 voor kleinere netwerken tot 100 gebruikers. Symantec leverde ons de 8360, maar het model 8340 zou beter in onze testparameters gepast hebben. Al die modellen draaien overigens dezelfde software, alleen de hardware verschilt. De 8360 bestaat uit een Dell PowerEdge pizzadoosserver met twee 1,6 GHz dualcore processoren, bakken geheugen en een SAS RAID-systeem voor de opslag. Als besturingssysteem wordt Red Hat Linux gebruikt. Deze appliance is uitgerust met een e-mail firewall, netwerkverkeersvormgeving (‘traffic shaping’ voor hogere netwerkprestaties), antispam, antivirus en een inhoudsfilter. De antispammodule is BrightMail.
Bij de installatie van de appliance moet je eerst een rol kiezen voor het toestel. Er zijn drie mogelijkheden: ‘Control Center’, ‘Scanner’ of een combinatie van deze twee. Er zijn twee netwerkaansluitingen. Zoals bij de andere appliances kozen wij ervoor om ze beide te gebruiken: de eerste voor alle inkomende post (met een publiek adres) en de tweede voor alle uitgaande post en het beheer (met een privéklasse-adres).
Het beheer gebeurt altijd via de webinterface. De bediening zit vrij eenvoudig in elkaar en er is een contextgevoelige hulp, maar die gaat naar onze smaak af en toe te licht over de zaken heen. Er is een ‘default’-beveiligingsreglement dat virussen schoonmaakt of verwijdert en spam van een etiket in de onderwerplijn voorziet. Je kunt zonodig extra reglementen toevoegen en die in een bepaalde volgorde van prioriteit rangschikken.
Prestaties
De Symantec Mail Security 8360 appliance presteert veel krachtiger dan nodig voor onze testomgeving; daarover hadden we dan ook zeker niks te klagen. Tijdens onze testperiode kwam gemiddeld één ongewenst bericht per dag en per mailbox door en geen virussen. We hoefden geen legitieme mails uit de quarantaine te redden.
Productinfo
Product: Mail Security 8300 Series
Producent: Symantec Corporation, USA; www.symantec.com
Leverancier: NOXS en Logix, www.nl.noxs.com en www.logix.nl
Adviesprijs (excl. btw): 2.172 euro (appliance) plus licentie 2.900 euro voor 250 gebruikers (ongeacht aantal appliances)
Trend Micro InterScan Messaging Security Appliance
De IMSA van Trend Micro bestaat uit verschillende modellen, afhankelijk van de gewenste prestaties. Wij kregen voor deze test het model 5000 Advanced, bedoeld voor grotere netwerken. Het gaat om een grote vuurrode appliance met meerdere netwerkaansluitingen achteraan, maar je kunt de hele mailbeveiliging doen met slechts één netwerkaansluiting.
Zoals we gewend zijn van Trend Micro is de beheerinterface ingedeeld in een tabbladinterface. De rubrieken van het hoofdmenu zijn: Summary (overzicht), Policy (reglement), IP Filtering, Reports (rapportage), Logs (journaals), Mail Areas & Queues (postgebieden en -wachtrijen) en Administration (beheer). Het beheer is gebruiksvriendelijk en goed ingedeeld.
Deze MSA gebruikt adres- en domeinnaamfiltering met een eigen reputatiescoresysteem, witte, zwarte en grijze lijsten en door de gebruiker ingevulde adressen of domeinen. Voor de contextgebonden spamfiltering gebruikt Trend Micro een eigen standaard antivirusregel en een eigen antispamregel, maar je kunt zelf zoveel nieuwe regels aanmaken als je maar wil. Die regels bestaan uit drie onderdelen: wie, wat en hoe.
Prestaties
Tijdens onze live-test blijkt deze Trend Micro IMSA een zeer goed functionerende spam- en malwarefilter. We gebruikten gewoon de standaardregels van Trend Micro en hebben er dus geen bijgedefinieerd. Er kwam geen enkel virus door en slechts één spambericht per dag en per mailbox.
Productinfo
Product: InterScan Messaging Security Appliance 5000 Advanced
Producent: TrendMicro, USA; www.trendmicro.com
Leverancier: NOXS en Logix, www.nl.noxs.com en www.logix.nl
Adviesprijs (excl. btw): 11.995 euro (appliance) plus 1.995 euro (licentie voor 250 gebruikers)
Conclusie
Mailfilterappliances worden duidelijk steeds beter. De meeste door ons geteste appliances zijn goed in het tegenhouden van spam en het vermijden van valse positieven. De beste presteerder is de SecPoint Protector, op de voet gevolgd door de IronPort C100 en de NetASQ MFiltro 300. De relatief slechtste prestatie zagen we bij F-Secure en Borderware. Als we ook rekening houden met de prijs, is de beste koop de SonicWall Email Security 300.
De Kern
* Mail Security Appliances halen (vrijwel) alle ongewenste mails en gevaren weg uit de tsunami van post die elke dag uw mailserver bereikt.
* Op één na beveiligen alle appliances prima, maar een Franse en een Deense appliance steken koning IronPort naar de kroon of overtreffen hem!
Tijdens onze test rapporteert de SES300 herhaaldelijk dat hij geen virusupdates kon downloaden hoewel daar geen enkele reden voor was. De enige reden die we kunnen bedenken is, dat de SonicWall-server overbelast was. We hadden de SES300 geconfigureerd om ‘likely spam’ ook als spam te beschouwen. De overgrote meerderheid is dat immers wel degelijk. In de testperiode kwamen we vier valse positieven tegen in ‘likely spam’. Bij de berichten die als effectieve spam gevlagd werden, zaten geen valse positieven. Op onze gebruikersdesktop kwamen nog 1,83 spamberichten per dag en per mailbox door.
Sorry maar als dit jullie conclusie is aangaande sonicwall oplossing en dan wordt er als conclusie ook nog gezegd:
Als we ook rekening houden met de prijs, is de beste koop de SonicWall Email Security 300.
Dan begrijp ik echt niet hoe jullie hierbij komen Sonicwall is gewoon niet goed, komt te veel spam doorheen en ook nog 4 likely spam berichten en hij is nog eens duur en heeft een slechte throughput.
Ik ben toch echt benieuwd hoe jullie dan nog komen tot het predict beste koop. Ik vraag me dan werkelijk af of jullie wel goed hebben gekeken naar eigen commentaar en test.
@hans
Deze test dateert van een hele tijd geleden, maar ik denk dat er sprake is van een misverstand (of wellicht is het niet goed beschreven). De bezette sonicwall server was de updateserver van sonicwall op het internet, die blijkbaar een probleem had tijdens de testperiode. Dat kan altijd wel eens gebeuren, maar zegt natuurlijk verder niets over de prestaties van de SES300. Door likely spam te flaggen, treden er meer valse positieven op. Vier valse positieven in een volledige week valt dan al met al nog mee. Die apparaten “leren” ook naarmate je de valse positieve als “correct” markeert. En bij de effectieve spam hield hij geen valse positieven tegen, wat dus goed is. Dus deze oplossing presteerde (3 jaar geleden) wel degelijk goed.