Norman E-Mail Protection

Die Herausforderung

2004 wurden mit der Anti-Spam-Komponente des E-Mail-Sicherheitsdienstesvon MessageLabs über 12,6 Milliarden E-Mails geprüft.

Davon wurden über 9,2 Milliarden oder 73,2 % (1 von 1,4) als Spam identifiziert. Tendenz steigend.

2004 wurden mit der Antivirenkomponente des E-Mail-Sicherheitsdienstesvon MessageLabs 147 Milliarden E-Mail-Nachrichten geprüft.

Davon enthielten 901 Millionen oder 1 von 16 (6,1 %) einen Virus. (2003 1-33, 2002 1-212)

70 % aller Spam-Nachrichten werden von vireninfizierten Computern versendet

Die Herausforderung

Warum E-Mail Protection dringend erforderlich ist

Ohne Email Protection ist Ihr UnternehmenBedrohungen wie den folgenden ausgesetzt:

– Virusinfektionen

– Datenverlust

– Denial-of-Service-Angriffe (DoS)

– Server-Hijacking

– Phishing (Identitätsdiebstahl)

– Adressensammeln (Harvesting) durch Robots/Skripts

– Hackerangriffe auf das Netzwerk

– Verlust vertraulicher Informationen

– Haftungsrisiken für Mitarbeiter/ Partner

Und die Folgen:

– Zusätzliche Kosten für Hardware und Bandbreite

– Netzwerkinfektionen

– Produktivitätsrückgang

– Frustrierte Mitarbeiter

– Unterbrechungen kritischer Dienste

– Nicht akzeptable Sicherheitsverletzungen

– Ruf des Unternehmens nimmt Schaden

Wer benötigt Norman E-Mail Protection?

Unternehmenskunden mit eigenem E-Mail-Server, z. B. Microsoft Exchangeoder Lotus Notes Sender Policy Framework verhindert Spoofing-Angriffe auf Ihr Unternehmen

und trägt daher zum Schutz der Glaubwürdigkeit und des Rufes IhresUnternehmens bei

Felsenfester Perimeterschutz für Ihr Netzwerk vor bandbreitenintensivenDoS-Angriffen und unnötigen E-Mail-Verarbeitungaufgaben

Benutzerfreundliche Lösungen machen langwierige Schulungen unddie Durcharbeitung von Benutzerhandbüchern mit Satellitenbüros überflüssig

• Perfekte Lösung für ISPs und Hosting-Anbieter– Individuelle Domäneneinstellungen– Delegation auf Benutzerebene– Geclusterte Konfigurationen zur Unterstützung von hoch verfügbaren

Einrichtungen und Lastverteilung – Ursprünglich zur Erfüllung strenger Anforderungen von ISPs entwickelt

Spam und PhisingDas ist es, so funktioniert es und

so bekommen wir es

Wie entsteht Spam?

• Offener und vertrauenswürdiger Ansatz bei der Verwendung von Protokollen

• Offen und frei verfügbare Protokolle

• Keine Identifizierung der Ausgeber erforderlich

• Offene Weiterleitung über E-Mail-Server

• Einfache Empfängeridentifizierung

Definition von SPAMMING

• Spamming: der Versand unverlangter (i. d. R. kommerzieller) Massen-E-Mails.

– Weitere Internettechnologien, die Spam ausgesetzt sind: Messaging, Newsgroups und Suchmaschinen.

– In Form von Textnachrichten gelangt Spam auch auf das Mobiltelefon.

– SPAM = Unverlangte, kommerzielle E-Mail

SPAM kurz und bündig

• In den ersten 6 Monaten des Jahres 2004 – machte SPAM ca. 40 % des normalen eingehenden Datenverkehrs auf E-

Mail-Servern aus – Die Anzahl der Nachrichten mit vireninfizierten Anhängen beläuft sich auf ca.

15 % des normalen eingehenden Datenverkehrs auf E-Mail-Servern. Das bedeutet, dass es sich bei über 55 % des eingehenden E-Mail-Datenverkehrs um Abfall handelt.

• Norman Whitepapers: Why spammers spam ? www.norman.com• Die meisten Spammer wollen Geld machen. Bei der heutigen

durchschnittlichen Klickrate von 1/40.000 (= 0,0025 %) ist Spamming ein profitables Geschäft ohne große Investitionen.

Phishing

• Betrügerische, bösartige E-Mail• Basiert auf Social Engineering• Phisher (Absender) versucht, dem Empfänger

private Informationen zu entlocken• Manipuliert große „vertrauenswürdige“ Unternehmen, um

Benutzer auszutricksen: Ebay, PayPal, Bank of America.

So funktioniert Phishing

Phisher erstellen und verbreiten unverlangte, betrügerische E-Mails11

Empfänger werden in der E-Mail angewiesen, auf einen Link und/oder eine Grafik zu klicken22

Phisher nutzen diese Informationen für weitere Betrügereien44

Phisher fragen vertrauliche/persönliche Informationen ab33

So gehen Spammer vor

• Sammeln von E-Mail-Adressen (Harvesting)– Senden von Spiders zum Durchsuchen von Websites nach E-Mail-Links– Ausführen von „Wörterbuchangriffen“ auf E-Mail-Server zum Aufspüren gültiger E-Mail-

Adressen– Mithilfe des Reverse Social Engineering, z. B. durch Ausprobieren häufig bei E-Mail-

Adressen verwendeten Namensschemata: Vorname.Nachname• Überprüfen von E-Mail-Adressen

– Senden von SPAM-Nachrichten mit integrierten URLs (z. B. „unsubscribe“) an gesammelte Adressen

• Durch Klicken darauf wird bestätigt, dass diese Adresse auch genutzt wird (was ihren Wert für Spammer erhöht)

– Senden von leeren E-Mails (oft kombiniert mit Wörterbuchangriffen) mit einer gültigen Rücksendeadresse

• Kommt die E-Mail zurück, ist die E-Mail-Adresse ungültig

• Starten von Spamming– Moderne Spammer fügen der Spam-Nachricht einen eindeutigen Bezeichner hinzu, um

verfolgen zu können, an welche E-Mail-Adresse sie gesendet wurde

Tricks von Spammern

• Ändern von Kopfzeilen– Ändern von Routingdaten, um die tatsächliche Quelle der E-Mail zu verbergen– Unrechtmäßiges Aneignen der Absenderadresse, oft durch Verwenden einer überprüften

E-Mail-Adresse aus derselben Domäne wie der des Empfängers• HTML-Cloaking

– Moderne E-Mail-Clients zeigen E-Mails in der Regel im HTML-Format an– Mit HTML-Code lassen sich in den E-Mails enthaltene Wörter und Muster verbergen

• Weiße Schrift– Abwandlung von HTML-Cloaking, wo bestimmte Sätze in weißer Schrift auf weißem

Hintergrund geschrieben werden• In Grafik eingebetteter Text

– Die E-Mail besteht aus einem Bild (mit Wörtern) und einem URL• Zufällige Serialisierung

– Verwenden eines Randomizers beim Erstellen einer E-Mail, damit sich jede Spam-Nachricht geringfügig von anderen unterscheidet

Gängige E-Mail-Sicherheitstechnologien

• Netzwerkebene– Diese Technologien kommen beim Empfang von E-Mails zum Einsatz– Entscheidungskriterien umfassen die Suche nach der IP-Adresse des

Absenders in einer entfernten RBL (Real-Time Black List)• Schlüsselwörter

– Kopfzeile und Text der E-Mail werden nach bestimmten Schlüsselwörtern durchsucht

• Prüfsumme– Wurde eine Nachricht als Spam identifiziert, wird eine eindeutige Prüfsumme

der E-Mail ermittelt und an andere E-Mail-Server übermittelt

Gängige E-Mail-Sicherheitstechnologien

• Skriptgesteuerte Regeln– Durch ausgeklügelte Regeln, die oft mit boolescher Logik arbeiten, werden

Spam-Nachrichten mit ähnlichen Schlüsselwörtern oder Mustern identifiziert• Statistische Gewichtung (Heuristik)

– Bestimmten Parametern wird eine Punktzahl zugewiesen– Die Entscheidung fällt auf Basis der Punktzahl, die eine E-Mail erreicht– Dieser prädiktive und statistische Ansatz hängt von der Qualität der in der Bibliothek

enthaltenen Muster und Wörter ab, nach denen die Punkte vergeben werden– Diese Methode wird bei Bayes-Filtern verwendet

• Herausforderung/Antwort– Authentifizierungssystem, bei dem ein nicht autorisierter Absender den

Empfänger authentifizieren muss

Denial-of-Service- und Wörterbuchangriffe

• „Denial-of-Service“– Flut an gleichzeitig gesendeten Nachrichten

• Kommerzielle Massen-E-Mails (Spam)• Würmer

– Ein Server wird an die Grenze seiner Verarbeitungskapazität gebracht, was andere gültige Kommunikationen verhindert. Damit ist der Server für andere Benutzer nicht mehr betriebsbereit.

• „Wörterbuchangriffe“– Flut an Nachrichten, die in alphabetischer Reihenfolge an E-Mail-Adressen

gesendet werden• Verwenden gängiger Namen, um gültige E-Mail-Adressen zu ermitteln, die nicht

abgelehnt werden• Verwenden einer gefälschten E-Mail-Adresse, um die Identität des Ausgebers zu

verschleiern

Was ist Norman Email Protection?

• Mehrschichtiger Schutz

• Integrierte Lösung– Modul, das Anhänge blockiert

– Norman Antivirus

– Spam-Schutzmodul

• Verwaltung & Berichterstellung– Selbst-verwaltend

• Genauigkeit

• Rund um die Uhr verfügbare Aktualisierungen

• Quarantäneverwaltung

• Delegation auf Benutzerebene

– Integrierte Protokollierung

• Schutz aller Mailserver

Norman E-Mail – Was Sie bekommen

• Perimeterschutz

– Blockiert Harvesting-Versuche

– Stoppt verbotene Anlagen

– Schützt gegen DoS-Angriffe

– Verhindert E-Mail-Betrügereienund Phishing

– Norman Antivirus mit SandBox

Norman E-Mail – Was Sie bekommen

• E-Mail-Filterung

– Richtlinienmanagement

– Schutz vertraulicher Informationen

– Spam-Filterung

– Optimale Anpassung durch Skriptmodul

Norman Email Protection – Technische Einzelheiten

• Mehrschichtige Lösung

– Bis zu 14 verschiedene Sicherheitsstufen

– Nutzt Sieve- und SCA™-Module

– 98,2 % Erkennungsrate bei Standardkonfiguration

– 99,99 % Treffergenauigkeit bei Standardkonfiguration

– Mehrstufige Delegation

Schutz auf Netzwerkebene

• Blockiert offensichtliche Spam-Nachrichten, ohne die E-Mail zu empfangen– Überprüft den Absender (SPF)

– Überprüft die Versandmethode

– Überprüft das Umschlagprofil

• Sehr niedrige CPU-Auslastung• Schützt gegen DoS-Angriffe, Open

Relay- und Harvesting- (Validierungs-)Angriffe

9 spezialisierte Schichten:Protokollfilter

SMTP-Sicherheit SPF-Mechanismus

Umgekehrte DNS-AbfrageBlockieren von Port-ScansRBLsBegrenzte Anzahl von VerbindungenMail-WeiterleitungBlockieren von Verbindungen

Anlagen- und Virenschutzfilter

• Blockiert E-Mails mit Anlagen bestimmter Dateitypen– Effizient auch bei verborgenen

Erweiterungen– Vorkonfigurierte Dateiliste (kann

angepasst werden)– Auf Netzwerk-, Domänen- und

Benutzerebene konfigurierbar

• Unterstützt/erzwingt Unternehmensrichtlinien

• Löscht offensichtlich unerwünschte Dateien ohne Aufruf der Virenprüfung

Norman Antivirus

• Rund um die Uhr aktualisierter Virenschutz von– Norman™– Profitieren Sie von der führenden

proaktiven Virenschutzlösung „Norman SandBox“

• Hält Viren von den Postein-gängen Ihrer Benutzer fern

• Wirkt als zusätzliche Vorsichts-maßnahme in virengeschützten Umgebungen

Warum das allein nicht reicht:Virenschutzprogramme blockieren keine Spam-Nachrichten

Whitelist/Blacklist

• Kann E-Mails von bestimmten Absendern blockieren oder zulassen:

– Auf Grundlage der Absenderadresse– Mehrstufige Konfiguration– Ultra-Secure Mailbox™-Funktion

• Garantiert, dass E-Mails von vertrauenswürdigen Absendern nicht geprüft und blockiert werden

• Benutzer können nicht als Spam klassifizierte E-Mails löschen

Warum das allein nicht reicht:Listenverwaltung kann zeitraubend sein

E-Mail-Inhaltsanalyse

• Säubert den Nachrichtentext und fügt Detailinformationen für weitere Analyse hinzu

• Neutralisiert alle Arten versteckter Malware

• Analysiert die E-Mail-Struktur auf der Suche nach bekannten Spam-Charakteristiken

Warum das allein nicht reicht:Diese Methode erkennt nur Spam mit fehlerhafter HTML- oder MIME-Kodierung

Benutzerdefinierte Sieve-Skripts

• Administratoren können eigene Skripts schreiben, um das Verhalten des SCA-Moduls zu ändern

• Ermöglicht die Berücksichti-gung firmeninterner Richtlinien

• Kann E-Mails blockieren, die nicht von Normans Spam-Definition erfasst werden

Warum das allein nicht reicht:Die Skripterstellung ist zeitaufwändig und kann mit dem heutigen Spam-Aufkommen nicht Schritt halten

Das SCA-Modul

• Verwendet gestapelte Schichten von prädiktiven und statistischen Technologien, um auch noch die ausgeklügeltsten Spam-Variationen zu identifizieren

– Sequentielle Inhaltsanalyse

– E-Mail-Strukturanalyse

– Inhaltsstichproben

• Unvergleichliche Genauigkeit• Aktualisierung in Echtzeit

Warum das allein nicht reicht:Obwohl SCA die intelligenteste Technolo-gie darstellt, sind auch die vorgelagerten Schichten wesentlich

Andere Funktionen

• Mehrstufige Delegation (Netzwerk, Domäne, Benutzer)

• Webbasierte E-Mail- und Benutzerkonsole

• Ein- und ausgehende Quarantäne mit individuell konfigurierbaren Berichten

• Mehrstufige Whitelist/Blacklist mit Ultra-Secure Mailbox™-Funktion

• SMTP und POP3 kann für vertrauenswürdige Quelle zugelassen werden

Domänenstatistik

Webbasierte Verwaltungskonsole

Mehrstufige Whitelist/Blacklist

Benutzerdefinierte Sieve-Skripts

Wie sieht das aus?

Individuelle Quarantäne-berichte

Domänen-statistikenIndividuelle

StatistikenIndividuelle Benutzerein-stellungen

Individuelle Spam-Filterein-stellungen

Norman Email Protection – Überlegungen zu Bereitstellung und Hardware

Norman Email Protection – Bereitstellung

Norman Email Protection – Komponenten

• Abhängig von Datenverkehr und Auslastung kann Norman Email Protection auf einem einzelnen Server oder in einer verteilten Umgebung installiert werden.

Das Setup von Norman Email Protection besteht aus den folgenden drei Komponenten:– Norman Email Protection: Empfängt, verarbeitet und kategorisiert

Nachrichten

– Quarantänedatenbank: Indiziert den Inhalt der Quarantänedatenbank für eine einfache und effiziente Suche

– Webkomponenten: Tools für Endbenutzer zur Verwaltung von in die Quarantänedatenbank verschobenen Elementen und zur Anpassung von Benutzereinstellungen ( Web Quarantine, Web Admin, Web Monitor)

Überlegungen zu Hardware

• Funktionen der Serverhardware:– Optimierte Verfügbarkeit durch Redundanz

– Hohe Speicherkapazität

– ECC-Speicher

– Festplattenlaufwerke in RAID

– Optimiert für I/O-Leistung

– Multi-CPU-Option

– Gehäuse mit erweitertem Rackplatz

• Plan für Sicherung und Wiederherstellung im Notfall

• Jeder Windows-Dienst erhält 4 Threads pro CPU

Richtlinien für Hardware

• Minisystem: 1-500 Postfächer

– Norman Email Protection• Windows 2000 Server oder

Windows 2003 Server• 900 MHz CPU, • 512 MB RAM• Festplatten mit 7200 RPM• Bildschirmauflösung 1024 x 768

– Quarantänedatenbank• Microsoft Access• Auf demselben Computer wie Norman

Email Protection

1 - 500

7200 512900 Mhz

Access-Daten-bank

• Kleines System: 501-1500 Postfächer – Weniger als 4 Nachrichten/Sek.– Norman Email Protection

• Windows 2000 Server oder Windows 2003 Server

• 1,4 GHz CPU• 512 MB RAM• Festplatten mit 7200 RPM• Bildschirmauflösung 1024 x 768

– Quarantänedatenbank• Microsoft Access

• Auf demselben Computer wie Norman Email Protection

500 - 1500

7200 5121.4 Ghz

Access-Daten-bank

Richtlinien für Hardware

• Mittleres System: 1500-5000 Postfächer – 4 Nachrichten/Sek.– Norman Email Protection

• Windows 2000 Server oder Windows 2003 Server

• 2,66 GHz CPU• 1 GB RAM• Festplatten mit 7200 RPM• Bildschirmauflösung 1024 x 768

– Quarantänedatenbank• Microsoft SQL Server 2000• Auf demselben Computer wie Norman

Email Protection

1500 - 5000

72001 GB2.6 Ghz

MS SQL Server

Richtlinien für Hardware

Richtlinien für Hardware

• Mittelgroßes System: 5001-20000 Postfächer – 8 Nachrichten/Sek.– Norman Email Protection

• Windows 2000 Server oder Windows 2003 Server

• Dual 2,66 GHz CPU• 1 GB RAM• Festplatten mit 10000 RPM• Bildschirmauflösung 1024 x 768

– Quarantänedatenbank• Microsoft SQL Server 2000• 1,4 GHz• 1 GB RAM

1 GB

1.4 Ghz+

10 000RAID5001 – 20 000

1 GB

2x 2.6 Ghz+

10 000RAID

Dedizierter MS SQL Server

Richtlinien für Hardware

• Großes System: 20001-50000 Postfächer – 40 Nachrichten/Sek.– Norman Email Protection

• Windows 2000 Server oder Windows 2003 Server

• Dual 3,4 GHz CPU• 2 GB RAM• SCSI-Festplatten• Bildschirmauflösung 1024 x 768

– Quarantänedatenbank• Microsoft SQL Server 2000• 1,4 GHz• 1 GB RAM

– Webmail-Server– Windows 2000 Server oder Windows 2003 Server– 1,4 GHz CPU– 1 GB RAM

1 GB1.4 Ghz+

1 GB

1.4 Ghz+

10 000RAID

1 GB

2x 2.6 Ghz+

10 000RAID

20 000 +

Dedizierter

MS SQL Server

Webserver

Norman Email Protection – Um es kurz zu machen

• Technologie der vierten Generation  • Problemlose Einrichtung und Wartung  • Automatische Aktualisierungen  • Unabhängige Einrichtung  • Unvergleichliche Genauigkeit  • Von ISPs geschätzte Stabilität  • Mehrstufige, delegationsorientierte Architektur  • Produktivitätssteigernde Verwaltungstools  • Skriptmodul für vollständige Kontrolle