Antispam und verschlüsselte, authentifizierte E-Mail Übertragung

Was tut man, wenn einer der wichtigsten Kunden eine verschlüsselte und authentifizierte E-Mail Übertragung von einem Ende zum anderen Ende voraussetzt? Natürlich kommt man diesem Wunsch nach. Einer unserer Kunden hatte nach der internen Umsetzung allerdings ein massives Spam Problem. Wir haben dafür eine einfache und kostengünstige Lösung gefunden, die wir im Folgenden gerne erläutern.

Die Anforderungen des Kunden lassen sich mit Cyberoam UTM Firewalls besonders gut umsetzen, weil diese einige besondere Möglichkeiten besitzen. Aber fangen wir vorne an...

Der Kunde — Automotive mit besonderen Auflagen

Unser Kunde ist im Bereich Automotive Zulieferer von großen deutschen Automobilunternehmen und betreibt einen Exchange Server für die E-Mail Kommunikation. Dieser war über allgemein übliche Methoden gegen Spam geschützt und das Spam Aufkommen hielt sich im normalen, niedrigen Maß.

Das Problem: Anforderungen erfüllen oder spamfrei sein — beides zusammen ist schwierig

Einer seiner Kunden äußerte den Wunsch, E-Mail nur noch verschlüsselt und authentifiziert zu übertragen. Da per E-Mail heute alle möglichen Informationen versendet werden, befinden sich darunter möglicherweise auch Dokumente über interne Informationen oder Betriebsgeheimnisse, die nicht in die Hänge von Dritten fallen dürfen. Ein verschlüsselter Austausch von E-Mail ist absolut sinnvoll in Zeiten von NSA & Co. — Auch wir empfehlen die Absicherung der Kommunikation.

Also bekam der Exchange Server ein Verschlüsselungszertifikat, das für die Verschlüsselung und die zweifelsfreie Authentifizierung durch die Gegenstelle eingetragen wurde. Da hierfür jedoch alle vorgeschalteten Antispam Maßnahmen deaktiviert werden mussten und auch ein externer Antispam Dienst nicht mehr heran gezogen werden konnte, stieg das Spam Aufkommen massiv an.

Zusätzlich dazu durfte die bestehende Netzwerkinfrastruktur des Kunden nicht verändert werden, da die Infrastruktur teilweise nicht durch den Kunden selbst verwaltbar ist.

Die Lösung: Eine vorgeschaltete Cyberoam nur für Antispam

Cyberoam UTM Firewalls können nicht nur als Gateway, sondern auch in einem transparenten Bridge Mode laufen und in eine bestehende Infrastruktur völlig unsichtbar integriert werden. Obwohl die Cyberoam in diesem Modus für die angeschlossenen Geräte nicht sichtbar ist, kann sie den Datensstrom untersuchen und absichern.

Cyberoam Bridge Mode
Beispiel einer Cyberoam im Bridge Mode: Transparent zwischen bestehender Firewall und Switch integriert sichert die Cyberoam das Netz des Kunden.

In diesem Fall haben wir die Cyberoam so konfiguriert, dass sie nur eingehende SMTP Verbindungen prüft und den restlichen Datenverkehr ungehindert passieren lässt. Da verschlüsselte und unverschlüsselte E-Mail Übertragungen bis zu einem gewissen Punkt identisch ablaufen, muss eine Firewall intelligent genug sein, eine Verschlüsselung zu bemerken und den Traffic dann ungehindert zum Zielsystem durchzureichen. Somit dürfen Antispam Maßnahmen auch nur auf unverschlüsselte und nicht authentifizierte E-Mails überhaupt angewendet werden um Falschmeldungen («False Positives») möglichst auszuschließen.

Cyberoam kann genau dies: Durch die Deep Packet Inspection erkennt die Firewall den Beginn der Verschlüsselung und reicht die Mail weiter zum Exchange Server ohne weitere Maßnahmen durchzuführen. Handelt es sich dagegen um eine unverschlüsselte Mail, werden die Antispam Prüfungen durchgeführt und Spam sicher und zuverlässig gefiltert.

Zusätzliche Vorteile

Das Netz des Kunden ist zwar durch eine reine Firewall am Gateway abgesichert, sonst aber gab es keine weiteren Sicherheitsmechanismen zum Schutz des Netzes. Da die Cyberoam nur mit den Antispam Aufgaben nicht ausgelastet war, haben wir uns gemeinsam mit dem Kunden dazu entschieden, auch das integrierte IPS (Intrusion Prevention System, Eindringlingsabwehrsystem) auf der Cyberoam noch zu aktivieren um die Sicherheit zu erhöhen.

Die Cyberoam wurde vorab komplett konfiguriert. Nun musste die Verbindung zwischen der bestehenden externen Firewall und dem Switch kurz aufgetrennt und die Cyberoam dazwischen integriert werden. Die Cyberoam ermöglicht eine Aufnahme von bestehenden Verbindungen in die SPI Firewall ohne Abbrüche, so dass die Integration während der normalen Arbeitszeiten und ohne Downtime durchgeführt werden konnte.

Fazit

Die verschlüsselten und authentifizierten Verbindungen werden zuverlässig zum Exchange Server geleitet, bei allen anderen eingehenden E-Mail Verbindungen wird Spam gewissenhaft erkannt und gefiltert. Durch das mitgeführte Log ist jederzeit nachvollziehbar, weshalb eine E-Mail als Spam eingestuft worden ist.

Cyberoam CR10iNG
Cyberoam CR10iNG

Die Umsetzung erfolgte übrigens mit der kleinsten derzeit erhältlichen Cyberoam Appliance, einer CR10iNG. Der kombinierte IPS/AntiSpam Durchsatz von 90 MBit/s genügt völlig, um die vorhandenen Leitungen damit ohne Geschwindigkeitseinschränkungen zu bedienen.

Sie haben Fragen zu weiteren Möglichkeiten? Kontaktieren Sie uns, wir beraten gerne.

Relevante Artikel in unserem Blog

Kommentare (0)

Kommentar verfassen





Erlaubte Tags: <b><i><br>Kommentar hinzufügen: