Spam und Viren abwehren in Microsoft Exchange 2016


    Tags: , ,

    Spam abwehrenNachdem Micro­soft die Exchange-eigenen Mecha­nismen zur Abwehr von Malware und Spam immer weiter reduziert, stellt sich für viele An­wender die Frage neu, welche Maß­nahmen sie gegen diese Bedro­hungen er­greifen wollen. Dabei muss es nicht unbe­dingt die vom Her­steller favo­risierte Cloud-Lösung sein, auch On-Premise gibt es weiterhin Alter­nativen.

    E-Mails sind das bevorzugte Einfallstor für Schad-Software, Phishing-Attacken und unerwünschte Inhalte. Daher kann heute kein Unternehmen darauf verzichten, Mail-Server um entsprechende Schutzsysteme zu ergänzen.

    Ende für Bordmittel absehbar

    Aktuell bietet Microsoft zu diesem Zweck noch einige Bordmittel für Exchange an, um potenziell schädliche Nachrichten auszufiltern. Mit dem Ende von Forefront Protection for Exchange leitete der Hersteller aber die Abkehr von den On-Premise-Lösungen ein.

    Wegen des fehlenden Supports für die Edge-Rolle unter Windows Server 2016 fällt nun eine weitere Komponente weg. Nicht genug damit, der Spam-Filter lässt sich auch nicht auf einem Mailbox-Server betreiben, wenn dieser unter dem neuesten Server-OS läuft. Das dort erforderliche Deaktivieren des Malware Agents schaltet auch den Virenscanner ab.

    Unternehmen, die bis dato vor allem auf die Exchange-eigenen Mechanismen vertraut haben, müssen sich daher allmählich nach Alternativen umsehen. Wenn sie dabei nicht dem Ruf des Herstellers in die Cloud folgen möchten, bieten sich nach wie vor Optionen für das eigene Rechenzentrum.

    Platzierung der Filter im Netzwerk

    Bei der Planung entsprechender Schutzmaßnahmen stellt sich gleich am Anfang die Frage, wie man das Netzwerk aufbauen will, um sich am besten vor Angriffen durch virenverseuchte- oder Spam-Mails zu schützen. Am einfachsten und eigentlich auch am besten geeignet ist die Überprüfung von E-Mails, bevor diese den Exchange Server überhaupt erreichen.

    Abwehr von Spam und Malware in der DMZ

    Hierzu macht es Sinn, in der demilitarisierten Zone (DMZ) des Unter­nehmens­netzwerks ein so genanntes Mail-Gateway zu installieren. Dies konnte in der Vergangenheit auch Microsoft Exchange mit der Edge-Rolle sein. In der Praxis wurde dieses Feature allerdings nicht so häufig verwendet, sondern öfter ein Produkt eines Drittherstellers.

    Große Auswahl an Mail-Gateways

    Im Markt für Secure Mail Gateways tummeln sich zahlreiche Anbieter, wie der Magische Quadrant von Gartner zeigt. Während sich die Analysten auf international tätige Firmen wie Cisco, Symantec, Sophos oder Barracuda konzentriert, gibt es auch eine Reihe lokaler Hersteller. So setzen wir bei uns in der Firma das Produkt NoSpamProxy ein.

    Gartner-Quadrant 2015 zu Secure Mail Gateways

    Für kleinere Netzwerke muss es nicht unbedingt ein separates Mail-Gateway sein. So können auch einige Firewalls diese Aufgabe übernehmen. Darüber hinaus eignen sich dafür auch Lösungen für Unified Threat Management (UTM), die neben einer Firewall auch Content-Filter, Virenscanner, VPN und Web-Gateways enthalten.

    Für kleinere Unternehmen, welche evtl. keine eigene DMZ betreiben oder für die sich die Kosten eines Mail-Gateway nicht lohnen, kann zur Not auch Exchange selbst den Schutz der E-Mails übernehmen. Auch hier gibt es von verschiedenen Anbietern geeignete Lösungen, eine relativ aktuelle Marktübersicht findet sich auf msexchange.org.

    Client-seitige Abwehr

    Eine weitere Möglichkeit besteht darin, Viren und Spam über verschiedene Schutz­programme oder Addins (z.B. in Outlook) auf dem Client-Computer abzufangen. Dies ist allerdings keine schöne Lösung, weil die unerwünschten E-Mails dann bereits in das Netzwerk des Unternehmens eingedrungen sind.

    Der Smartscreen-Filter, welcher bisher nicht nur in Exchange, sondern auch Outlook integriert ist, erhält seit dem 1. November 2016 keine weiteren Updates mehr. Daher verliert er rasch seinen Nutzen. Die Ankündigung von Microsoft findet man im Technet.

    In künftigen Version nach Exchange 2016 und nach Outlook 2016 wird diese Funktion mit großer Wahrscheinlichkeit komplett verschwinden. Wichtig zu wissen ist allerdings, dass diese Entscheidung von Microsoft keine Auswirkung auf den Edge-Browser und den Internet Explorer hat. Dort wird der Smartscreen-Filter weiterhin unterstützt.

    Trend zur Cloud

    Zu guter Letzt bietet sich noch der Schutz über die Cloud an. Microsoft positioniert Exchange Online Protection (EOP) als Nachfolger für Forefront Protection for Exchange und bietet darüber auch den Schutz vor Spam an.

    Advanced Threat Protection soll auch gefährliche Links in Mails erkennen,

    Seit einiger Zeit können Kunden zu EOP als weiteren Dienst die Advanced Threat Protection (ATP) hinzubuchen. Sie soll auch in der Lage sein, gefährliche Links in Mails sowie Anhänge mit schädlichen Inhalten zu erkennen.

    Mit seinem Kurs in Richtung Cloud steht Microsoft nicht alleine da. Die meisten Hersteller von on-Premise-Lösungen gegen Spam und Malware bieten mittlerweile auch eine Cloud-Option an. Die Entwertung der Exchange-eigenen Mittel bedeutet also nicht, dass man der Empfehlung von Microsoft zu EOP folgen muss.

    Keine Kommentare