|
Outbreak Protection |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Die Outbreak Protection (OP) ist eine revolutionäre Technik zur Erkennung von Spam und Viren in Echtzeit, die Ihre E-Mail-Infrastruktur vorausschauend binnen Minuten nach einem Ausbruch von Spam oder Viren schützen kann. Die OP arbeitet unabhängig vom Nachrichten-Inhalt im Einzelfall und analysiert auch den Nachrichten-Inhalt nicht nach lexikalischen Methoden. Sie benötigt daher weder heuristische Regeln, noch einen Inhaltsfilter oder Signaturen, die aktualisiert werden müssten. Sie kann auch nicht durch Hinzufügen von Seed-Texten, bewusst abgeänderte oder falsche Schreibweisen, Taktiken des Social Engineering, Sprachbarrieren oder Unterschiede in der Kodiertechnik umgangen oder außer Kraft gesetzt werden. Die OP stützt sich stattdessen auf eine mathematische Analyse der Nachrichtenstruktur und der Art und Weise, wie die Nachricht über SMTP übermittelt wurde, sowie etwaiger Eigenheiten, die dabei aufgetreten sind. Sie analysiert "Verhaltensmuster", die im Zusammenhang mit der Übermittlung der Nachricht auftreten, und vergleicht sie mit ähnlichen Mustern, die aufgrund der weltweiten Analyse von Millionen E-Mail-Nachrichten erfasst und in Echtzeit ausgewertet werden.
Da die Nachrichten weltweit und in Echtzeit ausgewertet werden, wird der Schutz binnen Minuten, oft sogar binnen Sekunden, nach Beginn eines neuen Ausbruchs oder Massenangriffs wirksam. Gerade bei Viren ist dieses Schutzniveau von entscheidender Bedeutung, da die Hersteller herkömmlicher Anti-Viren-Software eine Aktualisierung für die Signaturen ihrer Produkte oft erst Stunden nach Beginn eines Ausbruchs zur Verfügung stellen können, und da weitere Zeit vergeht, bis die Aktualisierungen flächendeckend eingesetzt werden. Während dieser Zeit sind Server ohne die Outbreak Protection für diesen bestimmten Ausbruch anfällig. Bei Spam-Nachrichten verhält es sich ähnlich, da es oft Zeit und Aufwand kostet, die Spam-Nachrichten zu analysieren und aus ihnen sichere Filterregeln abzuleiten, bevor die Nachrichten durch herkömmliche heuristische und inhaltsgestützte Systeme erkannt werden.
Es ist aber wichtig, sich zu vergegenwärtigen, dass die Leistungsmerkmale der Outbreak Protection die herkömmlichen Abwehrmaßnahmen gegen Viren und Spam nicht ersetzen sollen. Die OP stellt eine weitere, besondere Schutzschicht zur Verfügung, die bestehende Abwehrmaßnahmen auf Grundlage von Heuristik, Signaturen und Inhaltsauswertung in SecurityGateway ergänzt. Die OP ist besonders auf die Abwehr großflächiger Massenangriffe abgestimmt. Herkömmliche und auch einzeln abgestimmte oder individuell adressierte Nachrichten können mit den anderen Werkzeugen besser abgefangen werden.
|
Outbreak Protection stützt sich auf die Technologien CYREN RPD™ (Recurrent-Pattern Detection, Erkennung wiederkehrender Muster) und Zero-Hour. Sie leitet aus Ihren eingehenden Nachrichten Muster ab und vergleicht sie mit Mustern, die aus Millionen anderer E-Mail-Nachrichten verschiedener Quellen weltweit täglich entnommen und analysiert werden. Der Inhalt einer Nachricht wird dabei unter keinen Umständen übermittelt, und die ausgewerteten Muster lassen keine Rückschlüsse auf den Inhalt einzelner Nachrichten zu. |
Anti-Spam
Anti-Spam Outbreak Protection aktivieren
Die Spam-Abwehr durch die Outbreak Protection ist per Voreinstellung aktiv. Eingehende Nachrichten werden analysiert, um zu prüfen, ob sie Teil eines laufenden Ausbruchs oder Massenangriffs mit Spam sind. Die weiteren Optionen in diesem Abschnitt bestimmen, wie mit Nachrichten verfahren werden soll, die als Teil eines Ausbruchs erkannt werden. Sie bestimmen auch, welche Absender von der Verarbeitung durch die OP ausgenommen sind.
Falls Outbreak Protection feststellt, dass eine Nachricht Spam ist:
Die nachfolgend ausgewählte Option bestimmt, welche Aktion ausgeführt wird, falls OP eine Nachricht als Spam erkennt.
...Nachricht abweisen
Diese Option bewirkt, dass Nachrichten während der SMTP-Übermittlung abgewiesen werden, falls OP bestätigt, dass sie Teil eines Spam-Ausbruchs sind. Die Nachrichten werden nicht in Quarantäne gegeben und auch nicht als Spam gekennzeichnet und dann an die Empfänger zugestellt — sie werden bereits bei der Übermittlung durch den Server blockiert.
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass die Outbreak Protection die als Spam erkannten Nachrichten in Quarantäne gibt.
...Nachricht annehmen
Per Voreinstellung nimmt die OP auch Nachrichten an, die als Spam erkannt wurden. Die Bewertung dieser Nachricht wird in Übereinstimmung mit der Option "... [xx] Punkte zur Nachrichten-Bewertung hinzurechnen" unten angepasst.
...Betreff kennzeichnen mit [Text]
Diese Option ist per Voreinstellung abgeschaltet. Falls Sie diese Option aktivieren, wird der Betreffzeile einer Nachricht eine Kennzeichnung vorangestellt, falls die Outbreak Protection festgestellt hat, dass es sich um eine Spam-Nachricht handelt. Die Voreinstellung für den Kennzeichnungstext lautet "*** SPAM ***"; Sie können den Text aber anpassen, falls Sie dies wünschen.
|
SecurityGateway kann auch im Rahmen anderer Verarbeitungsfunktionen wahlweise die Betreffzeile von Nachrichten kennzeichnen. Zwei weitere, nachfolgend beschriebene Funktionen der Outbreak Protection lassen sich beispielsweise entsprechend konfigurieren. Stimmen die Kennzeichnungstexte in diesen Funktionen überein, so wird die Kennzeichnung dem Betreff nur einmal hinzugefügt, auch wenn die Bedingungen mehrerer Funktionen für eine Kennzeichnung bei der Nachricht erfüllt sind. Werden jedoch unterschiedliche Kennzeichnungstexte konfiguriert, so werden diese Kennzeichnungen gesondert eingefügt. Geben Sie beispielsweise für alle Funktionen den Kennzeichnungstext "*SPAM*" an, so wird dieser Text nur insgesamt einmal in die Betreffzeile eingefügt, auch wenn die Nachrichten den Bedingungen mehrere Funktionen für eine Kennzeichnung entspricht. Ändern Sie nun den Text für eine Funktion etwa in "*Junk*", und erfüllt die Nachricht die Bedingungen für eine Kennzeichnung nach beiden Funktionen, so werden ihrer Betreffzeile beide Kennzeichnungstexte vorangestellt. |
...[xx] Punkte zur Nachrichten-Bewertung hinzurechnen
Diese Option bewirkt, dass der Nachrichten-Bewertung der hier festgelegte Wert hinzugerechnet wird, falls die Outbreak Protection feststellt, dass es sich um eine Spam-Nachricht handelt. Diese Option ist per Voreinstellung aktiv und erhöht die Nachrichten-Bewertung um 5,5 Punkte.
|
Auch wenn SecurityGateway so konfiguriert ist, dass Nachrichten nicht abgewiesen oder in Quarantäne gegeben sondern zur Zustellung angenommen werden, kann die Nachricht später noch abgewiesen oder in Quarantäne gegeben werden, falls ihre Nachrichten-Bewertung entsprechend hoch ist. Die Höhe der Nachrichten-Bewertung hängt auch von der Konfiguration und den Ergebnissen der anderen Sicherheitsfunktionen und den Optionen auf der Seite Nachrichten-Bewertung ab. |
Falls Outbreak Protection feststellt, dass eine Nachricht unter Spam-Verdacht steht:
Die Outbreak Protection kann manchmal nicht abschließend feststellen, ob es sich um eine Spam-Nachricht handelt. Solche zweifelhaften Nachrichten werden als "spamverdächtig" behandelt. Die folgenden Optionen bestimmen, wie die OP mit Nachrichten verfährt, die unter Spam-Verdacht stehen.
...Nachricht abweisen
Diese Option bewirkt, dass Nachrichten während der SMTP-Übermittlung abgewiesen werden, falls OP die Nachrichten als spamverdächtig einstuft. Da bei diesen Nachrichten lediglich ein Spam-Verdacht besteht, ist die Nutzung dieser Option nicht zu empfehlen, denn die Nachricht wird nicht in Quarantäne gegeben oder gekennzeichnet sondern abgewiesen.
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass die Outbreak Protection die als spamverdächtig eingestuften Nachrichten in Quarantäne gibt.
...Nachricht annehmen
Per Voreinstellung nimmt die OP Nachrichten an, die als spamverdächtig eingestuft wurden. Die Bewertung dieser Nachricht kann, falls Sie dies wünschen, in Übereinstimmung mit der Option "... [xx] Punkte zur Nachrichten-Bewertung hinzurechnen" unten angepasst werden.
...Betreff kennzeichnen mit [Text]
Diese Option ist per Voreinstellung abgeschaltet. Falls Sie diese Option aktivieren, wird der Betreffzeile einer Nachricht eine Kennzeichnung vorangestellt, falls die Outbreak Protection die Nachricht als spamverdächtig eingestuft hat. Die Voreinstellung für den Kennzeichnungstext lautet "*** POTENTIAL SPAM ***"; Sie können den Text aber anpassen, falls Sie dies wünschen.
...[xx] Punkte zur Nachrichten-Bewertung hinzurechnen
Diese Option bewirkt, dass der Nachrichten-Bewertung der hier festgelegte Wert hinzugerechnet wird, falls die Outbreak Protection eine Nachricht als spamverdächtig einstuft. Diese Option ist per Voreinstellung aktiv und erhöht die Nachrichten-Bewertung um 2,0 Punkte.
Falls Outbreak Protection feststellt, dass es sich um eine Massennachricht handelt:
Die Outbreak Protection schlägt manchmal auch bei bestimmten Nachrichten an, wenn diese an sehr viele Empfänger gerichtet sind, aber nicht eindeutig als Spam erkannt werden können, etwa weil sie nicht durch einen bekannten Spammer oder ein Botnetz versandt wurden. Dies trifft manchmal auf legitime Massennachrichten und Newsletter zu. Die OP stuft solche Arten von Nachrichten als "Bulk", nicht aber als Spam ein. Die folgenden Optionen bestimmen, wie mit solchen Nachrichten verfahren wird.
...Nachricht abweisen
Diese Option bewirkt, dass Nachrichten während der SMTP-Übermittlung abgewiesen werden, falls OP die Nachrichten als "Bulk" einstuft. Die Nutzung dieser Option ist nicht zu empfehlen, da sie dazu führen kann, dass legitime Nachrichten mit großem Empfängerkreis abgewiesen werden.
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass die Outbreak Protection die als "Bulk" eingestuften Nachrichten in Quarantäne gibt"
...Nachricht annehmen
Per Voreinstellung nimmt die OP Nachrichten an, die als "Bulk" eingestuft wurden, statt sie abzuweisen oder in Quarantäne zu geben. Solche Nachrichten können Teil sehr großer Mailinglisten oder Nachrichten mit großem Empfängerkreis sein.
...Betreff kennzeichnen mit [Text]
Diese Option ist per Voreinstellung abgeschaltet. Falls Sie diese Option aktivieren, wird der Betreffzeile einer Nachricht eine Kennzeichnung vorangestellt, falls die Outbreak Protection die Nachricht als "Bulk" eingestuft hat. Die Voreinstellung für den Kennzeichnungstext lautet "*** BULK ***"; Sie können den Text aber anpassen, falls Sie dies wünschen.
...[xx] Punkte zur Nachrichten-Bewertung hinzurechnen
Diese Option bewirkt, dass der Nachrichten-Bewertung der hier festgelegte Wert hinzugerechnet wird, falls die Outbreak Protection eine Nachricht als "Bulk" einstuft. Diese Option ist per Voreinstellung aktiv und erhöht die Nachrichten-Bewertung um 3,0 Punkte.
Nachrichten von Absendern auf der Weißen Liste ausnehmen
Per Voreinstellung sind Nachrichten von Absendern auf der Weißen Liste von den Abwehrmaßnahmen der Outbreak Protection gegen Spam ausgenommen.
Nachrichten aus echtheitsbestätigten Verbindungen ausnehmen
Diese Option ist per Voreinstellung aktiv. Sie nimmt Nachrichten von der Verarbeitung durch die Outbreak Protection aus, die über Verbindungen mit Echtheitsbestätigung übermittelt wurden.
Nachrichten von Mailservern der Domäne ausnehmen
Nachrichten, die über Ihre Mailserver der Domäne übermittelt wurden, sind von der Verarbeitung durch die Outbreak Protection per Voreinstellung ausgenommen. Falls auch solche Nachrichten durch die Outbreak Protection verarbeitet werden sollen, deaktivieren Sie diese Option.
Anti-Virus
Anti-Virus Outbreak Protection aktivieren
Die Viren-Abwehr durch die Outbreak Protection ist per Voreinstellung aktiv. Eingehende Nachrichten werden analysiert, um zu prüfen, ob sie Teil eines laufenden Ausbruchs oder Massenangriffs mit Viren sind. Die weiteren Optionen in diesem Abschnitt bestimmen, wie mit Nachrichten verfahren werden soll, die als Teil eines Ausbruchs erkannt werden. Sie bestimmen auch, welche Absender von der Verarbeitung durch die OP ausgenommen sind.
Falls Outbreak Protection feststellt, dass eine Nachricht infiziert ist:
Die nachfolgend ausgewählte Option bestimmt, welche Aktion ausgeführt wird, falls OP eine Nachricht als infiziert erkennt.
...Nachricht abweisen
SecurityGateway weist per Voreinstellung solche Nachrichten während der SMTP-Übermittlung ab, von denen die Outbreak Protection festgestellt hat, dass sie Teil eines Viren-Ausbruchs sind.
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass Nachrichten in Quarantäne gegeben werden, von denen die Outbreak Protection festgestellt hat, dass sie infiziert sind.
Nachrichten von IP-Adressen auf der Weißen Liste ausnehmen
Diese Option bewirkt, dass Nachrichten von den Abwehrmaßnahmen der Outbreak Protection gegen Viren ausgenommen sind, falls Sie von einer IP-Adresse auf der Weißen Liste oder einem Host auf der Weißen Liste gesendet wurden.
Nachrichten von Mailservern der Domäne ausnehmen
Diese Option bewirkt, dass Nachrichten, die über Ihre Mailserver der Domäne übermittelt wurden, von den Abwehrmaßnahmen der Outbreak Protection gegen Viren ausgenommen sind.
Einstellungen für den Proxy
Die Outbreak Protection von SecurityGateway über HTTP mit dem Online-Dienst Outbreak Protection kommunizieren können. Falls die Outbreak Protection diese Verbindung über einen Proxy-Server herstellen muss, können Sie mithilfe der Optionen in diesem Abschnitt den HTTP-Proxy konfigurieren.
Ausnahmen - Domänen
Falls Sie in der Auswahlliste "Für Domäne:" am oberen Seitenrand eine Domäne auswählen, wenn Sie diese Einstellungen konfigurieren, so wird nach dem Speichern der Einstellungen diese Domäne im Feld angezeigt. Klicken Sie auf die Verknüpfung Anzeigen/Bearbeiten für die jeweilige Domäne, um die Einstellungen für die Outbreak Protection für diese Domäne anzuzeigen und zu bearbeiten. Um die Domäne auf die systemweiten Voreinstellungen zurückzusetzen, klicken Sie auf Zurücksetzen.
