Urządzenia Symantec Mail Security serii 8100 umożliwiają zarządzanie ruchem przenoszącym spam. Ograniczają zakres pasma sieci, jaki ruch ten może konsumować. Symantec nabył tę technologię w ubiegłym roku, przejmując firmę TurnTide.

Zadaniem urządzeń Symantec Mail Security serii 8100 jest ograniczenie spamu, zanim jeszcze dotrze do sieci korporacyjnych. Są one przeznaczone dla dużych przedsiębiorstw i operatorów Internetu, mają spowalniać napływ spamu i dzięki temu zmniejszyć natężenie ruchu, zanim obciąży on sieć korporacyjną.

Urządzenia serii 8100 wykorzystują technikę kształtowania ruchu na poziomie protokołu TCP, utrudniając spamerom wprowadzanie poczty do tak zabezpieczonej sieci. Nie są one filtrem sprawdzającym każdą wiadomość pocztową oddzielnie - ich zadaniem jest dławienie ruchu przenoszącego spam. Można je łączyć z dowolną bramą antyspamową. Rozwiązanie opiera się na technologii Symantec Brightmail.

Przedstawiamy wyniki testów urządzenia Mail Security 8160, które wykazały, że urządzenie dobrze sobie radzi z zarządzaniem obciążeniem serwerów pocztowych, zapewniając skuteczną, pierwszą linię obrony i redukując znacząco spam wchodzący do sieci przedsiębiorstwa.

Urządzenie Mail Security 8160, wpięte do sieci pomiędzy serwerami pocztowymi i Internetem, klasyfikuje przepływający ruch pocztowy do jednej z dziesięciu kategorii, opierając się na historii spamu związanej z adresem pochodzenia IP. Następnie zarządza zakresem pasma, jaki każda z tych kategorii może użytkować.

<hr size=1 noshade>Symantec Mail Security 8160

Zalety: Zapewnia prosty sposób dławienia ruchu związanego ze spamem w dużych sieciach; łatwa integracja z istniejącą topologią sieci; zdolność obsługi dużego wolumenu ruchu pocztowego.

Wady: Brak zarządzania i monitorowania.

Cena: 5000 USD za urządzenie plus roczna subskrypcja oprogramowania na użytkownika.

<hr size=1 noshade>

Urządzenie określa historie adresów IP na dwa sposoby. Po pierwsze: jest ono podłączone do usługi online Symantec Brightmail, która zapewnia globalny przegląd adresów IP, spod których wysyłany jest spam. Druga metoda, to wykorzystanie zawartego w Mail Security 8160 motoru Brightmail, który analizuje ruch pocztowy, określając zawartość spamu dla każdego adresu IP. Każdy adres IP trafia do odpowiedniej kategorii w oparciu o procent przesyłek pocztowych uznanych za spam, pochodzących spod tego adresu.

"Przepustnicą" pasma można sterować w każdej z tych kategorii. Symantec dostarcza jednak Mail Security 8160 z zestawem przykładowych ustawień przepustnicy, które pozwalają na stopniowaną implementację. Ustawienia sterowania pasmem dla każdego adresu IP są coraz bardziej restrykcyjne, gdy przechodzi się ze "Stage One" do "Stage Five". Należy tu zauważyć, że 8160 kształtuje ruch pocztowy jedynie na porcie SMTP (port 25). Nie kontroluje innego ruchu, ani też poczty na innych portach.

Mail Security 8160 zaprojektowano do obsługi dużego wolumenu poczty elektronicznej. Symantec deklaruje wydajność rzędu 550 wiadomości na sekundę. Podczas testów osiągnięto nawet 850 wiadomości na sekundę. To olbrzymia liczba wiadomości - prawie 75 mln dziennie. Jeżeli zamierza się wysyłać tak dużą liczbę wiadomości poprzez urządzenie, to potrzebne jest rozwiązanie wysokiej dostępności. Mail Security 8160 zaprojektowano w ten sposób, aby mogło działać jako dwuwęzłowy klaster aktywny-pasywny, który automatycznie wykonuje obejście uszkodzenia i synchronizację bazy danych.

Mail Security 8160 może operować jako urządzenie routingowe lub pomostowe. Do testów zainstalowano je w charakterze transparentnego mostu, bezpośrednio przy testowanym serwerze pocztowym. Taka konfiguracja może być optymalna, ponieważ przez to urządzenie nie wysyła się żadnych innych informacji, tylko pocztę elektroniczną i w praktyce nie ma ono możliwości zarządzania, sterowania ruchem czy monitorowania go. Mail Security 8160 nie zawiera także portu zarządzania poza pasmem.

Brak zarządzania i monitorowania jest istotnym mankamentem. Chociaż Mail Security 8160 dostarczane jest z webowym GUI, to udostępnia on niewiele informacji o tym, jak przechodzący przez urządzenie ruch pocztowy jest dławiony.

Urządzenie 8160 ma możliwość prezentowania określonych wykresów, które udostępniają informacje sumaryczne o wykorzystywaniu pasma i o tym, jak ruch pocztowy przepływa przez system, ale są to raporty podawane w długich ramkach czasowych. Jest to prezentacja wystarczająca na wyższym szczeblu zarządzania, ponieważ pokazuje, w jakim zakresie Mail Security 8160 zmniejsza obciążenie spamem, ale mało przydatna przy problemach diagnostycznych. Dla porządku należy odnotować, iż podczas tygodniowego testowania nie uświadczono w logu zdarzeń żadnego zapisu. Narzędzia monitorowania zawarte w GUI nie pokazywały też jednoznacznie, czy dane Brightmail zostały uaktualnione pomyślnie oraz czy system został przeciążony, aczkolwiek można było się o tym dowiedzieć, wykorzystując komendy konsoli pokazujące użytkowanie CPU. Brak jest też obsługi monitorowania SNMP w systemie.

Chociaż GUI zarządzania jest dostatecznie łatwe w użytkowaniu, brak mu wielu opcji do konfigurowania. Istotne ustawienia są wypełniane na pojedynczym ekranie: lista kategorii i rozdzielanie pasma dla każdej z nich.

Podczas testów w kierunku urządzenia generowano duży ruch pocztowy - z częstotliwością 850 wiadomości na sekundę. Nadawców wiadomości podzielono na trzy kategorie: spamer 0%, 50% i 100% (zob. "Jak testowano"). Ruch od spamerów "stuprocentowych" był (zgodnie z planem) dławiony najbardziej i na serwer pocztowy trafiało w czasie godziny kilka wiadomości pochodzących od nich. Ruch spod adresów "0% spamu", zgodnie z założeniami, nie był dławiony, jednak z powodu nadmiernego obciążenia urządzenie zgubiło kilka wiadomości, które powinny być dostarczone do serwera pocztowego. Gdy testowano ustawienia podstawowego poziomu wydajności bez spamu i bez dodawania występujących w świecie realnym opóźnień, Mail Security 8160 nie zgubił żadnej wiadomości. W przypadku spamerów "50%" urządzenie dławiło ruch, ale niezbyt dokładnie w zgodzie z polityką wybraną do testów.

Podczas testów tę kategorie spamu próbowano dławić do poziomu: 192, 128 i 64 kb/s i nie zauważono, aby urządzenie dokładnie "honorowało" te ustawienia. Nie zauważono np. żadnej zmiany zachowania pomiędzy dławieniem na poziomie 64 kb/s a 192 kb/s. Aczkolwiek można przypuszczać, że gdy sprawa dotyczy dławienia spamu, większość zarządców sieci będzie zadowolonych z tego wyniku, nawet jeśli jest on bardzo trudny do wyjaśnienia.

Ważnym jest tu także traktowanie Mail Security 8160 jako jednego z elementów większego planu antyspamowego. Nie identyfikuje on i nie blokuje spamu - dławi jedynie ruch pochodzący z adresów IP, spod których wysyłany jest spam. Im więcej spamu przychodzi spod danego adresu, tym bardziej dławiony jest ruch. Celem jest odciążenie rozwiązań antyspamowych opierających się na analizie zawartości, przez ograniczenie szybkości dostarczania spamu. Jeżeli system odbiera dziennie stosunkowo niewielką liczbę wiadomości, nie ma potrzeby stosowania innych rozwiązań niż tradycyjne produkty antyspamowe (takie jak Symantec Brightmail). Jeżeli natomiast liczba wiadomości przychodzących w ciągu godziny liczona jest w milionach, Mail Security 8160 może znakomicie pomóc, odciążając pozostałą sieć od transportu spamu.