Urządzenia do zabezpieczania poczty elektronicznej
-
- Józef Muszyński,
-
- Logan G. Harbaugh,
- 07.07.2008
Testujemy urządzenia ochronne poczty elektronicznej
Urządzenia testowano przepuszczając przez nie realny strumień wiadomości w ciągu 15 dni, liczący od 13 do 14 tys. wiadomości, wśród których 2500 to wiadomości legalne, a 10 tys. to spam. Ponieważ spam ewoluuje bardzo szybko, a sygnatury antyspamowe starają się za tym nadążyć (czasami usuwając starsze definicje, aby nie powiększać zbytnio bazy danych sygnatur), kolekcjonowanie zbioru spamu w okresie kilku miesięcy i następnie jego odtworzenie nie zapewnia właściwego testowania filtrów. Ponadto, ponieważ większość dostawców antyspamu używa adresów nadawców jako krytycznego elementu wykrywania spamu, odtwarzanie zbioru wiadomości i spamu z pojedynczego adresu IP czyni jeden z podstawowych mechanizmów wykrywania bezużytecznym.
Tabela wyników pokazuje, że niektóre urządzenia odebrały stosunkowo małą liczbę spamu, podczas gdy inne znacznie więcej. Ta różnica jest związana z faktem, że wszystkie odrzucały różne liczby spamu przy wstępnym filtrowaniu, opierającym się na adresach IP i innych cechach. Średnia liczba wiadomości spamowych wysyłana do serwera pocztowego wynosiła od 13 do 14 tys. w czasie dwóch tygodni przeprowadzania testów. Liczba wiadomości przechwycona przez filtry wstępne wahała się od 3 tys. do 10 tys.
Porównywanie stopnia filtrowania nie jest jednak najważniejsze. Jedynie dwa urządzenia osiągnęły wynik mniejszy niż 95% (Cisco IronPort i Barracuda Spam Firewall). Oba rozwiązania wykazują jednak "akceptowalny przedział przechwytywania". Bardziej istotna jest liczba fałszywych rozpoznań, która jest doskonała w przypadku rozwiązania Cisco, ale już nie tak dobra w produkcie Barracuda.
Ponieważ polityki przechowywania poczty mogą wymagać, aby każda odebrana wiadomość była archiwizowana, urządzenia odrzucające spam bez jego odbioru - odmawiając komunikacji z zastrzeżonym adresem - mogą istotnie zmniejszyć ruch w sieci wewnętrznej i obciążenie urządzeń. Zmniejszają także objętość poczty, która musi być archiwizowana.
W niektórych okolicznościach wiadomości są odrzucane i rejestrowane, co zapewnia możliwość przeglądania logów z kilku tygodni wstecz, w celu upewnienia się, że żadna legalna wiadomość nie została odrzucona. Część produktów nie zapewnia jednak żadnych sposobów uzyskania wiedzy co zostało odrzucone i po prostu trzeba zaufać, że wstępne filtrowanie nie odrzuci wiadomości od legalnego nadawcy.
Poza testowaniem wydajności antyspamu, każdy produkt testowano także strumieniem aktualnych wirusów, dostarczonych przez dwóch dostawców rozwiązań antywirusowych. Pocztę, która przedostała się przez filtry, testowano czterema różnymi klientami antywirusowymi. Żadne urządzenie nie przepuściło wirusa, a ściślej mówiąc, cztery silniki antywirusowe nie wykryły żadnych wirusów po przejściu filtrów.
Producent: Symantec (www.symantec.com)
Cena: 1995 USD za sprzęt, 19 145 USD za 1000 użytkowników rocznie
Ocena: Jest to najłatwiejsze do ustawiania urządzenie filtrujące, z konfigurowaniem LDAP. Charakteryzuje się dobrą wydajnością i wysokim wskaźnikiem fałszywych rozpoznań. Zawiera rozbudowane mechanizmy klasy "enterprise", dobre narzędzia raportowania i zarządzania. Ma niską cenę w porównaniu z innymi rozwiązaniami o podobnych osiągach.
Badano także wydajność w zakresie antyphishingu i antymalware. Tutaj było trochę gorzej. Filtry antyphishingowe zatrzymywały od 51 do 82% wiadomości związanych z phishingiem, a często też blokowały legalne wiadomości z potencjalnych celów ataków phishingu.
Na końcu przyjrzano się możliwościom zarządzania bezpieczeństwem zawartości. Jest to mechanizm trudny do zmierzenia ilościowo, aczkolwiek są pewne ważne różnice pomiędzy produktami, głównie w liczbie różnych typów plików które mogą być skanowane, zwłaszcza archiwów zip i innych plików skompresowanych, a także obsługą plików zaszyfrowanych. Niektóre produkty mogą wykrywać pliki zaszyfrowane i zatrzymywać je do sprawdzenia przez administratora przed dopuszczeniem do odbiorcy, lub co najmniej zatrzymać ich kopie do późniejszego sprawdzenia.
Barracuda Spam Firewall
Urządzenie blokuje najwięcej spamu przed właściwym filtrowaniem, używając metody reputacji adresów IP. W rezultacie spam, liczony jako procent wszystkich wiadomości odebranych, był najmniejszy w testach. Aczkolwiek Barracuda wykazuje się także najniższym ułamkiem wyłapanego spamu (88%) - wynik, który - choć akceptowany - nie zachwyca. Mniejsza dokładność czasami pomaga ograniczyć liczbę fałszywych rozpoznań, ale akurat w tym przypadku taka zależność nie jest zbyt widoczna: jedno krytyczne fałszywe rozpoznanie i 33 fałszywe rozpoznania wiadomości masowych. Niemniej jednak, w kategorii całkowitej wydajności filtrowania, urządzenie jest zdecydowanie użyteczne, zwłaszcza kiedy nadawcy masowych wiadomości są umieszczani na białych listach.
Model 400 urządzenia (modele różnią się jedynie liczbą obsługiwanych użytkowników) jest łatwy w konfigurowaniu, jednak istnieje wiele ustawień, które mogą być zmieniane z wartości domyślnych, co zapewnia dużą elastyczność. Można tworzyć domyślne adresy IP bez konieczności seryjnego logowania, co ułatwia wstępne ustawianie, a reszta konfigurowania wykonywana jest z przeglądarki. Ustawianie LDAP niej jest najłatwiejsze.
Istnieje wiele domyślnych ustawień, które mogą być dopasowane do specyficznych wymagań, aczkolwiek nie zawsze jest jasne, jak wpływają one na wydajność. Ustawienia domyślne i rekomendowane przez firmę były różne, dlatego - aby osiągnąć optymalną wydajność - produkt może wymagać pewnego procesu strojenia.
Ustawienia domyślne blokują także istotny wolumen legalnych przesyłek masowych. Zdaniem firmy, wiele z tych legalnych wiadomości nie jest zgodnych z amerykańską ustawą CAN-SPAM Act. Aby otworzyć im drogę do celu, konieczny jest pewien okres treningu, w czasie którego użytkownicy umieszczą na białej liście odpowiednie pozycje.
