Website-Icon Frankys Web

Review: NoSpamProxy (AntiSpam)

An dieser Stelle folgt mal wieder ein kleines Review. Oft bekomme ich Anfragen, welches AntiSpam / E-Mail Security Produkt ich empfehlen würde und wie meine Erfahrungen damit sind. Es gibt unzählige Lösungen am Markt und es wird nahezu die komplette Bandbreite abgedeckt: spezielle Hardware Appliances, VMs, Windows- oder Linux, Software die direkt auf dem Exchange Server installiert wird, Outlook PlugIns, Cloud Services und wer weiß wie viele unterschiedliche Ansätze noch… (teilweise auch ein Mix aus allem).

Dieses Review widmet sich nun NoSpamProxy. NoSpamProxy (NSP) habe ich deshalb ausgewählt, weil es sich dabei erst einmal nur um eine Software handelt, welche auf Windows Servern läuft. Es ist also möglich NSP auf Windows Servern zu installieren, welche auf Hardware oder als VM laufen. Auch die Installation direkt auf dem Exchange Server wird unterstützt (wenn man denn will). NSP bringt daher eine recht große Flexibilität mit, welche viele andere Produkte nicht erreichen und eignet sich damit für kleine und große Umgebungen.

NoSpamProxy mag jetzt vielleicht nicht jedem direkt ein Begriff sein, die Software ist aber schon länger am Markt und wird in Deutschland entwickelt (genauer gesagt, in Paderborn, welches ca. 35 km von mir entfernt ist). NoSpamProxy dürfte damit eines der wenigen Produkte für E-Mail Sicherheit sein, welches in Deutschland entwickelt wird und darüber hinaus auch mit räumlicher Nähe zu mir glänzen kann, dass möchte ich natürlich gerne unterstützen.

Daher gibt es hier auch mal einen Artikel / Review und Testbericht zu NoSpamProxy.

Testumgebung

Für NoSpamProxy (NSP) hab ich meine Testumgebung für die Exchange 2019 DAG weiterverwendet. Die Exchange Umgebung ist bereits hier beschrieben. Neu ist jetzt nur eine VM mit dem Namen NSP.

NoSpamProxy unterstützt mehrere Bereitstellungsvarianten, vom Single Server bis zu getrennten Rollen und Hochverfügbarkeit ist alles möglich. Somit lässt NSP an nahezu jede Umgebung anpassen, inklusive Cloud Szenarien.

Für diesen Test habe ich alle NSP Rollen auf einer VM installiert, im NSP Handbuch ist dies mit “NoSpamProxy vorgeschaltet” beschrieben:

Ich muss gestehen: Ich bin NSP-Neuling. Zwar kenne ich verschiedene E-Mail Security Gateways und Spam Filter von unterschiedlichen Herstellern, mit NSP hatte ich aber bisher kaum Kontakt.

Ab jetzt beginnt für mich also die kostenlose 30-Tage NSP-Testphase…

Installation

Die Installation von NoSpamProxy ist einfach gehalten, im Prinzip muss nur das Setup gestartet werden und ein paar Mal auf “Weiter” geklickt werden. Ich habe mich in diesem Fall “Advanced installation” entschieden, da ich somit die möglichen Optionen besser darstellen kann:

Das Licence Agreement wird natürlich aufmerksam gelesen (Licence, very british, tea time?):

Ich installiere in meiner Testumgebung alle Features auf einem Server:

Der Report Viewer 2010 ist nur für die Management Tools erforderlich, trotzdem könnte man diese Komponente vielleicht mal gegen was Aktuelles austauschen, denn so alte Software will man eigentlich nicht mehr wirklich einsetzen:

Ich belasse den Installationspfad wie er ist, es macht aber durchaus Sinn diesen auf eine andere Partition zu verschieben:

Auch die SQL Server 2012 Express Edition ist schon etwas angestaubt, aber hier hätte man die Möglichkeit eine neuere Version zu verwenden. Ich habe es aber bei SQL 2012 Express belassen:

Für die Installation waren dies schon alle Dialoge, mit einem Klick auf “Next” wird die Installation durchgeführt:

Das Setup von NoSpamProxy lädt SQL 2012 Express automatisch runter und installiert diesen auch:

Setup abgeschlossen, einmal Abmelden und wieder Anmelden:

Die Installation von NoSpamProxy ist damit schon abgeschlossen. Weiter geht es mit der Basiskonfiguration.

Basiskonfiguration

Für die grundlegenden Einstellungen bietet NoSpamProxy einen Konfigurationsassistenten an. Die Inbetriebnahme wird dadurch deutlich vereinfacht, aber es muss später trotzdem noch etwas Hand angelegt werden.

Hier nun einmal die Schritte mittels Konfigurationsassistent zur Basiskonfiguration:

Der Konfigurationsassistent verlangt zunächst die Lizenzdatei. Ich nutze für diesen Test die kostenlose 30-Tage Demo:

Nach Angabe der Lizenzdatei folgt eine Übersicht der Features:

Da ich in dieser Testumgebung alle NSP Rollen auf einen Server installiert habe, sind die Rollen auch direkt verbunden. Wenn Gateway und Intranet Rolle auf unterschiedlichen Servern installiert werden, dann müssen die Rollen hier miteinander verbunden werden:

Der nächste Dialog fragt die vorhanden E-Mail Domänen ab, hier können alle Domänen angegeben werden, für die NSP zuständig ist:

Im nächsten Schritt werden die Mailserver des Unternehmens (interne Mailserver) abgefragt. Hier müssen die Server angegeben werden, die Mails mit der eigenen Domain (in diesem Fall frankysweblab.de) versenden dürfen. Hier müssen also auch Application Server (CRM, SharePoint, etc) angegeben werden, die Mails mit einem Absender der eigenen Domain an externe Empfänger versenden müssen:

Der Assistent fragt dann die Server ab, an die eingehende Mails weitergeleitet werden sollen. In den meisten Unternehmen wird hier wohl der Exchange Server zuständig sein. Ich hätte mir hier gewünscht, dass man mehrere Server angeben kann, da dies aber nicht direkt möglich ist, habe ich hier die Adresse des Loadbalancers angegeben.

Hinweis: Es lässt sich nachträglich der „Warteschlangenmodus“ für eingehende Mails konfigurieren, somit ist auch die Angabe mehrerer interner Server ohne Loadbalancer möglich. Mit Version 13 wird komplett auf den Proxymodus verzichtet, hier ist die Angabe mehrerer Server auch direkt im Wizard möglich.

Wer nur einen internen Exchange Server hat, kann die Adresse hier angeben:

Ähnlich wie bei den Exchange Sendeconnectoren kann im nächsten Dialog festgelegt werden, wie NSP Mails an externe Empfänger zustellen soll, Smarthost oder Zustellung via DNS (Direkte Zustellung, MX):

Die nächste Frage des Konfigurationsassistenten wirkt unscheinbar, ist aber ein ziemlich cooles Feature. Via OpenKeys kann NoSpamProxy die PublicKeys der SMIME Zertifikate abrufen und somit direkt verschlüsselte Mails versenden:

Wenn der PublicKey des Empfängers einer Mail in OpenKeys hinterlegt ist, kann somit der Schlüsselaustausch entfallen. Es müssen also nicht erst signierte Mails ausgetauscht werden, damit verschlüsselte Mails via S/MIME gesendet werden können. In meiner Testumgebung könnte also ein Benutzer von frankysweblab.de direkt die S/MIME Verschlüsselung nutzen, ohne das zuvor eine signierte Mail von mir empfangen zu haben, da mein PublicKey bei OpenKeys bekannt ist:

Im nächsten Schritt können die Absender für Benachrichtigungen konfiguriert werden:

Sensible Daten (kryptographische Schlüssel und Authentifizierungsinformationen) können durch ein Passwort geschützt werden:

Dies war der letzte Schritt des Konfigurationsassistenten. Die NoSpamProxy MMC enthält jetzt deutlich mehr Punkte:

Die Konfiguration ist allerdings noch nicht abgeschlossen. Zwar sind jetzt ein paar Basiseinstellungen durchgeführt worden, damit NoSpamProxy ordentlich arbeiten kann, ist noch weitere Konfigurationsarbeit nötig.

Erweiterte Konfiguration

Zur erweiterten Konfiguration zählt die Konfiguration des Hostnamens für die Gateway Rolle, der Hostname muss dabei mit dem MX-Record und dem Zertifikat übereinstimmen:

Für diesen Test verwende ich ein Zertifikat von Let’s Encrypt (ausgestellt auf den Namen mail.frankysweblab.de). Das Zertifikat ist bereits auf dem Windows Server für NSP hinterlegt und muss nun noch den Konnektoren zugewiesen werden.

Zunächst wird das vorhandene Zertifikat an den Konnektor für ausgehenden Mails gebunden:

Das Zertifikat muss im Zertifikatsspeicher des Computers vorhanden sein, damit es ausgewählt werden kann:

Das gleiche Zertifikat kann in diesem Fall auch an den Konnektor für eingehende Mails gebunden werden:

Auch hier kann wieder das Zertifikat aus dem Zertifikatsspeicher des Computers ausgewählt und StartTLS aktiviert werden:

Nach dem die Konfiguration geändert wurde, muss die Gateway Rolle einmal neu gestartet werden:

Die folgende Einstellung optimiert die TLS Konfiguration (Deaktiviert unsichere Verschlüsselungsmethoden) und sollte unbedingt durchgeführt werden:

Ebenfalls sollten die Einstellungen in der Kategorie “Monitoring” überprüft werden und an die eigenen Anforderungen angepasst werden. Ich habe die Werte für die Nachrichtenverfolgung etwas abgeändert:

Ein weiterer wichtiger Punkt ist der Benutzerimport. NSP sollte natürlich die internen E-Mail Adressen des Unternehmens kennen, somit lassen sich Mails an ungültige Adressen frühzeitig ablehnen. In der Kategorie “Unternehmensbenutzer” kann der Import aus dem Active Directory konfiguriert werden:

Für den automatischen Import wird zunächst ein Name und ein Zyklus festgelegt:

Der Assistent fragt an dieser Stelle nach einen “bestimmten Domänenkontroller” (dies ist übrigens das erste mal in meinem Leben das ich “Domänenkontroller” schreibe, es löst einen kleinen Hirnschluckauf aus…) :

Der Import kann nun weiter eingegrenzt werden, denkbar wäre zum Beispiel nur “Benutzer” zu importieren, aber keine Gruppen. Gruppen die öffentlich erreichbar sein sollen (Vorsicht, “Mail an alle”…), können somit granular freigeschaltet oder geblockt werden:

Im nächsten Dialog lassen unterschiedliche Funktionen anhand von AD-Gruppen zuordnen, so könnte der Marketing Abteilung der Empfang von größeren Mails erlaubt werden, wobei andere Benutzer nur kleine Mails empfangen oder versenden dürfen:

Des weiteren lässt sich auf AD-Attribute filtern, an welcher Stelle dies sinnvoll und nutzbar ist, muss jeder selbst entscheiden:

Nach Abschluss des Assistenten werden die importieren Benutzer angezeigt:

Das NSP Setup konfiguriert leider nicht die Windows Firewall während der Installation, damit NSP also Mails empfangen kann, muss mindestens der Port 25 für SMTP an der Windows Firewall geöffnet werden:

Jetzt kann ich mit Tests beginnen. Der Rest meines Netzwerks ist natürlich bereits vorbereitet (MX, NAT, etc).

Test

Ich habe zum Test von NSP meine gesammelten “Werke der guten Laune” auf das System losgelassen, vom typischen SPAM Quatsch, über virenverseuchte Mails bis zu ausgereiften Phishing Mails war alles dabei.

Den kompletten Test und welche Mails abgewiesen oder zugestellt wurden, habe ich gar nicht genau aufgezeichnet. Was genau mit einer Mail passiert, lässt sich mit der Nachrichtenverfolgung prüfen:

Die Details zu jeder Mail in der Nachrichtenverfolgung sind sehr übersichtlich dargestellt, das Troubleshooting fällt hier meiner Meinung nach besonders leicht. Hier mal 3 Beispiele der Nachrichtenverfolgung:

Eine weitere Mail die den Filter passiert hat:

Hier eine Mail die abgewiesen wurde:

In diesem Fall war in der Mail der EICAR Testvirus enthalten:

Die Erkennungsraten von NSP waren in meinem Test sehr gut, jedoch handelte es sich bei meinem Test um “keine echten Daten”. Ich habe über einen längeren Zeitraum SPAM und Malware Mails von anderen Domains gesammelt und diese dann über ein Relay zu NSP zustellen lassen. Da NSP frühzeitig das Testrelay als Spamschleuder erkannt hat, wurden auch alle weiteren Mais vom Relay abgewiesen. Dies betrifft dann auch harmlose Mails, welches der Arbeitsweise von NSP geschuldet ist, Level of Trust ist hier das Zauberwort.

Fazit

NoSpamProxy arbeitet anders als die Produkte die ich bisher kennengerlernt habe. In Sachen E-Mail Sicherheit setzen die meisten anderen (mir bekannten) Produkte auf spezielle Appliances. Meistens basieren diese Appliances auf Linux oder BSD und werden als “Black-Boxes” geliefert (als VM oder Blech). NSP geht hier einen anderen Weg: Windows als Betriebssystem, MS SQL für die Datenbanken.

Ein weiterer großer Unterschied von NSP zu anderen Lösungen: Es gibt keine Quarantäne. Eine Mail wird also zugestellt oder abgewiesen. Das Mittelding “Quarantäne – Lieber Benutzer entscheide selbst” gibt es mit NSP nicht.

NSP setzt teilweise alte Komponenten voraus, als Beispiel der Report Viewer 2010 und SQL-Express 2012 in der Standardinstallation, auch die MMC zur Verwaltung wirkt angestaubt. Dies ist nicht mehr zeitgemäß, daher habe ich eine Anfrage diesbezüglich beim Hersteller gestellt (Ergebnis, siehe “Ausblick”).

Wenn man sich aber erst einmal mit der Funktionsweise von NSP auseinandergesetzt hat, findet man aber durchaus Gefallen daran. Die Erkennungsraten waren in meinem Test hervorragend, lediglich Mails mit Links zu schadhaften Seiten wurden nicht immer erkannt (dies wird sich wohl aber auch noch ändern, siehe “Ausblick”).

Ein langes Fazit erspare ich mir an dieser Stelle, es gibt eine kostenlose 30-Tage Testversion, daher kann ja jeder selbst testen ob die Anforderungen erfüllt werden. Ich unterbreche hier daher mein Fazit und wechsle lieber zu “Meine Meinung”

Meine Meinung

Wenn man sich einmal an das etwas andere Konzept und die Funktionsweise von NSP gewöhnt hat, fühlt man sich schnell sicher im Umgang mit NSP. Ziemlich gut finde ich die verschiedenen Bereitstellungsmöglichkeiten, NSP kann sowohl redundant und sicher in einer DMZ betrieben werden, aber auch in sehr kleinen Umgebungen direkt auf dem Exchange Server laufen. Diese Flexibilität bietet wahrscheinlich kaum ein anderes Produkt.

Genial finde ich, dass NSP auch unzählige CMDLets für die PowerShell mitbringt:

Weiterer Pluspunkt: Support und Entwicklung finden komplett in Deutschland, konkret Paderborn, statt.

Wer gerade auf der Suche nach einem neuen SPAM-Filter ist, der sollte sich meiner Meinung nach NSP einmal anschauen.

Ausblick

Während ich NSP in der Version 12 getestet habe, habe ich die Testversion zur kommenden Version 13 erhalten. Hier wird es einige sehr interessante neue Funktionen geben, zum Beispiel:

PDF Reconstruction ermöglicht es, potenziell gefährliche Anhänge beispielsweise Word Dokumente mit Makros, in harmlose PDFs umzuwandeln und dem Benutzer zuzustellen. Die Cyren Sandbox ist eine Cloud-basierte Sandbox in der Anhänge ausgeführt und analysiert werden können. URL Safeguard ersetzt Hyperlinks in den Mails um so vor schädlichen Links zu schützen. Mittels ICAP können Daten an andere Sicherheitslösungen zur Analyse weitergeleitet werden.

Außerdem ist der Verzicht auf die alten Komponenten wie Report Viewer und MMC geplant.

Die mobile Version verlassen