none
AV Software auf Exchange Server 2016 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Servus Community,

    wir stellen demnächst unsere Exchange 2010 DAG auf Exchange 2016 um und philosophieren gerade über das Thema Antivirensoftware. Wir haben dieses Jahr die unternehmensweite AV Lösung von Trend Micro auf ESET umgestellt, auf den Exchangern läuft aber noch der Trend Micro. Das ist das erste mal, dass ich über einen längeren Zeitraum zwei Virenscanner beobachten konnte und frage mich, ob das nicht ein Konzept für die Zukunft sein könnte? Der ESET findet Sachen in den E-Mails, die der Trend wohl übersehen hat und anders herum, kann ich zB den Trend Micro so einstellen, dass er alle Makros aus Office Dokumenten entfernt, was der zB ESET nicht kann. Der ESET ist zudem recht umständlich in der Konfiguration.

    Die Frage wäre nun a) ob das sinnvoll ist, zweigleisig zu fahren, b) gibt es Produkte, die sich vor allem auf Exchange bewährt haben und c) gibt es Dinge auf die man in der DAG hinsichtlich einer AV Lösung achten sollte?

    Thx & Bye Tom

    Freitag, 20. September 2019 07:50
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin Thomas,

    wenn du 10 MVP´s fragst, bekommst du zwei verschiedene Antworten.

    6 sagen, macht keinen Sinn, 4 sagen auf jeden Fall

    Wir haben ein Gateway vor dem Exchange, der macht die Filterung sehr viel besser.
    (alle meine Kunden auch)

    Produkt ist bei uns Reddoxx, viele Firewalls können das mittlerweile auch, die haben wir On-Top

    Gruß Norbert

    Freitag, 20. September 2019 08:25
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Servus Norbert,

    > Wir haben ein Gateway vor dem Exchange, der macht die Filterung sehr viel besser.

    Was mir daran besonders sympathisch wäre, ist das nichts auf den Exchangern installiert werden müsste. Wie in so einem Setup das Routing von extern eintreffenden Mails ausschauen sollte, ist mir zwar klar aber bei internen Mails und der Kommunikation der beiden Exchanger untereinander noch nicht wirklich aber ich werde das noch mit dem Kollegen vom Dienstleister im Detail besprechen.

    > Produkt ist bei uns Reddoxx

    Danke, schaue ich mir an...

    Thx & Bye Tom

    Freitag, 20. September 2019 08:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Interne Mails gehen ja nicht über die externen Connectoren, daher nicht erforderlich.

    Dafür hat man eine vernünftige AV-Lösung auf den Clients / RDS ;)

    Gruß Norbert

    Freitag, 20. September 2019 10:10
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Wobei allerdings die vorgeschalteten Scanner eher selten mit verschlüsselten Nachrichten umgehen können.
    Hier ist dann die Frage, wo wird eine Nachricht entschlüsselt und genau da benötigt man dann zusätzlichen Schutz.

    Ich persönlich bin mit GData sehr zu frieden, die haben bereits 2 Scanner integriert und man merkt keine Einbußen. Ich habe seit 1995 noch nie einen Virus gefangen, allerdings mache ich auch nicht alle Anhänge auf;-).

    Freitag, 20. September 2019 13:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Wobei allerdings die vorgeschalteten Scanner eher selten mit verschlüsselten Nachrichten umgehen können.

    Ja, damit ich gerechnet. Wir verschlüsseln zwar keine E-Mails aber wir bieten TLS an, um zumindest den SMTP Verkehr zu verschlüsseln. Die vom Norbert empfohlene Appliance bietet aber E-Mail Verschlüsselung explizit als Option an und in so einem Setup müsste es halt dann die Appliance erledigen. Ich finde diese Appliance beim ersten Überfliegen wirklich sehr interessant, dass mach alles einen recht aufgeräumten Eindruck und das ganze scheint auch nicht so eine überladene Software zu sein, wo man schon ewig braucht um da durchzusteigen.

    Wenn man die Appliance jetzt in die DMZ stellt und den Traffic zwischen Appliance und Exchange unverschlüsselt abwickelt (wenn das geht), dann könnte die innere Firewall da auch noch mal einen Blick draufwerfen. Wobei es das Debuggen eventueller Probleme vermutlich ohne großen Sicherheitsgewinn nur noch komplizierter gestalten würde.

    Was mir an der Idee auch gefällt, ist, dass wir das ganze schon vor der Migration der Exchanger in Betrieb nehmen könnten und es somit erstmal nur eine neue Komponente wäre, der Rest bliebe vertrautes Terrain. Haut das dann hin, wechselt man im Hintergrund einfach die Mailserver aus.

    Je länger ich darüber nachdenke, umso mehr überzeugt mich so ein Setup. Preislich bis 100 User auch sehr interessant. Ich muss mal schauen, ob der Norbert da Kollegen im Süddeutschen Raum kennt, die dieses Produkt supporten und beraten können oder selber auf die Suche gehen. Unser Exchange Dienstleister macht das afaik nur mit Barracuda und davon haben wir schon ein Produkt und das Bedienungskonzept ist schon gewöhnungsbedürftig. Außerdem gab es in einem Kollegenbetrieb, der auch von denen betreut wird, vor kurzem erst einen sehr schwerwiegenden Sicherheitsvorfall in Verbindung mit E-Mails, da wäre mir eine zweite Meinung durchaus willkommen.

    Thx & Bye Tom


    Freitag, 20. September 2019 16:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Was mir daran besonders sympathisch wäre, ist das nichts auf den Exchangern installiert werden müsste. 

    ...um den Preis, dass ein retroaktiver Scan in den Datenbanken nicht möglich ist. Sprich: Bei Zero Day- oder Custom Crafted-Szenarien seid ihr auf den Virenscanner auf dem Client angewiesen. 

    Das andere Thema, das in Enterprise-Umgebungen z.B. für Transport-Scan auch interner Mails spricht, ist Outbreak Management, aber bei 100 Sitzen ist es wohl eher zu vernachlässigen.

    Bitte nicht missverstehen: Wäre ich MVP und dürfte ich an der Umfrage von Norbert teilnehmen, wäre ich vermutlich am Ende des Tages doch eher unter den 6...

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 20. September 2019 18:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > ...um den Preis, dass ein retroaktiver Scan in den Datenbanken nicht möglich ist. Sprich: Bei Zero Day- oder Custom Crafted-Szenarien seid ihr auf den Virenscanner auf dem Client angewiesen.

    Da ist allerdings was dran, dass ist richtig...

    > Bitte nicht missverstehen: Wäre ich MVP und dürfte ich an der Umfrage von Norbert teilnehmen, wäre ich vermutlich am Ende des Tages doch eher unter den 6...

    Welche Umfrage und welche 6...?

    Thx & Bye Tom

    Freitag, 20. September 2019 18:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Welche Umfrage und welche 6...?

    Gleich die erste Antwort auf Deinen Post ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 20. September 2019 18:17
    |
  • Question
    Anmelden
    0
    Anmelden

    > Gleich die erste Antwort auf Deinen Post ;-)

    Okay ;-)

    Freitag, 20. September 2019 18:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Ist Mail-Verschlüsselung nicht sowieso End-to-End, so dass die Clients gefordert sind?

    Aber ich habe ja mal hier gelesen, dass der Microsoft-Defender inzwischen ebnso gut ist wie preisgekrönte AV's;-).

    Samstag, 21. September 2019 08:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Ist Mail-Verschlüsselung nicht sowieso End-to-End, so dass die Clients gefordert sind?

    Schon, nach der reinen Lehre. Aber selbst in meiner Praxis ist der Anteil verschlüsselt ankommender Mails erschreckend gering. Und wir reden davon, dass ein Angreifer mir eine mit meinem S/MIME-Zertifikat verschlüsselte und mit einem von mir als vertrauenswürdig erklärten S/MIME-Zertifikat signierte Mail schickt, die Malware beinhaltet. Das ist ein Level von "Custom Crafted", der fast ja schon als Belohnug verdient hat, dass ich darauf klicke ;-)

    Aber ich habe ja mal hier gelesen, dass der Microsoft-Defender inzwischen ebnso gut ist wie preisgekrönte AV's;-).

    Ist er auch. Und wie inzwischen bei allen anderen Produkten auch, ist ein Schwanzvergleich hier nur aussagekräftig, wenn der Client Zugang zum Internet hat, denn die Teile der Logik, die imstande sind, Verhaltensanalyse durchzuführen und somit Zero Day zu erkennnen, sitzen bei allen Produkten mittlerweile in der Public Cloud.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 22. September 2019 07:23
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Thomas Pronto Wildgruber,

    wenn es um AV-Software auf Exchange Servern geht, muss zuerst klar sein, in welchem Kontext wir hier AV betrachten.

    Hinsichtlich der Endpunktsicherheit auf dem Server ist es einfach. Die muss auf jeden Fall installiert sein, jedoch müssen hier auch die passenden Exchange Server Ausnahmen konfiguriert sein, damit es zu keinem Datenverlust kommt, wenn die AV-Engine einen Prozess killt.

    Wenn es um das Scanning auf Transporteben geht, ist es auch recht einfach. 

    Sollen nur externe E-Mail gescannt werden, ist eine Gateway-Lösung zu empfehlen, die eventuell auch noch anderen Aufgaben übernimmt, wie z.B. Verschlüsselung (im Sinne einer eDiscovery Search sollten keine verschlüsselten Mails im Exchange Store gespeichert werden), Anti-Spam, Disclaimer, etc. 

    Sollen externe und interne E-Mails gescannt werden, sollte zusätzlich zur Gateway-Lösung auch eine lokale AV-Lösung einsetzt werden, die auf Exchange Transport Ebene arbeitet. Das bedeutet, die Lösung registriert einen Transport-Agenten auf dem Exchange Server. Jede Lösung, die sich auf dem Server auf TCP-Ebene zwischen Exchange Server und dem Netzwerkadapter platziert, versetzt die Exchange Server Installation in einen nicht unterstützten Zustand. Auch wenn die Software funktioniert, ist von solch einer Lösung, aus Exchange Server Sicht, dringend abzuraten.

    Grüße,
    Thomas 

    Thomas Stensitzki | MVP - MCSM - MCM - MCT- MCSE - MCSA - MODE | Blog: http://justcantgetenough.granikos.eu/ | Twitter: @stensitzki

    Montag, 7. Oktober 2019 12:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus Thomas,

    > Hinsichtlich der Endpunktsicherheit auf dem Server ist es einfach. Die muss auf jeden Fall installiert sein[...]

    Gerade hier war ich bislang eigentlich immer ziemlich schmerzfrei und habe da keinen Virenscanner installiert. Aber um die Terminologien noch mal klar zu definieren, hier ist ein Virenscanner für das Betriebssystem und die Daten des Exchange Servers gemeint? Wie ein Client Virenscanner, nur halt auf einem Server installiert...

    > Sollen nur externe E-Mail gescannt werden, ist eine Gateway-Lösung zu empfehlen

    Derzeit schaut es danach aus, dass wir diese Gateway Lösung zusätzlich, zu einer lokalen Lösung integrieren. Fällt ein Virenscanner aus, wäre immer noch der zweite da. Bei der Integration könnte ich die Gateway Lösung schon vor der Migration der Exchanger einrichten usw, es hätte eine Reihe von Vorteile...

    > Sollen externe und interne E-Mails gescannt werden, sollte zusätzlich zur Gateway-Lösung auch eine lokale AV-Lösung einsetzt werden, die auf Exchange Transport Ebene arbeitet [...] Jede Lösung, die sich auf dem Server auf TCP-Ebene zwischen Exchange Server und dem Netzwerkadapter platziert, versetzt die Exchange Server Installation in einen nicht unterstützten Zustand.

    Da musst du mir bitte nochmal auf die Sprünge helfen. Wie bitte erkennt man, ob die Arbeitsweise eines PlugIns supported ist oder nicht? Wir würden auf den Exchangern selbst, wie auch auf den Clients ESET installieren. Die haben (angeblich ein supportetes) Plugin für Exchange Sever. Kann man das feststellen wo der sich einklinkt oder ist die Installation auf einem Exchange Server dE grundsätzlich falsch...?

    Um die Erkennungsrate zu optimieren, die Ausfallsicherheit zu erhöhen, die verfügbaren Features zu maximieren und die Hauptarbeit der AV Lösung bereits vor den Exchangern erledigen zu lassen, erwägen wir noch davor in die DMZ eine Appliance mit einem Gateway zu stellen. Was man auch noch erwägen könnte, ist das ESET Gateway in die DMZ zu stellen und einen anderen Hersteller direkt auf den Exchangern zu installieren...

    Thx & Bye Tom


    Montag, 7. Oktober 2019 12:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Sobald mal End-2-End-Verschlüsselung eingesetzt wird ist im Client ein weiterer Scanner erforderlich, da der Inhalt ja gekapselt und verschlüsselt ist. Es ist schließlich nicht gewährleistet, dass der Sender einen Virus mit verschlüsselt.

    Wo was eingeklinkt ist, sieht man bei den eweiligen Produkten:
    - AddIns im Exchange und/oder Outlook
    - Filter im TCP/IP-Stack

    https://briolidz.wordpress.com/2011/12/20/network-traffic-filtering-technologies-for-windows/

    Kann man auch selber machen:
    https://netfiltersdk.com/nfsdk.html

    Allerdings habe ich nichts gefunden, wie man sich die aktuellen Filter anzeigen lassen kann.
    Auf den Adaptereigenschaften finde ich zwar Microsoftdienste und VPN-Clients aber nicht den Virenscanner.

    Montag, 7. Oktober 2019 14:12
    |