Features & Lücken

Zusammengefasst stießen wir in folgenden Bereichen auf Lücken in der Funktionalität der AMG Appliance:

• die Appliance verwendet intern mehreren Zertifikatsstellen, die voneinander unabhängig sind, was den Administrationsaufwand etwas erhöht. Ebenso lässt sich die Appliance nicht in vorhandene Enterprise-PKIs integrieren.
• die geringe Flexibilitaet beim Markieren von Spam-Mails und beim Benachrichtigen von Benutzern.
• die mangelnde Partitionierung von CPU/System-Rescourcen, wenn sehr viele E-Mails ankommen oder in der Queue sind
• das Fehlen wichtiger Features wie Alias Tables und E-Mail-Masquerading

Die AMG Appliance unterstützt zur Zeit nicht den Gebrauch von E-Mail-Aliases und auch das Masquerading ausgehender E-Mails ist nicht möglich. Unsere Testumgebung hatte zwei interne E-Mail-Domains: »@denhaag.joerg.cc« und »@brussels.joerg.cc« . Ankommende E-Mails müssen je nachdem wo sich ein Mitarbeiter befindet mittels eines Alias Tables am Mail Gateway modifiziert werden. Zum Beispiel:

fritsch@joerg.cc        fritsch@denhaag.↩
joerg.cc
nina.fritsch@joerg.cc   nina.fritsch@↩
brussels.joerg.cc

Das ist in der Praxis nichts selten und Cisco Ironport bietet beispielsweise sogar Skripts an, um Kunden den Import von Sendmail-Alias-Tables zu vereinfachen. Obwohl der Exim-Mailserver natürlich Aliases unterstützt, war eine solche Funktion auf der AMG Appliance nicht zu finden.

Der Rückweg unserer Test-E-Mails sollte dann symmetrisch passieren: Interne E-Mails (zum Beispiel Antworten auf externe E-Mails) von fritsch@denhaag.joerg.cc ins Internet sollten wieder den MTA passieren. Am Mail Gateway müssen folglich alle Mail Envelopes gereinigt und in »@joerg.cc« umgeschrieben werden (bei Sendmail, Iropnport und Exim heißt das "Masquerading"). Auch hier stießen wir an die Grenzen des Leistungsumfangs der Appliance.

Um E-Mails als Spam zu markieren, kann man auf der AMG Appliance lediglich so gennannte Spam Marker festlegen. Konkret sind das Tags, die die Appliance permanent in den Betreff einer E-Mail einfügt. In vielen Umgebungen will man das nicht, weil die Endbenutzer zum Beispiel vergessen könnten, das Tag aus dem Betreff von False Positives in der Antwort-Mail wieder zu löschen. Viele Administratoren ziehen einen für den Benutzer unsichtbaren X-Header vor, nach dem Mail Clients beispielsweise Spam-Mail filtern können. Beim Verlassen des eigenen Netzes kann das Mail Gateway alle intern verwendeten X-Header wieder entfernen.

Mit der AMG Appliance lassen sich unerwünschte E-Mail-Attachments wie zum Beispiel Multimedia-Attachments einfach blockieren, ohne dass der Administrator immer über die neuesten Audio- und Videoformate informiert sein muss. Wenn eine E-Mail in Quarantäne gelangt, kann der Administrator eine Benachrichtigung von der Appliance an den Benutzer senden lassen. Auch hier zeigt sich die AMG Appliance weniger flexibel als Cisco Ironport oder Clearswift Mimesweeper, wo sich für jeden Fall eine detailllierte Nachricht an den Benutzer konfigurieren lässt. Dort kann der Administrator zum Beispiel dem Benutzer bei einer ankommenden ausführbaren Datei mitteilen, dass diese blockiert wurde weil sie eine potentielle Gefahr darstellt. Bei einer MP3-Datei könnte die Nachricht lauten, dass sie blockiert wurde, weil der Empfänger/Sender wahrscheinlich das Copyright nicht besitzt.

Fazit

Während des Tests drängte sich der Eindruck auf, dass es sich bei der Appliance AMG 3000 um die E-Mail-Features handelt, die aus der ASG-Appliance-Serie [6] herausgeloest wurden und nun als eigene Gerät verkauft werden. Leider wurden dabei auch fehlende Features, die schon der Test der ASG im Jahr 2007 vermissten ließ, "kopiert" und nicht etwa ergänzt.

Einer UTM Appliance die neben E-Mail noch WWW Proxy Server, Firewall, DNS Server oder anderes ist, kann man es verzeihen, wenn sich sich nicht mit spezialisierten Mail Gateways wie Cisco Ironport, Clearswift Mimesweeper oder Sendmail/Cloudmark messen kann. Bei einem Mail Gateway wie der AMG Appliance, die preislich im gleichen Segment wie die spezialisierten Enterprise-Produkte angesiedelt ist, fällt es etwas schwerer, ein Auge zuzudrücken.

Wenn Astaro es aber schafft, in den angesprochenen Problemzonen nachzubessern, dann ist die Appliance uneingeschränkt zu empfehlen. Bis dahin muss jeder Administrator selber entscheiden ob er ohne fehlende Features wie die Integration in bestehende PKIs auskommt und vielleicht gern ein deutsche Produkt einsetzen will.