Im Test: das Astaro Mail Gateway AMG3000
Im Jahr 2007 haben wir die Astaro Firewall (Herstellerbezeichnung Astaro Security Gateway, ASG) im Labor mit beeindruckendem Ergebnis getestet. Nun muss sich die Astaro Mail Gateway (AMG) Appliance im Testlabor bewähren.
Jörg Fritsch
Wer die AMG 3000 Appliance (Abbildung 1) auspackt, wird als erstes bemerken, dass keinerlei Dokumentation beiliegt, weder auf CD noch gedruckt. Wir hatten vor, die AMG Appliance in unserem Labor an einem Feiertag in Betrieb zu nehmen und waren erst einmal ratlos, denn uns waren Default-IP-Adressen und Passwörter unbekannt. Ein Anruf bei Astaros [1] Platinum-Support, einer Telefonnummer in den USA, führte nur zu einem Anrufbeantworter, dem wir unser Problem mitteilten. Unserer Skepis zum Trotz meldete sich innerhalb von zwölf Stunden ein Support-Mitarbeiter und teilte die gewünschten Daten mit.
Abbildung 1: Das Astaro Mail Gateway AMG 3000, laut Herstellerangaben für mitelgroße Netzwerke geeignet.
In der echten Praxis wird es eher so aussehen, dass man den Vertriebsmitarbeiter, einen Pre-Sales Engineer oder andere Astaro-Mitarbeiter kennt und E-Mail-Adressen hat oder bereits mit den notwendigen Informationen versorgt wurde. Unser Problem war aber dennoch ein guter Test, der zeigte, wie der Astaro-Support organisiert ist er recht schnell erste Hilfe leistet.
Installation und Verwaltung
Gegenwärtig gibt es für die AMG Appliance Serie keine gedruckte Dokumentation. Alles was man wissen muss, ist in der Knowledgebase des Herstellers festgehalten. Trotzdem wirbt Astaro mit ,,10 Minute Setup``, und in der Tat war das AMG sogar in fünf Minuten für die Testumgebung konfiguriert.
Die Appliance lässt sich (wie alle Astaro Appliances) Browser-basiert über HTTPS-Verbindungen auf TCP Port 4444 verwalten. Das Look & Feel der Oberfläche (sprich des GUIs) ist genauso wie das der ASG Appliance. Das GUI ist sehr durchdacht, alle Features sind gut strukturiert und einfach zu finden.
Im GUI lässt sich auch ein SSH-Zugang freischalten. Mit einem User Account und einem Root Account kann sich der Administrator nach Öffnen des SSH-Zugangs dann auf der Kommandozeile einloggen. Wer sich auf der Appliance etwas umschaut, findet Suse Linux als Basis und Exim mit einem Postgresql-Backend als MTA:
AMG:/home/login # uname -a Linux AMG 2.6.16.62-111-smp #1 SMP Mon Apr 20 14:41:12 UTC 2009 i686 i686 i386 GNU/Linux
Alle wichtigen Services (»exim«, »postgresql«, »httpd« und so weiter) laufen auf der Appliance in Chroot-Umgebungen, was uns positiv beeindruckt hat.
Benchmark mit Postal
Zum Benchmarking wurden die AMG Appliance und ein Apple Intel Power Book mit OS X 10.5.7 ueber einen Gigabit-fähigen Switch miteinander verbunden. Danach kam Postal [2] zum Einsatz, um eine großen Anzahl von 1 KByte bis 15 KByte großen E-Mails zu generieren und an die Appliance zu verschicken (Abbildung 2).
Abbildung 2: Das Test-Setup.
Zuerst testeten wir das reine Forwarding ankommender E-Mails an eine SMTP Sink und das Queuing, bei dem die Appliance alle ankommenden E-Mails auf das Filesystem schreiben musste.
Der Hersteller gibt fuer die AMG 3000 im reinen Forwarding ohne Scanner einen Durchsatz von einer Million E-Mails/h an, mit aktivierten Scannern immerhin noch 150 000 E-Mails/h. Dabei gibt Astaro nicht an, wie groß die Test-E-Mails waren, mit denen die Testwerte erzielt wurden. Wir setzten im Labor 15 KByte große Test-Mails ein, um die Appliance zu benchmarken.
| Listing 1: Forwarding-Benchmark |
|---|
01 time, messages, data(K), errors, connections, 02 03 15:42, 4419, 23720, 1, 1787 04 15:43, 4021, 21409, 0, 1634 05 06 Server error:421 Too many concurrent SMTP connections; please try again later. 07 . 08 09 15:44, 3741, 19776, 1, 1508 10 15:45, 3593, 19106, 0, 1429 11 15:46, 2921, 15614, 0, 1194 12 15:47, 3719, 19916, 0, 1493 13 15:48, 3638, 19468, 0, 1432 14 15:49, 4075, 21362, 0, 1626 15 15:50, 3995, 21533, 0, 1614 16 17 Server error:421 Too many concurrent SMTP connections; please try again later. |
Listing 1 zeigt einen Ausschnitt des Messprotokolls. Die AMG Appliance liegt im Vergleich mit anderen Mail Gateway Appliances der gleichen Preisklasse (zum Beispiel Cisco Ironport C10 [3] oder dem Axigen Mail Server [4]) sehr gut im Rennen, bleibt aber dennoch einiges hinter den im Prospekt angegebenen Messwerten zurück. Ein Grund dafuer könnte sein, dass der Hersteller mit weniger gleichzeitigen Verbindungen getestet hat als wir.
Einzige Ungereimtheit war, dass die Anzahl Verbindungen, die im GUI der Appliance angegeben wird, genau dem doppelten unserer Messwerte entsprach. Der Hersteller hat diesen Hinweis nicht kommentiert und einen möglichen Bug weder bestätigt noch ihm widersprochen.
Wurden sehr viele E-Mails an die Appliance geschickt wurden oder stand der Downstream Mail Server (also unsere SMTP Sink) gerade nicht zur Verfügung, versuchte die Appliance immer wieder vergebens, die gespoolten E-Mails aus der Queue (Abbildung 3) zuzustellen. Unschön dabei: In dieser Situation stieg die CPU-Last auf 99 Prozent und die Appliance lies sich nicht mehr administrieren.
Abbildung 3: Automatisch generierte Testmails sammeln sich in der recht übersichtlichen Queue.
Spam-Filter
Die AMG Appliance führt sehr viele Checks auf SMTP-Verbindungen beziehungsweise E-Mails aus (Abbildung 4), die sich im GUI auch gut granuliert einschalten, ausschalten und konfigurieren lassen.
Abbildung 4: Default-Checks der Appliance auf SMTP-Verbindungen.
Der Hersteller gibt an, dass die AMG Appliance 98,5 Prozent oder mehr des ankommenden Spam filtert. Dieser Messwert lässt sich in einer Laborumgebung nur sehr schwer ueberprüfen, erscheint aber durchaus realistisch. Eingehende E-Mail setzt sich heute in etwa so zusammen, dass von 1000 E-Mails lediglich 130 Nutz-Mails sind und 870 Spam-Nachrichten [5] von welchen die AMG Appliance dann 13 E-Mails nicht filtern würde. Mittelgroß und große Unternehmen erhalten natürlich weit mehr als 1000 E-Mails/Tag. Bei einer Million eingehender Mails Mails wuerden damit etwa 13000 Spam-Nachrichten unerkannt durchschlüpfen.
Für große Konzerne und sensible Umgebungen ist ein solcher Wert nach Meinung des Autors kaum akzeptabel. Zum Vergleich: Die Marktführer Cisco Ironport und Cloudmark erreichen hier Werte um 99,9 Prozent. Letztlich muss aber jeder Administrator zusammen mit dem Management entscheiden, welche Menge an Spam die Mitarbeiter in ihren Mailboxen zu tolerieren haben.
Pluspunkte
Insgesamt machte die die AMG Appliance einen durchaus positiven Eindruck und konnte auch mit einigen besonderen Features beeindrucken. Die Highlights sind im Folgenden kurz zusammen gefasst. Die wichtigsten Plus- und Minuspunkte sind auch in Tabelle 1 zu sehen.
| Tabelle 1: Test-Telegramm | |
|---|---|
| Stärken | Schwächen |
| Gute Integration mit LDAP oder Active Directory, um Empfängeradressen zu pruefen | Verwendung mehrerer interner Zertifikatsstellen (CAs), mangelnde Integration in vorhandene Enterprise-PKIs |
| Sichere Implementierung mittels Chroot-Umgebung | Geringe Flexibilität beim Markieren von Spam-Mails und Benachrichtigen von Benutzern |
| Flexibles und einfaches SMTP-Routing | Mangelnde Partitionierung von System Resourcen (CPU) bei hoher Last durch Queuing |
| Ankommende Mails werden mit zwei Antiviren-Scannern geprüft | Fehlen von Features wie Alias Tables und Mail Masquerading |
| Einfacher Gebrauch von eMail Verschluesselung und S/MIME | |
Die AMG Appliance ließ sich im Test sehr gut mit LDAP oder Active Directory integrieren, um zu prüfen ob die Empfängeradressen eingehender E-Mails ueberhaupt existieren. Hier fragt die Appliance noch während der SMTP-Verbindung nach der Übermittlung des »RCPT TO:«-Kommandos zum Beispiel beim Exchange Server nach, ob er den Empfänger kennt.
Alle ankommenden E-Mails scannt die Astaro AMG zur Sicherheit mit zwei Antivirus-Scannern. Das ist ein Feature, das vier circa zwei Jahren zuerst in Microsoft Forefront [6] aufgetaucht ist. Cisco Ironport zog später nach, doch manche Hersteller haben es bis heute nicht implementiert. Das Scannen abgehender (outbound) E-Mails bleibt optional.
Bei der Konfiguration fiel auf, dass die AMG 3000 Appliance sehr einfach und flexibel in der Konfiguration des SMTP Routing ist, zum Beispiel bei der Bestimmung, welche E-Mail an welchen Up- oder Downstream-Mailserver weitergegeben werden muss.
Besonders lobenswert ist auch, dass sich die Firma Astaro von Anfang um das Thema E-Mail-Verschlüsselung kümmert. Die AMG 3000 Appliance macht die Konfiguration von S/MIME strukturiert und gut durchdacht zugänglich (Abbildung 5). In der Praxis unterstützen zwar (fast) alle MTAs S/MIME, sind aber häufig mit zweifelhaften Schlüsseln oder gar Default-Schlüsseln konfiguriert, was den Schutz, den man durch S/MIME gewinnen könnte, zunichte macht. Mit der Astaro AMG Appliance ist es fast unmöglich, hier Unsinn anzustellen.
Abbildung 5: Übersichtliche Konfiguration von S/MIME-Zertifikaten.
Features & Lücken
Zusammengefasst stießen wir in folgenden Bereichen auf Lücken in der Funktionalität der AMG Appliance:
- die Appliance verwendet intern mehreren Zertifikatsstellen, die voneinander unabhängig sind, was den Administrationsaufwand etwas erhöht. Ebenso lässt sich die Appliance nicht in vorhandene Enterprise-PKIs integrieren.
- die geringe Flexibilitaet beim Markieren von Spam-Mails und beim Benachrichtigen von Benutzern.
- die mangelnde Partitionierung von CPU/System-Rescourcen, wenn sehr viele E-Mails ankommen oder in der Queue sind
- das Fehlen wichtiger Features wie Alias Tables und E-Mail-Masquerading
Die AMG Appliance unterstützt zur Zeit nicht den Gebrauch von E-Mail-Aliases und auch das Masquerading ausgehender E-Mails ist nicht möglich. Unsere Testumgebung hatte zwei interne E-Mail-Domains: »@denhaag.joerg.cc« und »@brussels.joerg.cc«. Ankommende E-Mails müssen je nachdem wo sich ein Mitarbeiter befindet mittels eines Alias Tables am Mail Gateway modifiziert werden. Zum Beispiel:
fritsch@joerg.cc fritsch@denhaag.joerg.cc nina.fritsch@joerg.cc nina.fritsch@brussels.joerg.cc
Das ist in der Praxis nichts selten und Cisco Ironport bietet beispielsweise sogar Skripts an, um Kunden den Import von Sendmail-Alias-Tables zu vereinfachen. Obwohl der Exim-Mailserver natürlich Aliases unterstützt, war eine solche Funktion auf der AMG Appliance nicht zu finden.
Der Rückweg unserer Test-E-Mails sollte dann symmetrisch passieren: Interne E-Mails (zum Beispiel Antworten auf externe E-Mails) von fritsch@denhaag.joerg.cc ins Internet sollten wieder den MTA passieren. Am Mail Gateway müssen folglich alle Mail Envelopes gereinigt und in »@joerg.cc« umgeschrieben werden (bei Sendmail, Iropnport und Exim heißt das ,,Masquerading``). Auch hier stießen wir an die Grenzen des Leistungsumfangs der Appliance.
Um E-Mails als Spam zu markieren, kann man auf der AMG Appliance lediglich so gennannte Spam Marker festlegen. Konkret sind das Tags, die die Appliance permanent in den Betreff einer E-Mail einfügt. In vielen Umgebungen will man das nicht, weil die Endbenutzer zum Beispiel vergessen könnten, das Tag aus dem Betreff von False Positives in der Antwort-Mail wieder zu löschen. Viele Administratoren ziehen einen für den Benutzer unsichtbaren X-Header vor, nach dem Mail Clients beispielsweise Spam-Mail filtern können. Beim Verlassen des eigenen Netzes kann das Mail Gateway alle intern verwendeten X-Header wieder entfernen.
Mit der AMG Appliance lassen sich unerwünschte E-Mail-Attachments wie zum Beispiel Multimedia-Attachments einfach blockieren, ohne dass der Administrator immer über die neuesten Audio- und Videoformate informiert sein muss. Wenn eine E-Mail in Quarantäne gelangt, kann der Administrator eine Benachrichtigung von der Appliance an den Benutzer senden lassen. Auch hier zeigt sich die AMG Appliance weniger flexibel als Cisco Ironport oder Clearswift Mimesweeper, wo sich für jeden Fall eine detailllierte Nachricht an den Benutzer konfigurieren lässt. Dort kann der Administrator zum Beispiel dem Benutzer bei einer ankommenden ausführbaren Datei mitteilen, dass diese blockiert wurde weil sie eine potentielle Gefahr darstellt. Bei einer MP3-Datei könnte die Nachricht lauten, dass sie blockiert wurde, weil der Empfänger/Sender wahrscheinlich das Copyright nicht besitzt.
Fazit
Während des Tests drängte sich der Eindruck auf, dass es sich bei der Appliance AMG 3000 um die E-Mail-Features handelt, die aus der ASG-Appliance-Serie [6] herausgeloest wurden und nun als eigene Gerät verkauft werden. Leider wurden dabei auch fehlende Features, die schon der Test der ASG im Jahr 2007 vermissten ließ, ,,kopiert`` und nicht etwa ergänzt.
Einer UTM Appliance die neben E-Mail noch WWW Proxy Server, Firewall, DNS Server oder anderes ist, kann man es verzeihen, wenn sich sich nicht mit spezialisierten Mail Gateways wie Cisco Ironport, Clearswift Mimesweeper oder Sendmail/Cloudmark messen kann. Bei einem Mail Gateway wie der AMG Appliance, die preislich im gleichen Segment wie die spezialisierten Enterprise-Produkte angesiedelt ist, fällt es etwas schwerer, ein Auge zuzudrücken.
Wenn Astaro es aber schafft, in den angesprochenen Problemzonen nachzubessern, dann ist die Appliance uneingeschränkt zu empfehlen. Bis dahin muss jeder Administrator selber entscheiden ob er ohne fehlende Features wie die Integration in bestehende PKIs auskommt und vielleicht gern ein deutsche Produkt einsetzen will. (ofr)
Infos
- [1] Astaro: [http://www.astaro.com]
- [2] Jörg Fritsch, Mailserver-Benchmark-Tools Mstone und Postal, Linux Magazin, 06/2007, S. 42
- [3] Jörg Fritsch, Ironports C10-Appliance für Firmen oder ISPs, Linux Magazin, 04/2006, S. 84
- [4] Jörg Fritsch, Drei kommerzielle Mailserver im Test, 09/2006, S. 70
- [5] Spam-O-Meter: [http://spam-o-meter.com]
- [6] Microsoft Forefront: [http://www.microsoft.com/germany/forefront]
- [7] Jörg Fritsch, Astaro Security Gateway ASG 320: Firewall und VPN-Gateway, Linux Magazin 08/2007, S. 72
Der Autor
Jörg Fritsch studierte Chemie und arbeitete anschließend in den Bereichen Software-Entwicklung und IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der Nato-C3-Agentur. Er ist Autor zahlreicher Fachbeiträge zu den Themen Load Balancing, TCP/IP und Security.
Kommentare
Kommentar hinzufügen