Review Trend Micro Scanmail 10

In dit artikel kijken we naar Trend Micro Scanmail (SMEX) 10. Dit is de laatste versie van Trend Micro’s antivirus/antispam oplossing voor Microsoft Exchange Server.

Het product kan gebruikt worden i.c.m. Exchange 2003, 2007 en de nieuwste versie 2010. Om te beginnen kijken we naar een aantal nieuwe features van SMEX 10.

Nieuwe features

Net als Exchange 2010 heeft Trend Micro Role Based access toegevoegd aan SMEX. Door hiervan gebruik te maken om rechten in te stellen is het mogelijk om templates te maken en deze vervolgens toe te wijzen aan gebruikers.

Een andere mooie toevoeging aan het product is de mogelijkheid om AD objecten te gebruiken tijdens het configureren van policies. Dit geeft de mogelijkheid om een policy te maken voor een specifieke AD group. Bijvoorbeeld wanneer er een groep ontwikkelaars binnen het bedrijf aanwezig is. Deze ontwikkelaars moeten specifieke bestands typen kunnen ontvangen die door de standaard policy wordt geblokkeerd. In dit scenario passen we de standaard policy niet toe op de ontwikkelaars door de ontwikkelaars groep te excluden van deze policy. Vervolgens configureren we de nieuwe policy en configureren deze policy zodat deze alleen van toepassing is op de ontwikkelaars.

SMEX 10 bevat twee type reputation services:

  • Web reputation (WRS), wat het mogelijk maakt om alle url’s in een bericht te controleren
  • E-mail reputation (ERS), wat het mogelijk maakt om het IP-address van de verzendende mail server te controleren

Vooral de laatste optie zorgt ervoor dat het aantal spam/virus berichten wat nog door de policies gecontroleerd moeten worden of aankomen in de mailbox van de eindgebruiker terecht komt afneemt.

De Web Reputation (WRS) feature van SMEX controleert de inhoud elke e-mail op gevaarlijke url’s. Door WRS in te schakelen kan een extra detective laag ingeschakeld worden bovenop de Anti-spam/Anti-virus technology die al door het product gebruikt wordt. WRS kan een “0-Day” attack detecteren, en daarnaast nieuwe type spam en phishing aanvallen bijvoorbeeld “Here you are “ spam en spear phishing.

Wanneer er een Trend Micro SmartScan server aanwezig is binnen het netwerk configureer SMEX dan om deze te gebruiken. Het grote voordeel van het gebruiken van smartsan is dat de footprint op de server vele malen kleiner is. Dit is het gevolg van de grote van de pattern files die veel kleiner zijn. Daarnaast verbetert hiermee de detectie functionaliteit van SMEX. De Smart Scan server maakt namelijk gebruik van Trend Micro File Reputation Service. Deze cloud service bevat altijd de laatste anti-malware informatie. De anti-malware pattern gebruikt door conventionele scanning loopt hierop altijd iets achter.

In onderstaande afbeelding is te zien hoe dit proces werkt:

trend frs

Als laatste belangrijke toevoeging, naast de optimalisatie van het product, is de integratie van Data Leakage Prevention (DLP) Policies. Door gebruik te maken van deze default DLP policies kan voorkomen worden dat data van het bedrijf gelekt wordt via e-mail naar het internet.

Installatie

De installatie van SMEX 10 is redelijk eenvoudig. Maar voordat de installatie gestart wordt dien je ervoor te zorgen dat het CGI component van IIS is geïnstalleerd. Als dit eenmaal is geïnstalleerd kan de setup gestart worden. Eén van de eerste stappen in de setup is het selecteren van de Exchange versie die is geïnstalleerd. Wanneer gekozen wordt voor Exchange 2007 of Exchange 2010 dient vervolgens opgegeven te worden of SMEX op een Edge of een Hub Transport/Mail Server wordt geïnstalleerd.

Afhankelijk van de rollen die zijn geïnstalleerd op de server zijn er diverse scanmethodes beschikbaar. Wanneer SMEX bijvoorbeeld op een mailbox server wordt geïnstalleerd kan het scannen van de Information Store aangezet worden. Als SMEX wordt geïnstalleerd op de Hub Transport server kan het gebruikt worden om alle berichten tijdens het transport te scannen.

select_server

In de volgende stap is het mogelijk om één of meerdere servers toe te voegen. Dit kan handmatig of via de browse functionaliteit gedaan worden. In dit laatste geval dient wel de Computer Browser service gestart te zijn. Deze service is mogelijk uitgeschakeld afhankelijk van het OS.

De volgende stap is het opgeven van de account die gebruikt wordt om SMEX te installeren. Dit account dient lid te zijn van de Organization Management Exchange security groep. Wanneer gebruik gemaakt wordt van de End User Quarantine optie dient dit account ook domain admin rechten te hebben.

Standaard wordt SMEX geïnstalleerd op de C drive van de server. Scanmail installeert hier o.a. een web applicatie die gebruikt wordt voor het beheer. Deze web applicatie wordt als additionele website aangemaakt in IIS. Een andere mogelijkheid is om deze applicatie in de default website te plaatsen. Ik raad echter aan om de applicatie in een aparte site te installeren. De reden hiervoor is dat Exchange standaard gebruik maakt van de default website voor alle Exchange Web Services.

Optioneel kan ervoor gekozen worden om de web applicatie middels SSL te beveiligen. Wanneer deze optie wordt geselecteerd wordt een self-signed certificaat voor de applicatie geïnstalleerd.

De volgende stap in het setup process is het controleren van de voorwaarden waaraan voldaan moet worden. Wanneer dit niet het geval is dient dit eerst opgelost te worden voordat de setup verder gaat.

check_prereq

Omdat Scanmail updates ophaalt via het internet is het in sommige omgevingen noodzakelijk om een proxy server op te geven. Indien dit niet het geval is accepteer dan de standard warden en ga verder met de setup.

Nadat de activatie sleutel is opgegeven krijg je de mogelijkheid om deel te nemen aan het World Virus Tracking Program. Dit programma verzamelt real time data voor de Virus Map van Trend Micro.

Zoals al eerder besproken heeft Scanmail de mogelijkheid om spam berichten in een specifieke map te plaatsen. Scanmail biedt twee opties:

  • Integratie met Outlook’s ongewenste items
  • Integratie met EUQ wat een aparte map is in de mailbox van de gebruiker aangemaakt door Scanmail

Persoonlijk geef ik de voorkeur aan de ongewenste items map van Outlook. Dit omdat een gebruiker dan één locatie heeft waar hij/zij de spam berichten terug kan vinden.

Wanneer er meerdere Trend Micro oplossing zijn geïnstalleerd is Trend Micro Control manager misschien ook aanwezig binnen het netwerk. Dit programma biedt de mogelijkheid om alle Trend Micro producten te beheren via één console.

Omdat Scanmail kan integreren met Active Directory wordt tijdens de setup gevraagd een groep te selecteren die toegang heeft tot de management console.

Wanneer alle opties zijn geselecteerd krijg je nog een korte samenvatting voordat de installatie start.

Opmerking:

Tijdens de setup wordt er een SQL Express 2005 instance geïnstalleerd op de Exchange server. Indien dit niet gewenst dient van te voren de database aangemaakt te worden op een externe SQL Server. Tijdens de setup is het mogelijk om deze SQL server op te geven.

Wanneer de installatie is voltooid, is het verstandig om de laatste service packs en patches te installeren.

Configuratie

Nadat de installatie van SMEX is afgerond is het tijd om te kijken naar he configureren er van. Standaard zijn alleen de volgende antispam/antivirus componenten ingeschakeld:

  • Security Risk Scan, scant berichten op virussen en spyware zowel op transport als store niveau;
  • Web Reputation, scant een bericht op ongewenste URL’s;
  • Content Scanning, dit is onderdeel van de Spam prevention optie en scant berichten op ongewenste inhoud. Bijvoorbeeld gevoelige en onprofessionele inhoud;

Omdat elke omgeving uniek is kan het nodig zijn om de standaard configuratie aan te passen. Misschien wil je bijvoorbeeld alle berichten wel controleren op alle spyware/grayware. Scanmail controleert berichten namelijk standaard alleen op spyware en adware.

Maar hoe werkt de web reputation service? Elke url krijgt een score en wordt opgeslagen in een database in de cloud. De Web Reputation service controleert elke url door deze te versturen naar de cloud. De Web Reputation score wordt gebaseerd op een aantal factoren waaronder domain profiling, malware activiteiten gerelateerd aan de site, content scanning , categoriseren van de site en correlatie met phishing en spam intelligentie. Welke url’s geblokkeerd worden is afhankelijk van het beveiligingsniveau dat wordt ingesteld. SMEX bevat drie beveiligings niveau’s:

  • High, blokkeert een groot aantal Web threats, elke url met een score van 80 of lager. De kans op false positives neemt toe.
  • Medium, blokkeert de meeste Web threats en verkleint de kans op false positives. Elke url met een score van 65 of lager.
  • Low, blokkeert enkele Web threats en verkleint het aantal false positives. Elke url met een score van 50 of lager.

In onderstaande diagram is het complete proces weergeven:

wrs

Wanneer een bericht wordt afgeleverd worden de volgende stappen doorlopen:

Een bericht wordt afgeleverd op de Edge of Hub Transport server met hier SMEX 10 geïnstalleerd;

  • SMEX detecteerde url in het bericht en stuurt de url naar de WRS Cloud service;
  • WRS controleert de url en geeft de score van de url door aan SMEX 10;
  • Wanneer de score hoger is dan het ingestelde beveiligings niveau wordt het bericht afgeleverd met een aangepast onderwerp of wordt het in quarantaine geplaatst;

Optioneel kunnen er een aantal extra componenten ingeschakeld worden. Bijvoorbeeld het blokkeren van attachments met specifieke extensies zoals bijvoorbeeld bat, cmd of wsh of het blokkeren van specifieke bestands types.

Een andere optie is het inschakelen van het content filtering component. Dit component bevat een aantal voor gedefinieerde policies. Deze policies zijn te verdelen in twee categorieën:

  • Bepaalde woord categorieën: zoals profanity, hoaxes en chainmail
  • DLP, standaard DLP policies voor een aantal landen/continenten

Zoals al eerder besproken heeft elke omgeving andere policies nodig. Het kan bijvoorbeeld voorkomen dat er een hoop spam wordt afgeleverd dat niet wordt gedetecteerd door SMEX als spam. In dit geval is het handig om een aparte policy hiervoor aan te maken welke deze berichten wel filtert.

policies

Het volgende component is de E-mail Reputation Service (ERS) wat onderdeel is van het Spam Prevention component of SMEX. Persoonlijk vind ik dat je dit component moet inschakelen. ERS werkt net als een black list; een connectie van een IP adres dat voorkomt in de ERS database wordt direct geblokkeerd. Een voordeel van ERS t.o.v. een black list is dat deze service aangepast kan worden. Bijvoorbeeld als je geen berichten wil blokkeren afkomstig uit een bepaald land. Hiervoor is een configuratie wijziging noodzakelijk in het the ERS web portal.

ers

Zoals te zien is in bovenstaande screenshot is het, naast een land, mogelijk om specifieke ISP’s of ip adressen toe te voegen aan de lijst. Naast het toestaan is het ook mogelijk om specifieke landen, ISP’s of ip adressen te blokkeren.

Eén van de eisen van ERS is dat er geen andere MTA tussen de server die verstuurd en ontvangt mag zitten. Dit zorgt er namelijk voor dat ERS niet correct kan functioneren omdat alleen het ip adres van de laatste MTA wordt gecontroleerd.

Wanneer je eenmaal tevreden bent over de configuratie kun je dit repliceren naar de andere servers. Deze optie is vooral handig als je meerdere SMEX installaties hebt en je wilt toch de configuratie overal gelijk houden.

Door de optie Server Management te kiezen krijg je een overzicht met alle SMEX installaties die aanwezig zijn SMEX binnen het netwerk:

server_mgmt

Selecteer de server(s) waar je de configuratie naar wil repliceren en druk op de knop Replicate. De volgende stap is het selecteren van de configuratie instellingen die gerepliceerd moeten worden. Standaard worden alle instellingen gerepliceerd. Indien je niet alle instellingen wil repliceren selecteer dan alleen de opties die gerepliceerd moeten worden.

Rapportages en logging

Naast het real time monitoren van het verkeer wat wordt gecontroleerd door SMEX is er ook een mogelijkheid om rapportages te genereren. Deze rapportages kunnen handmatig of automatisch gecreëerd worden. In dit laatste geval dient een schema aangemaakt te worden.

In onderstaande screenshot is een voorbeeld te zien van de content die aan een rapport kan worden toegevoegd. Een rapport dat automatisch wordt gegenereerd middels een schema kan dagelijks, wekelijks of maandelijks aangemaakt worden. Zoals te zien is kan er veel content worden toegevoegd aan een rapport. Deze rapporten kunnen gebruikt worden om een bepaalde trend te zien. Bijvoorbeeld een gebruiker die ontzettend veel spam ontvangt. Een ander voorbeeld is het totaal aantal berichten wat wordt verwerkt door SMEX.

scheduled_report

Vergeleken met een handmatig rapport kan een rapport wat automatisch gemaakt wordt verzonden worden via e-mail naar één of meerdere adressen. Dit laatste kan erg handig zijn als je niet dagelijks in wil loggen in de beheers console.

Maar hoe ziet een rapport er eigenlijk uit? In onderstaande screenshot is een klein deel weergeven van een rapport. In dit voorbeeld is een overzicht te zien van de Spam Prevention statistieken. Als eerst wordt een samenvatting weergeven. Omdat het rapport misschien gebruikt om aan het management te tonen kan het handig zijn om een grafiek te laten zien. De grafiek geeft het percentage spam berichten aan vergeleken met het totaal aantal berichten.

spam_prevention_stat

Onder deze grafiek is normaal een overzicht te zien van de top 5 spam afzenders. Om privacy redenen zijn deze niet weergeven in bovenstaande screenshot.

Naast de rapportages is het soms noodzakelijk om de logging te onderzoeken. De log bestanden kunnen onderscheiden worden in de volgende types:

  • Security risk scan, geeft een overzicht van de berichten die een security risk bevatten;
  • Attachment blocking, geeft een overzicht van geblokkeerde attachments;
  • Content filtering, geeft een overzicht van de berichten die getagged zijn door de content filter;
  • Update, een overzicht van het update process, hier is te zien of een update succesvol is geweest of niet;
  • Scan event, een overzicht van handmatige en scans uitgevoerd aan de hand van een schema;
  • Backup for security risk, informatie over bestanden die door de Security Risk Scan zijn verplaatst naar een backup map;
  • Backup for content filter, informatie over bestanden die door de Content Filtering zijn verplaatst naar een backup map;
  • Unscannable message parts, geeft een overzicht van berichten welke gedeeltelijk niet gecontroleerd konden worden;
  • Event tracking, geeft een overzicht van beheers activiteiten die zijn uitgevoerd, bijvoorbeeld in/uitloggen, configuratie aanpassingen die zijn gemaakt of berichten die zijn vrij gegeven uit quarantaine
  • Web reputation, geeft een overzicht van de web reputation controles die zijn uitgevoerd;

In onderstaande screenshot is een deel van het Control filtering log te zien. Zoals je kunt zien wordt hier veel informatie weergeven:

cont_filt_log

Maar dit is niet alle informatie, wanneer je naar rechts scrolled vind je de meest interessante informatie:

cont_filt_log_2

In dit stuk van de logging kun je de volgende gedetaileerde informatie zien:

  • welke policy is toegepast op het bericht;
  • welke actie is er genomen;
  • welke woord(en) zijn er gevonden;

Zoals je kunt zien bevat de logging een hoop informatie wat handig is in het geval van troubleshooting.

Conclusie

Dit is het einde van het artikel over Trend Micro’s Scanmail for Exchange 10. Trend Micro heeft een hoop nuttige en nieuwe functionaliteiten toegevoegd. De standaard antispam en antivirus instellingen vereisen misschien enige aanpassing. Denk hierbij aan de Email Reputation die standaard is uitgeschakeld; het is te adviseren deze optie te activeren indien mogelijk. Door deze optie aan te zetten kan voorkomen worden dat een hoop spam in de mailbox van de gebruiker terecht komt. Daarnaast voorkomt men dat Scanmail een hoop resources verbruikt door berichten al af te vangen met SMEX.

Om SMEX te fine tunen kun je overwegen om een eigen content filter te maken. Met deze filter kunnen specifieke berichten worden geblokkeerd die normaal niet als spam worden herkend. Wanneer je liever berichten niet gelijk verwijderd is het te adviseren om de quarantaine optie te gebruiken. Dit zorgt ervoor dat de berichten in de ongewenste items of EUQ map van de gebruiker worden geplaatst. Wanneer een gebruiker een bericht mist kan hij/zij zelf in deze map kijken of het bericht hier in is geplaatst.

Op dit moment gaat de beta van SMEX 10.2 bijna van start ik ben erg benieuwd welke nieuwe features er toegevoegd gaan worden.

Free subscription



You may also like...

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *