Antivirusbedrijf beveiligt e-mail met appliance

Test F-Secure Messaging Security Gateway X200

Beveiligingsappliances zijn ‘hot’ in het bedrijfsleven. Dus zien we dat antivirussoftwareproducenten nu ook zulke appliances aanbieden. Wij bekeken de nieuwe X200 mailbeveiligingsappliance van F-Secure.

Om elektronische mail in je bedrijf te beveiligen heb je minstens twee soorten filters nodig: een spamfilter en een malwarefilter, eventueel nog aangevuld met extra inhoudsfilters. Geen enkel bedrijf aanvaardt minder als het op zoek is naar een mail security appliance. Nu heeft F-Secure wel een sterke antimalwareoplossing, die bij elke antimalwaretest die we uitvoeren de hoogste prestaties haalt. Een echt goede spamfilter had F-Secure echter niet. Daarom heeft het Finse beveiligingsbedrijf een contract gesloten om de naar hun mening beste spamfilter in de beveiligingsappliance te bouwen. Dat is ProofPoint geworden. F-Secure heeft in essentie zijn spamfilterappliance uitgebreid met zijn eigen antimalware-engine en dat op de markt gebracht als een F-Secure Messaging Security Gateway appliance. De X-serie kent verschillende modellen die alleen verschillen in hun verwerkingscapaciteit. De hier besproken X200 is een klein model en bedoeld voor kleine en middelgrote bedrijven. F-Secure heeft appliances met licenties tot 5000 mailboxen.

Installatie en beheer

De X200 is bedoeld voor 19-inch-rekmontage, maar is toch vrij klein. Dat neemt niet weg dat de aanwezige ventilatoren veel lawaai maken. Er zijn twee netwerkaansluitingen, die je kunt configureren voor fail-overtoepassingen. Je sluit eerst een toetsenbord en scherm aan op de appliance en dan kun je de basisinstellingen uitvoeren. Zodra de appliance minstens één ip-adres heeft, kun je hem beheren met de ingebouwde webinterface.

De firmware en webinterface is overigens hetzelfde voor alle X-serie-appliances. Die webinterface is gemakkelijk genoeg in het gebruik en begint de eerste keer met een twaalfstappenwizard die je helpt de appliance zo snel mogelijk gebruiksklaar te krijgen. Daarna krijg je de volledige beheerinterface te zien. Die heeft een aantrekkelijk kleurenschema met blauwtinten en bestaat zoals veel webinterfaces uit helemaal links een paneel met een uitklapbaar menu, en rechts daarvan de details die bij het gekozen menuonderdeel horen. Standaard is er ook helemaal bovenaan een groene knop ‘Evaluatie’, maar die kun je laten weghalen als je hem niet meer nodig hebt. Hij dient om mailverwerkingssimulaties uit te voeren om de goede werking van de appliance te controleren. Als je eenmaal alles ingesteld hebt en tevreden bent over de werking van de appliance, heb je die simulaties niet meer nodig en dan kun je de knop uit het zicht halen.

De andere menuhoofdrubrieken zijn: appliance, systeem, beheerderaccount, logs en rapporten, quarantaine, groepen en gebruikers, digest, e-mailfirewall, virusbescherming, spamdetectie en hulp. De meeste van deze rubrieknamen zijn zelfverklarend. Bij ‘appliance’ doe je het beheer van de eigenlijke appliance: netwerkinstellingen, datum en tijd, starten en stoppen, dat soort dingen. Bij ‘systeem’ gaat het om licenties en updates, globale instellingen, waarschuwingen en systeemberichten. De menukeuze ‘digest’ definieert onder meer de inhoudsfilters, authenticatie en scripts die toegepast worden bij het verwerken van mails.

Behalve de F-Secure antivirusengine heeft ProofPoint ook een eigen ‘zero hour’ virusbescherming toegevoegd. Die moet de tijd tussen het lanceren van een nieuw virus en het aanpassen van de virussignaturen door de antivirusproducent opvangen. Daarvoor wordt gebruik gemaakt van een gedragsanalyse van mails met bijlagen. Als er ineens een lawine van soortgelijke mails binnenkomt, is dat een indicatie van een virus. Door met dit soort parameters rekening te houden, kan een nieuw virus vaak al bij de lancering tegengehouden worden.

Prestaties

Over de antimalwareprestaties van F-Secure kunnen we kort zijn: die behoren tot de allerbeste die er zijn. De ProofPoint spamfilter hadden we nooit eerder getest en is bij ons dus onbekend. Daar mag wat ons betreft gerust verandering in komen, want wij werden zeer aangenaam verrast. Tijdens onze testperiode noteerden we slechts zes spamberichten per mailbox en per dag en over de hele testperiode van 13 dagen moesten we twee valse positieven redden (berichten die onterecht als spam in de quarantaine waren gezet). Dat is een erg goed resultaat. Alleen de spamfilters van IronPort doen het nog beter.