WatchGuard spamBlocker
WatchGuard spamBlocker
WatchGuard spamBlocker ist der optionale Antispam Security Service für WatchGuard Firebox / XTM (Hardware Firewall VPN Systeme). Dieser Service klinkt sich in Firewallregeln ein, die den SMTP Application Proxy verwenden. Anders als bei anderen Antispam-Lösungen verwendet WatchGuard spamBlocker keine Signaturen oder inhaltsbasierten Regeln, die vom Administrator manuell gepflegt werden müssten. Ab Fireware v12.5.4 verwendet der spamBlocker den cloud-basierten Dienst Cloudmark von Proofpoint. Eingehende E-Mails werden vollständig zur Bewertung über TLS an die Cloud gesendet, um eine effektivere Spambewertung erzielen zu können. Damit die Datensicherheit gemäß DSVGO gewährleistet werden kann, hat WatchGuard ein „Data Processing Addendum (DPA)“ mit Proofpoint vereinbart. Weitere Informationen finden Sie in den folgenden Whitepapern von Proofpoint und unserem Blogbeitrag zum Thema WatchGuard Cloud Standort Deutschland:
>>> Proofpoint’s Commitment to the EU GDPR Compliance
>>> Proofpoint Email Protection & the GDPR
>>> WatchGuard Cloud Standort Deutschland
Ältere Fireware-Versionen verwenden weiterhin die bisherige Engine der Cyren RPD Recurrent Pattern Detection Technologie. Dabei prüft WatchGuard spamBlocker mit Hilfe der extern gepflegten “Cyren” Cloud-Datenbank (vormals Commtouch), wie häufig gleiche oder ähnliche E-Mails bereits im Internet übertragen wurden und schließt so auf Massenversendungen. Diese Technologie nennt sich RPD (Recurrent Pattern Detection).
Funktionsweise
WatchGuard spamBlocker erzeugt zunächst aus jeder eingehenden E-Mail einen Hashwert (Fingerprint) und übermittelt diesen an die Cyren-Datenbank. Je nachdem, ob bzw. wie häufig dieser Hash dort bereits gemeldet worden ist, erfolgt innerhalb weniger Millisekunden eine Einstufung der E-Mail in eine von vier Kategorien. Im Firewall-Regelwerk wird für jede Kategorie eine entsprechende Maßnahme hinterlegt. Eine mögliche (!) Antispam-Konfiguration könnte also so aussehen, wobei je nach Unternehmensrichtlinie in die eine bzw. andere Richtung abgewichen werden kann:
| Not Spam | Suspect | Bulk | Confirmed Spam |
|---|---|---|---|
| nicht als Spam eingestuft | klassifiziert als “verdächtig” | klassifiziert als “Bulk-E-Mail” | klassifiziert als “bestätigter Spam” |
| unverändert durchlassen | Betreffzeile z.B. mit [SPAM?] taggen | In die Spam-Quarantäne verschieben | komplett ablehnen |
Die Lizensierung von spamBlocker erfolgt pro Hardware Appliance und nicht pro User. Insbesondere Kunden mit vielen Usern können durch diese Lizensierungsart im Vergleich zu Antispam-Löungen von anderen Anbietern leicht mehrere Tausend Euro pro Jahr sparen, denn es wird nur die WatchGuard Hardware lizensiert - nicht aber die Anzahl der User oder Postfächer!
Logging und Reporting
Das Logging und Reporting erfolgt über den schon mit dem Basisprodukt kostenfrei zur Verfügung gestellten WatchGuard Dimension Server oder über die älteren Windows-basierten Logging- und Reporting-Dienste, die Bestandteil der WatchGuard System Manager Software sind. Die Log-Einträge und Statistiken können über diese Plattformen gesichtet und ausgewertet werden.
Lizensierung
WatchGuard spamBlocker ist ein optionaler Security Service. Er ist Bestandteil der WatchGuard Basic Security Suite und der WatchGuard Total Security Suite. Er ist standardmäßig beim Kauf eines Security Software Bundles enthalten, kann aber auch einzeln lizensiert werden.
WatchGuard spamBlocker: [Bestandteil der Basic Security Suite] [Bestandteil der Total Security Suite] [einzeln lizensierbar]
Zur Übersicht WatchGuard Security Services und Suites
Das könnte Sie auch interessieren: