SASI in der IQSuite

  • SASI ist das "Sophos Anti Spam Interface". Seit dem Sophos iQ aufgekauft hat, ist in der iQSuite 10 das Anti-Spam- und Anti-Virus- Interface drin

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Kurzfassung der Antwort auf die beiden Fragen:


    Ja und Ja =) 100%ige Empfehlung


    Für alle, die SASI noch nicht kennen:


    SASI (Sophos Anti Spam Interface) ist eine optionale WALL Komponente die seit der IQ.Suite 10 zur Verfügung steht.


    Ralf: Sophos hat die lediglich eine Partnerschaft mit Group, da wurde nichts "verkauft".


    Technisch handelt es sich um ein Modul, das mit Hilfe von Pattern Files ähnlich wie ein Antivirus-Modul, SPAM erkennt. Es wird von Sophos permanent mit Updates versorgt (Download analog Antiren-Pattern).


    Zur Erkennungsgenauigkeit im Vergleich zu anderen Mechanismen bitte weiter lesen.


    Langfassung


    In den letzten Versionen von Domino und der IQ-Suite hat sich zur SPAM-Bekämpfung einiges getan.


    Welche Mittel zur Bekämpfung dieser unerwünschten Mailfluten man einsetzt ist stark von einigen Gegebenheiten abhängig und kann nicht so einfach verallgemeinert werden.


    Da ich mehrere Kunden sowohl mit und ohne IQ-Suite betreue hier meine Erfahrungswerte aus verschiedenen Produktions- und Testumgebungen:


    Ab Domino 6 (mit und ohne IQ.Suite) DNS Blacklisting:


    Filterbezeichnung: DNS RBL
    Steuerung durch: Domino SMTP Task, via Konfigurationsdokument
    Erfolgsquote: 30 - 70% Reduzierung


    Als Nachteil hier zu nennen sind 2 Dinge. Erstens kann diese Filterung nur verwendet werden, wenn der Domino auch
    tatsächlich der erste von außen erreichbare Server ist. Sobald ein Relayserver zur Vermeidung von DoS oder ein Provider dazwischen liegen funktioniert das nicht mehr.


    Zweitens sperrt man hier auch ein paar IP-Bereiche echter Mailserver mit aus, je nach verwendeter Liste hat man entweder
    mehr SPAM oder mehr gesperrte Server. Der Domino benötigt dafür auch eine relativ schnelle und direkte Internetanbindung
    für die DNS-Abfragen.


    IQ.Suite bis Version 7/8: Wörterbücher + CORE


    Die älteren IQ.Suite Versionen haben 2 generelle Filtermechanismen im WALL Modul, einmal die Wörterbuch-Filter und einmal die CORE-Filter.


    Die Erfolgsquote hier liegt durchschnittlich zwischen 40% - 80% (und bis zu 100% steigerbar aber leider dann auch noch 100% False Positive) was einzig an der Art und Gewissenhaftigkeit der täglichen Filterpflege durch die Admins liegt. Sehr viel Aufwand, daher eher gehaßt als geliebt.


    Weiterhin sind sowohl die Wort- als auch die CORE-Filter nicht wirklich sicher in der Lage, die neueren Absurditäten der SPAM-Generatoren zu erkennen: Bild-SPAM, MP3-SPAM, sinnlose Texte gemischt mit Bild-SPAM etc.


    Man muß schon genau aufpassen, was man in die Trainingsdatenbank gibt und was nicht, sonst hat man am Ende der Woche 100% blockierte Mails.


    Das änderte sich erst mit der IQ.Suite 9, hier kam ein neuer Filter hinzu: DCC SPAM-Pattern


    Filterbezeichnung: DCC (Distributed Checksum Clearinghouse)
    Steuerung durch: IQ.Suite WALL
    Erfolgsquote: 40 - 80% Reduzierung


    Bei diesem Filter werden unscharfe Prüfsummen auf Mails gebildet und einem zentralen Server gemeldet (und im Gegenzug abgefragt). Interessant an dieser Methode ist, dass sie komplett auf Inhaltsprüfung verzichtet. Stattdessen wird simpel die Menge der gemeldeten Mails geprüft. Da Spammer ihre Mails immer gleich milliardenfach versenden rutschen nur die ersten paar tausend Mails durch, spätere Mails fallen simpel durch die Häufigkeit auf.


    Nachteil: reguläre (und erwünschte) Massenmails müssen mit Whitelisting von der Prüfung ausgenommen werden.


    Siehe auch: Distributed Checksum Clearinghouse


    Mit der IQ.Suite 10 schließlich kam der erste remote gepflegte Filter hinzu: die SASI


    Filterbezeichnung: SASI (Sophos Anti Spam Interface)
    Steuerung durch: IQ.Suite WALL
    Erfolgsquote: 70 - 98% Reduzierung


    Dieser Filter arbeitet wie ein Antivirus-Scanner mit Hilfe von Pattern. Diese werden von Sophos mehrmals täglich aktualisiert. Dem Admin wird die Pflege komplett abgenommen. Da die Patternfiles lokal liegen ist auch keine direkte Internetverbindung vom Domino nötig (wie beim DCC) solange die Patternfiles regelmäßig aktualisiert werden.


    Ich stelle zur Zeit nach und nach alle Kunden nach Möglichkeit auf SASI um, die Erkennungsquote ist vergleichsweise gigantisch. Als Beispiel: auf ca. 3180 blockierte Mails eines einzigen Tages gingen 3029 (=95%) allein auf das Konto von SASI, der Rest auf die üblichen Module. Dabei kommen false positives so gut wie gar nicht vor (man kann die Erkennungsstufe wie eine Heuristik in der Anfangsphase manuell feintunen).


    Siehe auch: Die aktuelle iQ.Suite 10 für Domino

  • Habe mir gerade die aktuellen Binaries für Solaris mal angeschaut, bis zur aktuellen Version (10.2.2 Build 1980) ist die SASI dort noch nicht enthalten.


    Selbst die Linux Version ist aber auch gerade erst um das Update Shellscript ergänzt worden, was ich so sehen konnte.


    Insofern würde ich die Hoffnung für Solaris noch nicht ganz aufgeben =)

  • Nachtrag:


    habe die SASI installiert, läuft jetzt seit ca. einem Monat und bin sehr zufrieden. Habe momentan nur noch DCC und SASI und ein wenig Textfilter laufen und quasi keinen SPAM mehr. Nur die " January 78% off" Viagra Mails halten sich noch hartnäckig. Denen musste ich mit der Textliste beikommen.


    Gruß