Hallo zusammen,
wollte mal fragen ob jemand Erfahrung mit der SASI hat ? Lohnt sich der Kauf ?
Danke und Gruß
Hallo zusammen,
wollte mal fragen ob jemand Erfahrung mit der SASI hat ? Lohnt sich der Kauf ?
Danke und Gruß
was ist SASI??
SASI ist das "Sophos Anti Spam Interface". Seit dem Sophos iQ aufgekauft hat, ist in der iQSuite 10 das Anti-Spam- und Anti-Virus- Interface drin
Kurzfassung der Antwort auf die beiden Fragen:
Ja und Ja =) 100%ige Empfehlung
Für alle, die SASI noch nicht kennen:
SASI (Sophos Anti Spam Interface) ist eine optionale WALL Komponente die seit der IQ.Suite 10 zur Verfügung steht.
Ralf: Sophos hat die lediglich eine Partnerschaft mit Group, da wurde nichts "verkauft".
Technisch handelt es sich um ein Modul, das mit Hilfe von Pattern Files ähnlich wie ein Antivirus-Modul, SPAM erkennt. Es wird von Sophos permanent mit Updates versorgt (Download analog Antiren-Pattern).
Zur Erkennungsgenauigkeit im Vergleich zu anderen Mechanismen bitte weiter lesen.
Langfassung
In den letzten Versionen von Domino und der IQ-Suite hat sich zur SPAM-Bekämpfung einiges getan.
Welche Mittel zur Bekämpfung dieser unerwünschten Mailfluten man einsetzt ist stark von einigen Gegebenheiten abhängig und kann nicht so einfach verallgemeinert werden.
Da ich mehrere Kunden sowohl mit und ohne IQ-Suite betreue hier meine Erfahrungswerte aus verschiedenen Produktions- und Testumgebungen:
Ab Domino 6 (mit und ohne IQ.Suite) DNS Blacklisting:
Filterbezeichnung: DNS RBL
Steuerung durch: Domino SMTP Task, via Konfigurationsdokument
Erfolgsquote: 30 - 70% Reduzierung
Als Nachteil hier zu nennen sind 2 Dinge. Erstens kann diese Filterung nur verwendet werden, wenn der Domino auch
tatsächlich der erste von außen erreichbare Server ist. Sobald ein Relayserver zur Vermeidung von DoS oder ein Provider dazwischen liegen funktioniert das nicht mehr.
Zweitens sperrt man hier auch ein paar IP-Bereiche echter Mailserver mit aus, je nach verwendeter Liste hat man entweder
mehr SPAM oder mehr gesperrte Server. Der Domino benötigt dafür auch eine relativ schnelle und direkte Internetanbindung
für die DNS-Abfragen.
IQ.Suite bis Version 7/8: Wörterbücher + CORE
Die älteren IQ.Suite Versionen haben 2 generelle Filtermechanismen im WALL Modul, einmal die Wörterbuch-Filter und einmal die CORE-Filter.
Die Erfolgsquote hier liegt durchschnittlich zwischen 40% - 80% (und bis zu 100% steigerbar aber leider dann auch noch 100% False Positive) was einzig an der Art und Gewissenhaftigkeit der täglichen Filterpflege durch die Admins liegt. Sehr viel Aufwand, daher eher gehaßt als geliebt.
Weiterhin sind sowohl die Wort- als auch die CORE-Filter nicht wirklich sicher in der Lage, die neueren Absurditäten der SPAM-Generatoren zu erkennen: Bild-SPAM, MP3-SPAM, sinnlose Texte gemischt mit Bild-SPAM etc.
Man muß schon genau aufpassen, was man in die Trainingsdatenbank gibt und was nicht, sonst hat man am Ende der Woche 100% blockierte Mails.
Das änderte sich erst mit der IQ.Suite 9, hier kam ein neuer Filter hinzu: DCC SPAM-Pattern
Filterbezeichnung: DCC (Distributed Checksum Clearinghouse)
Steuerung durch: IQ.Suite WALL
Erfolgsquote: 40 - 80% Reduzierung
Bei diesem Filter werden unscharfe Prüfsummen auf Mails gebildet und einem zentralen Server gemeldet (und im Gegenzug abgefragt). Interessant an dieser Methode ist, dass sie komplett auf Inhaltsprüfung verzichtet. Stattdessen wird simpel die Menge der gemeldeten Mails geprüft. Da Spammer ihre Mails immer gleich milliardenfach versenden rutschen nur die ersten paar tausend Mails durch, spätere Mails fallen simpel durch die Häufigkeit auf.
Nachteil: reguläre (und erwünschte) Massenmails müssen mit Whitelisting von der Prüfung ausgenommen werden.
Siehe auch: Distributed Checksum Clearinghouse
Mit der IQ.Suite 10 schließlich kam der erste remote gepflegte Filter hinzu: die SASI
Filterbezeichnung: SASI (Sophos Anti Spam Interface)
Steuerung durch: IQ.Suite WALL
Erfolgsquote: 70 - 98% Reduzierung
Dieser Filter arbeitet wie ein Antivirus-Scanner mit Hilfe von Pattern. Diese werden von Sophos mehrmals täglich aktualisiert. Dem Admin wird die Pflege komplett abgenommen. Da die Patternfiles lokal liegen ist auch keine direkte Internetverbindung vom Domino nötig (wie beim DCC) solange die Patternfiles regelmäßig aktualisiert werden.
Ich stelle zur Zeit nach und nach alle Kunden nach Möglichkeit auf SASI um, die Erkennungsquote ist vergleichsweise gigantisch. Als Beispiel: auf ca. 3180 blockierte Mails eines einzigen Tages gingen 3029 (=95%) allein auf das Konto von SASI, der Rest auf die üblichen Module. Dabei kommen false positives so gut wie gar nicht vor (man kann die Erkennungsstufe wie eine Heuristik in der Anfangsphase manuell feintunen).
Siehe auch: Die aktuelle iQ.Suite 10 für Domino
Kann man dieses SASI auch unter Solaris einsetzen? Bilde mir ein ich habe da mal gehört dass das nur unter Windows und Linux laufen soll?
Habe mir gerade die aktuellen Binaries für Solaris mal angeschaut, bis zur aktuellen Version (10.2.2 Build 1980) ist die SASI dort noch nicht enthalten.
Selbst die Linux Version ist aber auch gerade erst um das Update Shellscript ergänzt worden, was ich so sehen konnte.
Insofern würde ich die Hoffnung für Solaris noch nicht ganz aufgeben =)
Nachtrag:
habe die SASI installiert, läuft jetzt seit ca. einem Monat und bin sehr zufrieden. Habe momentan nur noch DCC und SASI und ein wenig Textfilter laufen und quasi keinen SPAM mehr. Nur die " January 78% off" Viagra Mails halten sich noch hartnäckig. Denen musste ich mit der Textliste beikommen.
Gruß