OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von tstimper »

plumpsack hat geschrieben: 21 Mär 2023, 18:16 @tstimper

könntest du mir mal bitte erklären:

A) wie wird da SPAM gefiltert, da es sich ja um "Anti-Spam-Services" handelt ?
- ist da eine Liste ersichtlich?
- eigentlich wird SPAM direkt beim ISP zurückgewiesen.

B) welcher Content wird da gefiltert?
- ist da eine Liste ersichtlich?
- wer bestimmt den "Content"?
:G)
@plumpsack

zu A)
beim Anti-SPAM Service wird eine Email beim oder nach dem Eintreffen bein SMTP Server auf SPAM Merkmale geprüft.

Die Merkmale einer Email werden prinzipiel erstmal gewichtet.

z.b. SPF Record Check
- kommt die Emal von einem Server der im SPF Record der Sender Domain steht? -> Mail warscheinlich ok -> früfen auf weiterer Merkmale
- kommt die Email von einem Server , der nihct im SPF Recort der Sender Domain steht -> Email mit hoger Wascheinlickkeit SPAM oder Schlimmeres...> Email abweisen oder zumindest in die Quarantine verschieben (zur Prüfung durch den Admin)

z.B. IP Adresse des Senders ist nicht vertrauenswürdig -> IP Reputation Check -> Email wird geblockt

Es kann zum Beispiel sein, das ein eigentlich vertrauenswürdiger SMTP Server aufgrund eines Konfigurationsfehlers als Relay Server misbraucht wurde
und massenhaft SPAM versendet. Das reporten Systeme und User an die jeweiligen Anbieter und schon landet der Server auf einer Blockliste.

Es geht auch einfacher, ich habe mal an einen Email Verteiler von ca 250 Empfängern dreimal kurz hintereinander Terminänderungs Emails geschickt.
Da waren wir zwar nicht auf einer Blockliste, aber die Telekom hat unseren Business Anschluss ausgehend auf Port 25 SMTP geblockt.

SPAM Check kann überall auf dem Weg, auch beim Provider, erfolgen. Eine Kontrolle hat man nur beim eigenen Anti-SPAM-Gateway.
Deshalb macht man das am besten selbst und kann dann auch Logs analysieren und sieht, warum Emails nicht durchkommen.
Bei LANCOM macht das die UF-xxx.

Die muss nun irgendwie wissen, was nun gute und was schlechhte Emails sind. Früher, also vor 15-20 Jahren, hat das ein Gateway im wesentlichen dadurch gelernt, das die Nutzer Emails als SPAM (schlecht) oder HAM (gut) gekennzeichnet haben.

Später haben die Gateways die Information darüber untereinander austauschen können.

Und dann haben sich Anbieter wie Cyren (früher Comtouch) , Bitdefender, IBM X-Force, Cisco Talos usw. gebildet, die zentrale Lösungen zum Wichten der Emails anbieten. Diese Dienste verkaufen sie auch an OEMs, die das dann in die jeweiligen Produkte einbauen.

Wenn nun eine Email eine Sophos, Securepoint, LANCOM UF, was auch immer erreicht, werden Merkmale wir Sender IP und Domain, enthaltene Links,
ggf Hash Werte usw. an die jeweiligen OEM Partner, in diesen drei Fällen Cyren, per API und oder DNS Requests weitergeleitet.
Cyren meldet dann, ob die Email ok oder problematisch aus deren Sicht ist. Den SPF Check macht das Gateway selbst, für Antivirus wird dann wieder ein anderer OEM wie Bitdefender, Avira oder einfach das freie ClamAV genutzt. Das macht jeder Gateway hersteller wie er will.

Der Punkt ist: Jemand zentrales wertet ständig die Email merkmale aus, wichtet die und meldet dann das Ergebnis ain die Gateways zurück.

Das Gateway entscheidet, was es dmit der Meilung macht.

Also sogut wie jeder Firewall und Email gateway Hersteller, der nicht selbst auch Antivirus / AntiSPAM Hersteller ist, und das sind dann fast alle auser den vielleicht fünf großen Herstellern, hat eine Schnittstelle zu einem oder mehreren von denen eingebaut und nutzt deren Funktionalität und baut das hinter einer hübschen eigenen Oberfäche ein.

Auch ISPs wie die Telekom nutzenn genau diese großen AV / AS Provider.

zu B)

Die Listen sind teilweise bei den Anbietern ersichtlich , teilweise nur für den OEM und es gibt in der Regel einen Prozess, um False Positives zu melden, um z.b. eine geblockte IP Adresse wieder freigeben zu lassen.

Der IP Reputation Check von Cyren ist zum Beispiel nich Onlien und wird von der LANCOM UF auch noch genutzt.
Vertrauen kann man dem nicht mehr :

https://www.cyren.com/security-center/c ... check-gate

Wie der Cyren URL Filter funktionierte, findest zu z.b. hier

https://www.cyren.com/tl_files/download ... EN_web.pdf

Anmerkung: Die Links funktionierten heute am 21-03.2023 18:54 Uhr

64 categories, 8 of which are security related — returns up to 5 per URL
• Language and content-agnostic; vast coverage of global sites
• Database contains ~140 million of the most relevant URLs
• Configurable cache footprint with auto-tuning of cache contents
• High-performance: >50,000 queries/ second, with low resource utilization
• Supports http, https, ftp and other protocols
Wir alle anderen betroffenen Gateway Hersteller muss sich LANCOM jetzt um eine Alternative bemühen und zum Beispiel eine Schnitstelle x-force (nutzt schon der Content-Filter im LCOS), Bitdefender (nutzen sehr viele Systeme ), Cisco Talos oder was auch immer einbauen.

Fein raus sind die Hersteller, die Cyren nihct genutzt haben oder zu schon imer zwei Anbieter eingebunden hatten.
Das MicroFocus SecureMessaging Gateway (früher GWAVA), das wir zum Email Check auch bei uns und bei Kunden einsetzen, ist vor zwei jahren von Cyren zu Bitdefender gewechselt. Damals haben wir geflucht... Bitdefender ist nicht so "schön", aber offensichtich sehr überlebensfähig.

Also deshalb ist es so wichtig, das LANCOm hier schnell handelt und ein Firmware Update mit neuem OEM zeitnah zur Verfügung stellt.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von plumpsack »

@tstimper

Zu A)

Noch einmal, sollte der ISP, nach Aufforderung, die spamenden Server nicht blockieren?
Bzw. die nicht spamenden Server freischalten?


Also ich kannte das noch, aus internationalen Geschäftsbeziehungen, das wir uns beim ausländischen e-Mail-Anbieter "freischalten" lassen mussten, wenn über unseren ISP/unsere zugewiesene SMTP-Adresse zu viel Spam kam.

Da hat der "Sender" 'ne Info bekommen, was er zu tun hat.

Hat sich das geändert?


Auch hier in Deutschland gab es mal white- und blacklisten für smtp-server.

Siehe hierzu Blacklist and Whitelist with Postfix ...


Zu B)

Was heißt hier "teilweise ersichtlich" ?

Wer verarscht hier wen?
:G)
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von tstimper »

plumpsack hat geschrieben: 21 Mär 2023, 21:26 @tstimper

Zu A)

Noch einmal, sollte der ISP, nach Aufforderung, die spamenden Server nicht blockieren?
Bzw. die nicht spamenden Server freischalten?
Der ISP darf das nicht tun, er verstößt sonst gegen das Gebot der Netzneutralität.
Es sei den, er bietet das als Service für seinen Kunden an, Ihn vor Angriffen zu schützen.
Dann gibt es den Prozess, wie man was freischalten lassen kann.
Das legt jeder ISP in jedem Land im Rahmen der gültigen gesetzlichen Möglichkeiten fest.
Eine Technik, um einem SPAM zu blocken, muss er nicht anbieten, ggf darf er das auch nicht.
Ein ISP kann allenfalls Dinke tun, um sein Netzt zu sichern. Das kann auch bedeuten,
Ports zu drosseln und zu blocken. Ggf. kann er auch gesetzlich dazu gezwungen sein.


plumpsack hat geschrieben: 21 Mär 2023, 21:26
Also ich kannte das noch, aus internationalen Geschäftsbeziehungen, das wir uns beim ausländischen e-Mail-Anbieter "freischalten" lassen mussten, wenn über unseren ISP/unsere zugewiesene SMTP-Adresse zu viel Spam kam.

Da hat der "Sender" 'ne Info bekommen, was er zu tun hat.

Hat sich das geändert?
wir haben zum Beispiel einen Software Hersteller in Südafrika, da bekommen wir aus dem Telekom Netz nur Downloads mit 100 kbit/s hin
Aus dem Hetzter Datacenter raus gehen dann 40 Mbit/s

Also jeder ISP hat da seine Regeln und wir müssen uns ggf mit jedem einzelnen auseinandersetzen.

Deshalb ist es ja so wichtig, das wir uns auf die eigenen Systeme unter eigener Kontrolle verlassen können.
plumpsack hat geschrieben: 21 Mär 2023, 21:26
Auch hier in Deutschland gab es mal white- und blacklisten für smtp-server.

Siehe hierzu Blacklist and Whitelist with Postfix ...
Es gibt ettliche Quellen für solche Listen, sowohl kommerzielle als auch community gepflegte.

der mxtoolbox.com Blacklist Check liefert da eine schöne Übersicht.
plumpsack hat geschrieben: 21 Mär 2023, 21:26
Zu B)

Was heißt hier "teilweise ersichtlich" ?
Mit SPAM und auch mit Viren ist es ein Katz und Maus Spiel.

Die kommerziellen Anti Spam Provider sagen, wenn sie was als SPAM klassifizieren, sie sagen aber nicht, warum.
Typischerweise nennen Sie zumindest den Grund des Blockens. Cyren war da relativ feingranular.
Bitdefender zum Beispiel meldet einaf nur einen Score zurück, sagt aber nicht, wie der gebildet wurde.

Das Problem über die letzen zwanzig jahre ist ja, das es immer ein Hin und Her gibt zwischen SPAMern und den Anti SPAM Systemen.

Es wird was detektiert, die SPAMer versuchen es anders zu umschiffen, es wird wieder detektiert usw.

Das macht den Job des Anti SPAM Check Anbieter nicht einfacher.

Die Listen dazu werden dort teilweise sekündlich automatisch abgedatet.

plumpsack hat geschrieben: 21 Mär 2023, 21:26 Wer verarscht hier wen?
:G)
Der SPAMer den Anti Spam Service Hersteller..

Der Anti Spam Service Hersteller den SPAMer ...

Und das im Sekundentakt im Kreis..

Um letzlich entweder uns mit SPAM vollzuschütten oder uns davor zu schützen.

Und unserem Schutz Partner Cyren ist grad das Geld ausgegangen und er hat alle Leute gefeuert.

Und LANCOM hat sich auf Cyren verlassen und muss sich nun einen anderen Anti SPAM Service und IP Reputation Partner suchen.

Viele Grüße

ts
Zuletzt geändert von tstimper am 22 Mär 2023, 09:37, insgesamt 1-mal geändert.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von plumpsack »

tstimper hat geschrieben: 22 Mär 2023, 09:34 Der ISP darf das nicht tun, er verstößt sonst gegen das Gebot der Netzneutralität.
Hatte meinen ISP nie gekümmert!

Trotz ausgeschaltetem ANTI-SPAM-Filter landeten Freunde im SPAM.
SPAM war natürlich nur via Web-Interface oder IMAP erreichbar ...

Auch Netflix und Co. gingen nur über IP-Adressen meines ISPs ...

Soviel zu Thema "Netzneutralität".

Zum Thema e-Mail und B2B:

Da gilt doch eigentlich immer noch whiteliist, oder?
:G)

Verschlüsselung - vorn Darmausgang!

Ist viel zu kompliziert!

Lieber 'nen Trojaner einfangen ...

Haha ...
:L)
tstimper hat geschrieben: 22 Mär 2023, 09:34 Es sei den, er bietet das als Service für seinen Kunden an, Ihn vor Angriffen zu schützen.
"nach Aufforderung"

"ISP" bedeutet was noch einmal genau?
tstimper hat geschrieben: 22 Mär 2023, 09:34 wir haben zum Beispiel einen Software Hersteller in Südafrika, da bekommen wir aus dem Telekom Netz nur Downloads mit 100 kbit/s hin
Aus dem Hetzter Datacenter raus gehen dann 40 Mbit/s
#Ok, ist VDSL 100 und was hat das jetzt mit SPAM zu tun?
#:G)
"100 kbit " Sorry - zu schnell gelesen ...
:(

tstimper hat geschrieben: 22 Mär 2023, 09:34
Also jeder ISP hat da seine Regeln und wir müssen uns ggf mit jedem einzelnen auseinandersetzen.
Deshalb ist es ja so wichtig, das wir uns auf die eigenen Systeme unter eigener Kontrolle verlassen können.
Es gibt ettliche Quellen für solche Listen, sowohl kommerzielle als auch community gepflegte.
Hat das nicht jede Firma für sich zu entscheiden wer oder was da auf die Blacklist kommt?

Oder gleich mit einer Whitelist arbeiten und alles Andere auf REJECT setzen.
tstimper hat geschrieben: 22 Mär 2023, 09:34 Mit SPAM und auch mit Viren ist es ein Katz und Maus Spiel.
Wer es denn in seiner Firma zuläßt ...
:G)
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von plumpsack »

tstimper hat geschrieben: 22 Mär 2023, 09:34 wir haben zum Beispiel einen Software Hersteller in Südafrika, da bekommen wir aus dem Telekom Netz nur Downloads mit 100 kbit/s hin
Was mir da im Nachhinein noch eigefallen ist, wenn ihr schon billig einkauft, dann gönnt eurem Hersteller doch mal "Internet via Satellite"!

Kostet ja nun auch nicht mehr die Welt ...
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von tstimper »

plumpsack hat geschrieben: 25 Mär 2023, 17:24
tstimper hat geschrieben: 22 Mär 2023, 09:34 wir haben zum Beispiel einen Software Hersteller in Südafrika, da bekommen wir aus dem Telekom Netz nur Downloads mit 100 kbit/s hin
Was mir da im Nachhinein noch eigefallen ist, wenn ihr schon billig einkauft, dann gönnt eurem Hersteller doch mal "Internet via Satellite"!

Kostet ja nun auch nicht mehr die Welt ...
Du hast mich nicht verstanden.

In diesem konkreten Fall drosselt die Telekom selbst an den Business Anschlüssen den Traffic zu südafrikanischen Providern. Das nur als Beispiel, das auch große Internet Provider wie die Telekom gegen das Gebot der Netzneutralität verstoßen.

Wie auch schon gesagt, aus unseren Datacenter Racks heraus haben wir Gigabit nach Südafrika.

Das ursprüngliche Thema ist ja, das die LANCOM UF
eine bestimmte Schutzfunktion nicht mehr sicher ausführen kann. Dafür wurde sie gekauft.

Die Frage war nicht, ob jemand anders, also zum Beispiel der Internet Provider diese Schutzfunktion ausführen könnte oder sollte.

Was man auch immer erreichen möchte,
auf eigener Hard und Software hat man die meiste Kontrolle.

Man muss sich aber auch auf diese Lösung verlassen können.

Und genau das ist bei allen Lösungen, die Cyren
als Quelle zum Bewerten von Emails und IPs
nutzen, seit Anfang Februar 2023 nicht mehr gegebenen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von plumpsack »

tstimper hat geschrieben: 25 Mär 2023, 17:56
Du hast mich nicht verstanden.

In diesem konkreten Fall drosselt die Telekom selbst an den Business Anschlüssen den Traffic zu südafrikanischen Providern. Das nur als Beispiel, das auch große Internet Provider wie die Telekom gegen das Gebot der Netzneutralität verstoßen.
ZA, also block ZA steht bei mir mit 50 Einträgen.

Die wollten alle mal zugreifen.

DE, also block DE mit Hetzner steht bei mir mit 67 Einträgen.

Vertrauenswürdig nenne ich das nicht.

Schön zu sehen, das die Deutsche Telekom das "filtert"!
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von tstimper »

Ok, LCOS FX 10.11 ist released, hab es auf einer UF-300 instaliert, keine Issues soweit...

Der neue OEM Partner ist Bitdefender.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: OEM-Partner für Content-Filtering- und Anti-Spam-Services der Unified Firewalls insolvent

Beitrag von UKernchen »

Super, danke!
Antworten