Appliance od Symantecu úspěšně blokuje spam

Zařízení firmy Symantec - řady Mail Security 8100 - představují obrat v boji s nevyžádanou poštou. Mail Secur...


Zařízení firmy Symantec - řady Mail Security 8100 - představují obrat v boji s
nevyžádanou poštou.



Mail Security 8160 (společnost Symantec tuto technologii získala loni koupí
firmy TurnTide) nabízí v boji proti spamu v rámci firemní sítě zajímavou
koncepci. Pokud zařízení umístíte mezi své servery a internet, bude jím
procházet veškerý
e-mailový provoz, který bude kategorizován do jedné z deseti skupin, a to na
základě spamové historie obsahující výchozí IP adresy. Navíc spravuje šířku
pásma, kterou může každá skupina "spotřebovat".
Systém Mail Security 8160 určuje původ spamu dvěma způsoby. Zaprvé je napojen
na on-line službu Brightmail firmy Symantec (jde o nutný předpoklad používání
tohoto produktu), jež poskytuje celkový pohled na IP adresy, z nichž přichází
spam. Za druhé Mail Security 8160 obsahuje Brightmail engine, s jehož pomocí
zjistí, jaký spam přísluší které IP adrese. Každá IP adresa se pak dostane do
příslušné skupiny, s procentem vyjadřujícím podíl, kolik pošty došlé z této
adresy představovalo spam.
Ačkoliv můžete nastavit tzv. throttling parametry v rámci každé skupiny, Mail
Security 8160 je dodáván se souborem vzorových hodnot, které představují různé
scénáře implementace. Řízení propustnosti nastavené vůči "obtěžujícím" IP
adresám se projevuje agresivněji tak, jak měníte nastavení v pěti úrovních.
Uvědomte si, že 8160 zpracovává poštovní provoz jen na portu SMTP (port 25).
Neřídí žádný jiný provoz ani poštu na ostatních portech.
Mail Security 8160 je navržen pro zpracovávání velkého objemu elektronické
pošty. Výrobce ve svých materiálech deklaruje, že dokáže zpracovat až 550 zpráv
za sekundu. Naše testy přitom prokázaly, že zařízení si dokáže poradit až s 850
zprávami za sekundu. To je ohromné množství, jde skoro o 75 milionů zpráv
denně. Mail Security 8160 je navržen jako řešení s vysokou dostupností, funguje
jako aktivní/pasivní dvouuzlový cluster s automatickým překlenutím výpadků
(failover) a s databázovou synchronizací.
I když systém Mail Security 8160 může pracovat jako směrovací zařízení nebo
jako most, nainstalovali jsme jej jako transparentní most přímo před náš
testovací poštovní server. Tuto konfiguraci doporučujeme, protože skrz Mail
Security 8160 nebudete posílat nic jiného než elektronickou poštu, neboť z
virtuálního pohledu nemá žádné funkce pro správu, řízení ani monitorování.
Produkt Mail Security 8160 také postrádá out-of-band správní port.
Nedostatek řídicích a monitorovacích funkcí nás mírně znepokojil. Ačkoliv Mail
Security 8160 disponuje webovým grafickým rozhraním, poskytuje jen velmi málo
informací o tom, jaká pošta se právě filtruje.
Zařízení 8160 obsahuje sadu vestavěných grafů, které poskytují širokou
soubornou informaci o využití pásma a o množství pošty, která systémem
prochází. Jde ale o rámcové zprávy s dlouhým časovým horizontem. Ty sice budou
vynikající jako ukázka pro vyšší management (jak dobře si Mail Security 8160
dokáže poradit se zátěží spamu), ale pro diagnostické účely nevyhovují. Ačkoliv
jsme se zařízením 8160 pracovali týden, nepřišla nám jediná zpráva s protokolem
událostí. Dokonce ani z monitorovacích nástrojů grafického rozhraní nebylo
patrné, zda byla úspěšně aktualizována data Brightmailu, nebo zda byl systém
přetížen - i když jsme zjistili, že zobrazení využití CPU se vyvolává příkazem
z řídicího počítače. Podpora monitorování prostřednictvím protokolu SNMP
systému chybí.
Ačkoliv grafika rozhraní správy je příkladná, ke konfigurování není k dispozici
dostatek funkcí. Jádro celého systému se vejde na jedinou obrazovku: jde o
seznam skupin a o informaci, jak je v každé z nich spravována šířka pásma.

Takže jak to fungovalo?
Odpověď: Bylo to téměř perfektní. Přes Mail Security 8160 jsme posílali velké
objemy pošty - cca 850 zpráv za sekundu. Naše odesílatele jsme rozdělili do tří
skupin: s obsahem 0 %, 50 % a 100 % spamu (viz vložený rámeček Jak jsme
testovali). Provoz se 100 % spamu byl, jak jsme očekávali, omezen přísně, a na
poštovní server tak prošlo pouze několik zpráv za hodinu. Ačkoliv provoz s 0 %
spamu nebyl omezen vůbec, byl systém Mail Security 8160 přetížen a zahodil
několik zpráv, které zahodit neměl. Když jsme provedli testování, abychom
zjistili základní výkonnost zařízení beze spamu a bez dalších reálných
zpoždění, nepropustil systém Mail Security 8160 žádnou zprávu, kterou by pustit
neměl. S 50 % spamu systém provoz "škrtil", ale nikoliv v souladu s námi
zvolenou politikou.
Zdrojový provoz s 50 % spamu jsme se pokusili omezit na šířku pásma o pouhých
několika Kb/s (192, poté 128 a nakonec 64 Kb/s) a nezdálo se, že by se systém
Mail Security 8160 při této konfiguraci nějak zvlášť vyznamenával. Například
jsme nezaznamenali žádnou změnu chování při omezení propustnosti mezi 64 a 192
Kb/s. Nicméně myslíme si, že to není příliš důležité a že mnozí správci sítě
budou s těmito výsledky spokojeni - i když se to těžko vysvětluje.
Je důležité si uvědomit, že systém Mail Security 8160 je jen jedním prvkem v
daleko větší koncepci antispamové obrany. Jeho úkolem není spam identifikovat a
blokovat: pouze omezuje IP adresy, z nichž spam přichází. A čím více ho
přichází, tím více jich systém blokuje. Myšlenka, s níž bylo toto zařízení
uvedeno na trh, spočívá v tom, že síti výrazně odlehčí od nejzjevnějších
neřádů. Pokud vaše společnost dostává cca milion zpráv denně, nebudete nic
takového potřebovat - tradiční antispamové produkty (jako Brightmail od
společnosti Symantec) si s ním perfektně poradí. Ale pokud dostáváte milion
zpráv každou hodinu, může vám Mail Security 8160 výrazně pomoci tím, že ulehčí
zbytku sítě.



Jak jsme testovali
Pro provedení testu zařízení Symantec Mail Security 8160 jsme použili kombinaci
nástrojů WebAvalanche a WebReflector od firmy Spirent, a emulační nástroj
Virtual Enterprise WAN společnosti Shunra.
Systém WebAvalanche jsme použili ke generování gigabitového SMTP provozu pro
Mail Security 8160. Na druhém konci jsme použili WebReflector, který přijímal
zprávy a poskytoval statistiku o aktuální propustnosti. (Před instalací
zařízení 8160 jsme si ověřili, že systém WebAvalanche s gigabitovým rozhraním
mohl generovat asi 2 300 zpráv za sekundu.) V rámci testování antispamové
výkonnosti jsme vyvinuli testovací profil obsahující zprávy o velikosti od 2,5
do 10 KB, které představovaly 90 % typického provozu (včetně spamu)
přicházejícího do firemního systému elektronické pošty.
Poté jsme nainstalovali Mail Security 8160 a spustili testovací profil. Nejprve
jsme posílali 100% bezespamové zprávy. Následně jsme postupně zvyšovali počet
zpráv za sekundu, až systém Mail Security 8160 dosáhl 100% vytížení CPU a výkon
na SMTP přijímači WebReflectoru začal kolísat. Ukázalo se, že k tomu dochází
mezi 860 až 900 zprávami za sekundu. Rychlost 850 zpráv za sekundu jsme vybrali
jako vysoce zátěžovou, kterou je ještě Mail Security 8160 schopen zvládnout,
avšak bez dostatečné rezervy.
Abychom viděli, jak Mail Security 8160 spravuje šířku pásma, nainstalovali jsme
zařízení Virtual Enterprise od firmy Shunra. (Všechny systémy byly připojeny
přes rozhraní gigabitového Ethernetu.) Funkce tohoto produktu spočívala v
simulaci internetu se zavedeným zpožděním 30 milisekund a povolenou
"ztrátovostí" 1 paket na 10 000 paketů. Potvrdili jsme si, že produkt Mail
Security 8160 stále dokáže zpracovávat zprávy při rychlosti 850 za sekundu, a
poté jsme přistoupili k dalšímu testu.
Pro prověření, jak dokáže Mail Security 8160 filtrovat poštu, jsme rozdělili
vysílací zdroje nástroje WebAvalanche do tří skupin podle procentního podílu
spamu. Jedna skupina neobsahovala žádný spam, druhá 50 % a třetí skupina
představovala 100 % spamu. Systém Mail Security 8160 jsme ještě před samotným
testem předem připojili na tuto poštu, aby mohl posoudit a vypočítat vlastní
procento spamu pomocí analýzy enginu Brightmailu. Jakmile jsme si potvrdili, že
systém Mail Security 8160 detekoval a klasifikoval naše IP adresy, pustili jsme
tutéž poštu do Mail Security 8160 a po dobu 5minutového testu sledovali, kolik
zpráv projde na druhou stranu. Ze zdroje s 0 % spamu prošly přes zařízení
vesměs všechny zprávy požadovanou rychlostí. Několik jich bylo zablokováno,
zřejmě proto, že jsme systém Mail Security 8160 dohnali k jeho "výkonnostním"
mezím. U zdroje obsahujícího 100 % spamu jsme pozorovali, že systém během
5minutového testu propustil jen asi tucet zpráv. Zdroj s 50 % spamu byl méně
předvídatelný. Pokusili jsme se omezit počet průchozích zpráv z tohoto zdroje
pomocí správy šířky pásma. Zatímco Mail Security 8160 zablokoval pokaždé kolem
60 % zpráv, skutečné pásmo na straně internetu bylo daleko širší než alokované.
Na "vnitřní straně" systému Mail Security 8160 bylo pásmo kontrolováno velmi
dobře.










Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.