Forefront Security for Exchange

Christian SchindlerMicrosoft Certified Master – Exchange 2007NTx BackOffice Consulting Group GmbHChristian.schindler@ntx.athttp://www.ntx.at

Das Unternehmen NTx

Gründung 1996Microsoft Gold Certified Partner

Advanced Infrastructure SolutionsInformation Worker SolutionsNetworking SolutionsSecurity SolutionsUnified Communications

KnowHow auch in anderen BereichenTelekommunikationCISCO

NTx Portfolio und Vision

Beratung und SupportVom Konzept bis zur Nachbetreuung

SoftwareentwicklungVon der Erweiterung bis zum Webportal

Alle Consultants sind auch TrainerKnowHow Transfer ist unser Credo!

Besuchen Sie unser technisches Blogwww.ntx.at/blog

Agenda

Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“

Die heutigen Bedrohungen

Der klassische Virus hat weniger BedeutungHeutige Bedrohung durch

MalwareTrojanerRootkitsPhishing

Unerwünschte Weitergabe von Informationen

Ein bisschen Statistik…

Potentiell unerwünschte Software gefunden1

1.Windows Defender between January 1, 2007 and June 30, 20072.MSRT in 1H 20073.Exchange Hosted Services in 1H 2007 over 1H 20064.Windows Defender in 1H 2007

8M166%44%

Mit Schadsoftware infizierte Computer die bereinigt wurden2

Zuwachs an infizierten Emails. 1H 2007 verglichen mit 1H 20063

Infektionen wurden durch die Top 25 Schadsoftware verursacht4

Get the Microsoft Security Intelligence Report (Jan. – June 2007) at:

http://www.microsoft.com/sir

50.7M

Was kann ich tun?

Nutzen Sie vorhandene Mechanismen wie Windows Update usw. !

Es ist wie das Amen im Gebet

Nicht alle Bedrohungen können technisch gelöst werden

Sensibilisierung durch InformationAusarbeiten einer Security PolicyVorleben des „Sicherheitsdenken“Benutzer brauchen Restriktionen…

Was tut Microsoft?

Technologie-

investitionen

Leitfäden und

Schulungen

Industrie-partnerscha

ft

Hochqualitative Basis

Sicherheits- innovationen

Fallbeispiele, Anleitungen und Tools

Verantwortliche Reaktion auf Vorfälle (MSRC, definierte Prozesse)

Proaktive Information

Sensibilisierung und Schulung mittels Partnerschaften und Kooperationen

Teilen von Information über die Sicherheitslage

Agenda

Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“

Exchange 2007 Multilayered Approach

Antivirus and anti-spam protection for Exchange Server 2007 Server

Roles

On-Premises Software

Mailbox ServerHub Transport Server

Edge Server

SMTP

Internet

Hosted Service

Firewall

Microsoft Exchange Hosted Services

Real-time threat prevention features

Multi-layer anti-spam and anti-virus

Customized content and policy enforcement

E-mail retention for help with compliance and e-discovery

Customized report generation for help demonstrating compliance

Fully indexed, searchable archive

Full e-mail encryption

No public and private key management

Gateway, policy-based e-mail encryption

Uninterrupted e-mail accessibility

Rapid recovery from unplanned disasters and network outages

Thirty-day rolling historical e-mail store

Schnittstellen für Antivirensoftware

Transport Agents (EDGE- und HUB- Transport Rolle)

Module die über definierte Schnittstellen in den SMTP Datenstrom eingreifenAuch für Anti-Spam Maßnahmen

VS API (MAILBOX-Rolle)Schnittstelle für das „Store“ ScanningOn Access Scanner für Mailboxen und Public Folder

Transport „Scan and Stamp“

Mails die von EDGE/HUB bereits gescannt wurden werden im Store nicht noch einmal überprüft

Gilt nur für gleiche Engine + gleiche VersionErfordert AV Produkt das als Transport Agent implementiert istKonfigurierbarServer akzeptieren Stamp nur von authentifizierten Quellen (keine Möglichkeit des Spoofing)

Weniger Last am Mailbox-Server

Scan and Stamp – Inbound Mail

I

N

T

E

R

N

E

T

Edge Server Hub Role Mailbox Role

Mailbox Role

Public Folder

Client

SCAN and STAMP

NO SCAN NO SCAN

• Mail wird nur am Edge gescannt• Erspart zusätzliche Last auf Hub

und Mailbox Servern

Scan and Stamp – Internal Mail

Edge Server Hub Role Mailbox Role

Mailbox Role

Public Folder

Client

SCAN and STAMP

NO SCAN NO SCAN

NO SCAN

Interne Mails werden über die Hub Rolle geroutetProactives Scanning ist am Mailbox Server (store) abgeschaltgenSpart Prozessorzeit auf den Mailbox Servern

Internet

Agenda

Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“

Ansätze zur VirenbekämpfungSingle Vendor

Problem Single Point of Failure

SharePoint

ISA Server

SMTP Server

Internet

Viruses

Exchange

Exchange

Single VendorSingle Engine

Worms

Spam

A A

A A A

A

A A

Ansätze zur VirenbekämpfungMulti Vendor

Problem Management/Cost

SharePoint

ISA Server

SMTP Server

Internet

Viruses

Exchange

Exchange

Multi-vendorMulti-engine

Worms

Spam

A B

C

A

ED

B C

Ansätze zur VirenbekämpfungForefront Security

Kombiniert stärken beider Ansätze

SharePoint

ISA Server

SMTP Server

Internet

Viruses

Exchange

Exchange

Multi-vendorMulti-engine

Worms

Spam

A

C

B A

C

B

A

C

B A

C

B A

C

B

Mehrere AV Engines nutzen

Forefront Server Security Produkte integrieren die Engines der bekanntesten AV-Hersteller

Jeder Scanjob in einem Forefront Server Security Produkt kann bis zu fünf Engines gleichzeitig benutzen

Internal Messaging and Collaboration Servers

A B C ED

Der Vorteil von Multiple Engine Scanning

Schnelle Reaktionszeit bei neuen GefahrenRedundante AbsicherungVielfältigkeit der Engines und heuristischen Daten

Response time1 (in hours)The Microsoft

multiple-engine solutionWildList Number

MalwareName

Forefront Set 1

Forefront Set 2

Forefront Set 3

Vendor A* Vendor B* Vendor C*

10/2006 Areses!Itw30 0.00** 0.00 0.00 0.00 0.00 0.0010/2006 Areses!Itw36 0.00 0.00 0.00 1598.78 0.00 0.0010/2006 Areses!Itw37 0.00 0.00 0.00 0.00 52.30 175.4510/2006 Areses!Itw41 0.00 0.00 0.00 0.00 13.15 194.3510/2006 Mytob!Itw590 0.00 0.00 0.00 1332.17 0.00 0.0010/2006 Rontokbro!Itw36 0.00 0.00 0.00 0.00 0.00 613.4010/2006 Sdbot!Itw1809 0.00 0.00 0.00 9.97 166.07 270.3910/2006 Sdbot!Itw1831 65.95 52.23 41.78 59.43 1.00 46.3810/2006 Sdbot!Itw1847 56.54 56.54 204.79 416.27 29.92 85.3210/2006 Stration!Itw101 0.00 0.00 0.00 93.88 23.46 96.8510/2006 Stration!Itw102 0.00 0.00 0.00 26.00 28.05 30.8310/2006 Stration!Itw42 0.92 0.92 0.92 3.72 3.12 7.0510/2006 Stration!Itw43 2.00 2.00 2.00 4.80 4.20 8.1310/2006 Stration!Itw44 0.00 0.00 0.00 5.60 2.00 7.5810/2006 Stration!Itw45 0.00 0.00 0.00 3.55 2.00 7.5810/2006 Stration!Itw46 0.00 0.00 0.00 2.75 2.20 6.7810/2006 Stration!Itw47 0.00 0.00 0.00 3.72 3.12 7.0510/2006 Stration!Itw60 0.00 0.00 0.00 0.00 4.64 6.3211/2006 Rbot!Itw2090 0.00 0.00 0.00 1739.10 0.00 298.6411/2006 Sdbot!Itw1814 0.00 0.00 0.00 1.00 0.00 0.0011/2006 Sdbot!Itw1866 0.00 0.00 0.00 26.80 1.00 35.2711/2006 Sdbot!Itw1867 0.00 0.00 0.00 14.00 12.84 23.1411/2006 Sdbot!Itw1876 0.00 0.00 0.00 468.60 306.82 430.8011/2006 Stration!Itw124 0.00 0.00 0.38 0.66 1.88 8.8012/2006 Bagle!Itw137 0.00 0.00 0.00 4.01 0.00 13.8312/2006 Bagle!Itw141 0.00 0.00 0.00 17.15 0.00 13.8312/2006 Puce!Itw1 0.00 0.00 0.00 0.00 0.00 1.0012/2006 Rbot!Itw2038 0.00 0.00 0.00 1026.27 0.00 0.0012/2006 Sdbot!Itw1889 0.00 0.00 0.00 128.28 255.20 63.96

* Includes beta signatures** 0.00 denotes proactive detection 1 Source: AV-Test.org 2007 (www.av-test.org)

Other single-engine solutions

= Less than 5 hours

= 5 to 24 hours

= More than 24 hours

Forefront Server Security Management Console

Zentrale Verwaltungskonsole

Verteilt und konfiguriert Forefront/Antigen Security für Exchange und SharePointLädt Updates für multiple Antivirus Hersteller herunterVerteilt Updates an alle Forefront/Antigen ServerZentrales Reporting

SharePoint Servers

Exchange Servers

Benachrichtigungen und Reports

Agenda

Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“

Forefront für Exchange Server 2007

Unterstützung für drei Exchange Rollen in einem Produkt64-bit Support (32-bit Support nur für Eval)Lokalisiert in 11 SprachenUnterstütz die neuen Exchange 2007 AV Features

AV Transport StampTargeted background scanning

Alle Scan Engines in einer Lizenz inkludiertAktiviert Premium Anti-Spam Funktionen von Exchange 2007Volle Unterstützung für Cluster inklusive Exchange 2007 CCR

Submission Queue

Categorizer

Recipient API

DeliveryQueue

SMTPSend SMTP

AD

Forefront anti-spam

Transport Agent/Message API

Forefront anti-virus

PickupDirectory

Ex Submit(MAPI -> SMTP)

Forefront anti-spyware

SMTPReceive

Agent Run Time Engine (MEx)

Extensibility Platform

SMTP

Forefront Integration in Exchange

Optimized Performance Controls

Bias

Es werden nicht immer die gleichen Engines verwendet – diese werden dynamisch aus dem Verfügbaren Pool zugewiesen.

A

B

C

D

Max Certainty: uses all engines (100%) Favor Certainty: uses all available engines* Neutral: uses approximately 50% of available engines*Favor Performance: uses 25% of available engines*Max Performance: uses one engine for every scan*

Optimized Performance Controls

Bias

Auch hier werden die Engines dynamisch aus dem Pool zugewiesen.A

B

Max Certainty: uses all engines (100%) Favor Certainty: uses all available engines* Neutral: uses approximately 50% of available engines*Favor Performance: uses 25% of available engines*Max Performance: uses one engine for every scan*

Mail Store Scanning Optionen

Standard modeHintergrund Scan um die Datenbank einmal täglich zu überprüfen. Nur die am meist gefährdetsten files werden gescannt.Zugriffschutz für noch nicht überprüfte Elemente

Outbreak modeRe-Scan bei Zugriff sobald die Engine aktualisiert wurde

Ultimate security modeScan bei Einlangen in der DatenbankRe-Scan bei Zugriff sobald die Engine aktualisiert wurdeKontinuierlicher Hintergrundscan mit neuen Signaturen

Inkrementeller Hintergrundscan

Möglichkeit den Hintergrundscan in Zeitfenster einzuteilenÜberprüfe nur Nachrichten der letzten

4, 6, 8, 12, 18 Stunden1, 2, 3, 4, 5, 7, 30 Tage

Kombiniert Sicherheit und LeistungDie „gefährlichsten“ Nachrichten werden überprüftDer Rest der Datenbank wird nicht ständig ohne Grund neu überprüft

Premium Anti-Spam Features

Forefront Security für Exchange Server lizenziert und aktiviert die Premium Anti-Spam Features von Exchange 2007Installiert auf Edge oder Hub Server Rolle

Edge Server kann auch in Verbindung mit Exchange 2003 Postfächern verwendet werden

Baut auf den Anti-Spam Funktionen von Exchange 2007 auf und erweitert diese:

Microsoft IP Reputation Filter Service mit automatisierten UpdatesAutomatisierte Updates für Microsoft Smartscreen Spam Heuristic, Phishing Web Sites Liste und Intelligent Message Filter (IMF)Gezielte Spam Signatur Daten und zugehörige Updates

Connection

No

Blocked IP

SMTP

Yes

Content

Yes

Reject

Safelisted Mail • Guaranteed to Inbox• Immediate Delivery• Rich rendering

Multi-directional

No

Maybe

Yes

SPAM and Bcon• Reduced Delivery

Rates • Moved to JEF• Mail not Richly

Rendered

Source analysis

Sender Filtering

SenderID Filter

AS Processed Mail• Guaranteed to Inbox• Delivery after AS

filtering• Conditional Rendering

IP Allow/Deny Safelist aggregation Anti-phishing

Feat

ures

Area

Reject

Mes

sage

Flo

wFi

lterin

g

Spoofing

No

Outlook

No

SMTP Tarpitting

Yes

Hybrid Model

Recipient Filtering

Filter

Exception lists International Domain Support

Blocked Sender

BypassBypass Spam

DNSBL

Open Proxy

Contentanalysis UX

Junk E-Mail Filter

Outbound Spam scanning

SMTP/Envelope analysis

Reject

Backscatter

Safe IP

SMTP backpressure

IP submission rate

Tran

spor

t

IP on DNSBL

Keyword filtering

Quarantine

Language independent

File Filtering Blocked Senders

Quarantine

End-to-End Anti-Spam Framework

File Filtering

Teil jeder Anti-Spam/Anti-Virus MaßnahmeFile Filtering blockt pro aktiv bestimmte File Typen, egal ob eine Signatur existiert oder nicht

Zum Block Empfohlene File Typen: EXE, COM, PIF, SCR, VBS, SHS, CHM und BAT

Flexible FiltermöglichkeitenImport von Listen

Blockiert alle Dateitypen mit Dateierweiterung .EXE. Dateityp nicht evaluiert.

Benutzt Wildcard *.* und EXEFILE um alle Dateien vom Typ “Executable” unabhängig vom Dateinamen zu Filtern

File FilteringEinrichten eines File Filters

Forefront blockt Dateierweiterung UND realen Dateityp!

Filter kann nicht umgangen werden indem Erweiterung geändert wirdSeparate Konfiguration

File FilteringEinrichten von File Filtern

Suche nach bestimmten Dateinamen oder Mustern, z.B. “resume.doc”

Wildcards unterstützt: “*resume*.doc”Jedes * steht für 250 Zeichen

File Filter können eingehend oder ausgehend definiert werden

<in>*.exe, <out>*.doc

Dateien können basierend auf der Dateigröße aber auch Kombinationen aus Größe/Name/Type/Richtung geblockt werden

<in>*.mp3>2mb<out>*.mp3>5mb<in>*.*>10mb

File Filtering Aktionen

Um Flexibilität zu gewährleisten, kann jedem Filter eine eigene Aktion zugewiesen werden

Skip:Detect only – protokolliert das Ereignis, lässt die Nachricht aber unverändert passierenNur für Testzwecke gedacht um z.B. neue Regeln zu Testen!

Delete:Remove contents – entfernt den Anhang und ersetzt ihn durch eine Datei mit einer benutzerdefinierten MeldungPurge:Eliminate message – löscht sowohl Anhang als auch NachrichtBenutzer bekommen keine Information darüber

Filter Regel: Lösche *.exeQuarantine

File Filtering – Verhalten bei Zip-Dateien

Forefront überprüft ZIP und andere Komprimierungsformate, löscht nur die betroffene Datei und ersetzt diese mit einer Text Datei

Container vor dem Scan

EXE DOC

JPGBMP

DOC

JPGBMP

TXT

Container nach dem ScanEXE

Quarantine

Benutzerdefinierter Text

Lizenzierungsmöglichkeiten

Produkt Enterprise CAL Exchange Enterprise CAL

Forefront Security Suite

Forefront for Exchange ü ü ü

Exchange Hosted Filtering ü ü ü

Exchange UM + Compliance ü ü

Einzelprodukte der Forefront Familie als User Subscription License (pro User/Device)

Einzelproduktsuiten oder CAL‘s über alle Volumen Lizenz Programme erhältlich

Agenda

Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“

Keep spam out of Inboxes, simplify anti-spam administration and enable services integration.

FSE “Stirling” Vision

FSE „Stirling“ Management Features

Integration in „Stirling“ KonsoleZentrale PoliciesIntegration mit Security Assessment Sharing

Stirling Systeme kommunizieren untereinander über die KonsolePolicy-Basierte, ereignisorientierte Security Maßnahmen

FSE „Stirling“ Anti-Spam Features

Eigene DNSBL von MicrosoftEnthält auch Einträge von Drittherstellern

3rd Party Engine für Content FilterFingerprint basiertInkludiert Antiphishing Schutz

Backscatter AgentOutbound Spam Scanning

FSE Content Filter Fingerprinting

Fingerprinting algorithms applied to every incoming message

Relevant parts of the message are fingerprinted

Message reduced to anonymous fingerprints

Fingerprints do not indicate whether message is legitimate or spam

Fingerprints compared to local cache of known bad fingerprints

Cache data updated every 45 seconds

Match: message is identified as spam

No match: Heuristics are applied.

No match & No heuristics: message is identified as legitimate

Spam

Legit.

Fingerprint Cache Reject

External recipient

Hub Categorization:• Rules/Policies applied• Messages categorized• External messages ready for outbound

Token Definition:• BATV-compliant• Hashed tag• Keys maintained and rotated

Exchange internalsender

Categorizer

Outbound

FSE Backscatter protection

Anti-Backscatter Agent:• Implemented as RoutingAgent• Acts only on Outbound mail• Attaches a token to P1.MailFrom:

Microsoft TechNet Ressourcen

NTx Homepagewww.ntx.at

NTx BLOGwww.ntx.at /blog

Forefront Homepagewww.microsoft.com/forefront

Forefront TechNet Librarytechnet.microsoft.com/en-us/forefront/serversecurity/default.aspx

„Stirling“ Technet Centertechnet.microsoft.com/en-us/forefront/stirling/default.aspx

Microsoft TechNet Ressourcen

TechNet Online www.microsoft.com/austria/technet

TechNet Team Blog Österreichblogs.technet.com/austria

TechNet Evaluierungscentertechnet.microsoft.com/de-at/evalcenter/default.aspx

TechNet Abonnementwww.microsoft.com/austria/technet/technetplus.mspx

TechNet Newsflashwww.microsoft.com/austria/technet/technet_newsflash.mspx

TechNet Briefingswww.microsoft.com/austria/technet/technetbriefing.mspx

FRAGEN?