Die E-Mail-Sicherheit erfordert kontinuierliche Anpassungen der Filterregeln im Hinblick auf immer neue Gefahrenlagen
SMTP-Watch
Der Betrieb von Mailservern erfordert eine stetige Überwachung. Hierzu setzen wir in erster Linie auf die gängigen Open-Source-Werkzeuge.
Darüber hinaus lassen sich Mailserver bzw. Mailserver-Ketten idealerweise mit echten E-Mails aus dem Internet, auf die automatisch geantwortet wird, überwachen.
Hieraus erstellen wir ein Verfügbarkeitsprotokoll der Mailinfrastruktur und messen die Antwortzeiten der Gateways.
Des Weiteren führen wir in diesem Zusammenhang Tests der TLS-Aushandlung durch sowie der korrekten Konfiguration der Mailserver durch (SPF, DKIM und Reverse DNS).
Ausserdem prüfen wir, ob die überwachten Systeme auf Blacklists verzeichnet sind.
Siem
Mit dem Monitoring der Betriebsdaten lässt sich eine Baseline erstellen, die Abweichungen von der Norm leicht erkennbar macht.
Dieses Monitoring erfolgt im Allgemeinen durch einen zentralen Log-Server, der Alarme bei vordefinierten Ereignissen versendet.
Mit dem Monitoring lassen sich auch wichtige Betriebsparameter für die Mailfilterung ermitteln, die bei dynamischen Filterregeln zum Einsatz kommen.
Neben den Maildaten lassen sich insbesondere DNS-Daten auf Grund ihrer überschaubaren Menge hervorragend für Sicherheitsanalysen verwenden.
Wir setzen hierbei auf die Verwendung grafischer, interaktiver Echtzeitreporte. Diese sind individuell anpassbar für alle Datenquellen.
Historische DNS-Anfragen (Passiv-DNS Daten) stellen bei der Auswertung und Beurteilung von URLs eine wichtige Informationsquelle dar.