Spam Appliance / Web Filter

Is dat een e500 ? Welke software versie draai je ?

>Afgelopen week al een gesprek / presentie gehad van Ironport, en dat was wel erg indrukwekkend. >Wat ik echter niet op kan maken uit de Ironport (en vergeten tijdens de presentatie te vragen) of >deze ook over webfiltering beschikt. Met betrekking tot het spam filteren zou dit toch wel een goed >werkende oplossing moeten zijn?

Neen binnen de Ironport portfolio heb je

IronPort Cxxx en Xxxx reeks : email security, anti-virus,spam etc
IronPort Sxxx reeks : Web Security appliances (tegen malware etc)
en de Mxxx reeks : centralized management voor email oplossingen.

Niet gemaakt dus om bepaalde user vb website access te ontzeggen. Daar gebruik je vb en Bluecoat ProxySG voor.
Ironport is zééér effectief tegen spam.

Wij gebruiken hem ook ... 98% van de mail bereikt nooit het intern netwerk ... het is maaanden geleden dat ik nog spam kreeg....

Wat de voorgestelde C100 betreft :

- out of the box oplossing (geen hobby bob zelf in elkaar schroef bak en braad oplossing)

> COMPLIANT

- spam filtering

> COMPLIANT

- web filtering

> NIET COMPLIANT

- 24/7 support

> MOGELIJK zou ik denken
- mogelijkheid van redundancy, danwel clustering

> COMPLIANT

- reporting mogelijkheden

> COMPLIANT


Je blijft zitten met het "web security" probleem. Daar kan de C100 echt niet mee helpen.

_Chris_ schreef op dinsdag 02 oktober 2007 @ 15:34:
Wat ik eruit kan halen is dat het een Webshield V3 1003 is. Support contract is al bijna een jaar verlopen.....

Dat is de software versie, niet de hardware versie

Dat zal in ieder geval een e-serie zijn, en de hoogste versie die je kan draaien is v 4.22
Je zit dus wel heel wat achter.

Er zijn momenteel extra kortingen voor de huidige appliances bij Mcafee.
De support (hw en sw) op de e-serie is namelijk ten einde.

Ik had zelf 2 e-500's en die heb ik recent vervangen door de opvolger, 2 3200's.
Die 3000 serie is trouwens gewoon een re-labelled Dell server, maar veel duurder
Ik heb 70% korting gekregen omdat we geen support meer kregen op de e-500's.

Wij krijgen trouwens ongeveer bijna 100000 e-mails dagelijks te verwerken, waarvan > 90% spam.
De spam detectie rate ligt boven de 99,9% (schatting ligt wellicht nog hoger), en false positives zijn zéér zeldzaam.

Ik zou dus niet zeggen dat je met een mcafee spam appliance geen spam kan filteren

Er is wel aardig wat getweak aan, maar dat getweak maakt wel het verschil.

De huidige versie (4.5) ondersteunt ook heel wat meer dan vroeger:
- SPF / Sender-ID / DKIM checking
- DNSBL + custom DNSBL service van postini, met header parsing (upstream MTA's)
- Greylisting
- Custom bayesian rules
Zat er vroeger al in:
- Spam rules van mcafee zelf
- Prelearned bayesian rules

Er zijn producten die wat minder opzet werk vereisen en die echt out-of-the-box vrij bruikbaar zijn, maar die mcafee appliances zijn zeer modulair en met wat tweakwerk kan je echt zeer goede resultaten behalen. Het helpt ook wel als je wat diepere kennis wb SMTP en spam hebt...

Dus misschien toch even contact opnemen met je account manager voor een offerte ?

PS: je verdediging is even zwak als de zwakste MX.
Dus als je backup MX'n (veelal een relay van de provider) niet dezelfde filtering heeft, dan komt er veel meer brol langs daar binnen. Spam houdt zich niet aan de MX prioriteiten

Tevreden Mcafee appliance gebruiker meldt zich...

Hebben hier sinds ruim een jaar een 3100 staan, v4.22. Nooit een false positive. Wel komt er af en toe één doorheen die (dat dan weer wel) gemarkeerd is als spam in het onderwerp. Nog niets aan getweaked...

Wij hebben getest met de Mc afee, Iron port en Trend.

Raar probleem gehad met de Ironport werkt niet samen met ip inspect van Cisco firewall. Navraag bij Iron port blijkt inderdaad een bug te zijn waarvoor tijdens onze test geen fix was (nu wel).

Het gaat bij ons tussen de Trend Micro en de Mc affee Beiden zijn uitgebreid getest. De userinterface van de Mcafee is duidelijk minder en de doos heeft minder redundantie in zich. We moeten echter de prijzen en support nog krijgen. Voor de rest geen problemen met deze dozen.

Wel veel moeten tweaken aan de sessie en connection parameters voor smtp. Ze werken n u beide echter prima.

Gr Peter

Ik weet niet of het perse hardware moet zijn, maar anders zou je eens kunnen kijken naar de oplossingen van Marshal software ( http://www.marshal.com ).
En dan met name de web- en mailmarshal software.

Beide hebben wij hier draaien en functioneren naar volle tevredenheid ( omgeving van +2500 medewerkers ). Beide draaien op een aparte server, die de load tot nu toe eenvoudig kan hebben.

Wij gebruiken Barracuda en zijn er heel tevreden mee. Bijna 100% spam filtering, controle per gebruiker en ik weet niet wat allemaal is in te stellen en te regelen.

Ook fijne logging, dan kun je zien dat misschien wel 80% van allen mail tegengehouden wordt. Belachelijk zoveel spam als er verstuurd wordt op het moment...

Bijna eng toen ik dit topic ging lezen. Ook wij hebben een (oude) Webshield staan die we willen vervangen en ook wij hebben Ironport vorige week over de vloer gehad.

Wat ik begrepen heb uit het verhaal dat Ironport 2 devices heeft, 1 voor Mail (scanning/filtering/etc.) en 1 voor Web (blocking/filtering etc). Dit zou dus de S serie moeten zijn waar jvanhambelgium het over heeft.

Ik houd dit topic in de gaten en post mijn ervaringen.

_Chris_ schreef op woensdag 03 oktober 2007 @ 14:45:
[...]


Dat behoort eventueel ook tot de mogelijkheden, maar is eigenlijk niet de eerste keus. Zo ben ik ook inmiddels GFI Mail essentials tegengekomen....

Wij gebruiken GFI Mail essentials nu ongeveer een jaar. Pakket werkt prima, maar omdat wij een relatief kleine omgeving hebben (zo'n 60 mail gebruikers) heeft het pakket een flinke periode nodig gehad om te leren wat SPAM en wat HAM is. Je moet zo'n 3000 door het systeem als HAM (legitieme uitgaande mails) geïdentificeerde mail in je database hebben voordat je de Bayesian filter aan kunt zetten. De Bayesian filter is de kracht van GFI Mail essentials. Bij ons heeft hij de eerste maand dus maar op halve kracht gedraaid. Nu komt er nog maar zelden een spam bericht onterecht in een inbox terecht.

HAM database in GFI kun je sneller vullen met e-mails door een verzonden items box van diverse gebruikers toe te voegen in die database.

Zo zit je zo over de 3000 mails hoor...

Ik heb een 4tal barracuda's weggezet. Tot nu het beste anti-spam apparaat dat ik ooit gezien heb. Je moet wel een beetje weten hoe je de configuratie moet onderhouden voor optimale resultaten maar het is echt een superappliance!

Verwijderd schreef op maandag 03 december 2007 @ 20:18:
Ik heb een 4tal barracuda's weggezet. Tot nu het beste anti-spam apparaat dat ik ooit gezien heb. Je moet wel een beetje weten hoe je de configuratie moet onderhouden voor optimale resultaten maar het is echt een superappliance!

heel leuk dat het de beste is die je ooit gezien hebt, maar vertel er dan bij welke appliances je allemaal nog meer hebt weg gezet, dat maakt je verhaal namelijk wat objectiever.

Hebben sinds kort ook 2 ironports in huis op pilot (2 maal C350) voor ong. 1700 mailboxes.
Outgoing mail loopt sinds gisteren via de dozen, incoming zeer binnenkort.

Tot nu toe ziet alles er inderdaad enorm out-of-the-box uit. Ook de logging en reporting is netjes op orde en gebruikersvriendelijk.

-edit- Incoming mail voor de pilot groep van 100 personen is omgezet en we zitten netjes op het gemiddelde qua percentage incoming spam.

We gaan binnenkort een tweede pilot starten met een Fortimail apparaat. Dit vanwege het feit dat deze ook goed uit de onderzoeken komt en toch wel een slok op een borrel goedkoper is dan de Ironport.

[ Voor 42% gewijzigd door bazkar op 14-12-2007 08:49 ]

Even een schopje met vernieuwde informatie.

De Fortimail pilot van Fortinet draait inmiddels. En ik moet zeggen dat ik hier niet erg tevreden over ben. Erg veel false positives (inclusief een autocad drawing van 1MB ), zoveel dat de oplossing onacceptable wordt.
Messagelabs is ook in pilot geweest (outsource oplossing), maar hiervan was de management portal regelmatig onbereikbaar en dit is ook onacceptabel.

De kans is erg aanwezig dat het ook hier de Ironports gaan worden. Niet de goedkoopste, maar wel een out-of-the-box oplossing die gewoon werkt

Als je toch aan het testen bent kan ik je echt aanraden om de barracuda spam firewall ook eens te proberen.

Verwijderd schreef op maandag 28 januari 2008 @ 19:50:
Als je toch aan het testen bent kan ik je echt aanraden om de barracuda spam firewall ook eens te proberen.

Helaas, we hebben het selectietraject gehad, en daar was barracuda niet in voorgekomen.
Precieze redenen kan ik daar niet voor geven. Wat overigens een pro voor Ironport is, is dat ze overgenomen zijn door Cisco. Dit betekent dus (op termijn) meeprofiteren van schaalvoordeel wat betreft inkoop en servicecontracten.

Mijn ervaring is dat een Barracuda een van de beste opties in de markt is. T.o.v een Ironport scoort ie qua false positives een fractie minder, maar daar tegenover staat dat de Barracuda super te beheren is. Probeer maar eens een false positive te traceren in een Ironport. Je zoekt je een ongeluk. Verder is de prijsstelling veel gunstiger. Geen per user kosten, ook niet in onderhoudscontracten.

Voor een Ironport moet je bijna op cursus, of een dure consultant inhuren. Een Barracuda kan je evt zelf installeren.

Wij hebben een proof of concept gedaan met zowel Ironport (via Motiv) als Barracuda (via barracudashop.nl). Zowel kwa prijs, beheer en implementatiekosten scoorde de Barracuda beter. Alleen de filterresultaten van de ironport waren dus een fractie beter.

Verwijderd schreef op woensdag 06 februari 2008 @ 09:47:
Voor een Ironport moet je bijna op cursus, of een dure consultant inhuren. Een Barracuda kan je evt zelf installeren.

We hebben een consultant hier gehad om de ironport weg te zetten, maar eerlijk is eerlijk, dat had ik ook makkelijk zelf gekund. Het is 1 van de simpelste apparaten die ik ooit gezien heb qua beheer.
Ook de tracing is ideaal... Iedere message en connectie heeft een volgnummer. Dus een false positive tracken is een fluitje van een cent imho

bazkar schreef op woensdag 06 februari 2008 @ 16:31:
[...]

We hebben een consultant hier gehad om de ironport weg te zetten, maar eerlijk is eerlijk, dat had ik ook makkelijk zelf gekund. Het is 1 van de simpelste apparaten die ik ooit gezien heb qua beheer.
Ook de tracing is ideaal... Iedere message en connectie heeft een volgnummer. Dus een false positive tracken is een fluitje van een cent imho

Amen.
Ook wij hebben twee Ironports C100 hangen, ideaal!
Tracken is te simpel, beheer is te simpel. Toegegeven; ik heb geen ervaring met een Barracuda
maar een Ironport doet z'n werk meer dan goed. Er zit een hele scripting tool in voor zaken die
je via de GUI niet kunt afvangen en niet onbelangrijk; support is zéér accuraat.

zijn de ironports intussen instaat om te zoeken in een directory voor valide email addressen? Dat was het enige probleem nog wat ik met de ironports had, omdat dan nog wel eens op een blocklist kan verschijnen (meerdere antivirus/spam producten hebben dit probleem).

vb. email naar ironport met valide domain naam, ironport accepteerd, scant en stuurt door naar mailserver. Mailserver herkent email adress niet (de gebruikersnaam dus) en de ironport genereert een ndr. Dit principe kan je nog wel eens op een blocklist zetten omdat spammers dit principe zouden kunnen gebruiken.

Kan de ironport kijken in een directory (of desnoods door een script gegenereerde file) voor een valide emailadres, dan genereert de ironport geen ndr, maar de verzendende mailserver wanneer het geen valide emailadres betreft (en in geval van spam gebeurt er dus niks)

[ Voor 10% gewijzigd door Verwijderd op 05-03-2008 17:16 ]

Ja dat kunnen ze inmiddels. We hebben het echter niet aanstaan. Lotus Notes accepteert namelijk ook adressen op basis van een best guess. Voordeel is dus dat mailadressen waar in tikfout in zit accepteert en goed aflevert, mits het dus geen spam is.
De spam wordt al aan de poort tegengehouden, dus vasdfvaerga@company.com gaat er zowiezo niet door.

Ik lees wel erg veel mail en webfiltering door elkaar heen.

Ik hoor zeer goede verhalen over ironport als mail oplossing. We hebben zelf nu de web appliance gekocht. Zowel ironport als bluecoat werken overigens met senderbase wat wel erg fraai is.

De weboplossing staat nog wel in de kinderschoenen. Ook hierbij zijn twee appliances nauwelijks duurder dan een maar daar staat tegenover dat ze geen 24/7 support hebben maar next day shipment. Daar komt bij dat de beide units niet kunnen synchroniseren. Dat betekent alles dubbel invoeren of de config exporteren, namen en ip adressen editten en importeren in de andere doos. omslachtig dus. Er is een unsupported tool voor synchronisatie maar die neemt niet alle namen goed mee en hangt alles op zonder een handmatige edit.

Ben nog niet volledig overtuigd over de web oplossing maar aan de andere kant schijnt de bluecoat lastig te beheren te zijn.

Je weet dat je reageert in een ruim 1,5 jaar oud topic

Dit topic is blijkbaar allang doodgebloed, dus heeft het vrij weinig nut om nu nog posts toe te voegen, daar de originele topicstarter dit topic allang vergeten is.

Maar goed, je reageert niet offtopic, dus zal ik het topic open laten, maar verwacht geen feedback van de topicstarter..

wouterpb schreef op woensdag 30 december 2009 @ 15:56:
Daar komt bij dat de beide units niet kunnen synchroniseren. Dat betekent alles dubbel invoeren of de config exporteren, namen en ip adressen editten en importeren in de andere doos. omslachtig dus. Er is een unsupported tool voor synchronisatie maar die neemt niet alle namen goed mee en hangt alles op zonder een handmatige edit.

Dat valt me zwaar tegen eerlijk gezegd. Ik ben blij dat de mail appliances (C-serie) hier geen last van heeft!

wij hebben ironport ook (11000 mailboxen) en alleen maar lof erover

0 false positives
Totaal geen spam
Support werkt uitstekend (ook de optie om remote tunnel richting support te activeren in de appliance)
Heerlijk zo'n unix achtig OS, lekker greppen/tailen op de console
Ook een upgrade van het OS werkt lekker omdat je makkelijk kan terugrollen naar eerdere versie mocht het fout gaan

Het kost wat maar dan heb je ook wat

<edit, typo>

[ Voor 16% gewijzigd door Lagune op 14-01-2010 16:28 ]