Einzelnen Beitrag anzeigen
 
Alt 06.03.2017, 18:35
transp0rter transp0rter ist offline
> /dev/null
 
Registriert seit: 05.2009
Ort: Deutschland
Beiträge: 19
Beitrag Erfahrungsbericht: Warden Antispam & Antivirus für Plesk 12 & Plesk Onyx

Hallo zusammen
Die meiste Zeit bin ich hier eher der stille Leser, aber heute möchte ich mal einen Erfahrungsbericht beisteuern.

Im Detail geht es dabei um das Plesk Plugin "Warden Antispam & Virus Protection Extension" vom kanadischen Hersteller Danami:
https://www.danami.com/products/ples...rus-protection

Ich bin auf das Plugin gestoßen, weil ich auf der Suche war nach einer Möglichkeit, neben Greylisting und DNSBL, das Spamaufkommen auf meinem Server weiter einzuschränken, denn in der letzten Zeit kamen trotz den genannten Maßnahmen und aktiviertem SpamAssassin immer mehr Spam Mails durch, welche langsam zu nerven begannen.

Warden Antispam & Virus Protection bringt, wie der Name es schon sagt, den Kampf gegen Spam unter Plesk 12 und Onyx auf ein neues Level und fügt außerdem Virenschutz zu Plesk hinzu durch die Integration von ClamAV. Für den Kampf gegen Spam wird das standardmäßige SpamAssassin Modul von Plesk durch die Integration wirkungsvoller Plugins und einer mächtigen Reporting- & Statistikfunktion erweitert. Dadurch wird SpamAssassin unglaublich wirkungsvoll und über die Statistiken hat man stets den Überblick, welche Maßnahmen greifen und wo man vielleicht noch ein bisschen tunen muss. Mit ClamAV fügt Warden unserem geliebten Plesk einen starken Opensource Virenscanner hinzu, der zusätzlich mit einer ganzen Reihe optionalen Definitionslisten gefüttert werden kann um nicht nur Viren sondern auch Malware, Phishingversuche u.ä. zu unterbinden. Jede eingehende und ausgehende Mail wird fortan geprüft, ebenso wie jede Bewegung auf dem Dateisystem.

Wer jetzt denkt, dass das alles nicht viel ist, der hat die Erweiterung noch nicht in Aktion gesehen und ich empfehle mal auf der Feature-Seite durch die Screenshots zu klicken:
https://www.danami.com/products/ples...ction-features

Viele kennen den Hersteller ja auch schon durch die Juggernaut Firewall für Plesk, welche CSF und LFD nahtlos in die Plesk-Umgebung integriert. Aber gut, genug davon, weiter mit Warden:

1.) Installation von Warden Antispam & Virus Protection Extension

Die Installation gestaltet sich denkbar einfach. Die Dokumentation gibt eine sehr gute Erklärung, wie man den Warden optimal installiert. Dazu lädt man zuerst einen Installer von Danami herunter, welcher einen dann Schritt für Schritt durch den Installationsprozess begleitet. Wenn man sich an die Anleitung hält, ist der Warden in ungefähr 15-20 Minuten installiert.

Bei mir hat bei der gesamten Installation das erste Downloaden der Virendefinitionen am längsten gedauert, da ich wohl einen sehr langsamen Mirror hatte

Nach der Installation geht die Ersteinrichtung im Plesk Panel los:

2.) Ersteinrichtung Warden Antispam & Antivirus

Nachdem Warden installiert ist und man im Plesk Panel auf den neuen Button klickt, muss man seine Lizenzinformationen eingeben und die Software aktivieren. Ist das passiert, startet sofort der Einrichtungsassistent, der einen Schritt für Schritt durch die Einrichtung führt.

Es ist hier an dieser Stelle zu empfehlen erstmal alle Standardsettings zu laden und diese auf jeder Seite zunächst anzuwenden, denn wie ich anschließend gelernt habe, sind die Standardsettings schon eine ziemlich gute Ausgangsbasis. Ein paar nützliche Tipps, die man unbedingt befolgen sollte, stehen zudem noch im Handbuch. Insbesondere denke ich hier an die Gewichtung der Scores, aber dazu später mehr.

Ihr werdet außerdem bei der Einrichtung gefragt, welche SpamAssassin Plugins ihr aktivieren wollt. Je nach Version eures SpamAssassins stehen etliche Plugins zur Verfügung. Dazu zählen unter anderem:
  • ASN
  • AWL
  • DCC (dazu später mehr)
  • DKIM
  • FreeMail
  • Pyzor
  • Razor2
  • RelayCountry
  • SPF
  • TextCat
  • TxRep
  • URIDNSBL
  • URILocalBL

Ich empfehle auch hier auf "Standard" zu klicken und erstmal mit der Empfehlung fortzufahren, auch wenn ich jetzt schon unbedingt empfehlen kann noch DCC nachzuinstallieren, da dieses aus Lizenzgründen standardmäßig noch nicht installiert ist, aber die Wirkung von DCC nicht zu unterschätzen ist.

3.) Der Kampf gegen Spam mit Plesk geht in eine neue Runde.

Die einzelnen Plugins, die Warden zu SpamAssassin hinzufügt und die darüber verwaltet werden können, bringen eine Menge neuer Funktion in den Kampf gegen Spam.

Pyzor, Razor2 und DCC sind z.B. Netzwerkdienste, welche Prüfsummen und Merkmale einer Mail gegen große Datenbanken abgleichen und daher sagen können, ob die Mail schon tausendfach im Umlauf ist, als Spam gemeldet wurde usw. Wie bei allen Plugins fließen diese Rückmeldung dann in die Scorebildung für die jeweilige Mail ein.

DKIM, SPF, RelayCountry und TextCat prüfen z.B. Merkmale des Mailservers und den Inhalt der entsprechenden Mail. Sind bspw. DKIM und SPF Records gültig? Wurde die Mail über ein Relay geschickt, welches in einem "schlechten Land" steht? Ist die Mail in einer Sprache geschrieben, die ich sowieso niemals lesen möchte? All die Abfragen und Einstellungen kann man für jedes Plugin einzeln einstellen und somit seine ganz individuelle Mauer gegen Spam bauen.

AWL und TxRep sind z.B. SpamAssassin Plugins, welche den Score einer Mail auf Grund des bisherigen Verlaufs in die eine oder andere Richtung beeinflussen. Habe ich z.B. von einem Kontakt häufig gute Mails erhalten (Ham), dann ist es unwahrscheinlich, dass dieser Kontakt mir plötzlich Spam schickt. Kommt nun doch eine unglückliche Mail, welche Spamkriterien erfüllt, in Wirklichkeit aber kein Spam ist, sorgen AWL oder TxRep dafür, dass auf Grund der bisherigen guten Reputation des Absenders die Mail nicht als Spam markiert wird.

Gleiches gilt natürlich für die andere Richtung. Wenn mir jemand ständig Spam schickt, ist es unwahrscheinlich, dass plötzlich eine total wichtige, gute Mail dazwischen ist. Schafft der Spamversender es dennoch, die Merkmale wie Inhalt etc. so weit zu beeinflussen, dass die Mail durch SpamAssassin durch gehen würde, grätscht z.B. TxRep dazwischen und gibt der Mail trotzdem einen schlechten Score, sodass sie im Filter hängen bleibt, einfach weil von dem Sender bisher ja auch nur Schrott kam. Wie stark die "Einmischung" der Plugins sein soll und auf welches alter der Historie zurückgegriffen werden soll, auch das kann man individuell an seine Wünsche anpassen.

Die Plugins, die mit Warden kommen, prüfen natürlich auch auf typische Textblöcke, Mails mit nur einem Satz und einem Link, eingebettete PDFs die Spam enthalten, schlechte Bild zu Text Verhältnisse etc. pp.

4.) Stets alles im Überblick

Warden Antispam und Virus Protection kommt mit einer wirklich mächtigen Statistik- und Reportingfunktion. Ich kann granular sehen, welche Mailboxen auf dem Plesk Server Spam bekommen, wie diese konfiguriert sind, wie das Verhältnis von Ham zu Spam ist und vieles mehr. In den Protokollen kann genau nachgesehen werden wie der Mailscore zu jeder Mail entstand, aus welchem Land der Spam kam, welcher Betreff verwendet wurde, welche Größe die Mail hatte, was mit ihr passiert ist usw usf.

Ich habe dadurch also die Möglichkeit schnell zu erkennen, wie viel Spam mein Server und alle Accounts bekommen, welche Regeln und Plugins wie oft greifen, welche Punkte verteilt werden und kann somit optimal reagieren um bspw. die Konfiguration der Plugins anzupassen um noch bessere Ergebnisse zu erhalten. Die Statistiken sind so umfangreich, dass ich alleine dafür fast einen halben Tag drauf verwendet habe um alles zu entdecken

5.) DCC – Extrem hilfreich für den Kampf gegen Spam

Standardmäßig kommt Warden ohne DCC, welches laut der Anleitung mit Lizenzrechten zu tun hat. Man kann DCC aber jederzeit problemlos per Hand nachinstallieren. Die Installation ist denkbar einfach. Da ich CentOS 7 benutze, sah die Installation bei mir z.B. wie folgt aus:

Code:
yum install gcc make
wget https://www.dcc-servers.net/dcc/sour...-dccproc.tar.Z
tar xzvf dcc-dccproc.tar.Z
cd dcc-dccproc-*
./configure --disable-dccm --bindir=/usr/bin --libexecdir=/usr/libexec/dcc --homedir=/var/lib/dcc -with-uid=popuser
make
make install
über ein "cdcc info" kann ich dann prüfen, ob die DCC Server verfügbar sind und antworten.

Achtung! Wer hinter einer Firewall sitzt, muss unbedingt Port 6277 UDP OUT öffnen, da sonst keine Anfragen funktionieren.

Was macht DCC?

Nun, DCC nimmt die Prüfsumme einer Mail und schickt diese an die DCC Server. Dort werden ständig Hunderttausende Prüfsummen von Massenmails vorgehalten. Wenn nun die übermittelte Prüfsumme meiner Mail mit einer von den DCC Server übereinstimmt, kann man ziemlich sicher sagen, dass es sich um eine Massenmail handelt.

Ich habe in meinen Tests festgestellt, dass ganz häufig exakt die Punkte des DCC Tests am Ende den entscheidenden Ausschlag geben eine Mail als Spam zu markieren, wenn sie ansonsten bei einem SpamAssassin Score von 6 noch mit 5,x so gerade eben durchgerutscht und unerwünscht in meiner Inbox gelandet wäre. DCC alleine gesehen erkennt also keinen Spam, sondern kann bei bestehendem Anfangsverdacht diesen erhärten, indem es Auskunft darüber gibt ob die vielleicht fast noch legitime Mail doch nicht so sauber ist, wie sie es von sich zu behaupten vermag.

6.) Weitere Wichtige Konfigurationen

Ich habe bspw. auch das Plugin URILocalBL in Warden aktiviert, denn dieses prüft die eingehenden Mails auf Links in Länder, wo ich sowieso nie hin wollte. Viele Mails, die in meiner Box landeten waren z.B. zwielichtige Offerten leichter Damen und Pharmahändlern, welche dann direkt den passenden Link zu einer Phishing oder Spamseite nach Russland beinhalteten. Man glaubt gar nicht, was plötzlich alles im Filter hängen bleibt, wenn man Russland, Vietnam, Korea und China auf die "schlechte Liste" setzt.

ABER ACHTUNG!! Wer bspw. häufig was auf eBay / Amazon oder sonstwo von chinesischen oder überhaupt asiatischen Händlern bestellt, der sollte mit der Blockierung von China besser vorsichtig sein, nicht, dass die Bestellbestätigungen / Versandinfos oder ähnliches im Spam landen.

Wer sich fragt welcher SpamAssassin Score denn der richtige sei, dem sei gesagt: Es gibt keinen. Man muss das für sich selbst herausfinden. Die einen haben einen Score von 5 angegeben, andere von 7. Ich persönlich nutze einen Score von 6 und fahre damit sehr gut bisher, denn alles was Spam ist bleibt hängen und der Rest kommt problemlos durch.

7.) Die Erfahrungswerte – Was leistet Warden Antispam & Antivirus für Plesk?

Nun, auch das wird von Server zu Server variieren. Warum? Na ganz einfach: nicht jeder bekommt die gleiche Menge Spam. Wer also eh kaum Spam bekommt, wird den Unterschied wahrscheinlich kaum merken, wer aber mit Spam viel zu kämpfen hat oder Kunden auf dem Server hat, die sich über zu viel Spam beschweren, der wird Warden Antispam & Antivirus lieben.

Auf meinem Server hatte ich trotz Greylisting und DNSBL wie spamcop, spamhaus, manitu und barracuda network, ein steigendes Spamaufkommen. Tlw. kamen auf einzelnen Domains hunderte Spam Mails am Tag an. Ich selbst hatte z.B. ständig Mails zu dubiosen Krankenversicherungen im Postfach, tlw. schon 10 Stück die an einem Morgen rein kamen. Es nervte einfach. Ohne Warden habe ich versucht das rein über den SpamAssassin Score in Plesk zu regeln, aber entweder kamen die guten Mails auch nicht mehr durch bzw. landeten im Spam oder die ganzen Junk Mails kamen auch mit durch. Die Standardblacklist von Plesk zu benutzen half auch nicht, denn die sperrt nur ganz stumpf nach Domains und gerade die ändern sich ja bei Spammern ständig.

Seit ich Warden installiert habe, gehört dieses Problem der Vergangenheit an. Aktuell habe ich auf dem Server eine Trefferquote von 99% und das weitestgehend noch mit der Standardkonfiguration von Warden. Die Anzahl der fälschlicher Weise als Spam markierten Mails liegt bisher immer noch bei 0. In meinen Postfächern ist es komisch ruhig geworden abseits der ganzen guten Mails. Das ist irgendwo erstmal befremdlich, aber dann einfach nur genial Vor einigen Tagen rief mich morgens ein Kunde an, dessen Mail und Webspace ich hoste und er wollte wissen, ob es mit dem Server ein Problem gäbe, denn in seinem Postfach wären keine Mails angekommen, nichtmal der sonst übliche Spam

Die Tage zuvor hatte ich schon in der Warden Statistik gesehen, dass seine Spam-Erkennungsrate dank intelligentem Autolearning immer weiter gestiegen ist, bis dann schließlich an dem einen Morgen wirklich alle Spam Mails nicht mehr zu ihm durch kamen.

Bei anderen Postfächern sieht es ähnlich aus und wenn ich in die Top-Listen der erkannten Spam-Mails in der Statistik sehe, treffe ich auf jede Menge alte Bekannte, die bis vor wenigen Tagen noch ständig in meiner Inbox herum dümpelten.

Kurzum -> Warden Antispam & Antivirus bringt die Plesk Spamerkennung auf ein ganz neues Level. Wenn ihr unter hohem Spamaufkommen leidet und mit den Plesk Bordmitteln bzw. einfachem Greylisting, Whitelisting und Blacklisting nicht mehr weiter kommt, dann wird es Zeit, dass ihr dem Warden mal eine Chance gebt. Man kann die Software sogar monatlich lizensieren, sodass man zu geringen Kosten erstmal testen kann, ob die Lösung für einen funktioniert.

Bei Problemen wird einem meist innerhalb weniger Minuten geholfen, der Support ist also wirklich gut! Kurzes Beispiel dafür:

Ich gehöre zu denen, die Plesk Onyx in der Kombination mit MariaDB 10.1 betreiben. Diese Version handhabt SQL Queries etwas anders als es MariaDB 5.5 bspw. tut. Als Resultat daraus liefen einige Funktionen nach der Installation von Warden zuerst auf den Error 500. Ich habe dann ein Support Ticket erstellt und einer der Entwickler hat sich dann per SSH aufgeschaltet, die Software angepasst und innerhalb kürzester Zeit lief alles zu meiner vollsten Zufriedenheit. Inzwischen ist der Fix in den Releasekanal eingeflossen. Das nenne ich mal Service Wenn man den Zeitunterschied zu Kanada berücksichtigt, frage ich mich manchmal ob die da drüben überhaupt schlafen?!

8.) Und ClamAV AntiVirus für Plesk, was ist damit?

Warden bringt den Support von ClamAV für Plesk, d.h. ihr könnt die ClamAV Installation bequem von Warden aus konfigurieren, verwalten, Signaturen updaten, die Miltereinstellungen vornehmen etc pp.

Achja... der ClamAV Milter. Ein Milter ist ein Mailfilter, in diesem Falle der Mailfilter von ClamAV. Das bedeutet, dass jede Mail, die über den Plesk Mailserver verschickt und empfangen wird, automatisch durch den Virenscanner läuft. Wenn wirklich ein Virus oder eine andere Bedrohung entdeckt wird, kann man einstellen, was passieren soll. Standardmäßig wird die Mail rejected und der Absender bekommt eine kurze Info, dass die Mail auf Grund eines Virus nicht zustellbar war. Man kann aber auch einstellen, dass solche Mails im Blackhole, also quasi auf /dev/null einfach verschwinden.

Der ClamAV Milter scannt natürlich auch Anhänge wie z.B. Zip Archive, Office Dateien, ausführbare Dateien für Windows und Unix und vieles mehr.

Bisher hatte ich bereits ca. 10 Mails auf einem Kundenaccount, welche auf Grund von Malware geblockt worden sind. In sofern lohnt sich der Schutz auf jeden Fall und die Erkennung scheint zuverlässig und schnell zu funktionieren.

9.) Wie sieht es mit der Performance aus?

Gut! Wenn eurer Server nicht gerade die letzte Singlecore Krücke von vor 10 Jahren ist, dann müsst ihr euch über die Performance erstmal keine Sorgen machen. Das ganze System und die Plugins sind allesamt sehr performant und im täglichen Betrieb kann ich keine erhöhte Last feststellen und auch im kontinuierlichen CPU / RAM / IO Monitoring sind keine Auffälligkeiten erkennbar.

Die gewonnene Spamfreiheit und der Schutz vor Viren kommt also ohne spürbare oder messbare Performanceeinbußen.

Einzig bei VPS mit sehr wenig Ram würde ich ein bisschen vorsichtig sein, denn ClamAV kann sich, je nach dem wie viele Signaturen man einbindet, schonmal um die 500MB Arbeitsspeicher ziehen. Wer also nur 2GB hat, vielleicht große SQL Datenbanken betreibt und der Server eh schon ziemlich am Limit ist, der könnte vielleicht in eine OOM Situation kommen. Alle anderen dürfte der Ressourcenverbrauch von Warden in Summe nicht tangieren.

10.) Fazit

Meine Pro Punkte:
· drastischer Spam Rückgang
· einfache Installation & Bedienung
· umfangreiche Spam- und Virenstatistiken
· sehr guter und schneller Support
· umfangreiche Dokumentation
· vollständige deutsche Lokalisierung
· optimale Integration in Plesk
· Opensource Virenschutz für Plesk
· mächtige SpamAssassin Plugins

Meine Contra Punkte:
· man verbringt plötzlich viel Zeit in den Statistiken


Wer ansonsten noch Fragen hat zur Installation, dem Funktionsumfang oder was auch immer, was dieses Thema betrifft -> einfach fragen, ich helfe gerne soweit ich kann.

Viele Grüße,
Dennis
Mit Zitat antworten