Kein Geheimnis, dass ich seit Jahren mit Trendmicro arbeite, um einen guten Schutz der Systeme zu realisieren. Während ich früher mit “Scanmail for Exchange” arbeitete, habe ich vor einigen Jahren bereits umgestellt auf die “Interscan Messaging Security Suite IMSS”. Hauptgrund: Bei der überschaubaren Anzahl der Mitarbeiter gab es keine Notwendigkeit, den internen Mailverkehr zu scannen und der Exchange-Server sollte etwas entlastet werden, indem bereits der SMTP-Traffic am “Eingang” gescannt wird.

Das letztendlich aus gutem Grund, denn pro Monat wollten uns mehrere 100.000 E-Mails von Viagra, Abnehmpillen etc. überzeugen.

Seit einigen Monaten bietet Trendmicro eine Cloud-Version an: “Interscan Messaging Hosted Security IMHS”, Grund genug, dies zu testen und letztendlich einzuführen. Der MX-Record wurde neu gesetzt auf den IMHS-Server, von dort gehen die E-Mails zu uns, “vorsichtshalber” noch über den IMSS dann zum Exchange-Server.

Effekt: Der Hosted Service ist nicht unbedingt billiger in den Lizenzkosten, aber man spart schon mal die komplette Hardware und Server-Lizenz im eigenen Haus. Nicht zu verachten sind erhebliche Einsparungen im Administrationsaufwand, außer ein paar Eckdaten (zulässige E-Mail-Adressen etc.) kann man sich voll auf die Administration durch die Profis verlassen. Gefühlter Effekt: Auch wenn mit IMSS schon ein beruhigender SPAM-Schutz vorhanden war, kann das IMHS offenbar noch ein Tick besser.

Ein interessanter Effekt verschaffte mir aber ein paar schlaflose Nächte: Die IMSS zeigte mir im Monitoring, dass pro Woche immer noch > 100.000 SPAMs abgewiesen wurden als “bekannte SPAM-Versender”. All dies, obwohl etliche Tage nach der Umstellung des MX-Records bereits vergangen waren und jeder Mail-Versender eigentlich den neuen MX-Record benutzen musste. Es stellte sich heraus, dass die größten SPAM-Schleudern nicht den MX-Record nutzen, sondern direkt den Mailsserver ansprechen, so wie er im (alten) MX-Record drin steht. Also uns direkt weiter “bombardierten”.

Das Problem wurde dann gelöst, indem die Firewall so konfiguriert wurde, dass nur noch SMTP von den TrendMicro-Servern angenommen wird und seitdem ist himmlische Ruhe, unterbrochen nur noch von “richtigen” E-Mails.

So soll es sein und so bleibt es nun – der IMSS-Server wird in Kürze in den Ruhestand geschickt….