aMTA Appliance

aMTA Appliance
audius
Mail
Transfer
Agent
Appliance

2 Inhaltsverzeichnis
Inhaltsverzeichnis
3
Kontrollierter E-Mail-Schutz, ohne die Kontrolle zu verlieren 4
Die E-Mail als Einfallstor für Cyberkriminelle 6
Die Basis: langjährige Expertise 8
Die Technik: ein perfektes Zusammenspiel 10
Success Story: die aMTA Appliance im Einsatz 12
Warum aMTA Appliance? 14
Warum audius? 15
Kontakt 16

4 Kontrollierter E-Mail-Schutz
Kontrollierter E-Mail-Schutz
5
Kontrollierter
E-Mail-Schutz,
Die “audius Mail Transfer Agent Appliance” (aMTA Appliance)
verbindet hohe Sicherheit mit nahezu unbegrenzter Flexibilität
und Transparenz.
ohne die
Kontrolle zu
verlieren
Wie fehlende oder ineffiziente Mail-Filter Ihre
Kommunikation und das gesamte Tagesgeschäft
gefährden können.
Phishing-Mails, malicious URLs,
Viren und Würmer, schädliche
Office-Dokumente sowie SPAM sind
nur die bekanntesten Beispiele für
alltägliche Bedrohungen, mit denen
sich beinahe jedes Unternehmen
konfrontiert sieht. Die meisten herkömmlichen
Filter gehen nach dem
Prinzip „alles oder nichts“ vor: Sie
können oft nicht zwischen Gut und
Böse unterscheiden. Die radikale
Lösung sehen viele IT-Verantwortliche
in einem generellen Verbot
einer Zustellung von E-Mail-Anhängen
mit eingebetteten Makro-
Funktionen. Dies führt jedoch oftmals
zu empfindlichen Störungen
von Prozessabläufen – etwa wenn
dringend benötigte Vertriebstabellen
oder andere automatisierte
Office-Dokumente nicht mehr per
E-Mail verschickt und zugestellt
werden können.
Die aMTA Appliance bietet hierfür
die maßgeschneiderte Lösung:
Durch das Zusammenspiel vieler
einzelner Module bietet sie flächendeckenden
Schutz gegen eine Vielzahl
der heute alltäglichen Gefahrenquellen.
Die Lösung basiert auf dem quelloffenen
Linux-Betriebssystem
CentOS und auf dem Mail-Transfer-
Agent Postfix. Ihr modularer Aufbau
verbindet die besten Eigenschaften
von Open-Source- Technologien
und kommerziellen OEM Add-ons
mit audius-Eigenentwicklungen.

6 Die E-Mail als Einfallstor
Die E-Mail als Einfallstor
7
Die E-Mail als
Einfallstor für
Cyberkriminelle
Die E-Mail ist im heutigen Geschäftsleben
mit großem Abstand der wichtigste
Kommunikationskanal für Unternehmen:
2020 wurden laut Statistik 1 306,4 Milliarden
E-Mails pro Tag empfangen und gesendet.
Dies ist hauptsächlich mit der Geschwindigkeit,
der simplen und kostengünstigen
Nutzung sowie leichten Zugänglichkeit von
E-Mail-Systemen zu erklären.
Durch diese Konzentration von vor allem
geschäftlicher Kommunikation auf dieses
eine Medium, sind E-Mails allerdings auch
zum beliebtesten Angriffsvektor für Dritte
geworden. So beginnen laut Preyproject
91 % der Cyberattacken mit einer Spear-
Phishing-Mail, welche im Regelfall dazu
genutzt wird, um ein Unternehmen mit
Ransomware zu infizieren. 2 Besonders
besorgniserregend ist hierbei, dass 75 %
der Organisationen, welche mit Ransomware
infiziert wurden, bereits eine „up-todate
endpoint protection“ nutzten.
Eine sehr kritische Betrachtung dieses „Einfallstors“
ist deshalb für die allermeisten
Unternehmen von Vorteil – auch wenn es
bereits vermeintlich abgesichert ist. Dies
haben die meisten Fachleute inzwischen erkannt.
So haben in einer Umfrage mit 1.300
IT-Entscheidern 56 % geantwortet, dass ihre
Organisation gezielte Phishing-Attacken
als ihre größte aktuelle Cyber-Security-
Bedrohung identifiziert hat.
Zu dieser unübersichtlichen Situation hinzu
kommt eine immens schnelle und stetig
wachsende Anzahl an hochentwickelter
Malware-Schadsoftware. Täglich werden
über 350.000 neue Malware-Programme
oder potentially unwanted applications
(PUA) vom AV-TEST Institute registriert. 3
Hiervon sind 92,5 % (!) Malware und nur
noch 7,5 % PUA.
Besonders hervorzuheben ist, dass es
sich hierbei um täglich neue Malware-
Programme handelt. Deshalb ist es wichtig,
dass auch bei der E-Mail-Sicherheit eine
besonders hohe Dynamik und Reaktionsschnelle
gegeben ist. Die Kosten einer
erfolgreichen Attacke durch Dritte können
beachtlich sein.
98 % der Bedrohungen, die Microsoft-
Office Anwendungen zum Ziel haben,
verwenden Office-Makros, um Schadcode
zu verbreiten und auszuführen. Viele Unternehmen
schützen sich traditionell, indem
sie schlicht die Zustellung jeglicher Makro-
Mails verbieten. Allerdings basieren oftmals
entscheidende Geschäftsprozesse auf
Dokumenten mit Makro-Code (VBA), so
dass ein komplettes Blockieren dieser für
viele Unternehmen keine Alternative
darstellt.
Aufgrund der hohen Arbeitslast und fehlenden
Kapazitäten im Bereich der internen IT
und den daraus resultierenden Know-how-
Engpässen kann auf Cyberattacken oftmals
nicht ausreichend reagiert werden.
Fehlender SPAM-Schutz kann außerdem
zu hohen Schäden führen, selbst wenn
das Unternehmen nicht von Ransomware
oder ähnlichen Schädlingen infiziert wird.
So schlagen sich nicht unwesentliche Kosten
dadurch nieder, dass Mitarbeitende einen
erheblichen Teil ihrer Zeit auf die Identifizierung
und das Löschen von SPAM-Mails
aufwenden müssen. Dies führt in Folge zu
einem Produktivitätsverlust, der deutlich
monetär messbar ist. Die komplexe Gefahrenlage
in Kombination mit den Potenzialen
zur Verbesserung der Produktivität in allen
Unternehmensbereichen machen einen
effizienten E-Mail-Schutz für jedes Unternehmen
unentbehrlich.

8 Die Basis
Die Basis
9
Die Basis:
langjährige
Expertise
Wie erfolgreich der Einsatz ist, zeigen
folgende Zahlen eindrucksvoll:
5 Mio. eingegangene E-Mails – audius Konzern 2019
83 %
17 %
Unerwünschte E-Mails
Zugestellte E-Mails
audius berät seit über 25 Jahren
erfolgreich Unternehmen zum
Thema IT-Sicherheit. In der
Analyse von Schwachstellen zeigt
sich der E-Mail-Eingang noch
immer als großes Problem bei
einer Vielzahl der Kunden – selbst
mit dem Einsatz bekannter Tools
wie Virenscanner und SPAM-Filter.
Die Notwendigkeit für effizienten
E-Mail-Schutz ist daher von größter
Wichtigkeit.
Die auf dem Markt angebotenen
bekannten Lösungen reichten oft
an dieser Stelle nicht aus, weshalb
audius sich zu einer maßgeschneiderten
Eigenentwicklung entschlossen
hat: die audius Mail Transfer
Agent Appliance. Hierbei wird eine
Kombination aus Eigenentwicklungen,
Open-Source- Modulen
sowie kommerziellen OEM Addons
genutzt.
Business-Anforderungen zugeschnitte
Lösung.
Seit über 15 Jahren nutzt audius
den aMTA im eigenen Unternehmen
und verbessert ihn seither
kontinuierlich.
2019 wurden von der bei audius
eingesetzten aMTA Appliance ca.
5 Mio. eingehende E-Mails verarbeitet.
Davon wurden nur ca. 0,9
Mio. tatsächlich zugestellt. Ergo
wurden mehr als 83 % aller E-Mails
erfolgreich als unerwünscht identifiziert
und nicht zugestellt. Und das
bei einer „False positive rate“ von
unter 0,01 %!
Inzwischen schützt der aMTA
tausende Postfächer – die zahlreicher
Kunden und die des
audius Konzerns selbst.
Der aMTA ist eine hoch spezialisierte
und exakt auf die aktuellen

10 Die Technik
Die Technik
11
Die Technik:
ein perfektes
Zusammenspiel
Die Appliance basiert auf einem von audius gehärteten und vorkonfigurierten Linux-
System auf Basis von CentOS, das als fertiges Image bereitgestellt wird. Die aMTA
Appliance ist auf allen gängigen Plattformen, sowohl virtuell als auch physisch
betreibbar. Der eigens entwickelte Konfigurationsassistent sorgt für eine Inbetriebnahme
der kompletten Appliance in weniger als 15 Minuten.
Internet
SPAMHAUS
DNS RBL-Blocklist
AVIRA Protection
& URL Cloud
audivir OEM
Anti-Malware SDK
ClamAV
audivir Makrofilter
audius Mailpolicy:
z. B. .exe, .com, etc.
audivir OEM DBL amavisd-new SpamAssassin E-Mail Server
Postfix / Milter Sektion
audius OEM
URL Scan
Legende: Kommerzielle OEM-Produkte / audius-Eigenentwicklungen / Open-Source Module
Als wichtigster Baustein dient das Open-
Source-Modul Postfix, das als Mail-Transfer-
Agent die Vermittlung von eingehendem
und ausgehendem Mailverkehr übernimmt.
Der Postfix arbeitet anhand von verbindungsorientierten
Meta-Informationen
und nimmt bereits eine erste Filterung vor,
wobei z. B. die Absender-IP-Adresse gegen
verschiedene Realtime Block Lists geprüft
wird. Dadurch wird eine große Anzahl unerwünschter
und schädlicher E-Mails bereits
vor Beginn der eigentlichen Verarbeitung
zurückgewiesen.
Als zusätzliches Modul steht die audivir
OEM DBL zur Verfügung, welche die kommerzielle
Realtime Domain Blocklist von
Spamhaus nutzt. Diese Blocklist bezieht ihre
Daten aus Statistiken des weltweiten E-Mail-
Verkehrs und wird in Echtzeit aktualisiert.
Mit diesem zusätzlichen Modul werden
weitere unerwünschte und schädliche
E-Mails abgewehrt.
Anschließend werden die Anhänge der
eingehenden E-Mails durch das Modul
amavisd-new auf Schadcode überprüft.
Unter Anwendung verschiedener High-
Performance-Mechanismen werden unterschiedlichste
Arten von Schadcode entdeckt
und die betroffenen E-Mails abgewiesen.
Diese Mechanismen sind im Einzelnen: Der
Open-Source-Scanner ClamAV, der anhand
der Malware-Datenbank und heuristischen
Methoden Schadcode erkennt.
Die Eigenentwicklung audivir OEM Anti-
Malware SDK, die auf Basis der kommerziellen
Avira-Protection-Cloud modernsten
Schutz bietet und Erkennungsraten von bis
zu 99,99 % ermöglicht.
Parallel hierzu werden sämtliche E-Mail-
Anhänge auf potenziellen Office-Makro-
Schadcode durch die audius-Eigenentwicklung
Makrofilter analysiert.
Dieser Mechanismus analysiert den vorhandenen
Makro-Code auf typische
Malware-Heuristiken. Durch spezielle Hash-
Verfahren ist eine erheblich gesteigerte
Verarbeitungsgeschwindigkeit sowie ein
Whitelisting möglich, um False-Positives zu
minimieren.
Durch das Zusammenspiel dieser Filtertechnologien
ergibt sich ein sehr effektiver
Malware-Schutz, der sich insbesondere
durch die Verwendung der eingesetzten
kommerziellen Realtime-Datenbanken der
täglich steigenden Anzahl an Malware
Bedrohungen entgegenstellt.
Vor Zustellung einer E-Mail an das Postfach
der Anwender kommt zusätzlich noch das
Open-Source-Modul SpamAssassin zum
Einsatz, das zuverlässig SPAM erkennt und
dem Benutzer mit einer entsprechenden
Kennzeichnung ausliefert.
Auch dieses Modul prüft enthaltene URLs
gegen kommerzielle Block Lists und wendet
außerdem eine statistische Prüfung in
Verbindung mit einer SPAM-Schlüsselwort-
Datenbank an. Zudem kontrolliert Spam-
Assassin die Meta-Informationen der E-Mails
auf zusätzliche Unregelmäßigkeiten.
Die audius OEM URL Scan (The Domain
Block List) ist zusätzlich eine an die Avira
URL-Cloud angebundene Eigenentwicklung,
die eine Identifizierung von bösartigen URLs
in E-Mails ermöglicht. Besonders im Hinblick
auf die große Verbreitung von Phishing-
Mails ist eine kontinuierlich aktualisierte
und kommerzielle Echtzeit-URL-Datenbank
unentbehrlich.

12
Success Story
Success Story 13
Success Story:
die aMTA Appliance
im Einsatz bei der
Der Baden-Württembergische Genossenschaftsverband e. V. mit Sitz in
Karlsruhe ist ein Prüfungs-, Beratungs- und Bildungsverband, sowie ein
Interessenvertreter für genossenschaftliche Unternehmen in Baden-
Württemberg. Dem BWGV gehören rund 3,9 Millionen Mitglieder an,
unter anderem rund 170 Volks- und Raiffeisenbanken, 330 Raiffeisen-
Genossenschaften sowie 300 gewerbliche Genossenschaften.
Thomas van Helt, IT-Leiter des Baden-Württembergischen Genossenschaftsverbandes e. V.
Seit vielen Jahren ist audius der externe Partner
des Baden-Württembergischen Genossenschaftsverbandes
e.V. (BWGV) in den Themen Netzwerk
und IT-Security. „Die Zuverlässigkeit beim Support
und in den gemeinsamen Projekten hat uns
immer überzeugt“ so Thomas van Helt, IT-Leiter
des BWGV. „Ein Partner, der mit- und weiterdenkt,
ist für den BWGV ein ‚dickes Pfund‘. Wir
als BWGV wissen das sehr zu schätzen.“
Seit vielen Jahren setzt der BWGV den aMTA als
E-Mail-Schutz ein. Vom Beta-Tester der ersten
kommerziellen Version des aMTA bis heute, hat
er seitdem jeden „Major-Versionssprung“ mitgemacht.
Die jüngste Umstellung auf die aktuellste
Version hat im März 2020 stattgefunden. Seitdem
schützt der aMTA mehr als 650 E-Mail-Postfächer
in allen Bereichen des Verbandes.
Van Helt nennt eine Reihe von Gründen, weshalb
er sich damals zum Einsatz des aMTA entschieden
hat. Zunächst einmal musste das Altsystem
abgelöst werden: „Unsere damaligen MTAs
waren nicht mehr aktuell, dementsprechend haben
wir nach einer neuen Lösung gesucht.
Die Erkennungsraten hatten sich deutlich verschlechtert.“
Dabei war es dem IT-Leiter wichtig,
eine Open-Source-Lösung zu haben, um
zukünftige Umstellungen so schnell wie möglich
durchführen zu können. Mit Einführung des
aMTA war es z. B. nicht mehr notwendig, den
Postfix umfangreich anzupassen. Viele Konfigurationen
konnten und können einfach
übernommen werden.
Als weiteren Grund nennt van Helt das Thema
Sicherheit: Der MTA muss funktionsbedingt aus
dem Internet erreichbar sein. Deswegen spielt
die Auswahl des darunterliegenden OS eine
wichtige Rolle. Mit einer CentOS-Lösung ist dafür
ein fundamentaler Baustein gelegt worden. Zusätzlich
bildet ein MTA die erste Filterinstanz im
Bereich-E-Mail. Der interne Exchange-Server wird
erst belastet, wenn diverse Sicherheitsüberprüfungen
durchlaufen wurden.
Und schließlich nennt van Helt die smarte Verbindung
von audius-Eigenentwicklungen mit
Open-Source-Lösungen als entscheidenden
Grund für den Einsatz des audius MTA: audius
möchte nicht das Rad neu erfinden, sondern
setzt auf prädestinierte Open-Source-Module
(Postfix, ClamAV, usw.) und verbindet diese
mit passenden Eigenentwicklungen.
„Mit der Funktionalität sind wir sehr zufrieden.“
berichtet Thomas van Helt. „Bei Problemen
mit dem aMTA ist audius in der Lage, uns
binnen kürzester Zeit ein Update zur Verfügung
zu stellen - oft schon nach einer halben Stunde.“
Die Erkennungsrate von schädlichen E-Mails ist
deutlich nach oben gegangen im Vergleich zur
Vorgänger-Lösung. Durch die weitreichenden
Vorprüfungen gelangen nur noch wenige
erkannte, aber gekennzeichnete Spam-Mails
in die Postfächer der Mitarbeitenden – was zu
einer „False positive rate“ von nahezu 0 % führt.
Sollte doch einmal eine nicht gekennzeichnete
Spam-Mail im Postfach landen, können die Mitarbeitenden
diese an ein dediziertes Postfach
senden. Dort kommen pro Woche durch den
Einsatz der aMTA-Appliance nur noch wenige
E-Mails an.
Thomas van Helt schätzt besonders die einfache
Bedienung sowie Administration des
aMTA, die Konfiguration der Vorprüfungen
und die Makrofilter-Funktion. Neben der erhöhten
Erkennungsrate durch den Einsatz des
aMTA konnten signifikante Verbesserungen
an der E-Mail-Security erreicht werden. „Sehr
zufrieden sind wir mit der Makrofilter-Funktion
des aMTA und dessen gezielter Steuerung
durch Whitelisting.“, erklärt der IT-Leiter.
Das ganzheitliche Konzept von Eigenentwicklung
und Open-Source funktioniert
sehr gut. „In Kombination mit dem gewohnt
sehr guten Support von audius überzeugt
uns das auf der ganzen Linie“, so Thomas
van Helt.

14 Warum aMTA Appliance
Warum audius
15
Warum
aMTA Appliance?
Warum
audius?
Durch die Kombination von etablierten Open-Source-Modulen, audius-
Eigenentwicklungen und der Nutzung kommerzieller Datenbanken, in
Verbindung mit den umfangreichen Anpassungen und Erweiterungen
von Open-Source-Modulen wird ein außergewöhnliches Maß an
Flexibilität, Geschwindigkeit, Zuverlässigkeit und vor allem Sicherheit
erreicht.
Der modulare, aber dennoch standardisierte Aufbau, ermöglicht eine
nahezu grenzenlose Flexibilität. Besonders hervorzuheben ist der in
dieser Form nahezu einzigartige Makrofilter, der verhaltensbasiert
Office-Makros analysiert und auf Basis heuristischer Analysen entscheidet,
welche Makros „gut“ und welche „böse“ sind.
Auf diese Frage gibt es viele Antworten:
Jahrzehntelange Erfahrung,
State-of-the-art-Technologien,
zertifiziertes Qualitätsmanagement
und preisgekrönte Innovationen.
Letzten Endes läuft aber alles auf
eines hinaus: unsere Fähigkeit zu
zuhören. Der Fokus auf die konkreten
Bedürfnisse von Kunden ist
aus unserer Sicht die Grundlage des
Erfolgs – des Erfolgs der Kunden
und auch unseres eigenen.
Unsere Unternehmensgeschichte
ist eine ununterbrochene Wachstumsstory.
Gegründet im Jahr 1991
als Software-Haus mit vier Mitarbeitern,
hat sich audius seither zu
einem führenden mittelständischen
IT- und Softwareunternehmen entwickelt.
Heute haben wir ca. 500
Mitarbeiter, 18 internationale
Standorte und etliche Tochterunternehmen.
Zu unserem Kundenstamm gehören
Organisationen aus allen Branchen
und Segmenten, vom Mittelstand
über globale Konzerne bis zu
öffentlichen Institutionen.
Was sich in den vergangenen Jahrzehnten
allerdings nicht geändert
hat, ist unser unternehmensweiter
Teamgeist. Wir sind nach wie vor
ein inhabergeführtes Unternehmen
mit schlanken Strukturen und
schnellen Entscheidungswegen.
Und aus diesem Grund ist audius
auch in der Lage, maßgeschneiderte
Lösungen effizient und schnell zu
liefern. Frei nach der Redensart: Not
the big ones beat the little ones,
but the fast beat the slow.
Einen Überblick über unser gesamtes
Leistungsspektrum finden
Sie unter www.audius.de

16 Kontakt
Kontaktieren Sie uns für individuelle Informationen
oder eine kostenlose Beratung:
Michael Mederer
Head of Infrastructure Consulting
michael.mederer@audius.de
+49 7151 / 369 00 0
audius
Mercedesstr. 31
71384 Weinstadt
www.audius.de
1 https://de.statista.com/statistik/daten/studie/252278/umfrage/prognose-zur-zahl-der-taeglich-versendeter-e-mails-weltweit/#professional
2 https://preyproject.com/blog/en/24-cybersecurity-statistics-that-matter-in-2019/
3 https://www.av-test.org/de/statistiken/malware/

Stand Februar 2021
of
30 years
running IT
for people