Microsoft Exchange Hosted Services (vormals Frontbridge)

Nicht erst seit Microsoft von "Clouds" spricht und Dienste immer mehr in das "Netz" verlagern will, wird Exchange "hosted" betrieben.". Mit BPOS spielt Microsoft hier aktiv eine Rolle als Anbieter von Exchange Postfächern. Exchange Hosted Services ist aber ein anderes Angebot, welches schon länger im Markt ist und Microsoft durch den Zukauf von Frontbridge gestartet hat. Es fasst im wesentlichen die Funktionen Spamschutz, Virenschutz, Wiederherstellung und Journalarchiv zusammen.

Mit dem Zukauf der Firma "Frontbridge" im Juli 2005 hat sich Microsoft einen Hoster für Dienstleistungen für Exchange ins Boot geholt. Es ist offensichtlich, dass Microsoft damit die Dienstleistung für Exchange Kunden komplettieren möchte. Allerdings sollten Sie nicht "Exchange Hosting" mit "Microsoft Exchange Hosted Services" verwechseln. Das Angebot von Microsoft ist kein Exchange Postfach sondern ein Gateway zwischen ihnen und dem Internet.

So funktioniert Microsoft Exchange Hosted Services

Microsoft betreibt an mehreren Datacentern in der Welt entsprechende Server, die Nachrichten an ihre Domains annehmen, nach bestimmten Kriterien verarbeiten und dann zu ihrem Mailserver weiterleiten. Das ganze stellt sich dann wie folgt dar:

Sie leiten ihren MX-Eintrag auf Frontbridge um, so dass alle Nachrichten zuerst dort landen. Wie konfigurieren bei Frontbridge die IP-Adresse ihres Systems, an welches die Nachrichten weiter geleitet werden sollen. Um ihre Sicherheit möglichst hoch zu halten, müssen Sie in ihrer Firewall zwar den Port 25 eingehend öffnen, aber Sie können diese eingehenden Verbindungen auch die bekannten IP-Adressen von Frontbridge reduzieren. Ein direkter Kontakte anderer Systeme oder Angreifer mit ihrem Server ist damit nicht möglich.

Optional können Sie auch ihre ausgehenden Nachrichten über Frontbridge versenden. Damit können ihre Mailserver dann komplett "verborgen" bleiben. Im Bild ist diese Option jedoch nicht eingezeichnet.

Dort werden die Mails auf Spam und Viren gefiltert, optional in ein Archiv abgelegt und für einen Desasterfall vorgehalten. Auch Verschlüsseln ist möglich. EHS sendet diese Mails dann gesichert (TLS) zu ihrem Mailserver, der natürlich nur noch SMTP-Verbindungen von dem Datacenter annehmen sollte.

EHS
Quelle: http://www.microsoft.com/online/exchange-hosted-services/continuity.mspx

Ausgehend senden sie auch alle Mails über EHS in das Internet. Damit kann EHS auch diese Mails in das Archiv ablegen, verschlüsseln und daraus lernen.

Das leistet Microsoft Exchange Hosted Services

Natürlich stellt sich die Frage, warum Sie einen anderen Anbieter in die Verbindung einschleusen sollen und welchen Mehrwert Sie dank Frontbridge erhalten. Dazu müssen wir uns einfach die angebotenen Leistungen genauer anschauen. Die Funktion besteht aus folgenden wesentlichen Komponenten:

  • Virenschutz
    Alle eingehenden Nachrichten werden durch mehrere Virenfilter geschleust. So werden Viren schon lange vor ihrem System blockiert und ihre Bandbreite gespart. Natürlich ersetzt das nicht den eigenen Virenschutz intern. (Siehe auch Viren)
  • Spamschutz
    Microsoft bietet ebenfalls einen Spamschutz, so dass vermutlich unterwünschte Nachrichten in einer Quarantäne bei Frontbridge liegen bleiben. Der Anwender kann darüber informiert werden und über einen Webbrowser Einblick in seine Quarantäne nehmen. Ich persönlich bin jedoch kein Freund einer Quarantäne. (Siehe auch Quarantäne)
  • Archivierung und Compliance
    Zwei Funktionen bietet diese Lösung mit an, die nicht so einfach durch preisgünstige Standardwerkzeuge zu erfüllen sind: Microsoft kann Nachrichten in eine Archiv übertragen, so dass Sie diese immer als Kopie haben, selbst wenn ihr interner Mailserver defekt wird oder ein Mitarbeiter Nachrichten löscht. Zudem können Sie Nachrichten auf bestimmte Kriterien filtern, z.B. den Versand blockieren, wenn bestimmte "Codeworte" darin enthalten sind. Dies geht natürlich auch nur, wenn Sie ausgehende Nachrichten ebenfalls über das Datacenter versenden. Ein Ersatz für ein richtiges "Archiv" (Siehe Archivieren mit Exchange) oder eine Steuerung des internen Mailverkehrs ist dies natürlich ebenso wenig.
  • Ausfallschutz
    Über deine Weboberfläche können Sie immer wieder auf "ihre" Mails der letzten 30 Tage zugreifen. Wenn also ihr eigener Mailserverserver ausgefallen sein sollte und ihr Backup etwas länger zurück liegt, können Sie so zumindest die eingehenden Mails wieder erhalten.
  • Schutz gegen Angriffe
    Diese Funktion ist natürlich interessant, wenn Sie selbst keine eigenen Relays und Filter haben. Allerdings sind die meisten Mailserver heute doch recht "sicher" und ein Postfilter, der nur 25/TCP passieren lässt mit einer relaysicheren Konfiguration lässt diesen Vorteil schmelzen.

Sie müssen sich also einfach überlegen, ob Sie diese Komponenten einfach extern abgeben oder weiterhin selbst betreiben.

Einschränkungen

Der Vorteil ist natürlich, dass Sie in ihrer eigenen Infrastruktur quasi nicht viel ändern oder erweitern müssen. Aber drei Dinge fallen mir sofort ein, die sie berücksichtigen sollten

  • Eine Station mehr
    Wenn ein Kunde bei sich sieht, dass die Mail seine Server verlassen hat, ist die Mail noch nicht bei ihnen, da es eine Station mehr gibt. Nun mag deren Ausfall sehr unwahrscheinlich sein, aber Spammer haben durchaus viel Bandbreite, um Dienste auch zumindest zu beeinflussen.
    Bei ausgehenden Mails senden Sie ihre Mails an EHS, welcher die Mail dann verteilt. Wenn der Empfänger die Mail aber nicht annehmen kann, dann sehen sie in ihren lokalen Queues keine Stauung. Sie können also nicht direkt kontrollieren, wann ihre Mails letztlich zugestellt wurden.
  • Vertraulichkeit und Verschlüsselung
    Zwar werden die Mails zwischen EHS und ihrem Server mittels SSL verschlüsselt, aber das betrifft nur den Transport. Die Mails selbst sind nicht verschlüsselt, bzw. werden erst durch EHS verschlüsselt bzw. entschlüsselt. Damit ist aber auch klar, dass ihre Mails bei einem Provider in Klartext durch die Mailserver laufen und lokalen Gesetzen unterliegen (Auch in Deutschland gibt es eine TKÜV). Nur ist es natürlich für Dienste einfacher bei einem Provider eine "Kopie" zu ziehen als bei einer direkten Übertragung zwischen Servern "mitzuschneiden".
    Wenn EHS auch noch verschlüsselt und entschlüsselt, dann stellt sich die Frage, wer die Schlüssel hat und wie man diese bekommt, wenn Sie den Anbieter wechseln und ihre Kunden ihnen weiterhin verschlüsselte Mails senden.
    Man muss also schon sehr viel Vertrauen in eine Dienstleister haben.
  • "nur" Journalarchivarchiv
    Der Begriff Archivierung wird gerne auch als Lösung zur Verlagerung von Speicherplatz genutzt. Alte Mails werden aus dem "teuren" Exchange Store auf ein günstigeres Speichermedium verlagert. Diese Funktion kann EHS nicht bieten. Es ist im wesentlichen ein Journal Archiv, d.h. jede aus und eingehende Mail wird langfristig abgespeichert.
    Leider konnte ich keine Garantien finden und wie bei einem Vertragswechsel bzw. Kündigung die archivierten Elemente behandelt werden. Bekommen sie eine PST-Datei, DVDs oder erhalten Sie viele Jahre Zugriff auf die Daten und zu welchem Preis.

EHS hat sicher seine Daseinsberechtigung für Firmen, die keinen eigenen Spamschutz bereit stellen wollen. Oft bieten aber auch schon die eigenen Provider solche Lösungen an. Der Versand über EHS ist besonders interessant für Firmen, die z.B. aufgrund dynamischer IP-Adressen oft auf Blocklists landen.

Mittelfristig schätze ich , dass EHS und BPOS aber mehr und mehr verschmelzen und damit auch die Funktion eines Schattenserver darstellen könnten.

Erste Eindrücke

Ich hatte schon mal die Gelegenheit die Verwaltung eines solchen Hosted Services Accounts zu nutzen um die verschiedenen Optionen zu untersuchen. Ich habe bislang jedoch keine Domäne über Hosted Services geleitet. Praktische Erfahrungen fehlen mir daher. Aber vielleicht helfen ihnen einige Details (Stand Sommer 2006) weiter, die nicht direkt in einem Datenblatt stehen

  • Kennzeichnung von Spam
    Folgende vier Optionen sind möglich:
    • - Quarantäne legen (der User kann dann per Webbrowser drauf zugreifen)
    • - Redirect (Umleiten auf anderes Postfach)
    • - X-Header addieren
    • - Betreff ändern

    Anscheinend kann das System SPAM also nicht direkt ablehnen. Ich finde es aber zumindest schon mal gut, dass keine Quittungen versendet werden

  • Verfahren zur  Erkennung von SPAM
    Microsoft unterscheidet hier zwischen "möglicherweise Spam" und "Sicher Spam"
    Als "möglicherweise" Spam werden die folgenden Kriterien hergenommen
    • - Hyperlinks zu entfernten Seiten
    • - Hyperlinks mit numerischen Adressen
    • - Hyperlinks auf Ports <>80/443
    • - Hyperlinks auf .biz or .info Webseiten
  • Als "Sicher Spam" gelten unter anderen:
    • - Leere Nachrichten
    • - JavaScript or VBScript in HTML
    • - Frames or IFrames in HTML
    • - Object tags in HTML
    • - Embed tags in HTML
    • - Form tags in HTML
    • - Web Bugs in HTML
      - Optional aktivierbare Wortliste mit "unerwünschten" Begriffen
      - Fehler beim SPF record

    Anscheinend gibt es zu dem Zeitpunkt keine Heuristic, Bayes, unscharfe Prüfsummen o.ä. Ich vermute aber, dass Microsoft hier sicher auch bald Teile von IMF einbauen wird.

  • Virenschutz
    Hier kamen die Suchengines von TrendMicro, Symantec und Kaspersky zum Einsatz
  • Unbekannte Benutzer
    Es gibt anscheinend Konfigurationsbereiche, die eine Anbindung eines Verzeichnisdiensts erlauben. Ich könnte mir vorstellen, dass Microsoft eine Prüfung der Gültigkeit der Empfängeradressen erreichen möchte. Ohne eine solche Prüfung tut sich jeder Hostingsprovider schwer beim Thema NDR Spamming. Allerdings konnte ich diese Option nicht konfigurieren.
  • Policies
    Sehr viel Möglichkeiten bietet "Microsoft Exchange Hosted Services" bei der Verwaltung von Regeln und Einstellungen. So können an Nachrichten natürlich Trailer oder Header angefügt werden. Anhand von IP-Adressen, Absendern, Empfängern, Betreff und weiteren Kriterien können Nachrichten umgeleitet, gelöscht aber angeblich auch "abgelehnt" werden.

Leider gibt Microsoft nicht wirklich bekannt, welche Produkte, Services und Module dahinter zum Einsatz kommen. So kann ich nur das aufführen, was man offiziell "sehen" kann:

  • Mailserver ist Sendmail ?
    Ein telnet auf "mail.global.frontbridge.com" liefert ein

    Sicher kann der Header eines SMTP-Servers gefälscht sein, aber davon gehe ich nun mal nicht aus. Die Domäne "Bigfish" ist übrigens auch Frontbrige bzw. Microsoft.
  • Webseite ist Apache mit PHP 4.4.0
    Wenn man die Webseite und Verwaltungsseite von Frontbridge analysiert sieht man, dass dort auch ein Jahr nach dem Kauf durch Microsoft noch ein Apache läuft, der aber auf Microsoft umleitet
  • Administration per PHP
    Der Verwaltungswebseite selbst ist ebenfalls noch PHP und keineswegs ASP, ASPX oder sonstige Microsoft Technologie.

    Ich hätte eigentlich erwartet, dass Microsoft dies umstellt oder gleich eine Firma kauft, die auf Microsoft Technologien aufsetzt. Oder war Frontbridge damals im Unix-Bereich so gut, dass man durch den Einkauf da regulierend eingreifen wollte :-) ?
  • Archivzugriff
    Das Produkt erlaubt einen Zugriff auf die Mails der letzten 30 Tage und entsprechend auch die erneute versenden dieser Nachrichten, wenn ihr eigener Server Daten verloren hat: Diese Seite sieht "OWA" sehr ähnlich und ist ASPX. Die URL ist auch schon bei Microsoft angesiedelt.

    Das ist natürlich eine geniale Möglichkeit für einen Kunden, seine Verfügbarkeit zu Erhöhen und den Schaden bei einem Ausfall zu minimieren. So kann der jeweilige Mitarbeiter per Browser immer noch "seine" Mails lesen, wenn der eigene Mailserver ausgefallen sein sollte. Und zudem ist es kein Problem, die Mails erneut zu senden, wenn der Server wieder restauriert wurde, aber die Mails seit dem letzten Backup fehlen.  Sehr pfiffig.

Outlook Add-on

Der Spamschutz von FrontBridge kann natürlich nur so gut sein wie die erkannten Spams. Daher gibt es mittlerweile auch für Outlook ein Add-on, mit welchem Sie eine Spammail, die doch noch bei ihnen ankommt, einfach an abuse@frontbridge.com weiterleiten können.

http://www.microsoft.com/downloads/details.aspx?familyid=53541292-ce94-4c5b-9127-b7d56f11b619&displaylang=en

Dann kann Microsoft diese Spam-Mail "lernen" und seine Datenbank einfach besser machen.

Zusammenfassung

Microsoft bietet mit "Microsoft Exchange Hosted Services" zwar kein Exchange Hosting an, aber immerhin eine Vorverarbeitung von Nachrichten vor ihrem eigenen Mailserver mit einigen pfiffigen Funktionen. So ist der 30-Tage Cache der zuletzt empfangenen Nachrichten sicher eine interessante Option, um diese Nachrichten nach einem Serverausfall einfach wieder zusenden zu lassen. Auch die Filter und Verschlüsselungsfunktionen müssten Sie sonst mit eigenen Mitteln aufwändiger bereit stellen.

Allerdings ist solche ein Angebot natürlich nicht für jede Firma geeignet. Sehr kleine Firmen mit dynamischen IP-Adressen oder gar POP3-Sammelkonten bleiben außen vor. Größere Firmen mit erweiterten Bedürfnissen bezüglich der Verarbeitung von Nachrichten werden weiterhin eigene Produkte, Filter und Schutzfunktionen einsetzen. Eine echte Absicherung von Nachrichten durch Verschlüsselung ist natürlich nur durch eine "Ende zu Ende"-Verschlüsselung gewährleistet.

In wie weit der Spamschutz ausreichend ist, kann ich selbst nicht beurteilen. Allerdings missfällt mir persönlich natürlich die Quarantäne. Auch ist nicht sichtbar, dass Microsoft die ausgehenden Nachrichten (so diese über den Provider gesendet werden) nicht in den Spamschutz als Lernquelle mit einbezieht.

Das Ergebnis ist daher etwas gemischt und kann mir vorstellen, dass jeder gute Provider seinen Kunden einen ähnlichen Mehrwert bereitstellen kann. Die Funktion von "Microsoft Exchange Hosted Services" hat aktuell überhaupt nichts mit Exchange zu tun. Frontbridge kann jeden Mailserver, also auch Notes, Sendmail u.a. bedienen. Vielleicht ändert sich das mit Exchange 2007 und der "E2K7:Edge"-Rolle.

Weitere Links