Open Source AntiSPAM Appliance: Proxmox Mail Gateway

Die Firma Proxmox aus Österreich hat hat den Spam-Filter “Mail Gateway” als Open Source unter der GNU AGPL v3 Lizenz veröffentlicht. Damit kann der Spam-Filter kostenlos eingesetzt werden. Ich suche schon etwas länger nach einem SPAM-Filter für Testumgebungen, daher schaue ich mir die Proxmox Lösung etwas genauer an.

Hier gibt es einen Überblick über die Funktionen:

Proxmox Mail Gateway Datasheet (PDF)

Die Community Lizenz kostet 99 EUR pro Jahr, man kann die Appliance allerdings auch ohne Subscription nutzen, muss dann allerdings auf Support und “getestete Updates”:

Proxmox Proxmox Mail Gateway is open-source software distributed under the GNU Afero GPL, v3 and
you have the freedom to download, use and modify the software for private or business use. So yes, you
can use Proxmox products without a subscription. Just be aware that if you choose to run Proxmox Mail
Gateway without the Enterprise Repository, you may have packages that are not always heavily tested and
validated.
Proxmox does not recommend using the no-subscription repository on a production server.

Quelle: Subscription Agreement

Mit dieser Einschränkung kann ich privat ganz gut leben. Ich habe es daher mal runtergeladen und werde es testen. Die Installation lief schon einmal reibungslos in meiner Testumgebung. Die Umgebung sieht dabei leicht anders aus, als Proxmox sich die Umgebung vorstellt:

Proxmox Mail Gateway
Quelle: Proxmox

Das Mail Gateway steht bei mir nicht im Intranet, sondern in einer DMZ. Bezogen auf das Bild oben, steht also zwischen Mail Gateway und Mail Server (natürlich Exchange Server 2016), eine weitere Firewall Instanz.

Soweit zur Umgebung, die Installation lief auf Hyper-V in der Testumgebung problemlos, hier einmal ein paar Screenshots der Installation:

Proxmox Mail Gateway

Proxmox Mail Gateway

Proxmox Mail Gateway

Proxmox Mail Gateway

Nach der Installation konnte ich auch direkt via Browser auf das Gateway zugreifen:

Proxmox Mail Gateway

Ich habe mich mal etwas umgeschaut, das WebGUI sieht auf den ersten Blick ganz aufgeräumt aus. Ich wollte dann eigentlich direkt das Zertifikat austauschen (Ich hasse Zertifikatsfehlermeldungen), dies ist jedoch nicht über das WebGUI möglich. Ein kurzer Blick in die Doku liefert aber die nötigen Shell Befehle. Bisher ist der erste Eindruck also ganz positiv.

Die Grenzen sind hier allerdings auch auf den ersten Blick erkennbar: Es handelt sich um einen klassischen SPAM-Filter, AntiSPAM, Virenscan, RBL, SPF etc. Eben die klassischen Filtertechniken. Andere Lösungen am Markt gehen da viel weiter: Data Loss Prevention, Sandboxing, Sanitization, Verschlüsseln/Entschlüsseln, Content Conversion, usw. Zwar gibt es dafür auch Open Source Lösungen, allerdings nicht vereint unter einem Hut, hier heißt es also “Selber machen” oder eben entsprechende fertige Lösungen kaufen (kostet allerdings auch meist “etwas” mehr).

Ich mache mich nun aber erst einmal die die Konfiguration und werde in den nächsten Tagen ein paar Tests durchführen, danach gibt es auch einen entsprechenden Artikel dazu.

12 Gedanken zu „Open Source AntiSPAM Appliance: Proxmox Mail Gateway“

  1. Hallo Franky,

    was spricht gegen die Community Version von Mailcleaner?
    Hat ähnliche Funktionen und bekommst wenigstens Updates.

    Mit freundlichen Grüßen

    Antworten
  2. ProxMox sieht sehr ordentlich aus, dem sollte man evtl. mal eine Chance geben. Andererseits nutze ich die Scrollout F1 und sie läuft einfach… Also warum wechseln? :D

    Antworten
  3. Wir (Net at Work) sind in dem Bereich ja auch kommerziell aktiv und schauen und natürlich auch andere Lösungen ab. Wenn ich die Lösung einschätze, dann sehe ich einen Mailserver (Postfix) mit einem Antivirus /ClamAV) und dem altbekannten SpamAssassin. ich betreibe das nicht selbst aber wie habe mehrfach die Erfahrung gemacht, dass nach einem Wechsel erst offenbar wurde, welche Leistungsunterschiede es doch gibt.
    Kleine/Mittlere Firmen, die eh nur einen eher allgemeinen Filter brauchen, würde ich bei Exchange Online Protection oder anderen Hostern sehen, wenn nicht gleich die Mailbox schon in der Cloud ist.
    Wer das nicht will oder dessen Anforderungen (z.B. SMIME/PGP, PDFMail etc) höher sind, wird damit auch nicht glücklich.
    Aber als fertiges „Paket“ ist es sicher eine Möglichkeit. Ein Blick auf die Firewall kann da aber auch schon vergleichbare Lösungen ohne extra Systeme bringen.

    Antworten
    • Hallo Frank,
      richtig, wie bei vielen anderen auch, wird hier eine GUI über ein paar einzelne Open Source Projekte gebaut. Ich finde das auch gar nicht schlecht, dann brauch ich nicht erst das Linux installieren, die entsprechenden Pakete zusammensuchen, jedes Paket einzeln konfigurieren, etc. Von daher haben diese „Softwärebündel“ für gewisse Zwecke durchaus ihren Reiz. In meiner Testumgebung könnte sich es ganz gut integrieren, denn es gibt eine REST Api, dies hab ich bisher noch bei keinem anderen OpenSource Projekt in der Form gefunden. Ich hab die API allerdings noch nicht getestet…
      Ob diese Lösung nun Ihren Zweck im Unternehmen erfüllt, kann und mag ich nicht beurteilen.
      Gerade bei den APIs machen, meiner Meinung nach, die meisten Anbieter von entsprechenden Lösungen einen Fehler: Keine API bedeutet fast immer, keine Integration in andere Produkte/Lösungen. So hat man irgendwann viele Inseln die alle nichts von einander wissen wollen oder können. Aber es gibt erfreulicherweise Hersteller die schon etwas weiter sind, da reden die unterschiedlichen Produkte der verschiedenen Hersteller (NAC, AntiSPAM, Virenscanner, DNS, Firewall, Sandbox, IDS, usw.) über entsprechende APIs miteinander und können somit einen besseren Schutz vor Angriffen liefern. Jeder hat somit sein Spezialgebiet, aber kommuniziert über den eigenen Tellerrand hinweg mit anderen Spezialisten, dafür muss man sich aber eben mal auf eine Sprache einigen… Ich schweife etwas ab…
      Gruß,
      Frank

      Antworten
  4. Hallo! Mitlerweile ist die Lösung aus dem Hause Proxmox kostenlos mit einer subs. jedoch immernoch inc. bezahlten support. Wir setzen diese Lösung in einer kleinen KMU Ein und sind bisher sehr zufrieden damit.

    Auch wir Betreiben das MailGW hinter einer Firwall Lösung in einer DMZ allerdings mit keinem MS Exchange sondern Zarafa als Mail-Server System.

    Für uns eine abselut brauchbare Lösung um auch kleinen KMU’s die Möglichkeit einer sichreren Hauseigenen Infastruktur zu Bieten!

    Antworten
  5. Hallo,
    gibt es ein abschliessendes Fazit zu Proxmox ? Seit wir auf Exchange 2016 migriert haben ist das Spamvolumen stark gestiegen, wir denken daher über ein Mailgateway nach

    Mit feundlichem Gruß

    Antworten
  6. Hallo,

    ich habe PMG auch konfiguriert, installiert und auch erweitert. Was schade ist, PMG bietet nachwievor kein DKIMS von Haus aus über die Oberfläche, man muss es manuell untern herum machen oder auf dem Mail Server direkt (Exchange 2013/16 DKIMS =>TransportAgent). Ebenfalls sind dinge wie „SMTP HOST NAME“ nur im System unterhalb der GUI des PMG änderbar. Schade, dass wünscht man sich im Interface. Ebenfalls ist die Diskussion über das abweisen von Mails ohne „NDR“ Message schon interessant und nicht vernachlässigbar. PMG versendet stattdessen eine Mail an den Absender mit dem Hinweis der Nicht Zustellung (5.7.1,etc..)

    In Exchange kann man das ja auch erstellen, was dann so aussieht:
    2xxx-xx-13T13:34:05.877Z,08D7683507F7D8A6,xxx.xxx.xxx.xxx:25,45.93.247.163:57951,45.93.247.163,,matter@waybomb.best,,*****@******.de,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,550 5.7.107 Your IP address is listed by DNSBL Manitu. You can review it on page http://www.dnsbl.manitu.net,BlockListProvider,ix.dnsbl.manitu.net,,,,Undefined

    Nun weiss ich nicht, wie die Aussage hier zutreffender ist, bezüglich diesen Bug Reports (https://bugzilla.proxmox.com/show_bug.cgi?id=1886)

    Im Forum wird hier auch nochmals explizit die Frage gestellt und es stell sich heraus:

    Most Spam emails should be rejected on SMTP level (RBL, Greylisting, Receiver Verification, SPF,), so a 250 will never happens. If emails are accepted by the Proxmox Mail Gateways, you have to deal with it in your rule system.

    In meiner Konfiguration mit postfix/postscreen sehe ich folgende Log Infos:

    Nov ** 07:18:19 pmg postfix/postscreen[8482]: NOQUEUE: reject: RCPT from [212.200.101.22]:57396: 550 5.7.1 Service unavailable; client [212.200.101.22] blocked using db.wpbl.info; from=, to=, proto=ESMTP, helo=

    Somit erfüllt doch der PMG das ablehnen der mail, in dem obigen Fall mit „Benutzerpostfach nicht verfügbar“. Klar, die mail kursiert erstmal im System, aber es gibt keine Zustellung an den Empfänger. Schöner und richtiger wäre klar das Ablehnen nach 250 das die mail nicht als „Transferiert“ markiert wird. Somit hält man entweder die Mail als Quarantäne vor oder lehnt sie komplett ab. Die Frage stellt sich dann schon: „darf ich das?“ … Als Provider steht man mit Sicherheit auf Messers schneide, aber als Firma , die Ihren eigenen Mail Server betreibt sehe ich das gemäß Hausrecht. Ich bestimme wer rein und raus kommt, notfalls durch TLS.

    Ansonsten ist das PMG eine recht sinnvolle Lösung, wenn man seinen Mailserver nicht direkt ins Netz stellen will und 80% der Spam Mails schon vorher weg filtert.

    Antworten

Schreibe einen Kommentar