Das Notes Forum

Lotus Notes / Domino Sonstiges => Companion Products => Thema gestartet von: hallo.dirk am 12.02.06 - 17:51:32

Titel: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 12.02.06 - 17:51:32
Hallo,

hat jemand interresse an einem Erfahrungsaustausch zu diesem Produckt?

Ich meine die IQ Suite kann sehr viel und ich setze sie auch wo es nur geht ein, aber vielleicht habe ich ja noch etwas vergessen oder könnte sie noch besser nutzen.....

Oder gibt es gar schon eine Group Community ?

Titel: Re: @ all IQ Suite Nuzter
Beitrag von: MOD am 13.02.06 - 08:39:25
Hi,

Interesse habe ich schon. Wie soll den der Erfahrungsaustausch aussehen (Modulbezogen?)?

 ;D MOD
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 13.02.06 - 15:56:24
Ja ich denke das macht Sinn, da ja nicht jeder alle Module im Einsatz hat...

Ich hab auch nich so recht die Ahnung wie man sowas beginnt :-:


Aber da ich damit angefangen habe, versuche ich mal eine Auflistung zu machen:
Dann hat man evtl. etwas zum Diskutieren.

Also erstmal ich betreibe bis zum Internet eine pure Domino Infrastruktur.
Lizenzen haben wir für:
Watchdog
Wall
Crypt
Safe
Trailer
Clerk


Ich fange mal bei den E-Mail Relays an, wo neben den Domino SMTP Einstellungen die meisten IQ Suite Jobs laufen:


Watchdog

[li]Limitierung der ein und ausgehenden E-Mails[/li]
[li]Blocken von VBS, Pif usw. Endungen (Würmer), ohne Benachrichtung der User[/li]
[li]Virenscan mit Sophos[/li]
[li]Filterung ausführbarer Dateien, mit Benachrichtigung der internen User[/li]
[li]Filterung Video Dateien :-P, mit Benachrichtigung der Absender[/li]
[/list]

Wall
[li]Überprüfung gültige Syntax im from Feld[/li]
[li]löschung von 0k grossen Mails im Body, defekte Viren[/li]
[li]Test vom Flooding, hier muss ich noch Tunen[/li]
[li]Div. Core und DCC Filter für die einzelnen Standorte[/li]
[li]Blacklist von Absender Adressen[/li]
[li]Experiment : Filter von Scripten innerhalb einer Mail, das klappt aber so nicht wie ich mir das vorstelle....[/li]
[/list]

Crypt
[li]Entschlüsseln von Mails mit GPG[/li]
[li]Verschlüsseln mit PGP[/li]
[li]Verschlüsseln mit GPG[/li]
[li]S-Mime könnten wir, aber ich habe keinen der das braucht ::) (mittlerweile hab ich hier auch schon Know-How verloren....[/li]
[/list]

Trailer
[li]Legal Disclaimer unter alle ausgehende E-mails[/li]
[/list]

Save
[li]Alle Ein und Ausgehenden Mails in eine Db zur Archivierung kopieren(Nscale)[/li]
[/list]


Action ich liebe diese Teil ;)
[li]div. Jobs zum beeinflussen des Mailroutings, z.B. Felder maskieren[/li]
[/list]

insgesammt 47 Jobs....



Das ist ersteinmal meine Konfig.

Was mich noch so Interressieren würde, währen 3 Dinge:



Gruss
Dirk
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: MOD am 15.02.06 - 12:44:42
Ich glaube - sehr persönliche Einschätzung -, dass eine reine iQ Suite Lösung für die Vermeidung von SPAM oder Viren nicht ausreicht.
Wir setzen zusätzlich ein IDS ein. Nur in Verbindung mit diesem System haben wir einen größt möglichen Schutz vor SPAM oder Viren.
Die iQ Suite setzt m.E. zu spät an.

Wir können uns aber gerne über die Jobs austauschen.

 ;D MOD
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Driri am 15.02.06 - 13:58:26
Einen Austausch fände ich auch interessant. Wäre halt die Frage, wie man das am besten gestaltet.

Für die Gedys-Intraware-Produkte gab es hier im Forum ja auch schon mal den Ansatz, Gedys-Intraware hat daraufhin ein Forum zur Verfügung gestellt und nach meinem letzten Kenntnisstand ist da nicht viel draus geworden. Ich denke, für einen offenen Meinungs- und Erfahrungsaustausch unter Anwendern ist das auch nicht gerade ideal.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 15.02.06 - 22:15:09
Ich glaube - sehr persönliche Einschätzung -, dass eine reine iQ Suite Lösung für die Vermeidung von SPAM oder Viren nicht ausreicht.
Wir setzen zusätzlich ein IDS ein. Nur in Verbindung mit diesem System haben wir einen größt möglichen Schutz vor SPAM oder Viren.
Die iQ Suite setzt m.E. zu spät an.

Wir können uns aber gerne über die Jobs austauschen.

 ;D MOD

Einen Austausch fände ich auch interessant. Wäre halt die Frage, wie man das am besten gestaltet.

Für die Gedys-Intraware-Produkte gab es hier im Forum ja auch schon mal den Ansatz, Gedys-Intraware hat daraufhin ein Forum zur Verfügung gestellt und nach meinem letzten Kenntnisstand ist da nicht viel draus geworden. Ich denke, für einen offenen Meinungs- und Erfahrungsaustausch unter Anwendern ist das auch nicht gerade ideal.


Aber wieso es auf ein Produkt Beschränken? Letzendlich kommt man doch über einen Gedankenaustausch über Produkte zu einer Meinung. Es fällt zwar schwer, zumindest geht es mir so, sich in schriftlicher Form so intensiv auszutauschen, aber es ist ein Ansatz.
Ich kann 100 Berater zu einem Problem befragen und jeder sagt mir etwas anderes.
Letzendlich muss ich mir aus diesen Befragungen das, für mich, Beste raussuchen.
Ob das immer die Richtige oder mittlerweile überholte Entscheidung ist, bekomme ich nur über eine stetige Diskussion raus.
Diesen Aufruf nutze ich eben dazu, evtl. haben ja andere auch etwas davon.....

Aber Back @Topic
IDS zu verwenden ist schon mal ein Ansatz, dem ich bisher (aus meiner "Applikationsbrillen Sicht") noch nicht viel Bedeututung zugemessen habe. Hier währe schon mal ein Punkt den ich mit meinen Firewall Kollegen besprechen sollte, aber vielleicht hast Du ja mal Zeit da etwas näher drauf einzugehen, damit ich mich weiter vom meinem Domino Tellerrand entfernen kann.

Von der reinen Domino Seite aus gesehen, habe ich aber mit diesem Produkt eine Lösung, die es mir vorallem gestattet, verschiedene Ansätze mit (und das ist für mich ein entscheidener Faktor) einer einzigen Hook Task auf einem Server abhandeln kann.

Dass es bessere Lösungen in jedem Einzelsegmet der Suite Module gibt will ich nicht bezweifeln.
Aber wenn ich schon sehe was meine USA Kollegen für Probleme haben auf ihrem Domino SMTP Server Spamsentinel und einen Virenscanner so zu trennen, dass diese sich nicht darum streiten wer nun die Mail zuerst bearbeiten darf, dann beruhigt mich die Suite hier schon mal ganz schön;)
Solche Probleme kenne ich nicht!
Letzendlich bin ich heute noch froh darüber diese Produkt, damals gekauft zu haben.

Jaaaa, zu dem Einstaz der verschiedenen Module und wie man sich darüber austauscht weiss ich auch nicht so recht wie man das angeht, aber hier ist ja schon einam ein Anfang ;)
Und so lange hier etwas reingeschrieben wird, geht es doch weiter....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Driri am 16.02.06 - 09:01:20
Also wir haben den WatchDog schon seit Jahren im Einsatz. Wir haben auch noch nie wirkliche Probleme mit Virenbefall gehabt, da auf sämtlichen Systemen (Server und Clients) Virenscanner laufen. Selbst wenn also ein Virus über SMTP reinkommt, haben wir immer noch Systeme, die das abfangen können. Darum verwenden wir auch unterschiedliche Virenscanner, da jede Scanengine so ihre Vor- und Nachteile bei der Erkennung und Säuberung hat.

Dem Thema Spam widmen wir uns erst seit ca. einem halben Jahr. Wir haben bisher auch nur einen Pattern- und einen Wortlisten-Job auf der Wall aktiv. Die Core-Komponente hat meine Kollegin jetzt getestet und eingerichtet und damit wollen wir demnächst starten.

Wir haben momentan eh noch das Problem, daß noch durch die Fusion Ende 2004 zwei SMTP-Server existieren. Auf dem zweiten landen noch Mails an einen Teil der alten Domänen und da wird kein Spamfilter gepflegt (läuft zwar, aber eben so wie er 2004 zuletzt angepaßt wurde). Das soll sich dann innerhalb der nächsten 1-2 Monate auch ändern und erst dann werden wir überhaupt halbwegs aussagekräftige Zahlen haben, um mal sehen zu können, was überhaupt so hängen bleibt.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: MOD am 16.02.06 - 10:14:39
IDS zu verwenden ist schon mal ein Ansatz, dem ich bisher (aus meiner "Applikationsbrillen Sicht") noch nicht viel Bedeututung zugemessen habe. Hier währe schon mal ein Punkt den ich mit meinen Firewall Kollegen besprechen sollte, aber vielleicht hast Du ja mal Zeit da etwas näher drauf einzugehen, damit ich mich weiter vom meinem Domino Tellerrand entfernen kann.

Für mich sind die SPAM Abwehr Möglichkeiten der iQ-Suite sehr auf den Inhalt bezogen. Über das IDS können wir überprüfen, dass ein Mailversender auch tatsächlich existiert und z.B. Mail ablehnen wenn ein Absender an 100 verschiedene Empfänger unserer Firma eine Mail versendet. Das sind aber nur Beispiele die die iQ-Suite insbesondere CORE nicht abdeckt.

Zusätzlich haben wir einen zwei-/dreifach Virenschutz nur beim Erhalt einer Mail. Einmal das IDS und zusätzlich zwei unterschiedliche Virenscanner auf dem SMTP Server. Hinzu kommen noch die Virenscanner auf den Mailservern der Anwender und den Virenscannern auf den Clients / Datenservern.

 ;D MOD
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 17.02.06 - 08:05:27
Zitat
Wir haben bisher auch nur einen Pattern- und einen Wortlisten-Job auf der Wall aktiv.

Ist bestimmt sehr Pflegebedürftig, oder ?
Ich habe erst mit dem Erscheinen der Core und dem DCC Filter für alle User den Filter eingeschaltet.
Am besten gefällt mir aber der Berichstjob ist mittlerweile ein schönes Dokument geworden, den auch Browser User nutzen können um ihre Q Mails aufzumachen.
Ich hänge morgen mal ein Bild rein....



Zitat
Zusätzlich haben wir einen zwei-/dreifach Virenschutz nur beim Erhalt einer Mail.

Zitat
Wir haben auch noch nie wirkliche Probleme mit Virenbefall gehabt, da auf sämtlichen Systemen (Server und Clients) Virenscanner laufen. Selbst wenn also ein Virus über SMTP reinkommt, haben wir immer noch Systeme, die das abfangen können. Darum verwenden wir auch unterschiedliche Virenscanner, da jede Scanengine so ihre Vor- und Nachteile bei der Erkennung und Säuberung hat.

Also wir haben 2, Mailsystem + Lokaler Scanner.
Ich bin den Weg gegangen, sämtliche ausführbare Dateien in eine Q zu legen.
Der User wird Informiert und kann ggf. sich diese vom Helpdesk zusenden lassen.
Somit kann ich so gut wie immer die Zeit überbrücken, die ein Virenscanner benötigt um aktuell zu sein.
Sophos ist ja schnell, aber selbst 1 Stunde kann manchmal nicht reichen, ausserdem hat dieses noch einen netten Nebeneffekt:
Nur dienstliche Dateien werden von den Usern angefordert, der Rest verbleibt in der Q. (Ist schon Lustig zu sehen wie einige versuchen diesen Filter zu umgehen >:D)


Zitat
Über das IDS können wir überprüfen, dass ein Mailversender auch tatsächlich existiert und z.B. Mail ablehnen wenn ein Absender an 100 verschiedene Empfänger unserer Firma eine Mail versendet.

Ist das eine standard Funktion einer IDS? Hast Du evtl mal eine Statistik was eine IDS schon vorher Blockt ?
Laut meiner Statistik, halte ich durchschnittlich 150.000 E-Mails im Monat zurrück, wenns einen neuen Wurm gibt, auch schon mal 300.000. Das sind ca 70% des gesammten Eingangs, wenn Sie micht schon vorher von Domino Blacklistet wurden

Da Fällt mir dann auch gleichzeitig noch ein anderes Thema ein, das Greylisting. Nicht das von Domino sondern die Technik einem unbekannten Mailrelais ein (mir Fällt jetzt der Code nicht ein) "Please try again later" zu geben um die Zustellung zu verzögern.
Ein richtiges Mail Relais wird es brav noch einmal probieren ein Spammer nicht. Beim 2. Versuch wird diese Relais dann auf die Liste gesetzt und die Mail wir aktzetiert. Wie ich finde ein spannender Ansatz, der allerdings auch Nachteile bietet.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Driri am 17.02.06 - 08:54:14
Zitat
st bestimmt sehr Pflegebedürftig, oder ?
Ich habe erst mit dem Erscheinen der Core und dem DCC Filter für alle User den Filter eingeschaltet.
Am besten gefällt mir aber der Berichstjob ist mittlerweile ein schönes Dokument geworden, den auch Browser User nutzen können um ihre Q Mails aufzumachen.

Die Wortlisten ? Eigentlich nicht. Wir haben nicht alle mitglieferten Wortlisten verwendet und auch in den verwendeten noch Worte rausgeschmissen und eigentlich ist die False-Positive-Rate ziemlich gut. Was da als False-Positive hängenbleibt, sind meistens schmutzige Witze  ;D

Mit Pattern meinte ich die DCC Filter.

Den Berichtsjob testen wir z.Zt. intern. Ich denke auch, daß wir den demnöchst dann freigeben, denn das ist das ideale Werkzeug, um nicht selber immer die Quarantäne durchforsten zu müssen.

Zitat
Ich bin den Weg gegangen, sämtliche ausführbare Dateien in eine Q zu legen.
Der User wird Informiert und kann ggf. sich diese vom Helpdesk zusenden lassen.
Somit kann ich so gut wie immer die Zeit überbrücken, die ein Virenscanner benötigt um aktuell zu sein.
Sophos ist ja schnell, aber selbst 1 Stunde kann manchmal nicht reichen, ausserdem hat dieses noch einen netten Nebeneffekt:
Nur dienstliche Dateien werden von den Usern angefordert, der Rest verbleibt in der Q. (Ist schon Lustig zu sehen wie einige versuchen diesen Filter zu umgehen Evil

Das machen wir auch so. Bei uns werden neben ausführbaren Dateien zusätzlich VB-Klamotten und sämtliche bekannte Multimedia-Formate geblockt. Da kann man sich Freitags nachmittags immer nen vergnüglichen Start ins Wochenende mit bescheren  ;)


Mal ne Frage zu der Q : Ich verstehe das so, daß ihr mehrere Q-Datenbanken habt. Eine für die Spams und eine für die gefilterten Anhänge ?
Wir haben momentan eine Q-DB und das ist sicherlich nicht die ideale Lösung, wenn wir die für die User freigeben. Dann können wir uns das Filtern von Multimedia-Dateien auch gleich sparen.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: SomeoneYouKnow am 17.02.06 - 11:30:43
Ich glaube - sehr persönliche Einschätzung -, dass eine reine iQ Suite Lösung für die Vermeidung von SPAM oder Viren nicht ausreicht.
Wir setzen zusätzlich ein IDS ein. Nur in Verbindung mit diesem System haben wir einen größt möglichen Schutz vor SPAM oder Viren.
Die iQ Suite setzt m.E. zu spät an.

Würde ich so nicht unterschreiben wollen... wir haben seit mehreren Jahren Watchdog mit 2 verschiedenen Scannern im Einsatz (am Client gibts dann natürlich einen dritten Scanner, wieder von einem anderen Anbieter) und hatten bisher keinen Virenvorfall, der durch eine nicht erkannte Mail entstanden wäre. Insofern sehe ich was Viren angeht keinen Bedarf, zusätzlich eine IDS einzusetzen.
Im Gegenteil: momentan habe ich EINE zentrale Quarantäne... nämlich die von GROUP... wenn ein Anhang geblockt wurde o.ä. weiss ich, dass sie genau DORT liegt.

Wir hatten vor ein paar Monaten eine Leihstellung von einer IDS im Hause... mein Kollege vom Netzwerkmanagement war natürlich begeistert und hat gleich vorgeschlagen, alle Mails, die ein .pif oder .scr-File als Attachment haben direkt an der IDS zu filtern und sofort wegzuschmeißen.
Klingt im ersten Moment nett... allerdings geht das genau so lange gut, bis wir mal wieder einen Firmen-Screensaver von einer externen Agentur erstellen und uns schicken lassen. Und ich möchte dann nicht einem Vorstand erklären müssen "Öhh... wie jetzt... Screensaver? Ja... den haben wir nicht angenommen... der ist weg". So guck ich in meine GROUP Quarantäne, klick einmal Resend und gut ist  :)

Was das Thema SPAM angeht: ich bin mit der Wall (haben wir jetzt gut ein Jahr im Einsatz) eigentlich recht zufrieden. Wir nutzen die Wall 3-stufig: Blacklist, Wortfilter und CORE.
Trotz relativ wenig Nachtraining (alle 2-3 Monate trainiere ich die CORE mit ein paar neuen Mails) ist die Erkennungsrate sehr überzeugend... false positives liegen bei uns deutlich unter einem Prozent. Und selbst bei denen sind die meisten irgendwelche Newsletter. Und da hat man nunmal das Problem: der eine sieht Newsletter als SPAM, der andre will ihn haben.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: MOD am 17.02.06 - 13:59:52

Was das Thema SPAM angeht: ich bin mit der Wall (haben wir jetzt gut ein Jahr im Einsatz) eigentlich recht zufrieden.

Wir sind auch mit der iQ.Suite zufrieden. Es wird dort jedoch ein anderer Ansatz verfolgt. Bei der iQ.Suite habe ich die Mail bereits im "Hause". Bei einem (unserem) IDS-System wird die Annahme bereits bei einigen Kriterien unterbunden. Und dadurch habe ich weniger Datenmüll in nur einer Datenbank. Die Mails werden einfach abgelehnt.

Zum Thema Virenschutz muss ich sagen, dass zwei verschiedene Virenscanner bei uns in der Firma nicht als doppelter Virenschutz angesehen werden. Wir setzten auch zwei unterschiedliche Virenscanner ein. Ein mehrfacher Virenschutz existiert bei uns nur auf unterschiedlichen Systemen. Daher haben wir nur ein doppelten Virenschutz durch die Nutzung des IDS. Danach gibt es dann wieder einen Virenschutz bei der Auslagerung auf den Client bzw. einem anderen Datenspeicher. Ist halt so und von uns leider nicht zu ändern.

 ;D MOD
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 17.02.06 - 16:16:49
ui nun gehts aber ab ;)

Also ich hab euch mal ein Screenshot von unserem Q-Bricht angehängt.
Zitat
Mal ne Frage zu der Q : Ich verstehe das so, daß ihr mehrere Q-Datenbanken habt. Eine für die Spams und eine für die gefilterten Anhänge ?
Wir haben momentan eine Q-DB und das ist sicherlich nicht die ideale Lösung, wenn wir die für die User freigeben. Dann können wir uns das Filtern von Multimedia-Dateien auch gleich sparen.

Ja das ist einer der Gründe weshalb ich meherere Q's habe und diese Portal lösung nicht einsetze.
Ausserdem hat es auch was mit der grösse der Q zu tun, sie würde schlichtweg zu gross sein.
Filemässig habe ich 2 Q's:
Eine wo Mails landen, z.B.  mails mit vbs' Scripts, die auch nicht rein repliziert wird (der Helpdesk kommt nicht in die DMZ).
Die zweite wo der Helpdesk Mails freisetzen kann.

Und dann noch eine spam Q pro Mailserver. Hätte ich eine grosse, müssten alle User auf meinen Hub Server zugreifen und das will ich nicht ! Ausserdem hätten dann die ausländischen USer auch ein Problem, also repliziere ich die spam-Q für das jeweilige Land auf deren Server und der Bericht zeigt auf diese Q.

Wenn Du willst kann ich den Code ja mal Posten....

Das einzig Blöde daran ist, dass ich für meine Statistiken jede Db seperat öffnen muss um die Einzelwerte dann zu Addieren, aber bei dem Release 9 kann mann ja Original-Q von der Berichts-Q trennen. Aber eins nach dem anderen 6. März ist Notes 7 Update ;)


Zitat
Wir hatten vor ein paar Monaten eine Leihstellung von einer IDS im Hause... mein Kollege vom Netzwerkmanagement war natürlich begeistert und hat gleich vorgeschlagen, alle Mails, die ein .pif oder .scr-File als Attachment haben direkt an der IDS zu filtern und sofort wegzuschmeißen.

Also da währe ich auch Vorsichtig, aber spammer davon abzuhalten Mails abzusetzen, klingt ganz nett.
Aber da bräuchte ich noch mehr Input, damit ich meine FW Kollegen begeistern kann.
Denn "billig" ist ne gescheite IDS ja auch nicht....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 17.02.06 - 17:57:26
Mir fällt grade, wo ich mal unser Mailarchiv durchforste, noch was ein:

Sollte man Mails die nicht dem aktuellen Datum enstprechen, blocken ?

Ich finde hier Mails von 1601  bis 2150....... :-P
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 14.08.06 - 20:23:13

Hat sich einer von euch schon mal mit dem Store Modul beschäftigt?

Klingt ganz nett und wer eine Filearchivierung hat könnte diese mit Nutzen....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 13.09.06 - 07:46:34
führen wir gerade eine zur mailarchivierung...

Weiss eigentlich jemand wo das DCC Pattern abgefragt wird? Ich kann in meiner Konfig nirgends finden, wo und worüber das gecheckt wird?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Driri am 13.09.06 - 09:27:35
Schau mal unter "Utilities" -> "Text Analyzer". Da müßte es einen Eintrag "DCC Analyzer" geben und dort ist als Parameter der/die Server eingetragen.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 27.10.06 - 19:29:39
Was setzt ihr denn so zur Zeit an Antispam bei der Group ein?
Hab diese Woche nen bissel rumgebastelt und bin mit dem Ergebnis sehr zufrieden.

Wenn jemand infos zu dem Store dingens braucht, dann gerne... die bauen das Ding gerade für uns so um wie es später mal aussehen soll.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 29.10.06 - 13:14:08

Alles was geht  ;) :-P

Siehe weiter oben.....

Was setzt ihr denn für eine Archivlösung ein?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 02.11.06 - 15:03:32
für die user oder für das unternehmen gesamt ?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 06.11.06 - 16:04:13

Ok die Frage anders gestellt:

Wohin archiviert das Store?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 21.11.06 - 22:06:10
ins tsm und von dort auf band bzw. auf eine dr550
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 15.12.06 - 17:42:55
also ich bin durch mit 3 anbietern und tests.

wenn jemand interesse hat bzw auch mails archivieren muss aus compliance sicht, dann gerne anfragen! Scheint so als wären wir mal wieder die ersten in deutschland, die sowas machen.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 15.12.06 - 21:20:35
Zitat
also ich bin durch mit 3 anbietern und tests.

hab erst 2, das Store und den Mail/Diskextender.
Nun wird noch eine Lösung  Domino Storage Optimizer Angeschaut.
Ein interessanter Ansatz denn der User bemerkt nix und es ist keine Anpassung an der Schablone notwendig.

Wobei ich eigentlich gar nicht Archivieren will, lediglich auslagern.....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 18.12.06 - 13:13:32
gehts bei dir um user archivierung oder um compliance archivierung?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 18.12.06 - 14:35:21
gehts bei dir um user archivierung oder um compliance archivierung?


Ach diese Begrifflichkeiten ;) wir reden bei uns von HSM (Historical Storage Management)
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 18.12.06 - 15:31:45
ok, das heisst dann wohl soviel wie mails von maildbs auslagern. Die user erhalten nach wie vor zugriff auf diese alten mails, du hast allerdings den bonus, dass die maildbs nicht krachend voll sind und du platz auf dem server sparst.
Das wäre dann wohl der useransatz. Mir geht es vielmehr um die Archivierung aller mails, die evtl. den Wirtschaftsprüfern vorgelegt werden müssen.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 18.12.06 - 16:09:41
Zitat
Mir geht es vielmehr um die Archivierung aller mails, die evtl. den Wirtschaftsprüfern vorgelegt werden müssen.

Ja da haben wir 2 unterschiedliche Anforderungen.


Zitat
Mir geht es vielmehr um die Archivierung aller mails,...
Das löse ich schon seit geraumer Zeit über das Modul Safe in kombination mit Nscale.....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 18.12.06 - 16:23:59
ja schon, dann hast alle in einem topf. irgendwann is die db so groß dass sie platzt. (geht ja recht schnell, je nach mailaufkommen)
wo archivierst du hin bzw. raus?

und was machst du mit nscale?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 18.12.06 - 17:38:16

Das Safe befüllt nur die Notes Db, das Nscale portiert dann dies Mails in eine WORM und hinterlässt nur noch die Rümpfe in der Notes DB.... Im Prinzip genaus das gleiche was die anderen Anbieter auch machen.

Da wir Nscale schon im Einsatz hatten lag es natürlich nahe deren Lösung einzusetzen.
Hätte es damals schon das Store gegeben, dann hätte ich vielleicht das zum Einsatz bringen können....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 15.05.07 - 18:14:16
Hat schon jemand die Sasi am laufen?

Meine ersten Tests mit ihr waren noch nicht so doll ???
Unsere Core erkennt 1/4 mal mehr Spam als die Sasi, das sollte doch so nicht sein....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 21.05.07 - 19:50:30
jop hab schon seit Ende Oktober letzten Jahres laufen. Funzt 1A.
Was für ne False Positive Rate habt ihr bei der Core?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 22.05.07 - 14:12:40
ca. 1% bei ca 400.000 Erkannten....

Es is nur schwierig den Usern zu erklären warum eine Mail mit einem Link und einem pdf nun als Spam erkannt wird.....während eine 100%  Spam mail dann durchkommt...
Meine Sorge ist nur, dass wenn ich an meiner Core noch mehr schraube, sie zu scharf wird.

Selbst wenn ich die Sasi zwinge auf "false positives" als Spam zu erkennen (20% -   49%               SPAM-LOW) dann erkennt Sie immer noch viel weniger.
Finde ich verblüffend...
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 23.05.07 - 10:36:54
auf was für einem wert läuft denn deine sasi?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 23.05.07 - 11:26:15
Die beiden oberen, also ab 50% soll sie Filtern... (Medium und High)

P.S.: Muss wohl ne gute Core haben ;D ;)
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 23.05.07 - 13:47:33
Kategorie    -  Schwellenwert für Kategorie
SPAM  -  80

Also ich hab den auf 80 stehen, somit filtert er dir wirklich nur dreck raus und das sind bei uns würd ich mal sagen so um die 70% der eingehenden Spams. Danach noch den DCC, der ebenfalls keine false positives wie die Sasi erzeugt. Dann kommt noch nen autolearn core job, der relativ hart eingestellt ist, um die mailboxen spamfrei zu halten. Hat einige false positives, aber der Spamreport ist sehr klein und übersichtlich, da DCC und SASI direkt in eine eigene Quarantäne fliessen und nicht im Report aufgezeigt werden.

Zu deiner Core: Die core ist nur so gut, wie sie die spamboxen freihält und die false positive rate drunten ist. Unsere false positive rate liegt bei 0,3%
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 24.05.07 - 09:25:15
Zitat
... das sind bei uns würd ich mal sagen so um die 70% der eingehenden Spams....


Aha, Du bestätigt doch nur meine Erfahrung! Wenn Sophos von sich selber behauptet, 97% Spam mit PureMessage zu erkennen, dann verstehe ich nicht, dass die Erkennungsrate der Sasi so weit darunter liegt....

Der DCC erzeugt schon false positives = Newsletter, aber das ist Ansichtssache....

Aber so wie Du das machst, klingt auch interressant. Die von der Sasi als 100% erkannten gar nicht in die User Q zu schiebeben......da muss ich "nur" noch die Core neu lernen lassen.....

Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 24.05.07 - 15:43:59
jau 2 quarantänen machen und die sasi und den dcc in die eine die praktisch 100% keine false positives erzeugt und in die andere den Core und den Spamreport drauf. Ich würde sagen mit der Technik schrumpfst du den Report um 50% und die User werden es dir danken nicht mehr über jeden blödsinn zu gucken. Die 100% Quarantäne kannst dann ja unten im Report verlinken, falls doch jemand mal reinschauen will.

Der größte Nachteil der Group Suite finde ich halt, dass man auf Protokoll Ebene mit der Software nichts machen kann. Wir hatten letztens Ironport im Haus und ich muss echt sagen, die Demo hat mir super gefallen. Da hat sich ordentlich was getan in der Richtung.

BTW Core: ich lass meine Core automatisch lernen. Die Lernerei hat mich echt als angekotzt...
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 24.05.07 - 16:49:13
Zitat
Der größte Nachteil der Group Suite finde ich halt, dass....
Stimme ich Dir zu, wobei ich immer noch denke, das Group es schaffen sollte hier einzugreifen.
Der Server kanns ja schliesslich auch....(Mail Rules)
Bisher nutze ich hier Domino Bordmittel und die Statistiken wiegen mich in einem sicheren Gefühl ;) 8)
1.4 Mio Mails/Monat werden nicht zugestellt (Bordmittel + Group) :-P Das halte ich für Aktzeptabel....



Zitat
BTW Core: ich lass meine Core automatisch lernen. Die Lernerei hat mich echt als angekotzt...
Du wirst lachen, aber nach dem Motto weniger ist mehr, haben wir unsere Core erst 5x in 3 Jahren etwas beigebracht.
..und darum ist es noch erstaunlicher, dass sie besser als die Sasi ist...
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Christopher am 08.07.07 - 19:56:09
Hallo Leute, ich habe auch seit einiger Zeit IQ Suite im Einsatz ... aber so toll finde ich das Produkt ehrlich gesagt nicht bzgl. Wall

Wie kann ich eigentlich mehrere DCC Server verwenden? Irgendwie scheint das bei mir nicht zu funktionieren .... :'(

Danke für Eure Hilfe
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 09.07.07 - 11:55:58
Zitat
Wie kann ich eigentlich mehrere DCC Server verwenden?

Aus der Hilfe des DCC Analyzers:
Konfiguration:
Der Analyzer unterstützt auch Benutzername und Passwort unter Settings --> Parameter "username", "password". Werden die beiden Parameter nicht gesetzt,  so werden die Anfragen an den DCC-Server anonym gestellt.  Eine weitere Konfigurationsoption ist der Servername.  Anfragen werden an UDP-Port 6277 des DCC-Servers gesendet, Antworten kommen vom UDP-Port 6277 dieses Servers.
HINWEIS: Hinter manchen DNS-Namen, wie zum Beispiel "dcc1.dcc-servers.net", stehen mehrere Server mit unterschiedlichen IP-Adressen.  Dies sollte bei der Firewall-Konfiguration berücksichtigt werden.


Ich habe da nie etwas dran verändert und es funktioniert bis heute...



P.S.:
Zitat
aber so toll finde ich das Produkt ehrlich gesagt nicht bzgl. Wall

Es war und ist kein "out of the Box" Produkt.
Es ist eine Sache der konfig!!! und zwar zu 90% !!!

Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Christopher am 09.07.07 - 12:28:18
Hallo Dirk, Danke für Deine Antwort so funktioniert es bei mir auch aber ich wollte ganz  gerne noch zusätzliche DCC Server verwenden das scheint aber nicht zu gehen  :-:

    * dcc1.dcc-servers.net
    * dcc2.dcc-servers.net
    * dcc3.dcc-servers.net
    * dcc4.dcc-servers.net
    * dcc5.dcc-servers.net
    * rzsun01.uni-trier.de
    * dcc.etherboy.com
    * dcc1.umr.edu
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Driri am 09.07.07 - 12:51:24
Du wirst vermutlich für jeden Server einen eigenen Text Analyzer + zugehörigem Job aufsetzen müssen.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Christopher am 09.07.07 - 12:53:27
Ja so habe ich mir das auch gedacht hat leider nicht funktioniert .... IQ scheint wohl nur mit einem DCC arbeiten zu können schade eigentlich.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 09.07.07 - 13:03:05
Die Liste hast Du von WIKIPEDIA, gelle? ;)

Wenn ich richtig liege stehen hinter dcc1.dcc-servers.net nur europäische Server.
Hinter den anderen nicht ungedingt.
Es macht ja keinen Sinn einen DCC Server in Australien abzurufen ;)
Und wenn der Server der Uni Trier mal nicht da ist, was dann?
Diese Gedankengänge sind schon 3 Jahre her..


Aber, da die Server sich eh unternander abgleichen, benötigst Du nicht alle.
dcc1.dcc-servers.net sollte reichen.

P.S.:
Zitat
Du wirst vermutlich für jeden Server einen eigenen Text Analyzer + zugehörigem Job aufsetzen müssen.
Sehe ich auch so...

Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 10.07.07 - 08:41:57
abgesehen davon taugt der dcc schon seit ca. 1 Jahr nicht mehr so sehr...
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Christopher am 10.07.07 - 08:44:47
Was für einen DCC verwendet Ihr? Also bei uns fängt der DCC recht viel Müll ab ....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 10.07.07 - 09:29:37
abgesehen davon taugt der dcc schon seit ca. 1 Jahr nicht mehr so sehr...

Welche Filter sitzen denn vor dem DCC Job oder stimmt gar eine Auswahlregel nicht mehr?


DCC macht bei mir konstant ca. 25% der erkannten Mails aus.
Es wird wohl zukünftig weniger, da die SASI davor liegt.
DCC war nach dem Wortfilter bisher an 2. Stelle.....
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 10.07.07 - 09:45:32
naja wenn du die sasi davor hast, dann sollte der dcc eigentlich noch weniger finden. Die Sasi bringt zwar einiges weg, aber manchmal frag ich mich echt wieso das ein oder andere Mail ständig und dann wochenlang nicht in die Patterns eingepflegt wird...
Ich bin ja schon in freudiger erwartung der ersten richtigen pdf spamwellen...

Wir sind momentan dabei andere Antispam Systeme zu evaluieren. Selbst die Group merkt mittlerweile, dass die Spamgeschichte ihnen über den Kopft wächst und sie da nicht mehr wirklich Herr der Lage sind. Die werden in sehr naher Zukunft ankündigen, dass sie eine Kooperation antreten.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: Christopher am 10.07.07 - 09:59:49
Na ja wir haben vor dem MailServer eine Astaro Firewall geschaltet wir werden bestimmt irgendwann mal das Astaro SPAM PlugIn testen, mal sehen was das so bringt. Der SMTP läuft super und hat so einige Funktionen die Notes nicht hat. z.B. USE Smarthost, Greylist usw.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 10.07.07 - 11:46:21
na wenn das ding eh schon gut funktioniert sollten ja gar nicht mehr soviel mails auf deiner mailbox aufschlagen. Genau hier haben wir auch das hauptproblem der Group, die erst an der mailbox ansetzen kann wenn dort 2000 spammails eintrudeln.
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: hallo.dirk am 13.07.07 - 14:53:35
Zitat
Ich bin ja schon in freudiger erwartung der ersten richtigen pdf spamwellen...

And the winner is:

DCC ;D :D
Der erkennt die PDF's schneller als die SASI



P.S.: Ich hab mir mal die Statistiken der Standorte angeschaut (der DCC liegt vor der Core):
Der DCC liegt am an der Menge gemessen immer so zwischen 20 und 30 Prozent
Ausser Indien da liegt er immer bei 60%  ??? ???
Was bekommen die denn für komische Mails....


Zitat
na wenn das ding eh schon gut funktioniert sollten ja gar nicht mehr soviel mails auf deiner mailbox aufschlagen. Genau hier haben wir auch das hauptproblem der Group, die erst an der mailbox ansetzen kann wenn dort 2000 spammails eintrudeln.

Irgendjemand hat doch genau dafür mal ein IDS System davorgeschaltet...

 

Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 14.07.07 - 15:41:46
ja dafür extra nen ids zu nehmen find ich persönlich nen bissel übertrieben.

Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 17.07.07 - 19:26:48
by the way: was haltet ihr eigentlich davon Spam und Virencheck aus der Firma outsourcen und von einer Firma (z.B MessageLabs) machen zu lassen? Als MX records auf deren Server ändern und die checken dann die mails und schicken nur noch die sauberen Mails rüber?

Was habt ihr dazu für eine Meinung?
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: WernerMo am 17.07.07 - 19:38:44
hallo

mail ist sehr unternehmenskritisch vgl. nur die Diskussion um Blackbarry,
da scheint mir die komplette umleitung an eine Dienstleiter sehr fragwürdig.

Unser Firmenpolitik würde das nie zulassen und ich stehe hinter dieser Regel.

Aber wie ich aus verschiedenen Einträgen im Log sehe nutzen viele Firmen diesen oder ähnliche Dienstleister.

Gruß Werner
Titel: Re: @ all IQ Suite Nuzter
Beitrag von: blizzard am 19.07.07 - 10:47:44
ja sehe ich genauso. Ich such nur nen paar schlagkräftige Argumente dagegen um meinem Oberchef das auszureden. Also wenn jemand noch mehr Punkte hat immer nur her damit. ;)