|
|
|
Экспертная оценка работы SecurityGateway
|
Статья: SecurityGateway для Exchange/SMTP серверов
Источник: журнал IT-administrator.de
Издано: Октябрь 2008 г.
Автор: Сандра Люцифора
Объект тестирования: Alt-N Technologies SecurityGateway
Большая часть рабочего времени системных администраторов уходит на удаление нежелательных писем и сообщений. Вирусы, фишинг и спуфинг-программы являются прямой угрозой работе почтовых серверов. Чтобы увести почтовые серверы «с линии огня» и уничтожить спам-сообщения еще до того, как они попадут на сервер, единственно верным решением будет использование SMTP шлюзов, например, SecurityGateway for Exchange/SMTP от компании Alt-N Technologies. В ходе нашего тестирования мы определим, действительно ли эта программа может отличить «хорошие» сообщения от «плохих» и в состоянии ли она защитить почтовый сервер.
Электронная почта переадресовывается с одного SMTP сервера на другой. Чтобы такая система работала без перебоев, SMTP сервер должен быть постоянно связан с Интернет через 25-й порт. Если же этот сервер также обрабатывает POP3 сообщения или целиком сохраняет все сообщения, то риск спам-атак и взлома почты растет в геометрической прогрессии. Установка отдельного SMTP шлюза является оптимальным решением, если вы хотите продолжать получать почту напрямую и при этом оставить основной почтовый сервер в локальной сети. Только SMTP шлюз должен быть напрямую связан с Интернет и работать в качестве внешнего сервера. Кроме того, SMTP шлюз сканирует входящую почту и фильтрует ее на наличие спам-сообщений и вирусов.
Именно такие функции и предлагает программа SecurityGateway от компании Alt-N Technologies. SecurityGateway получает письмо, проверяет его, используя целый ряд механизмов, и если оно соответствует всем критериям, пересылает его на основной почтовый сервер. Преимущества такого типа работы очевидны: шлюз может быть интегрирован в существующую почтовую систему, не зависимо от ее названия и марки, а системному администратору не придется адаптировать настройки существующего почтового сервера.
Установка и настройка
Завершив процесс установки, для начала мы занялись выбором метода проверки. Исследуя эту функцию, мы обнаружили первое преимущество шлюза, поскольку эта опция позволяет определить заранее, для каких получателей шлюз пропустит почту в первую очередь. Список получателей можно установить вручную прямо на шлюзе. Однако чаще всего получатели уже определены. При установке программы на большом количестве пользовательских компьютеров и для того, чтобы администратор не занимался лишней работой, этот метод проверки базируется на данных, полученных с Active Directory, Exchange сервера или любого другого LDAP сервера. Если же используется другое программное обеспечение, то опция “SMTP call forward verification” (Прямая проверка SMTP запроса) позволяет не утруждать себя ручными настройками. Благодаря SMTP протоколу, эта опция проверяет каждое входящее сообщение на предмет того, имеет ли получатель почтовый ящик на основном сервере.
После того, как мы определились с установкой почтовых доменов и методом проверки, мы определили также IP адрес (или имя хоста), а также почтовый сервер, который должен был получать сообщения после их проверки. Кроме того, мы определили рабочий SMTP порт. Это важная установка, если SecurityGateway и почтовый сервер работают на одном сервере, поскольку в этом случае оба сервиса будут работать через 25-й порт с одним и тем же IP адресом, что может помешать некоторым операциям сервера. Таким образом, нам пришлось установить основной SMTP сервер на другой порт, например, номер 10025. В результате шлюз сможет принимать исходящую почту через 25-й порт, сообщения будут сканироваться и перенаправляться на Exchange сервер с портом 10025. При такой конфигурации важно настроить основной почтовый сервер именно таким образом, поскольку он может принимать почту только с одного IP, через один шлюз и применяет SMTP авторизацию. Всё это является гарантией того, что сервер не будет использоваться в качестве ретрансляционного сервера спам-программами. Эти шаги завершают установку программы, и дальше мы приступаем к использованию ее сервисов.
SecurityGateway предлагает пользователям свой собственный Веб интерфейс для управления программой, работающий с собственного Веб сервера в качестве альтернативы существующему IIS. Данный интерфейс совместим со всеми популярными Веб-браузерами. Если проверка разрешенных получателей проводится не через Active Directory – Exchange, то нужно будет всего лишь ввести домены разрешенных получателей. Кроме того, программе нужно «сказать», на каком сервере необходимо производить авторизацию почтовых ящиков и на какой отправлять почту. Во время нашего теста мы испытывали несколько разных серверов трафика с различными именами доменов.
Многоуровневая система защиты
Меню безопасности SecurityGateway подразделяется на следующие секторы: «Спам», «Вирус», «Спуфинг», «Атака». Базой функционала антиспам-приложения является известная программа “SpamAssassin”, приложение работает на базе эвристических законов и по принципам байесовской фильтрации. Программа может использовать либо встроенное устройство SpamAssassin, либо его самостоятельную версию. Преимуществом работы SecurityGateway в этой области является то, что SpamAssassin может быть установлен и настроен централизованно для нескольких шлюзов. «Черный список» DNS пополняется автоматически с сайтов “spamhaus.org” и “spamcop.net”, вы можете самостоятельно добавлять другие базы данных. Черный список URL добросовестно выполняет свои обязанности обнаружения спама, базируясь на URIBL.
«Серые списки» - эффективная защита от спама
Занесение в серые списки – это одна из самых популярных и современных функций спам фильтров. Однако эта опция периодически вынуждает SecurityGateway блокировать электронные письма неизвестных отправителей. Если письмо было отправлено повторно (а обычно SMTP серверы настроены именно на такой режим и действую в соответствии с RFC), то оно должно дойти до адресата. Спам-программы обычно не совершают повторных отправлений, поскольку не получают уведомлений об отказе в получении. После второй и успешной попытки SecurityGateway распознает почтовый сервер, придает ему статус «легитимного» и сохраняет эти данные в локальной базе данных. Если SecurityGateway снова получает сообщения с того же домена или с почтового сервера, который уже был проверен ранее, они проходят без проверки.
Приложение Clam AntiVirus сканирует почту на вирусы. Kaspersky дополняется приложением ProtectionPlus для защиты системы от вредоносных сообщений. Мы имеем возможность вручную задавать время и интервалы обновлений (например, раз в час или раз в день), это дело выбора.
У спуфинг-программ, имитирующих соединение или пытающихся получить доступ путем обмана системы, нет шансов
Спуфинг – это попытка почтового сервера скрыть свои истинные данные, например, фальсифицируя IP адреса. У SecurityGateway имеется несколько средств для досрочного определения данных отправителя. Это и реверсивный просмотр, и проверка DKMI, и SPF, и проверка ID отправителя каждого письма. Спам-сообщения часто приходят без данных в строке «отправитель». Если отправитель не может быть проверен по этой причине, то шлюз просто не пропустит такое письмо.
Мы также выбрали опцию защиты от писем, отправляемых с ретрансляционных серверов (т.е. в большинстве случаев со Спам серверов), определив список разрешенных адресов отправителей. Кроме того, эта функция SMTP аутентификации является дополнительным барьером для неправомерного использования почты.
Более того, мы можем вручную настраивать фильтры на работу с содержанием или приложениями писем. В ходе нашего теста мы, например, выбрали опцию блокировки видео файлов и опцию перемещения в зону карантина для аудио файлов. Эти установки могут применяться как для всех доменов, так и для выборочных. «Защитную оболочку» системы также усиливают «белые» и «черные» списки, вводимые автоматически или вручную, а также списки доменов, адресов и IP.
Сканирование исходящих сообщений повышает уровень безопасности
Осуществляется мониторинг не только входящего, но и исходящего трафика. Предпосылкой к использованию этой функции стало то, что мы настроили почтовый сервер на передачу почты не через ведущий хост, а только через SecurityGateway.
Gateway анализирует исходящий трафик и многое принимает к сведению. Классическими примерами может быть использование слов «sex» и «Viagra» в теле письма. По получении, письмо, содержащие эти слова, классифицируется как спам и изолируется. Однако, вполне возможно, что эти слова могут быть частью каждодневной деловой переписки, например, между фармакологическими компаниями или в сферах торговли, связанных с эротическим содержанием. Когда программа получает ваши критерии работы с подобными словами, она подстраивается автоматически. Это также касается отправителей, чьи домены или почтовые серверы по какой-то причине оказались в черном списке. Шлюз обычно не пропускает такую почту. Однако, если программа распознает из исходящего трафика, что некоторые письма отправляются на домены из черного списка, то вы обязательно получите ответ с этого домена без каких-либо препятствий, так как SecurityGateway «сделает вывод».
Беспрецедентный уровень обнаружения спама
В ходе тестирования, мы использовали обычный почтовый Веб сервис, чтобы время от времени получать спам и инфицированные письма. Также мы подписались на обновление черных списков на сайте spamhaus.org. Подготовившись таким образом, мы в течение нескольких недель могли получать как реальные, так и спам письма, тестируя эффективность выбранной платформы. Ни одно подозрительное, спам или инфицированное письмо не попало в наш почтовый ящик без предварительной проверки в карантинной зоне. Только в случае, когда мы добровольно отвечали на то или иное письмо, программа признавала домен адресата и пропускала его письма.
Как было сказано выше, дополнение ProtectionPlus расширяет возможности защиты SecurityGateway и приложения Kaspersky AntiVirus. Надо признать, что приложение ClamAV также ни разу не ошибалось с обнаружением инфицированных сообщений во время нашего теста, однако, сравнивая его с ProtectionPlus, очевидно то, что ClamAV не совсем готов к обнаружению новейших вирусов и немного отстает в «знании». Когда дело касается поиска сигнатур вирусов, Kaspersky AntiVirus показал себя с лучшей стороны.
Выводы
Как правило, использование SMTP шлюза имеет смысл тогда, когда требуется усилить систему безопасности почты Спам и Антивирус фильтрами, или если необходимо переместить почтовый сервер из DMZ сети. Во время нашего многонедельного тестирования SecurityGateway не показал ни одного слабого места и эффективно блокировал спам, вирусы и фишинг-сообщения. Функция получения информации из исходящего трафика начала действовать после нескольких сот отправленных сообщений. Т.е. для корректной работы некоторых функций требуется время и дополнительная конфигурация. Если установки защиты слишком «жесткие», вы можете потерять важную почту. По этой причине в течение первых недель использования нужно регулярно просматривать правила и лог-файлы, адаптируя их под ваши требования. В отличие от принципов работы брандмауэров – не пропускать ничего изначально, а затем постепенно выпускать письма через отдельные порты – программа SecurityGateway предлагает вам положиться на заданные конфигурации, а затем постепенно начать их наладку, в зависимости от ваших требований.
Те, кто выбрал минимальный пакет на 10 пользователей, смогут получать почту через Интернет провайдера с помощью POP3. Это возможно благодаря дополнительной соединительной опции POP3. Программа SecurityGateway может быть установлена очень быстро, ее функционал также настраивается моментально, и кроме того SecurityGateway экономит средства пользователей. Все расходы на программу быстро окупаются.
Оценки функционала SecurityGateway по 10 бальной шкале
Надежность фильтров – 10
Настройка фильтров под определенные требования – 8
Соответствие определений требованиям времени – 8
Время и затраченные усилия на конфигурацию – 8
Время и затраченные усилия на управление программой – 9
Эта программа…
Идеально подходит для защиты существующих почтовых систем, базирующихся на Exchange и Active Directory.
Частично подходит для защиты меньших почтовых систем, не базирующихся на Active Directory, использующих LDAP сервер или SMTP проверку.
Не подходит для использования на отдельном компьютере.
Подсказки
Жесткий диск с высокой скоростью
Поскольку SecurityGateway работает в основном с жестким диском, движение почты может быть оптимизировано с помощью разделения жестких дисков под базу данных и лог файлы.
Отправка почты при наличии динамических IP
Пользователи, не использующие внутренний почтовый сервер и MX, или использующие динамические IP адреса, могут создать дополнительные внешние почтовые ящики через POP3 соединительную опцию. Тогда почта будет перенаправляться программой через SMTP протокол. Для этих целей идеально подходит бесплатное решение PullMail, которое можно скачать на многих ресурсах в Интернет.
Системные требования
Системные требования для SecurityGateway зависят от объема почтового трафика. Для среднего объема трафика на 10-25 пользователей производитель предлагает следующие минимальные требования системы: Microsoft Windows 2000, XP, Vista или Server 2003, платформа Pentium 4, 512 MB RAM (лучше 2 Гб), NTFS раздел с 500 Мб свободного места. Пользователь должен иметь один из следующих браузеров: MSIE 6.0, Firefox 1.5, Opera 8.5, Safari 3.0, также Adobe Flash Player 8 и выше.
Мы тестировали Gateway на машинах, работающих с VMWare и Windows Server 2008 в качестве операционной системы.
|
|
|
|
