GFI MailEssentials – защиты почтового сервера Exchange и SMTP-шлюза от вирусов, спама и фишинга

GFI MailEssentials: почта под защитой

Продукт MailEssentials защищает серверы Microsoft Exchange и другие системы электронной почты на базе SMTP от спама и вредоносных программ. В статье рассказывается о том, что он собой представляет и чем может быть полезен для организаций. 

 

 

 

 

 

1. Введение

2. Механизмы защиты от спама

3. Защита от фишинга

4. Защита от вредоносных программ

5. Отчеты

6. Инсталляция и интеграция с Microsoft Exchange Server

7. GFI MailEssentials 20: что нового?

8. Выводы

 

 

Введение

GFI MailEssentials знаменит тем, что обеспечивает высокую точность фильтрации спама. Это достигается благодаря применению методов байесовского анализа и других технологий идентификации спама. Согласно оценкам, GFI MailEssentials блокирует более 99% спама и при этом демонстрирует рекордно низкий уровень ложных срабатываний, что достигается за счет применения автоматически обновляемых белых списков. Решение также обеспечивает распознавание и фильтрацию фишинга, для чего используется специальная база данных фишинговых ресурсов и поиск по ключевым словам. 

MailEssentials быстро устанавливается на почтовый сервер предприятия или шлюз электронной почты и практически не требует дополнительной настройки. Таким образом, защита от спама и фишинга реализована на уровне почтового шлюза. Следовательно, можно отказаться от дорогостоящего развертывания и сопровождения систем защиты электронной почты на рабочих станциях предприятия, не понадобится обучать пользователей специфике борьбы со спамом и регулярной настройке правил фильтрации, почтовый мусор не будет захламлять дисковую подсистему сервера электронной почты. 

Более того, GFI MailEssentials гибко адаптируется к особенностям почтовых потоков предприятия без вмешательства администратора и предлагает целый ряд полезных функций управления сообщениями на уровне сервера: автоматическую вставку текста в тело сообщения, средства мониторинга и анализа использования системы электронной почты, сервер рассылок, функции автоответа и загрузку сообщений из многопользовательского почтового ящика провайдера по протоколу POP3. Например, функция автоответа наряду с обычным ответом позволяет использовать настраиваемые шаблоны и добавлять вложение. 

 

Механизмы защиты от спама

Технология байесовской фильтрации и анализ признаков

По данным исследований, байесовская фильтрация лидирует по точности распознавания спама, обеспечивает высочайшую точность фильтрации — более 98%. Она значительно опережает методы идентификации на основе сигнатур и ключевых слов. В ней используются вероятностные методы оценки на основе найденных характерных признаков — слов и словосочетаний. GFI MailEssentials рассчитывает вероятность того, что сообщение является спамом, по сложной формуле и использует наборы характерных признаков. 

 

Рисунок 1. Многочисленные возможности фильтрации спама в GFI MailEssentials

Многочисленные возможности фильтрации спама в GFI MailEssentials

 

Рисунок 2. Настройка правил фильтрации

Настройка правил фильтрации

 

Рисунок 3. Настройка действий при фильтрации почты

Настройка действий при фильтрации почты

 

Продукт детально анализирует служебные поля электронных писем и идентифицирует подделанные заголовки, попытки сокрытия IP-адресов, спам-мутации, фальсифицированные домены и другие признаки спама. 

Движок защиты от спама дополняется настраиваемым движком фильтрации контента по ключевым словам и типам вложения, включая возможность запрета распаковки файлов ZIP. 

Полезное средство — SpamTag, плагин для Microsoft Outlook, который позволяет пользователям участвовать в донастройске продукта, помечая прошедший фильтры спам прямо из интерфейса Outlook. Он также создает в Outlook кнопку для доступа пользователя в карантин — не нужно запоминать, как туда попасть. Он просто нажимает кнопку и видит отправленные ему заблокированные письма.

 

Рисунок 4. Настройка SpamTag

Настройка SpamTag

 

В числе других усовершенствованных механизмов защиты от спама — SpamRazor, использующий «отпечатки» почтовых сообщений для выявления распространенного спама и списки блокировки URI DNS для проверки подозрительных сообщений.

GFI MailEssentials может обновлять набор характерных признаков спама, обращаясь к сайту GFI, что позволяет оперативно адаптировать систему к изменению особенностей распространения спама и успешно противостоять новым уловкам мастеров массовых рассылок. Специалисты GFI непрерывно совершенствуют байесовские базы данных в сотрудничестве с ведущими организациями по сбору и изучению спама.

Набор «плохих» признаков регулярно обновляется специалистами GFI и загружается GFI MailEssentials из интернета. Байесовский фильтр GFI MailEssentials формирует набор признаков «плохих» и «хороших» сообщений, анализируя содержимое соответствующих общих папок. Для повышения точности распознавания спама пополнять эти папки наряду с администраторами могут также пользователи системы, которым предоставлены необходимые права доступа.

Защита от подбора электронных адресов

Иногда спамеры рассылают письма по случайно сгенерированным адресам почтового домена предприятия. GFI MailEssentials сверяет адреса получателей по базе данных Active Directory или каталога LDAP, и если число неверных адресов превышает установленное значение, оно помечается как спам.

Анализ почтовых сообщений предусматривает также проверку того, что письмо, полученное от имени той или иной организации, было отправлено с уполномоченного ею почтового сервера. Эту функцию выполняет модуль Sender Policy Framework (SPF).

Белые и черные списки

Руководствуясь белыми списками, GFI MailEssentials пропускает почту от заданных отправителей или почтовых доменов. Поскольку эти списки автоматически пополняются адресами получателей исходящих писем, значительно снижается уровень ложных срабатываний (false positives). Белые списки могут также формироваться с использованием доменных имен, индивидуальных адресов электронной почты и ключевых слов.

Наконец, GFI MailEssentials проверяет содержащиеся в письме электронные адреса по базам данных рассылающих спам сайтов (Spam URI Realtime Blocklists, SURBL). Администратор может самостоятельно задавать серверы SURBL и определять порядок их использования. В процесс можно вовлечь и пользователей, предоставив им доступ к общим папкам, с помощью которых в GFI MailEssentials выполняется настройка черных и белых списков. 

GFI MailEssentials поддерживает также черные списки сторонних организаций и сообществ, таких как ORDB, SpamHaus и Spamcop. Кроме того, администратор может самостоятельно указать серверы, предоставляющие услуги черных списков.

 

Рисунок 5. Настройка списков

Настройка списков

 

Серые списки

Еще один метод защиты от спама — это так называемые серые списки. Он особенно эффективен, поскольку исходит из того, что программное обеспечение спамера не следует тем же правилам, которые действуют для обычного сервера электронной почты. Движок сообщает почтовому серверу, что нужно «попробовать снова». Со второй попытки сообщение будет принято, и последующие почтовые сообщения от этого отправителя движок будет пропускать. В целом на время доставки электронной почты это влияет мало, но может существенно помочь в защите от спама. 

Куда девать спам?

GFI MailEssentials предлагает гибкие возможности обработки подозрительных сообщений, классифицированных как спам. Можно задать автоматическое удаление таких сообщений, перемещение в специальную общую папку, пересылку по указанному электронному адресу или перенос в папку для подозрительных сообщений в почтовом ящике адресата, чтобы избежать потери электронных писем, ошибочно отнесенных к спаму. При этом настройка действий может быть произведена индивидуально для каждого фильтра.

Наконец, GFI MailEssentials создает в почтовом ящике пользователя специальную папку New Senders и помещает в нее сообщения, не попадающие в категорию спама, но полученные от корреспондентов, с которыми пользователь прежде не контактировал.

 

Защита от фишинга

Для защиты от фишинг-атак GFI MailEssentials ищет содержащиеся в почтовом сообщении ссылки на веб-сайты по базе данных фишинговых ресурсов PURBL (Phishing URI Realtime Blocklist). В случае совпадений письмо блокируется. 

Модуль антифишинга в GFI MailEssentials выявляет и блокирует угрозы не только по базе данных фишинговых URL, которая постоянно обновляется: для дополнительной защиты каждое почтовое сообщение проверяется на соответствие ключевым словам. 

 

Защита от вредоносных программ

Для защиты от шпионских программ и вирусов GFI MailEssentials применяет целый арсенал технологий, включая несколько антивирусных движков, а также другие средства, созданные специально для защиты от атак через системы электронной почты, такие как анализ эксплойтов, сканер троянов и выполняемых файлов и очистка HTML для удаления опасного содержимого вроде JavaScript.

 

Рисунок 6. Очистка HTML

Очистка HTML

 

Рисунок 7. Настройка антивирусных движков

Настройка антивирусных движков

 

Рисунок 8. Настройка политик антивирусного сканирования почты

Настройка политик антивирусного сканирования почты

 

Всего же MailEssentials включает пять антивирусных движков — VIPRE, BitDefender, Kaspersky, Avira и McAfee. Каждый из них автоматически обновляется. В стандартной конфигурации GFI MailEssentials поставляется с движками VIPRE и BitDefender, остальные можно добавить при необходимости. Например, опционально GFI MailEssentials позволяет проверять почту антивирусным движком Kaspersky со встроенной базой данных сигнатур рекламных и шпионских программ, известных троянов. 

Как показывает практика, разные антивирусные ядра защищают от разных угроз. Это отчетливо видно на снимках экрана одного из российских пользователей продукта:

 

Рисунок 9. Троян, пойманный движками Kaspersky и BitDefender

Троян, пойманный движками Kaspersky и BitDefender

 

Рисунок 10. Троян, пойманный движком Kaspersky

Троян, пойманный движком Kaspersky

 

Рисунок 11. Троян, пойманный движками Kaspersky и BitDefender

Троян, пойманный движками Kaspersky и BitDefenderТроян, пойманный движками Kaspersky и BitDefender

 

Рисунок 12. Vipre поймал HTML-эксплойт

Vipre поймал HTML-эксплойт

 

Карантин настраивается достаточно тонко, можно дать доступ до индивидуального карантина для каждого пользователя. В случае распределенной установки продукта в сети карантин синхронизируется между копиями продукта.

 

Рисунок 13. Настройка карантина для вредоносных программ

Настройка карантина для вредоносных программ

 

Отчеты

Встроенные средства формирования отчетности позволят проанализировать интенсивность и характер использования корпоративной электронной почты, а также проконтролировать эффективность системы фильтрации спама.

 

Рисунок 14. Отчеты GFI MailEssentials

Отчеты GFI MailEssentials

 

Рисунок 15. Сводная статистика по заблокированной почте

Сводная статистика по заблокированной почте

 

Инсталляция и интеграция с Microsoft Exchange Server

Типичная инсталляция GFI MailEssentials — сервер Windows Server с сервисом SMTP и MailEssentials, либо сервер Exchange с MailEssentials. Последняя версия MailEssentials нацелена на средние и крупные организации: развертываемая конфигурация может быть кластерной с возможностью репликации и централизованной отчетностью. Такой вариант подойдет заказчикам с несколькими серверами Exchange, которые не хотят использовать облачные сервисы антиспама, либо это противоречит корпоративной политике.

При установке на сервер Microsoft Exchange система GFI MailEssentials автоматически импортирует настройки службы SMTP. Дополнительной настройки почтового шлюза не требуется. Использование протокола SMTP обеспечивает поддержку стандартных почтовых серверов SMTP/POP3.

С сервером Exchange интегрируется также сервер рассылок с функциями оформления и аннулирования подписки (согласно требованиям законодательства по борьбе со спамом). Он может использовать в качестве хранилища информации СУБД Microsoft Access или Microsoft SQL Server.

Версия 2015 года нацелена на многосерверные инсталляции и имеет новые простые средства настройки конфигурации, позволяющие использовать общие настройки конфигурации, карантин и централизованные отчеты. Продукт хорошо интегрируется с текущей версией Exchange.

Хотя инсталляция продукта включает в себя более 20 шагов, включая подготовку, собственно инсталляцию и завершающий этап, это очень простой процесс. Нужно лишь убедиться, что удовлетворены системные требования

Инсталляция MailEssentials на сервере Exchange выполняется фактически за два основных этапа. Сначала нужно выбрать несколько опций для интеграции продукта с Active Directory и Exchange. Выбор User Mode задает, сколько пользователей будет распознавать MailEssentials. На Exchange Server имеет смысл присоединиться к домену Active Directory. Далее устанавливается веб-сайт для панели управления MailEssentials. Можно выбрать несколько сайтов для разных ролей. После этого MailEssentials устанавливает различные компоненты. По завершении процесса MailEssentials дает возможность выполнить завершающую настройку конфигурации и интегрировать ПО с базовой платформой Exchange.

Для интеграции устанавливаются несколько программных агентов, перехватывающих сообщения на транспортном уровне. На завершающем этапе создается аккаунт для доступа к почтовым ящикам.

После установки на первом сервере, MailEssentials будет доступен на сервере Exchange Server по ссылке http://servername/MailEssentials. Для логина используется Active Directory. 

Для работы с MailEssentials применяется интерфейс браузера. Администраторы могут без дополнительных инструментов управлять и Exchange, и MailEssentials.

В древовидном меню можно настроить средства защиты от вредоносных программ, антиспам, фильтрацию контента, использовать средства управления почтовой системой, задать папку карантина и выбрать общие настройки.

В секции Multi-Server можно задать кластер MailEssentials. Один сервер определяется как основной, другой — как подчиненный. К последнему можно добавлять новые, дополнительные серверы.  

После этого можно настроить черный и белый списки, ключевые слова и правила фильтрации контента. При установке на нескольких серверах GFI MailEssentials автоматически синхронизирует между ними данные конфигурации и настройки, включая правила фильтрации, ключевые слова и черные/белые списки. Все эти настройки тиражируются между серверами. Можно также выбрать конкретные серверы для карантина и отчетов.

 

GFI MailEssentials 20: что нового?

В мае 2016 года вышла новая версия продукта — 20.1, в которой улучшен ряд функций и исправлены выявленные ошибки. Перечислим основные особенности версии 20, представленной в январе 2015 года.  

  • Многопоточная защита от спама для повышения пропускной способности электронной почты на системах с несколькими процессорами или многоядерными ЦП, а также в кластерных конфигурациях. 
  • Поддержка 64-разрядных систем, что позволяет GFI MailEssentials эффективнее обрабатывать большие объемы электронной почты.   
  • Поддержка Remote Active Directory (AD) дает возможность устанавливать GFI MailEssentials на системах без AD, таких как серверы IIS SMTP или Edge. При этом Active Directory все равно будет использоваться, несмотря на отсутствие локального доступа к ней. 
  • Поддержка сканирования хранилища Exchange 2013 и старше на наличие вредоносных программ с использованием Exchange Web Services.
  • Поддержка Exchange 2016, Windows 10 и Office 2016.   

 

Выводы

Продукты защиты от спама и вредоносных программ сегодня получили широкое распространение и применяются в организациях самого разного профиля и размера. В их числе — Sophos, McAfee, Barracuda и IronPort. Подобные функции предлагают и системы электронной почты, развертываемые локально или в облаке. GFI MailEssentials — достойная альтернатива Forefront Protection for Exchange, предлагающая дополнительную функциональность. Продукт заработал хорошую репутацию и получил четыре награды VBSpam+.

MailEssentials — полезный многофункциональный инструмент для почтового сервера, дополняющий его не только средствами защиты от спама и вредоносных программ, но и предлагающий целый ряд других функций, обычно реализуемых автономными продуктами.

Как и предполагает название — Essentials, продукт включает в себя очень важные для многих организаций функции, пока что не реализованные Microsoft в Exchange. И в этом причина его более чем 15-летнего коммерческого успеха.

Загрузить бесплатную полнофункциональную версию (демо, 30 дней) можно здесь. На время использования предоставляется техническая поддержка на русском языке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru