Обзор Symantec Mail Security 5.0 for SMTP

1. Краткая информация

2. Основные функции

3. Тестирование

4. Графический материал (скриншоты)

5. Выводы

1. Краткая информация о Symantec Mail Security 5.0 for SMTP

Разработчик: Symantec

Дата выхода: Май 2006 года

Конкуренты: Trend Micro InterScan Messaging Security Suite, McAfee Secure Messaging Gateway

Сфера применения: защита SMTP трафика на уровне шлюза от вирусов и спама

Доступность: продукт доступен для заказа в России

Рекомендуемые системные требования:

• Intel Pentium IV Processor или совместимые (Windows и Linux)
• UltraSPARC (Solaris)
• 1 Гб RAM (2 Гб рекомендуется)
• 512 Мб на диске (2 Гб и больше рекомендуется для БД)
• Windows 2000 Active Directory или Windows 2003 Active Directory или Sun Directory Server 5.2 или Exchange 5.5 или Lotus Domino LDAP Server 6.5 или OpenLDAP (только для аутентификации)
• Windows 2000 Server SP4 или Windows Server 2003 SP1 (Windows)
• Solaris 9 или Solaris 10 (Solaris)
• Red Hat AS 3.0 Update 5 или Red Hat ES 3.0 Update 5 (Linux)

2. Основные функции

Продукт является новой версией комплексного решения для защиты почтового шлюза от широкого спектра угроз и спама, главным компонентом комплекса решений концепции Symantec Enterprise Messaging Management. Построенный на интеграции Symantec Mail Security for SMTP, Symantec Brightmail AntiSpam, и ключевых функциях аппаратного решения Symantec Mail Security 8200 Series, Symantec Mail Security for SMTP 5.0 обеспечивает устойчивый барьер против вредоносного кода, фишинговых атак, а также spyware и adware.

Новая технология защиты от day-zero вирусов основывающаяся на технологии Symantec's Probe Network, идентифицирует подозрительные вложения которые проявляют себя как вирусы и mass-mailing черви и перенаправляет их в новый Suspect Virus Quarantine, где они удерживаются до тех пор пока новые сигнатуры не становятся доступны.

Система способна производить над сообщениями следующие операции:

• Идентификация вирусной атаки (Email Firewall)
• Идентификация сетевых червей (Virus Scan)
• Идентификация вирусов (Virus Scan)
• Идентификация Спайваре и Адваре (Virus Scan)
• Идентификация подозрительных вложений (Virus Scan - BloodHound)
• Идентификация несканируемых сообщений (Virus Scan)
• Идентификация зашифрованных вложений (Virus Scan)
• Определение доверенных отправителей конечных пользователей
• Определение запрещенных отправителей конечных пользователей
• Определение доверенных IP отправителей администраторов
• Определение запрещенных IP отправителей администраторов
• Определение доверенных отправителей администраторов
• Определение запрещенных отправителей администраторов
• Идентификация спам атаки (Email Firewall)
• Идентификация Directory harvest attack (Email Firewall)
• Определение Safe Senders List (составляющая Symantec Sender Reputation Service) (Email Firewall)
• Определение Open Proxy Senders (составляющая Symantec Sender Reputation Service) (Email Firewall)
• Определение дополнительных RBL Allowed Senders List (Email Firewall)
• Определение дополнительных RBL Blocked Senders List (Email Firewall)
• Идентификация соответствия контентных политик (Content Scan)
• Идентификация несуществующих получателей (Spam Scan)
• Идентификация спама (Spam Scan)
• Идентификация блокировки языка сообщений (Spam Scan)
• Идентификация возможного спама (Spam Scan)
• Определение Suspected Spammers (составляющая Symantec Sender Reputation Service) (Email Firewall)
• Идентификация авторизации отправителя (Email Firewall)

Продукт поддерживает интеграцию в Symantec Security Information Manager Appliance (SESA 2.5).

3. Тестирование

Установка проводилась на виртуальную машину с ОС Windows 2003 Server Standard с 512 Мб ОЗУ, сам процесс установки прост и интуитивно понятен. Продукт состоит из нескольких компонент, установка которых возможна на разные хосты (См. Рисунок 64): сканеры отдельно, Центр Управления вместе с карантином отдельно, соответственно неограниченное число сканеров может быть поключено к одному Центру Управления. Тестирование проводилось на сымитированном потоке писем, который отсылался с помощью почтового клиента на SMTP соединение виртуальной машины, поэтому говорить о качестве срабатывания по спаму сложно, с вирусами проблем не было, не было также проблем с образцами контентной фильтрации (в том числе русский язык) и языковой идентификацией. Далее в таблице сведены основные характеристики продукта в сравнении с близким аналогом Trend Micro InterScan Messaging Security Suite.

4. Графический материал

Рисунок 1: Login page – Стартовая страница консоли управления для администраторов системы, а также консоли индивидуальных настроек и спам карантина для конечных пользователей (при условии интеграции с LDAP)

Рисунок 2: Status – Overview – Графическое и табличное представление состояния системы: информация о вирусных и спам инцидентах, состояние карантина и сведения об обновлениях.

Рисунок 3: Status – Message Status – Message Details – Детальное табличное представление обработки всех сообщений и инцидентов по ним.

Рисунок 4: Status – Message Status – Message Queues – Просмотр и поиск по трем типам очередей сообщений: Inbound, Outbound и Delivery с возможностью идентифицировать проблему задержки.

Рисунок 5: Status – Message Status – Message Tracking – Эффективный инструмент отслеживания всех сообщений принятых системой с возможностью анализа прохождения и идентификации, обладает широчайшими возможностями поиска и отбора по различным параметрам.

Рисунок 6: Status – Host Status – Host Details – Информация по состоянию Центра Управления и сканеров системы, загрузка, обновление и прочее.

Рисунок 7: Status – Message Status – Message Tracking – Details – После нахождения интересующего сообщения возможен просмотр подробной информации по нему, включая информацию о произведенных действиях и обнаруженных инцидентах.

Рисунок 8: Status – Host Status – Logs – Просмотр логов всех компонент системы, включая сканеры, центр управления и прочие компоненты, детализация логов зависит от настроек (см. Рисунок 47).

Рисунок 9: Reports – View Reports – Система содержит в себе подробнейшую систему отчетов, большинство из них видны в выпадающем списке, уровень детализации зависит от настроек (см. Рисунок 49), возможно создание Favorite Reports (индивидуальны для каждого администратора системы с соответствующими правами), и создание отчетов по расписанию, возможно сохранение в html и csv.

Рисунок 10: Policies – Group Policies – Список групповых политик, по которым обрабатываются все сообщения в системе, возможно создание, приоритезация, активизация политик, а также поиск пользователей, по какой политике обрабатываются для него (них) сообщения.

Рисунок 11: Policies – Group Policies – Members – Определение пользователей или групп пользователей для данной политики: возможен ручной ввод и загрузка из LDAP, настройка прав End Users доступна только при условии загрузки из LDAP, в этом случае возможно определение для пользователей прав на ведение собственных белых и черных списков, а также возможность изменения языковой идентификации на пользовательской веб консоли спам карантина.

Рисунок 12: Policies – Group Policies – Virus – Настройка правил обработки вирусных инцидентов для входящей и исходящей почты, набор правил можно определять самостоятельно (см. Рисунок 21-22).

Рисунок 13: Policies – Group Policies – Spam – Настройка правил обработки спам инцидентов для входящей и исходящей почты, набор правил можно определять самостоятельно (см. Рисунок 19-20).

Рисунок 14: Policies – Group Policies – Compliance – Настройка правил контетной фильтрации для входящей и исходящей почты, набор правил можно определять самостоятельно (см. Рисунок 16-18).

Рисунок 15: Policies – Group Policies – Language – Настройка правил языковой идентификации, позволяющих удалять письма в кодировках, которые не разрешены в системе, в том числе поддерживается русский язык.

Рисунок 16: Policies – Filter Policies – Compliance – Набор правил контентной фильтрации, возможно создание, копирование, приоритезация, активизация правил, а также просмотр информации о количестве групповых политик, в которых данное правило используется.

Рисунок 17: Policies – Filter Policies – Compliance – Conditions – Варианты аттрибутов сообщения, проверка которых поддерживается контетной фильтрацией.

Рисунок 18: Policies – Filter Policies – Compliance – Actions – Варианты действий над сообщениями, удовлятворяющими критериям контетного фильтра.

Рисунок 19: Policies – Filter Policies – Spam – Набор правил фильтрации спама, возможно создание, копирование, активизация правил, а также просмотр информации о количестве групповых политик, в которых данное правило используется.

Рисунок 20: Policies – Filter Policies – Spam – Actions – Варианты действий над сообщениями, удовлятворяющими критериям спам фильтра (Варианты: Spam и Suspected Spam).

Рисунок 21: Policies – Filter Policies – Virus – Набор правил фильтрации вирусов, возможно создание, копирование, активизация правил, а также просмотр информации о количестве групповых политик, в которых данное правило используется.

Рисунок 22: Policies – Filter Policies – Virus – Actions – Варианты действий над сообщениями, удовлятворяющими критериям спам фильтра (Варианты: Spam и Suspected Spam).

Рисунок 23: Policies – Email Firewall Policies – Attacks – Настройка и активизации трех типов защиты почтового сервера от атак: Directory Harvest Attack, Spam Attack и Virus Attack.

Рисунок 24a: Policies – Email Firewall Policies – Attacks – Directory Harvest Attack – Варианты действий над сообщениями и критерии Directory Harvest Attack.

Рисунок 24b: Policies – Email Firewall Policies – Attacks – Spam Attack – Варианты действий над сообщениями и критерии Spam Attack.

Рисунок 24c: Policies – Email Firewall Policies – Attacks – Virus Attack – Варианты действий над сообщениями и критерии Virus Attack.

Рисунок 25: Policies – Email Firewall Policies – Sender Authentication – Активизация и настройка двух типов аутентификации отправителей: Sender ID и Sender Policy Framework (SPF).

Рисунок 26: Policies – Email Firewall Policies – Sender Groups – Активизация и настройка девяти типов белых и черных списков IP адресов и доменов отправителей, в том числе три списка, регулярно обновляемых Symantec Security Response (Open Proxy Senders, Safe Senders, Suspected Spammers), два списка с возможностью подключения RBL сервисов сторонних производителей и четыре списка, доступных для редактирования администраторами системы (распространяются на всех пользователей) и индивидуально каждым пользователем через веб консоль или через Outlook Spam Plug-in при настройке соответствующих прав.

Рисунок 27: Policies – Policy Resources – Annotations – Создание и редактирование аннотаций, которые возможно добавлять в текст письма при выполнении определенных условий (доступен как Actions во всех фильтрах).

Рисунок 28: Policies – Policy Resources – Annotations – Пример создания аннотации.

Рисунок 29: Policies – Policy Resources – Archive – Настройка возможности пересылки копии всего потока сообщений на удаленный ресурс.

Рисунок 30: Policies – Policy Resources – Attachment Lists – Создание и редактирование списка наборов вложений по типам и классам, применяемых для определения правил контентной фильтрации.

Рисунок 31: Policies – Policy Resources – Attachment Lists – Пример создания набора вложений, поддерживается как ввод предустановленных значений (список известных приложений огромен), так и ручное указание расширения или заголовка.

Рисунок 32: Policies – Policy Resources – Dictionaries – Создание и редактирование наборов слов, применяемых для определения правил контентной фильтрации.

Рисунок 33: Policies – Policy Resources – Notifications – Создание и редактирование информационных сообщений, которые возможно создавать при выполнении определенных условий (доступен как Actions во всех фильтрах).

Рисунок 34: Policies – Policy Resources – Notifications – Пример создания информационного письма.

Рисунок 35: Administration – Administrators – Создание и редактирование учетных записей администраторов системы.

Рисунок 36: Administration – Administrators – Пример создания учетной записи, имеется возможность разграничивать доступ к различным компонентам системы.

Рисунок 37: Settings – System Settings – Alerts – Настройка системы критических уведомлений системы.

Рисунок 38: Settings – System Settings – Certificates – Создание и редактирование TLS и SSL сертификатов для шифрования данных между Сервером управления и пользователями веб консоли, а также между Сервером управления и сканерами.

Рисунок 39: Settings – System Settings – Control Center – Настройка Центра управления: ограничение доступа из сети, шифрование и др.

Рисунок 40: Settings – System Settings – Hosts – Добавление, редактирование и активизация сканеров.

Рисунок 41: Settings – System Settings – Hosts – Services – Настройка режима работы сканера.

Рисунок 42: Settings – System Settings – Hosts – SMTP – Настройка MTA функций сканера.

Рисунок 43: Settings – System Settings – Hosts – SMTP – Настройка MTA функций сканера: расширенные настройки.

Рисунок 44: Settings – System Settings – Hosts – Internal Mail Hosts – Настройка списка внутренних почтовых хостов.

Рисунок 45: Settings – System Settings – LDAP – Добавление, редактирование и активизация LDAP подключений двух типов: для синхронизации (используется для передачи списков адресов на сканеры для проверки адресов при приеме почты) и для аутентификации (используется для доступа к спам карантину).

Рисунок 46: Settings – System Settings – LDAP – Пример создания LDAP подключения, в выпадающем списке можно видеть поддерживаемые типы LDAP серверов, существует возможность автоматического заполнения полей запросов Auto Fill.

Рисунок 47: Settings – System Settings – Logs – Настройка системных логов: степень детализации, размер, график удаления и проч.

Рисунок 48: Settings – System Settings – Quarantine – Spam – Настройка параметров спам карантина, при создании LDAP подключения (достачтоно аутентификации) возможно активировать карантин для конечных пользователей, также при включении настроек возможно удалять письма для несуществующих пользователей (в отличие от удаления на стадии сканера не требует сервера синхронизации LDAP).

Рисунок 49: Settings – System Settings – Quarantine – Virus – Настройка параметров карантина для подозрительных сообщений (при срабатывании эвристического механизма BloodHound), настройка периода времени, через которое сообщение должно быть пересканировано для уточнения инцидента.

Рисунок 50: Settings – System Settings – Reports – Настройка параметров сохранения информации работы MTA для детализации отчетов.

Рисунок 51: Settings – System Settings – Email Scanning – Address Masquerading – Настройка возможности маскировки адресов во входящих и исходящих сообщениях.

Рисунок 52: Settings – System Settings – Email Scanning – Aliases – Настройка почтовых групп для входящих сообщений.

Рисунок 53: Settings – System Settings – Email Scanning – Invalid Recipients – Активизация функции удаления из писем несуществующих получателей (требуется наличие сервера синхронизации LDAP).

Рисунок 54: Settings – System Settings – Email Scanning – Local Domains – Настройка доменов, для которых разрешен прием сообщений с возможностью для определенных доменов перенаправлять почту после обработки на отдельный хост, а не на хост по умолчанию.

Рисунок 55: Settings – System Settings – Email Scanning – Scanning – Настройка параметров сканирования почтовых вложений с возможностью контентной фильтрации поддерживаемых типов.

Рисунок 56: Settings – System Settings – Email Scanning – Spam – Настройка критериев идентификации спама.

Рисунок 57a: Settings – System Settings – Email Scanning – Virus – LiveUpdate – Настройка обновлений антивирусных баз: обновление по расписанию, а также возможность включения режима обновления Rapid Response – новое обновление примерно каждые 10 минут.

Рисунок 57b: Settings – System Settings – Email Scanning – Virus – Exclude Scanning – Создание, редактирование и активизация списков исключения для сканирования.

Рисунок 57c: Settings – System Settings – Email Scanning – Virus – Exclude Scanning – Пример создания списка исключений, поддерживается добавление типов и классов файлов.

Рисунок 57d: Settings – System Settings – Email Scanning – Virus – BloodHound – Настройка чувствительности эвристичекой технологии сканирования.

Рисунок 58: Quarantine – Spam Quarantine – Просмотр общего спам карантина с возможностью поиска и отбора.

Рисунок 59: Quarantine – Spam Quarantine – Просмотр примера сообщения в карантине.

Рисунок 60: Quarantine – Suspect Virus Quarantine – Просмотр сообщений в карантине по подозрительным сообщениям (технология BloodHound).

Рисунок 61: Quarantine – Spam Message Quarantine – Консоль спам карантина для конечных пользователей, при соответствующих настройках доступа в консоли также появляется возможность вести списки Blocked Senders и Approved Senders, которые используются при анализе писем для конкретных пользователей, а также возможность менять правила приема писем на определенных языках (доступны при существовании сервера синхронизации LDAP).

Рисунок 62: Outlook Spam Plug-In – При установке Плагина для Microsoft Outlook возможно управление карантином без веб консоли, письма доставляются в специализированную папку, есть возможность переклассификации писем с автоматической отправкой образцов в Symantec Security Response (возможно использование как совместно с Exchange Spam Folder Agent, так и отдельно).

Рисунок 63a: Outlook Spam Plug-In – Settings –Allowed Senders – Добавление доверенных пользователей, возможно автоматическое добавление из адресной книги.

Рисунок 63b: Outlook Spam Plug-In – Settings – Allowed Recipients – Добавление возможных получателей сообщений для данного клиента.

Рисунок 63c: Outlook Spam Plug-In – Settings – Blocked Senders – Добавление запрещенных пользователей.

Рисунок 63d: Outlook Spam Plug-In – Settings – Preferences – Дополнительные настройки работы с сообщениями.

Рисунок 63e: Outlook Spam Plug-In – Settings – Submissions – Настройка действий при переклассификации сообщений.

Рисунок 63f: Outlook Spam Plug-In – Settings – Languages – Настройка языковых характеристик принимаемых сообщений.

<

Рисунок 64a: Basic gateway deployment – Стандартный способ установки.

Рисунок 64b: Multi-tier gateway deployment – Стандартная установка в DMZ.

Рисунок 64c: Post-Gateway deployment – Установка в DMZ после почтового шлюза.

5. Выводы

Итак, на мой взгляд, новая версия Symantec Mail Security for SMTP получилась весьма достойной, явив собой окончательную интеграция двух передовых технологий: антивирусной фильтрации Symantec и антиспам фильтрации BrightMail.

Пройдя адаптацию и апробацию в виде версии для Symantec Mail Security Appliance 8200 Series, продукт вобрал в себя все лучшее и востребованное сейчас на рынке: систему защиты почтового шлюза от всех видов угроз, включая вирусы, шпионское ПО, спам и DoS атаки. Также его явным преимуществом является то, что его можно приобрести как программное обеспечение, так и законченное решение (Symantec Mail Security Appliance 8200 Series), уже предустановленное на сервер со встроенными средствами диагностики и мониторинга производительности и высоким уровнем отказоустойчивости.

Дополнительная информация:

http://www.symantec.com/Products/enterprise?c=prodinfo&refId=845

http://eval.veritas.com/mktginfo/enterprise/ fact_sheets/mail_security_for_smtp_5.0_04-2006.en-us.pdf

Автор: Керценбаум Кирилл

Symantec Certified Sales Specialist

Trend Micro Certified Security Professional