Обзор шлюза защиты электронной почты Fortinet FortiMail

Сертификат AM Test Lab

Номер сертификата: 200

Дата выдачи: 02.11.2017

Срок действия: 02.11.2022

Реестр сертифицированных продуктов »

FortiMail Cloud предлагает альтернативный вариант развертывания FortiMail, обеспечивая соответствующую безопасность электронной почты, но в облаке. Пользователям доступно 2 типа услуги:

• Gateway — служба шлюза обеспечивает облачную защиту электронной почты для клиентов с помощью локальных развертываний электронной почты или сторонних разработчиков. Служба действует как входящий и исходящий шлюз для электронной почты клиента и очищает ее от спама и вредоносов до пересылки в пункт назначения;
• Server — служба сервера предоставляет полностью размещенный в облаке сервер электронной почты. Служба заменяет необходимость управления и обслуживания всех локальных почтовых серверов, и предоставляет службы безопасности из облака FortiMail.

Рисунок 3. Схема обеспечения безопасности электронной почты при FortiMail Cloud (Gateway)

Рисунок 4. Схема обеспечения безопасности электронной почты при FortiMail Cloud (Server)

Сценарии развертывания устройств FortiMail в защищаемой сети

FortiMail поддерживает три режима развертывания — прозрачный (Transparent), в качестве шлюза (Gateway) и в качестве сервера (Server). Эти сценарии отвечают требованиям безопасности электронной почты, минимизируя изменения инфраструктуры и предотвращая возможные сбои в обслуживании.

В режиме шлюза FortiMail предоставляет услуги входящего и исходящего прокси-сервера (Mail Transfer Agent, MTA) для существующих почтовых шлюзов. Простое изменение записи DNS MX перенаправляет электронную почту на FortiMail для проверки. Устройство FortiMail получает сообщения, сканирует их на наличие вирусов и спама, а затем отправляет электронную почту на целевой почтовый сервер для доставки непосредственным адресатам.

Рисунок 5. FortiMail может развертываться локально или в облаке

В прозрачном режиме каждый сетевой интерфейс FortiMail содержит прокси-сервер, который получает и передает электронную почту. Каждый прокси-сервер перехватывает SMTP, даже если IP-адрес назначения не совпадает с адресом устройства FortiMail. FortiMail проверяет наличие вирусов и спама, а затем отправляет электронную почту на целевой почтовый сервер для доставки адресату. Такой режим развертывания исключает необходимость изменения записи DNS MX или изменения существующей конфигурации почтового сервера сети.

Рисунок 6. FortiMail развертывается на стороне почтового сервера

В режиме сервера FortiMail действует как автономный сервер обмена сообщениями с полной функциональностью почтового сервера SMTP, включая поддержку безопасного доступа к POP3, IMAP и WebMail. FortiMail проверяет электронную почту на наличие вирусов и спама перед доставкой. Как и в режиме сервера, внешние MTA подключаются к FortiMail, что позволяет ему функционировать как защищенный сервер.

Рисунок 7. FortiMail обладает полными функциями почтового сервера

Функциональные возможности

Антиспам

FortiMail использует более дюжины различных методов проверки отправителя, протокола и содержимого письма, что позволяет защитить доверенную сеть и пользователей от спама. Анализ начинается с оценки IP-адреса, домена, репутации отправителя и заканчивается методами, такими как возвраты (bounce), проверки подлинности получателей, а также проверки заявленного домена отправителя DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework). Наконец, структура сообщений и контент анализируются на основе цифровой подписи, ключевых слов, встречаемых в контексте, анализа изображений, встроенных URL и более сложных методов, таких как анализ поведения и защита от спама.

По результатам независимых испытаний Virus Bulletin, проводимых летом 2017 года для анализа средств защиты от спама, FortiMail показал эффективность на 99,997%.

Защита от вредоносных программ

Сочетание нескольких статических и динамических технологий, включая сигнатурные, эвристические и поведенческие методы, а также опциональную защиту от вирусных эпидемий и песочницу (в интеграции с FortiSandbox через Fortinet Security Fabric), FortiMail защищает от широкого спектра постоянно развивающихся угроз, таких как программы-вымогатели и целенаправленные атаки.

Интегрированная защита данных

Надежный набор возможностей FortiMail для предотвращения утечки данных, шифрование электронной почты и архивирование электронной почты (часто эти механизмы используются в комбинации) гарантируют безопасную доставку конфиденциальных электронных писем и защиту от непреднамеренной потери данных. Это облегчает соблюдение корпоративной политики и отраслевых правил безопасности.

Базовая настройка FortiMail

Базовая настройка FortiMail осуществляется с помощью интерфейса командной строки. Доступ к нему предоставляется по протоколу SSH или Telnet через интерфейс администрирования (port1) или с помощью COM-порта. При этом выполняется только начальная настройка, поскольку устройства FortiMail, как правило, конфигурируются с помощью графического интерфейса.

Рисунок 8. Начальная страница интерфейса администратора FortiMail (Dashboard)

По умолчанию FortiMail функционирует в режиме шлюза (Gateway). Мастер быстрого запуска позволяет быстро настроить шлюз FortiMail для работы в сети, устанавливая ключевые параметры конфигурации. Также внести изменения в конфигурацию FortiMail можно через соответствующие разделы бокового меню графического интерфейса.

Рисунок 9. Настройка защищаемых доменов

После того, как шлюз FortiMail установлен и настроен для работы в защищаемой сети, он может быть подключен к сети Fortinet Distribution Network (FDN) для получения обновлений сервисов FortiGuard Antivirus и FortiGuard Antispam в реальном времени (требуется дополнительная лицензия). FDN — это всемирная сеть серверов распространения Fortinet (Fortinet Distribution Servers, FDS). Когда модуль FortiMail подключается к FDN для загрузки обновлений FortiGuard, то по умолчанию он подключается к ближайшему FDS на основе текущего часового пояса.

Рисунок 10. Настройка сервисов FortiGuard

Визуализация работы FortiMail и электронные журналы

Интерфейс администратора предоставляет подробную и наглядную информацию о выявленных угрозах безопасности средствами FortiMail, статистические данные и доступ к электронным регистрационным журналам.

На начальной странице интерфейса администратор может настроить виджеты, содержащие графическую информацию и статистические данные. Доступны следующие виджеты:

• системная информация;
• сводная статистика;
• диаграмма FortiSandbox;
• диаграмма сводной статистики;
• история статистики;
• системные ресурсы;
• статистика FortiSandbox;
• лицензионная информация.

Рисунок 11. Доступные виджеты FortiMail

Просмотр электронных журналов

На странице «Журнал» раздела «Монитор» отображаются локально сохраненные файлы журналов. Страница содержит следующие вкладки:

• «История» — журнал отправленных и неподтвержденных SMTP-сообщений электронной почты;
• «Системные события» — журнал действий администратора и системных событий;
• «Почтовые события» — журнал действий по доставке электронной почты;
• «Антивирус» — журнал обнаруженных заражений электронной почты;
• «Антиспам» — журнал сообщений электронной почты, помеченных как спам;
• «Шифрование» — журнал IBE-шифрования.

Рисунок 12. Вкладка «История» страницы «Журнал»

Управление карантинами

В карантин помещаются сообщения электронной почты на основе содержимого, например, на основе выявленного спама или наличия запрещенного слова или фразы. FortiMail имеет два типа карантина:

• персональный карантин, в который попадают сообщения электронной почты в отдельные папки для каждого адресата. При этом получателю генерируется уведомление о сообщениях заблокированных сообщениях электронной почты, по которому адресат принимает решение о дальнейших действиях над письмами;
• карантин системы, в который попадают сообщения без генерации уведомления адресату, при этом решение о выпуске или удалении электронных писем принимает администратор.

Рисунок 13. Вкладка «Системный карантин» страницы «Карантин» пуста, поскольку нет электронных писем, ждущих действий от администратора

Просмотр серых списков

На странице «Серые списки» раздела «Монитор» администратор может отслеживать автоматические исключения по серым спискам, в результате которых электронная почта в настоящий момент получает отказ в доставке.

Серые списки используют тенденцию легитимных почтовых серверов повторять отправку электронной почты после первоначального временного сбоя, в то время как спамеры обычно отказываются от дальнейших попыток доставки, чтобы максимизировать пропускную способность спама. Сканер серых списков отвечает на временный сбой для всех сообщений электронной почты, чья комбинация почтового адреса отправителя, адреса получателя и IP-адреса клиента SMTP неизвестна. Если SMTP-сервер повторяет попытку отправки сообщения электронной почты после требуемой задержки серого списка, FortiMail принимает сообщение электронной почты и добавляет комбинацию адреса электронной почты отправителя, адреса получателя и IP-адреса клиента SMTP в список разрешенных сканером серого списка. Последующие известные сообщения электронной почты принимаются автоматически.

Просмотр статусов репутации отправителей

FortiMail отслеживает поведение клиента SMTP, чтобы ограничить активность клиентов, отправляющих спам-сообщения, зараженную электронную почту или сообщения недопустимым получателям. Если клиенты продолжают отправлять эти типы сообщений, их попытки подключения временно или окончательно отклоняются. Репутация отправителя управляется автоматически средствами FortiMail и не требует администрирования.

Статусы репутации отправителей доступны на странице «Репутация отправителя» раздела «Монитор».

Рисунок 14. Статусы репутации отправителей

Просмотр статусов репутации конечных точек

На странице «Репутация конечных точек» раздела «Монитор» представлен текущий список конечных точек (по их MSISDN, идентификатору абонента или другому идентификатору), которые были обнаружены FortiMail при отправке спама.

Если конечная точка попыталась доставить в период автоматического блокирования ряд сообщений со спамом, превышающих порог блокировки конечных точек, FortiMail добавляет конечную точку к списку заблокированных в течение времени, заданного в профиле, и все текстовые сообщения или сообщения электронной почты от нее будут отклонены.

Выводы

FortiMail обеспечивает защиту электронной почты от спама, вирусов и зловредов. Хотя устройства FortiMail являются готовыми средствами защиты, целесообразно их использовать совместно с другими продуктами Fortinet, в частности с межсетевыми экранами FortiGate и песочницей FortiSandbox. Важно отметить, что шлюз безопасной электронной почты FortiMail интегрирован с анализом угроз FortiGuard Labs.

За последние годы FortiMail получил высокие оценки в результате независимых тестирований ICSA Labs и Virus Bulletin.

Fortinet предлагает широкую линейку физических и виртуальных устройств FortiMail, способных удовлетворить требования всех типов предприятий. Для небольших компаний предусмотрен альтернативный вариант без снижения качества обнаружения спама и вредоносных электронных писем — облачная версия FortiMail.

Достоинства:

• Высокая производительность и скорость анализа электронных сообщений.
• Снижение нагрузки на сетевые и почтовые ресурсы за счет сокращения количества спама.
• Поддержка нескольких сценариев развертывания.
• Интеграция с другими продуктами Fortinet, поддержка FortiGuard Labs.
• Автоматическая архивация почтовых сообщений, протоколирование и генерация отчетов.
• Поддержка шифрования электронной почты шифрованием на основе идентификационных данных.

Недостатки:

• Отсутствие русской локализации.
• Чтобы использовать дополнительные функции безопасности FortiGuard Antivirus и FortiGuard Antispam, требуется приобрести дополнительные лицензии.