Почтовые системы предприятия постоянно находится под угрозой. В настоящее время спам составляет более 50% всех почтовых сообщений, и одно из 30 сообщений содержит вирус или компьютерного «червя». Эти вредоносные программы не только причиняют реальный ущерб, но и расходуют ресурсы процессора, перегружают каналы связи, занимают место на жестком диске и отнимают у пользователей время. Правительства принимают законы, пытаясь остановить поток спама и наказать авторов непрошеных посланий, но проблема становится все острее и нет надежды смягчить ее в обозримом будущем. Защита и восстановление серверов электронной почты от нападений — первоочередная задача каждого сетевого администратора.
В данном обзоре рассматриваются комплексы защиты электронной почты с функциями блокировки спама, поиска вирусов и фильтрации контента. Все продукты работают на платформе Windows 2000 или совместимы с ней.
Универсальные решения
Лишь в последние несколько лет поставщики стали предлагать комбинированные решения для защиты почты, в которых соединены функции поиска вирусов, блокировки спама и фильтрации контента. Современные комплексы защиты располагают следующими возможностями:
сканирование и анализ в реальном времени;
наличие базы данных сигнатур опасных программ;
управление карантином;
эвристический анализ для распознавания не описанных ранее угроз;
работа с одним или несколькими протоколами или портами;
централизованные управление, мониторинг и подготовка отчетов;
ежедневное или частое обновление сигнатур опасных программ;
оповещение конечных пользователей о действиях по блокировке;
высокая точность;
круглосуточные консультации без выходных.
Тенденции
Наряду с конвергенцией трех основных технологий защиты электронной почты появляются и новые методы. Во-первых, для управления большинством продуктов применяются политики, что облегчает привязку составленных администратором политик к настраиваемым параметрам безопасности. Во-вторых, несколько поставщиков предлагают функциональность DRM (Digital Rights Management — управление цифровыми правами) для отслеживания внутренней информации, которую конечные пользователи пересылают во внешние сети. Возможно, в следующем году DRM станет одной из самых распространенных категорий продуктов для защиты почты и сетей. В-третьих, поставщики все чаще используют для шифрования почтовых сообщений заранее переданные (preshared) частные ключи и цифровые сертификаты. В-четвертых, поставщики предлагают больше специализированных аппаратных устройств, так как система защиты почты часто работает с какой-нибудь версией Linux или потому, что автономные устройства повышают скорость передачи данных. В-пятых, после получивших широкую огласку информационных катастроф, постигших некоторые предприятия, и принятия новых законов поставщики начинают дополнять продукты функциями архивирования почты и автоматической вставки в сообщения заявлений об отказе от обязательств.
Варианты установки
Выбор места для установки средств защиты зависит от поставщика и типа продукта. Некоторые продукты располагаются на периметре сети, перехватывая почтовые сообщения и другой Internet-контент, прежде чем он попадает на почтовый сервер. Другие продукты устанавливаются непосредственно на почтовом сервере или на вспомогательном сервере, напрямую связанном с базой данных сообщений почтового сервера. Продукты, разворачиваемые на клиентских настольных компьютерах, перехватывают сообщения между сервером и почтовым клиентом пользователя. Каждому подходу свойственны преимущества и недостатки, в зависимости от требований конкретного предприятия и степени удобства. Периметрические решения совместимы почти с любыми почтовыми серверами, тогда как продукты, устанавливаемые на сервере, должны быть спроектированы специально для этого сервера. Децентрализованная природа клиентских программ доставляет большие неудобства многим администраторам, но этот способ может оказаться единственно возможным, если конечным пользователям разрешено получать почтовые сообщения, не обращаясь напрямую к почтовому серверу компании (например, через почтовые учетные записи Web, учетные записи POP3 или одноранговые — P2P — сети и системы диалогового обмена сообщениями — Instant Messaging, IM).
Поиск вирусов
Важная характеристика, которую необходимо учитывать при выборе продукта, — способ поиска вирусов. Лишь примерно половина современных комплексов защиты электронной почты действительно сканируют файлы; остальные просто блокируют присоединенные файлы по расширению или типу MIME. Если продукт выполняет сканирование, то какой механизм поиска используется? Если поставщик не имеет многолетнего опыта борьбы с вирусами, то в его продуктах должны применяться известные механизмы независимых компаний. Чтобы повысить точность обнаружения вирусов, некоторые продукты позволяют подключать несколько антивирусных механизмов. Проводится ли поиск и анализ встроенного контента почтовых сообщений, например элементов управления ActiveX, апплетов Java и сценариев? Открывает ли программа встроенные ссылки электронной почты для дистанционной проверки доставки контента? Выполняется ли сканирование архивных файлов .tar и .zip? Блокируются ли cookie-файлы, шпионские программы и Web-роботы? Хорошая программа для борьбы с вирусами в электронной почте располагает всеми этими функциями.
Я рекомендую отключить функцию автоматической рассылки предупреждений отправителям зараженных сообщений. Почти все почтовые вирусы и «черви» подделывают адрес отправителя, поэтому автоматические предупреждения, как правило, бесполезны.
Блокировка спама
Насколько успешно продукт отделяет спам от полезных сообщений? Большинство поставщиков утверждают, что точность распознавания спама их продуктами составляет не менее 98%. Такие утверждения сомнительны, но даже при 98-процентной точности пользователям поступает множество непрошеных сообщений. Следует выяснить, на каких показателях основана оценка поставщика: числе ошибочно удаленных полезных сообщений (false positive) или объеме пропущенного спама (false negative)? Какая технология блокировки спама применяется в продукте? Лучшие продукты блокировки спама располагают несколькими автоматизированными аналитическими инструментами и обслуживаются группой специалистов, занятых исследованиями применяемых технологий рассылки спама. Широко распространены следующие методы блокирования спама:
сканирование по ключевому слову;
проверка ложных адресов отправителя;
распознавание порнографии;
анализ текста сообщения в поисках выражений, типичных для спама;
внутренние и внешние «черные» списки;
сайты сопоставления с «черными» списками в реальном времени;
«белые» списки;
блокировка адреса отправителя или домена;
проверка заголовков сообщений;
обратное преобразование DNS;
антиретрансляционная технология.
Фильтрация контента
Фильтрация контента — двунаправленная операция: нельзя, чтобы конечные пользователи загружали несанкционированный контент с Web-узлов и отправляли по электронной почте информацию, опасную для компании. Каким образом продукт блокирует контент — по домену, IP-адресу, ключевым словам или категории Web-узла? Поставляются ли вместе с продуктом стандартные фильтры контента, и если да, то можно ли изменить их, построив специализированные фильтры? Производится ли нормализация данных в фильтрах — удаление лишних пробелов и символов, которые спамеры обычно вставляют, чтобы обойти правила, применяемые для проверки контента? Приняты ли меры, чтобы предотвратить попытки конечных пользователей обойти фильтры с помощью анонимного доступа к посредническим Web-узлам? Проводится ли сканирование контента, передаваемого через порты и протоколы, отличные от используемых для электронной почты и HTTP?
Общие рекомендации
При выборе инструмента блокировки спама необходимо ответить на следующие вопросы. С какими почтовыми серверами и службами совместим продукт (например, Lotus Domino, Microsoft Exchange Server, Novell GroupWise, SMTP)? Поддерживает ли он протоколы FTP, HTML, IMAP, Network News Transfer Protocol (NNTP), POP, Remote Storage Service (RSS) и UNIX-to-UNIX Copy (UUCP)? Совместим ли продукт с протоколом Lightweight Directory Access Protocol (LDAP), который дает возможность использовать такие пространства имен каталогов, как Active Directory (AD), для авторизации и аутентификации контента? Предусмотрены ли в продукте функции управления или мониторинга контента, поступающего через системы IM или P2P. Что представляет собой решение: специализированное аппаратное устройство, программный продукт или Web-службу? Если для компании важна отказоустойчивость, то продукт должен располагать функциями балансировки нагрузки и передачи заданий резервной системе. Какие функции реализованы в базовом продукте и какие модули приходится покупать за дополнительную плату?
Ответственное решение
При выборе комплекса защиты электронной почты необходимо учесть множество факторов. Оптимальный подход — испытать продукт перед покупкой. Рекомендую сравнить функциональность каждого решения со списком функций, наиболее важных для предприятия, почитать соответствующую литературу и опробовать продукт в тестовой лаборатории, чтобы убедиться в его пригодности для конкретного предприятия.
Роджер Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (изд-во O’Reilly & Associates). Его адрес: roger@rogeragrimes.com
Комплексы защиты электронной почты
Контактная информация
Название продукта
Цена в долларах
Описание
Aladdin Knowledge Systems http://www.esafe.com
eSafe Gateway
20 080 для 1000 пользователей
Исчерпывающие, полностью интегрированные функции защиты контента на базе шлюза; безопасность контента на всех уровнях; механизм превентивного обнаружения вирусов и вредоносных программ, модуль антиспама, факультативный модуль фильтрации URL
Computer Associates International http://www.ca.com
eTrust Secure Content Management
От 55 для одного пользователя
Благодаря применению интегрированных политик контент защищен от факторов, способных нарушить деятельность предприятия или целостность сети, в том числе злоупотреблений с электронной почтой (например, спама) и Web, нарушений конфиденциальности, почтовых нарушений, грозящих юридическими санкциями, непрошеных сообщений, вирусов и опасных программ, поражающих мобильные устройства
GFI http://www.gfi.com
GFI MailSecurity/MailEssentials bundle
От 450 для 10 компьютеров
Несколько антивирусных механизмов, проверка контента почтовых сообщений и присоединенных файлов, защита от взлома и вредоносного HTML-кода, функции поиска "троянских коней" и исполняемых файлов; фильтры антиспама и байесовский;удаляет из сетей более 98% спама
Global Hauri
ViRobot Expert
39,95
Уничтожает вирусы, в том числе Nimda и Klez, не отправляя их в карантин; бесплатные модули для борьбы со спамом и шпионскими программами; блокирует спам и удаляет шпионские программы, потребляя минимум вычислительных ресурсов; совместим с Windows XP, Windows 2000 Professional, Windows NT 4.0, Windows Me, Windows 9x
GROUP Technologies http://www grouptechnologies.com
securiQ.Wall
7 за одно рабочее место
Исчерпывающий интегрированный инструментальный набор для борьбы со спамом обеспечивает безопасную доставку сообщений и исключает ложные положительные срабатывания; фильтрация заголовков и тела сообщения, анализ данных отправителя и получателя, фильтрация присоединенных файлов,.pdf- и .zip-файлов, обнаружение встроенных изображений, ограничение получателей,эвристический анализ, "приманки" (honeypot), сканирование HTML-кода, защита от нападений типа flood-attack, локальные списки запрета, "белые" и "черные" списки
securiQ.Watchdog
7 за одно рабочее место
Проверка всех исходящих, входящих и внутренних почтовых сообщений и баз данных; интеллектуально сканирует присоединенные файлы и блокирует файлы по типу, размеру и структуре,предотвращая прием и передачу сообщений с измененным или опасным контентом; совместимость с ведущими антивирусными механизмами; защита на базе правил
IntelliReach http://www.intellireach.com
MessageScreen Platinum
От 3000 со значительными скидками в зависимости от числа пользователей
Функции для борьбы со спамом, вирусами и фильтрация контента; стабильно блокирует более 97% спама и "взрослого" контента с помощью интеллектуального лексического анализа и сложного эвристического рейтинга; устраняет ложные положительные срабатывания; благодаря фильтрации спама на уровне шлюза сообщения не попадают в сеть предприятия; поиск спама по 2100 типичным характеристикам; совместимость со всеми версиями Microsoft Exchange, Novell GroupWise и Lotus Domino
MicroWorld Technologies http://www.mwti.com
E-Scan Internet Security Suite
Договорная
Защита контента и поиск вирусов в реальном времени; используется WinSock Layer (MWL) компании MicroWorld; вирусы и "черви" устраняются, прежде чем достигнут приложений на компьютере пользователя
Nemx Software http://www.nemx.com
Nemx Power Tools for Microsoft Exchange
Internet Edition, от 495 для одного коннектора SMTP; Advanced Edition, от 999 для 50 пользователей
Защищает системы Exchange от спама, вирусов и других опасных программ; не требует proxy-сервера и шлюза; интуитивно-понятная концепция фильтрации для контроля исходящих и входящих почтовых сообщений и трафика между внутренними почтовыми ящиками; сопоставление сигнатур, списки RBL (real-time black hole list - каталог известных авторов спама и ретрансляционных серверов, используемых для распространения спама), "белые" списки, фильтрация присоединенных файлов и поиск вирусов; функции исследования заголовков, формата сообщений, контента и статистического анализа
Nemx SecurExchange
Internet Edition, от 795 за один сервер; AdvancedEdition,от 749 для 50 пользователей
Защита первого уровня по периметру сети от полиморфных вирусов, макровирусов и опасного HTML-кода; мониторинг и обработка исходящих и входящих сообщений на уровне SMTP/Internet Connector в реальном времени, сканирование на основе памяти и типа, полная поддержка .zip-файлов, кэширование сообщений для многих получателей, автоматическое обновление продукта и информации о вирусах
NetIQ http://www.netiq.com
NetIQ MailMarshal SMTP
1295 для 75 пользователей; 2000 плюс 750 для 100 пользователей
Обеспечивает целостность сети и безопасность электронной почты благодаря интеграции функций для борьбы со спамом и вирусами,защиты конфиденциальных данных, фильтрации контента, подготовки отчетов и архивирования почтовых сообщений; проверяет исходящие и входящие сообщения совместно с любым SMTP-шлюзом
Защищает организации любых размеров от опасного почтового контента; обеспечивает согласованные и систематические политики безопасности контента; располагает различными политиками, правилами и механизмами аутентификации для исходящих/входящих почтовых сообщений, доменов, групп и отдельных пользователей
Mailwall Home
Договорная
Устраняет почтовые угрозы, прежде чем они повредят сети;перехватывает все почтовые сообщения в сетях, анализирует их, отыскивая нежелательный или незаконный контент, спам, макровирусы и вредный HTML-код; обеспечивает защиту для индивидуальных пользователей
Mailwall ISP
Договорная
Предназначен для Internet-провайдеров и компаний, предоставляющих услуги хостинга; защищает конечных пользователей от опасностей, распространяемых по электронной почте, в том числе вирусов, опасных присоединенных файлов, несанкционированных пересылок и спама
Mailwall Remote
Договорная
Обеспечивает управляемую защиту почтового контента; блокирует все типы угроз, распространяемых по почте; фильтрует все почтовые сообщения; администраторы могут назначать почтовые политики; прозрачная система фильтрации для пользователей
Pro Exchange http://www theproexchange.com
Spam Smacker
Договорная
Анализирует, идентифицирует, фильтрует и отслеживает опасные входящие почтовые сообщения, спам и порнографию
Proofpoint http://www.proofpoint.com
Proofpoint Protection Server
Цена при оптовых закупках от 2 до20 за один почтовый ящик
Совместим с Exchange Server 2003; защита периметра сети и статистическая технология машинного обучения; обнаруживает более 10 000 атрибутов спама; консоль управления на базе Web,30 настраиваемых отчетов, делегирование управления, распределенное развертывание, Dynamic Update Service, Corporate Lexicon Adapter, восстановление прежней конфигурации, карантин, краткие отчеты о конечных пользователях; масштабируется для обработки до 1 млн. сообщений в день
Red Earth Software http://www redearthsoftware.com
Policy Patrol Enterprise
375 для 10 пользователей
Функции для борьбы со спамом, поиска вирусов, фильтрации по ключевому слову, проверки присоединенных файлов, сжатия, подготовки отчетов, архивирования, вставки заявлений об отказе от обязательств и управления электронной почтой; полный набор фильтров для внешней и внутренней почты Exchange 2003 и Exchange 2000 Server; правила для пользователей, которые можно настраивать с помощью условий, исключений и операций
Software Appliance Company http://softappco.com
Filterkeys
27,95
Настраиваемые фильтры контента по любой тематике; фильтрация Web-узлов, пересылок FTP и Telnet, электронной почты POP3; автоматически блокирует Web-узлы, содержащие нежелательные для просмотра материалы; пользователи могут расширять набор блокируемых тем, включая любые слова и фразы; блокировка всплывающей рекламы с функциями сохранения конфиденциальности в сети
Imailkeys 6.5
37,95
Обеспечивает безопасность электронной почты, управление почтовыми списками, антивирусные функции, блокировку спама, проверку входящих/исходящих почтовых сообщений, присоединенных файлов, ведение шифрованного журнала и конфиденциальность при работе в сети
Netkeys Internet security suite 6.5
54,95
Универсальный инструмент безопасности для Internet, располагает функциями управления антивирусной защитой, фильтром спама, брандмауэром, фильтром контента, шифрованным журналом, блокировщиком рекламы; обеспечивает защиту с помощью пароля при работе в Internet
Spamkeys 6.5
27,95
Блокировка спама по контенту или почтовому адресу; настраиваемые фильтры для любой тематики, функции управления антивирусной защитой, защита конфиденциальности в сети, блокировка рекламы, шифрованный журнал, управление присоединенными файлами, блокировка исходящих/входящих сообщений; фильтры настраиваются на блокировку любых тем, присоединенных файлов и данных MIME; повышает конфиденциальность при работе в сети
SurfControl http://www.surfcontrol.com
SurfControl E-mail Filter
Договорная
Масштабируемый продукт обеспечивает высокую точность управления электронной почтой; используется для борьбы со спамом и почтовым "мусором"; защищает конфиденциальную корпоративную информацию; располагает антивирусными функциями; повышает производительность сотрудников и почтовых серверов; автоматизирует распознавание контента; исчерпывающая фильтрация контента для предприятия; работает на платформах Windows 2003, Windows 2000 и Red Hat Linux компании Red Hat Software
Sybari Software http://www.sybari.com
Antigen for Microsoft Exchange
5750 для 250 пользователей
Превентивная защита от почтовых вирусов, "червей", нежелательного контента и спама; управление различными механизмами сканирования
Antigen for SharePoint
5750 для 250 пользователей
Исчерпывающие функции защиты от вирусов, фильтрации контента, борьбы со спамом и защиты почты; совместимость с Exchange 2003, Microsoft SharePoint Portal Server 2003 и Live Communications Server 2003; превентивная защита от почтовых вирусов, "червей", нежелательного контента и спама
Sybari Spam Manager
5750 для 250 пользователей
Фильтрация контента с использованием разнообразных методов,механизм антиспама, используются сигнатуры спама; защита от спама и непрошеных посланий в шлюзе SMTP и на серверах Exchange
Trend Micro http://www.trendmicro.com
InterScan Messaging Security Suite 5.5
Договорная
Поиск вирусов и защита контента под управлением мощного Policy Manager; автоматизированное обновление информации о вирусах и факультативный фильтр Spam Prevention Service (SPS); совместимость с Windows 2003 и Windows 2000
ScanMail for Microsoft Exchange 6.2
Договорная
Исчерпывающие антивирусные функции и защита контента; функции централизованного управления обеспечивают согласованное конфигурирование групп, политики безопасности, обновление файлов сигнатур и подготовку отчетов; в факультативном модуле расширения реализованы мощные функции фильтрации и управления контентом для Exchange; предотвращает доставку вредного программного кода, в том числе Java, ActiveX и неизвестных сценариев и макровирусов; сканирование SMTP-трафика на внешнем (front-end) сервере Exchange
Брандмауэр корпоративного класса для фильтрации и защиты почтового трафика на Internet-шлюзе; для управления почтовым потоком, от безопасности которого зависит деятельность предприятия, применяются функции борьбы со спамом, вирусами, взломщиками, фильтрации контента, трансляции и шифрования почтовых сообщений; минимизирует риск при использовании электронной почты и снижает затраты на управление электронной почтой
Tumbleweed MMS - Appliance Edition
14 500 за специализированное устройство с двумя процессорами
Низкая стоимость внедрения и обслуживания; простые процедуры установки и конфигурирования; обеспечивает масштабируемость, гибкость и расширяемость на корпоративном уровне