15.05.2004. Комплексы защиты электронной почты

версия для печати

Роджер Граймз

15.05.2004

Защита и восстановление почтовых серверов

Почтовые системы предприятия постоянно находится под угрозой. В настоящее время спам составляет более 50% всех почтовых сообщений, и одно из 30 сообщений содержит вирус или компьютерного «червя». Эти вредоносные программы не только причиняют реальный ущерб, но и расходуют ресурсы процессора, перегружают каналы связи, занимают место на жестком диске и отнимают у пользователей время. Правительства принимают законы, пытаясь остановить поток спама и наказать авторов непрошеных посланий, но проблема становится все острее и нет надежды смягчить ее в обозримом будущем. Защита и восстановление серверов электронной почты от нападений — первоочередная задача каждого сетевого администратора.

В данном обзоре рассматриваются комплексы защиты электронной почты с функциями блокировки спама, поиска вирусов и фильтрации контента. Все продукты работают на платформе Windows 2000 или совместимы с ней.

Универсальные решения

Лишь в последние несколько лет поставщики стали предлагать комбинированные решения для защиты почты, в которых соединены функции поиска вирусов, блокировки спама и фильтрации контента. Современные комплексы защиты располагают следующими возможностями:

• сканирование и анализ в реальном времени;
• наличие базы данных сигнатур опасных программ;
• управление карантином;
• эвристический анализ для распознавания не описанных ранее угроз;
• работа с одним или несколькими протоколами или портами;
• централизованные управление, мониторинг и подготовка отчетов;
• ежедневное или частое обновление сигнатур опасных программ;
• оповещение конечных пользователей о действиях по блокировке;
• высокая точность;
• круглосуточные консультации без выходных.

Тенденции

Наряду с конвергенцией трех основных технологий защиты электронной почты появляются и новые методы. Во-первых, для управления большинством продуктов применяются политики, что облегчает привязку составленных администратором политик к настраиваемым параметрам безопасности. Во-вторых, несколько поставщиков предлагают функциональность DRM (Digital Rights Management — управление цифровыми правами) для отслеживания внутренней информации, которую конечные пользователи пересылают во внешние сети. Возможно, в следующем году DRM станет одной из самых распространенных категорий продуктов для защиты почты и сетей. В-третьих, поставщики все чаще используют для шифрования почтовых сообщений заранее переданные (preshared) частные ключи и цифровые сертификаты. В-четвертых, поставщики предлагают больше специализированных аппаратных устройств, так как система защиты почты часто работает с какой-нибудь версией Linux или потому, что автономные устройства повышают скорость передачи данных. В-пятых, после получивших широкую огласку информационных катастроф, постигших некоторые предприятия, и принятия новых законов поставщики начинают дополнять продукты функциями архивирования почты и автоматической вставки в сообщения заявлений об отказе от обязательств.

Варианты установки

Выбор места для установки средств защиты зависит от поставщика и типа продукта. Некоторые продукты располагаются на периметре сети, перехватывая почтовые сообщения и другой Internet-контент, прежде чем он попадает на почтовый сервер. Другие продукты устанавливаются непосредственно на почтовом сервере или на вспомогательном сервере, напрямую связанном с базой данных сообщений почтового сервера. Продукты, разворачиваемые на клиентских настольных компьютерах, перехватывают сообщения между сервером и почтовым клиентом пользователя. Каждому подходу свойственны преимущества и недостатки, в зависимости от требований конкретного предприятия и степени удобства. Периметрические решения совместимы почти с любыми почтовыми серверами, тогда как продукты, устанавливаемые на сервере, должны быть спроектированы специально для этого сервера. Децентрализованная природа клиентских программ доставляет большие неудобства многим администраторам, но этот способ может оказаться единственно возможным, если конечным пользователям разрешено получать почтовые сообщения, не обращаясь напрямую к почтовому серверу компании (например, через почтовые учетные записи Web, учетные записи POP3 или одноранговые — P2P — сети и системы диалогового обмена сообщениями — Instant Messaging, IM).

Поиск вирусов

Важная характеристика, которую необходимо учитывать при выборе продукта, — способ поиска вирусов. Лишь примерно половина современных комплексов защиты электронной почты действительно сканируют файлы; остальные просто блокируют присоединенные файлы по расширению или типу MIME. Если продукт выполняет сканирование, то какой механизм поиска используется? Если поставщик не имеет многолетнего опыта борьбы с вирусами, то в его продуктах должны применяться известные механизмы независимых компаний. Чтобы повысить точность обнаружения вирусов, некоторые продукты позволяют подключать несколько антивирусных механизмов. Проводится ли поиск и анализ встроенного контента почтовых сообщений, например элементов управления ActiveX, апплетов Java и сценариев? Открывает ли программа встроенные ссылки электронной почты для дистанционной проверки доставки контента? Выполняется ли сканирование архивных файлов .tar и .zip? Блокируются ли cookie-файлы, шпионские программы и Web-роботы? Хорошая программа для борьбы с вирусами в электронной почте располагает всеми этими функциями.

Я рекомендую отключить функцию автоматической рассылки предупреждений отправителям зараженных сообщений. Почти все почтовые вирусы и «черви» подделывают адрес отправителя, поэтому автоматические предупреждения, как правило, бесполезны.

Блокировка спама

Насколько успешно продукт отделяет спам от полезных сообщений? Большинство поставщиков утверждают, что точность распознавания спама их продуктами составляет не менее 98%. Такие утверждения сомнительны, но даже при 98-процентной точности пользователям поступает множество непрошеных сообщений. Следует выяснить, на каких показателях основана оценка поставщика: числе ошибочно удаленных полезных сообщений (false positive) или объеме пропущенного спама (false negative)? Какая технология блокировки спама применяется в продукте? Лучшие продукты блокировки спама располагают несколькими автоматизированными аналитическими инструментами и обслуживаются группой специалистов, занятых исследованиями применяемых технологий рассылки спама. Широко распространены следующие методы блокирования спама:

• сканирование по ключевому слову;
• проверка ложных адресов отправителя;
• распознавание порнографии;
• анализ текста сообщения в поисках выражений, типичных для спама;
• внутренние и внешние «черные» списки;
• сайты сопоставления с «черными» списками в реальном времени;
• «белые» списки;
• блокировка адреса отправителя или домена;
• проверка заголовков сообщений;
• обратное преобразование DNS;
• антиретрансляционная технология.

Фильтрация контента

Фильтрация контента — двунаправленная операция: нельзя, чтобы конечные пользователи загружали несанкционированный контент с Web-узлов и отправляли по электронной почте информацию, опасную для компании. Каким образом продукт блокирует контент — по домену, IP-адресу, ключевым словам или категории Web-узла? Поставляются ли вместе с продуктом стандартные фильтры контента, и если да, то можно ли изменить их, построив специализированные фильтры? Производится ли нормализация данных в фильтрах — удаление лишних пробелов и символов, которые спамеры обычно вставляют, чтобы обойти правила, применяемые для проверки контента? Приняты ли меры, чтобы предотвратить попытки конечных пользователей обойти фильтры с помощью анонимного доступа к посредническим Web-узлам? Проводится ли сканирование контента, передаваемого через порты и протоколы, отличные от используемых для электронной почты и HTTP?

Общие рекомендации

При выборе инструмента блокировки спама необходимо ответить на следующие вопросы. С какими почтовыми серверами и службами совместим продукт (например, Lotus Domino, Microsoft Exchange Server, Novell GroupWise, SMTP)? Поддерживает ли он протоколы FTP, HTML, IMAP, Network News Transfer Protocol (NNTP), POP, Remote Storage Service (RSS) и UNIX-to-UNIX Copy (UUCP)? Совместим ли продукт с протоколом Lightweight Directory Access Protocol (LDAP), который дает возможность использовать такие пространства имен каталогов, как Active Directory (AD), для авторизации и аутентификации контента? Предусмотрены ли в продукте функции управления или мониторинга контента, поступающего через системы IM или P2P. Что представляет собой решение: специализированное аппаратное устройство, программный продукт или Web-службу? Если для компании важна отказоустойчивость, то продукт должен располагать функциями балансировки нагрузки и передачи заданий резервной системе. Какие функции реализованы в базовом продукте и какие модули приходится покупать за дополнительную плату?

Ответственное решение

При выборе комплекса защиты электронной почты необходимо учесть множество факторов. Оптимальный подход — испытать продукт перед покупкой. Рекомендую сравнить функциональность каждого решения со списком функций, наиболее важных для предприятия, почитать соответствующую литературу и опробовать продукт в тестовой лаборатории, чтобы убедиться в его пригодности для конкретного предприятия.

Роджер Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (изд-во O’Reilly & Associates). Его адрес: roger@rogeragrimes.com

Комплексы защиты электронной почты