Роджер Граймз
15.05.2004
Почтовые системы предприятия постоянно находится под угрозой. В настоящее время спам составляет более 50% всех почтовых сообщений, и одно из 30 сообщений содержит вирус или компьютерного «червя». Эти вредоносные программы не только причиняют реальный ущерб, но и расходуют ресурсы процессора, перегружают каналы связи, занимают место на жестком диске и отнимают у пользователей время. Правительства принимают законы, пытаясь остановить поток спама и наказать авторов непрошеных посланий, но проблема становится все острее и нет надежды смягчить ее в обозримом будущем. Защита и восстановление серверов электронной почты от нападений — первоочередная задача каждого сетевого администратора.
В данном обзоре рассматриваются комплексы защиты электронной почты с функциями блокировки спама, поиска вирусов и фильтрации контента. Все продукты работают на платформе Windows 2000 или совместимы с ней.
Лишь в последние несколько лет поставщики стали предлагать комбинированные решения для защиты почты, в которых соединены функции поиска вирусов, блокировки спама и фильтрации контента. Современные комплексы защиты располагают следующими возможностями:
Наряду с конвергенцией трех основных технологий защиты электронной почты появляются и новые методы. Во-первых, для управления большинством продуктов применяются политики, что облегчает привязку составленных администратором политик к настраиваемым параметрам безопасности. Во-вторых, несколько поставщиков предлагают функциональность DRM (Digital Rights Management — управление цифровыми правами) для отслеживания внутренней информации, которую конечные пользователи пересылают во внешние сети. Возможно, в следующем году DRM станет одной из самых распространенных категорий продуктов для защиты почты и сетей. В-третьих, поставщики все чаще используют для шифрования почтовых сообщений заранее переданные (preshared) частные ключи и цифровые сертификаты. В-четвертых, поставщики предлагают больше специализированных аппаратных устройств, так как система защиты почты часто работает с какой-нибудь версией Linux или потому, что автономные устройства повышают скорость передачи данных. В-пятых, после получивших широкую огласку информационных катастроф, постигших некоторые предприятия, и принятия новых законов поставщики начинают дополнять продукты функциями архивирования почты и автоматической вставки в сообщения заявлений об отказе от обязательств.
Выбор места для установки средств защиты зависит от поставщика и типа продукта. Некоторые продукты располагаются на периметре сети, перехватывая почтовые сообщения и другой Internet-контент, прежде чем он попадает на почтовый сервер. Другие продукты устанавливаются непосредственно на почтовом сервере или на вспомогательном сервере, напрямую связанном с базой данных сообщений почтового сервера. Продукты, разворачиваемые на клиентских настольных компьютерах, перехватывают сообщения между сервером и почтовым клиентом пользователя. Каждому подходу свойственны преимущества и недостатки, в зависимости от требований конкретного предприятия и степени удобства. Периметрические решения совместимы почти с любыми почтовыми серверами, тогда как продукты, устанавливаемые на сервере, должны быть спроектированы специально для этого сервера. Децентрализованная природа клиентских программ доставляет большие неудобства многим администраторам, но этот способ может оказаться единственно возможным, если конечным пользователям разрешено получать почтовые сообщения, не обращаясь напрямую к почтовому серверу компании (например, через почтовые учетные записи Web, учетные записи POP3 или одноранговые — P2P — сети и системы диалогового обмена сообщениями — Instant Messaging, IM).
Важная характеристика, которую необходимо учитывать при выборе продукта, — способ поиска вирусов. Лишь примерно половина современных комплексов защиты электронной почты действительно сканируют файлы; остальные просто блокируют присоединенные файлы по расширению или типу MIME. Если продукт выполняет сканирование, то какой механизм поиска используется? Если поставщик не имеет многолетнего опыта борьбы с вирусами, то в его продуктах должны применяться известные механизмы независимых компаний. Чтобы повысить точность обнаружения вирусов, некоторые продукты позволяют подключать несколько антивирусных механизмов. Проводится ли поиск и анализ встроенного контента почтовых сообщений, например элементов управления ActiveX, апплетов Java и сценариев? Открывает ли программа встроенные ссылки электронной почты для дистанционной проверки доставки контента? Выполняется ли сканирование архивных файлов .tar и .zip? Блокируются ли cookie-файлы, шпионские программы и Web-роботы? Хорошая программа для борьбы с вирусами в электронной почте располагает всеми этими функциями.
Я рекомендую отключить функцию автоматической рассылки предупреждений отправителям зараженных сообщений. Почти все почтовые вирусы и «черви» подделывают адрес отправителя, поэтому автоматические предупреждения, как правило, бесполезны.
Насколько успешно продукт отделяет спам от полезных сообщений? Большинство поставщиков утверждают, что точность распознавания спама их продуктами составляет не менее 98%. Такие утверждения сомнительны, но даже при 98-процентной точности пользователям поступает множество непрошеных сообщений. Следует выяснить, на каких показателях основана оценка поставщика: числе ошибочно удаленных полезных сообщений (false positive) или объеме пропущенного спама (false negative)? Какая технология блокировки спама применяется в продукте? Лучшие продукты блокировки спама располагают несколькими автоматизированными аналитическими инструментами и обслуживаются группой специалистов, занятых исследованиями применяемых технологий рассылки спама. Широко распространены следующие методы блокирования спама:
Фильтрация контента — двунаправленная операция: нельзя, чтобы конечные пользователи загружали несанкционированный контент с Web-узлов и отправляли по электронной почте информацию, опасную для компании. Каким образом продукт блокирует контент — по домену, IP-адресу, ключевым словам или категории Web-узла? Поставляются ли вместе с продуктом стандартные фильтры контента, и если да, то можно ли изменить их, построив специализированные фильтры? Производится ли нормализация данных в фильтрах — удаление лишних пробелов и символов, которые спамеры обычно вставляют, чтобы обойти правила, применяемые для проверки контента? Приняты ли меры, чтобы предотвратить попытки конечных пользователей обойти фильтры с помощью анонимного доступа к посредническим Web-узлам? Проводится ли сканирование контента, передаваемого через порты и протоколы, отличные от используемых для электронной почты и HTTP?
При выборе инструмента блокировки спама необходимо ответить на следующие вопросы. С какими почтовыми серверами и службами совместим продукт (например, Lotus Domino, Microsoft Exchange Server, Novell GroupWise, SMTP)? Поддерживает ли он протоколы FTP, HTML, IMAP, Network News Transfer Protocol (NNTP), POP, Remote Storage Service (RSS) и UNIX-to-UNIX Copy (UUCP)? Совместим ли продукт с протоколом Lightweight Directory Access Protocol (LDAP), который дает возможность использовать такие пространства имен каталогов, как Active Directory (AD), для авторизации и аутентификации контента? Предусмотрены ли в продукте функции управления или мониторинга контента, поступающего через системы IM или P2P. Что представляет собой решение: специализированное аппаратное устройство, программный продукт или Web-службу? Если для компании важна отказоустойчивость, то продукт должен располагать функциями балансировки нагрузки и передачи заданий резервной системе. Какие функции реализованы в базовом продукте и какие модули приходится покупать за дополнительную плату?
При выборе комплекса защиты электронной почты необходимо учесть множество факторов. Оптимальный подход — испытать продукт перед покупкой. Рекомендую сравнить функциональность каждого решения со списком функций, наиболее важных для предприятия, почитать соответствующую литературу и опробовать продукт в тестовой лаборатории, чтобы убедиться в его пригодности для конкретного предприятия.
Роджер Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (изд-во O’Reilly & Associates). Его адрес: roger@rogeragrimes.com
Контактная информация | Название продукта | Цена в долларах | Описание |
Aladdin Knowledge Systems http://www.esafe.com | eSafe Gateway | 20 080 для 1000 пользователей | Исчерпывающие, полностью интегрированные функции защиты контента на базе шлюза; безопасность контента на всех уровнях; механизм превентивного обнаружения вирусов и вредоносных программ, модуль антиспама, факультативный модуль фильтрации URL |
Computer Associates International http://www.ca.com | eTrust Secure Content Management | От 55 для одного пользователя | Благодаря применению интегрированных политик контент защищен от факторов, способных нарушить деятельность предприятия или целостность сети, в том числе злоупотреблений с электронной почтой (например, спама) и Web, нарушений конфиденциальности, почтовых нарушений, грозящих юридическими санкциями, непрошеных сообщений, вирусов и опасных программ, поражающих мобильные устройства |
GFI http://www.gfi.com | GFI MailSecurity/MailEssentials bundle | От 450 для 10 компьютеров | Несколько антивирусных механизмов, проверка контента почтовых сообщений и присоединенных файлов, защита от взлома и вредоносного HTML-кода, функции поиска "троянских коней" и исполняемых файлов; фильтры антиспама и байесовский;удаляет из сетей более 98% спама |
Global Hauri | ViRobot Expert | 39,95 | Уничтожает вирусы, в том числе Nimda и Klez, не отправляя их в карантин; бесплатные модули для борьбы со спамом и шпионскими программами; блокирует спам и удаляет шпионские программы, потребляя минимум вычислительных ресурсов; совместим с Windows XP, Windows 2000 Professional, Windows NT 4.0, Windows Me, Windows 9x |
GROUP Technologies http://www grouptechnologies.com | securiQ.Wall | 7 за одно рабочее место | Исчерпывающий интегрированный инструментальный набор для борьбы со спамом обеспечивает безопасную доставку сообщений и исключает ложные положительные срабатывания; фильтрация заголовков и тела сообщения, анализ данных отправителя и получателя, фильтрация присоединенных файлов,.pdf- и .zip-файлов, обнаружение встроенных изображений, ограничение получателей,эвристический анализ, "приманки" (honeypot), сканирование HTML-кода, защита от нападений типа flood-attack, локальные списки запрета, "белые" и "черные" списки |
securiQ.Watchdog | 7 за одно рабочее место | Проверка всех исходящих, входящих и внутренних почтовых сообщений и баз данных; интеллектуально сканирует присоединенные файлы и блокирует файлы по типу, размеру и структуре,предотвращая прием и передачу сообщений с измененным или опасным контентом; совместимость с ведущими антивирусными механизмами; защита на базе правил | |
IntelliReach http://www.intellireach.com | MessageScreen Platinum | От 3000 со значительными скидками в зависимости от числа пользователей | Функции для борьбы со спамом, вирусами и фильтрация контента; стабильно блокирует более 97% спама и "взрослого" контента с помощью интеллектуального лексического анализа и сложного эвристического рейтинга; устраняет ложные положительные срабатывания; благодаря фильтрации спама на уровне шлюза сообщения не попадают в сеть предприятия; поиск спама по 2100 типичным характеристикам; совместимость со всеми версиями Microsoft Exchange, Novell GroupWise и Lotus Domino |
MicroWorld Technologies http://www.mwti.com | E-Scan Internet Security Suite | Договорная | Защита контента и поиск вирусов в реальном времени; используется WinSock Layer (MWL) компании MicroWorld; вирусы и "черви" устраняются, прежде чем достигнут приложений на компьютере пользователя |
Nemx Software http://www.nemx.com | Nemx Power Tools for Microsoft Exchange | Internet Edition, от 495 для одного коннектора SMTP; Advanced Edition, от 999 для 50 пользователей | Защищает системы Exchange от спама, вирусов и других опасных программ; не требует proxy-сервера и шлюза; интуитивно-понятная концепция фильтрации для контроля исходящих и входящих почтовых сообщений и трафика между внутренними почтовыми ящиками; сопоставление сигнатур, списки RBL (real-time black hole list - каталог известных авторов спама и ретрансляционных серверов, используемых для распространения спама), "белые" списки, фильтрация присоединенных файлов и поиск вирусов; функции исследования заголовков, формата сообщений, контента и статистического анализа |
Nemx SecurExchange | Internet Edition, от 795 за один сервер; AdvancedEdition,от 749 для 50 пользователей | Защита первого уровня по периметру сети от полиморфных вирусов, макровирусов и опасного HTML-кода; мониторинг и обработка исходящих и входящих сообщений на уровне SMTP/Internet Connector в реальном времени, сканирование на основе памяти и типа, полная поддержка .zip-файлов, кэширование сообщений для многих получателей, автоматическое обновление продукта и информации о вирусах | |
NetIQ http://www.netiq.com | NetIQ MailMarshal SMTP | 1295 для 75 пользователей; 2000 плюс 750 для 100 пользователей | Обеспечивает целостность сети и безопасность электронной почты благодаря интеграции функций для борьбы со спамом и вирусами,защиты конфиденциальных данных, фильтрации контента, подготовки отчетов и архивирования почтовых сообщений; проверяет исходящие и входящие сообщения совместно с любым SMTP-шлюзом |
Omniquad info@omniquad.com http://www.omniquad.com | Mailwall Enterprise | Договорная | Защищает организации любых размеров от опасного почтового контента; обеспечивает согласованные и систематические политики безопасности контента; располагает различными политиками, правилами и механизмами аутентификации для исходящих/входящих почтовых сообщений, доменов, групп и отдельных пользователей |
Mailwall Home | Договорная | Устраняет почтовые угрозы, прежде чем они повредят сети;перехватывает все почтовые сообщения в сетях, анализирует их, отыскивая нежелательный или незаконный контент, спам, макровирусы и вредный HTML-код; обеспечивает защиту для индивидуальных пользователей | |
Mailwall ISP | Договорная | Предназначен для Internet-провайдеров и компаний, предоставляющих услуги хостинга; защищает конечных пользователей от опасностей, распространяемых по электронной почте, в том числе вирусов, опасных присоединенных файлов, несанкционированных пересылок и спама | |
Mailwall Remote | Договорная | Обеспечивает управляемую защиту почтового контента; блокирует все типы угроз, распространяемых по почте; фильтрует все почтовые сообщения; администраторы могут назначать почтовые политики; прозрачная система фильтрации для пользователей | |
Pro Exchange http://www theproexchange.com | Spam Smacker | Договорная | Анализирует, идентифицирует, фильтрует и отслеживает опасные входящие почтовые сообщения, спам и порнографию |
Proofpoint http://www.proofpoint.com | Proofpoint Protection Server | Цена при оптовых закупках от 2 до20 за один почтовый ящик | Совместим с Exchange Server 2003; защита периметра сети и статистическая технология машинного обучения; обнаруживает более 10 000 атрибутов спама; консоль управления на базе Web,30 настраиваемых отчетов, делегирование управления, распределенное развертывание, Dynamic Update Service, Corporate Lexicon Adapter, восстановление прежней конфигурации, карантин, краткие отчеты о конечных пользователях; масштабируется для обработки до 1 млн. сообщений в день |
Red Earth Software http://www redearthsoftware.com | Policy Patrol Enterprise | 375 для 10 пользователей | Функции для борьбы со спамом, поиска вирусов, фильтрации по ключевому слову, проверки присоединенных файлов, сжатия, подготовки отчетов, архивирования, вставки заявлений об отказе от обязательств и управления электронной почтой; полный набор фильтров для внешней и внутренней почты Exchange 2003 и Exchange 2000 Server; правила для пользователей, которые можно настраивать с помощью условий, исключений и операций |
Software Appliance Company http://softappco.com | Filterkeys | 27,95 | Настраиваемые фильтры контента по любой тематике; фильтрация Web-узлов, пересылок FTP и Telnet, электронной почты POP3; автоматически блокирует Web-узлы, содержащие нежелательные для просмотра материалы; пользователи могут расширять набор блокируемых тем, включая любые слова и фразы; блокировка всплывающей рекламы с функциями сохранения конфиденциальности в сети |
Imailkeys 6.5 | 37,95 | Обеспечивает безопасность электронной почты, управление почтовыми списками, антивирусные функции, блокировку спама, проверку входящих/исходящих почтовых сообщений, присоединенных файлов, ведение шифрованного журнала и конфиденциальность при работе в сети | |
Netkeys Internet security suite 6.5 | 54,95 | Универсальный инструмент безопасности для Internet, располагает функциями управления антивирусной защитой, фильтром спама, брандмауэром, фильтром контента, шифрованным журналом, блокировщиком рекламы; обеспечивает защиту с помощью пароля при работе в Internet | |
Spamkeys 6.5 | 27,95 | Блокировка спама по контенту или почтовому адресу; настраиваемые фильтры для любой тематики, функции управления антивирусной защитой, защита конфиденциальности в сети, блокировка рекламы, шифрованный журнал, управление присоединенными файлами, блокировка исходящих/входящих сообщений; фильтры настраиваются на блокировку любых тем, присоединенных файлов и данных MIME; повышает конфиденциальность при работе в сети | |
SurfControl http://www.surfcontrol.com | SurfControl E-mail Filter | Договорная | Масштабируемый продукт обеспечивает высокую точность управления электронной почтой; используется для борьбы со спамом и почтовым "мусором"; защищает конфиденциальную корпоративную информацию; располагает антивирусными функциями; повышает производительность сотрудников и почтовых серверов; автоматизирует распознавание контента; исчерпывающая фильтрация контента для предприятия; работает на платформах Windows 2003, Windows 2000 и Red Hat Linux компании Red Hat Software |
Sybari Software http://www.sybari.com | Antigen for Microsoft Exchange | 5750 для 250 пользователей | Превентивная защита от почтовых вирусов, "червей", нежелательного контента и спама; управление различными механизмами сканирования |
Antigen for SharePoint | 5750 для 250 пользователей | Исчерпывающие функции защиты от вирусов, фильтрации контента, борьбы со спамом и защиты почты; совместимость с Exchange 2003, Microsoft SharePoint Portal Server 2003 и Live Communications Server 2003; превентивная защита от почтовых вирусов, "червей", нежелательного контента и спама | |
Sybari Spam Manager | 5750 для 250 пользователей | Фильтрация контента с использованием разнообразных методов,механизм антиспама, используются сигнатуры спама; защита от спама и непрошеных посланий в шлюзе SMTP и на серверах Exchange | |
Trend Micro http://www.trendmicro.com | InterScan Messaging Security Suite 5.5 | Договорная | Поиск вирусов и защита контента под управлением мощного Policy Manager; автоматизированное обновление информации о вирусах и факультативный фильтр Spam Prevention Service (SPS); совместимость с Windows 2003 и Windows 2000 |
ScanMail for Microsoft Exchange 6.2 | Договорная | Исчерпывающие антивирусные функции и защита контента; функции централизованного управления обеспечивают согласованное конфигурирование групп, политики безопасности, обновление файлов сигнатур и подготовку отчетов; в факультативном модуле расширения реализованы мощные функции фильтрации и управления контентом для Exchange; предотвращает доставку вредного программного кода, в том числе Java, ActiveX и неизвестных сценариев и макровирусов; сканирование SMTP-трафика на внешнем (front-end) сервере Exchange | |
Tumbleweed Communications http://www.tumbleweed.com | Tumbleweed MMS | 20 000 за один процессор сервера | Брандмауэр корпоративного класса для фильтрации и защиты почтового трафика на Internet-шлюзе; для управления почтовым потоком, от безопасности которого зависит деятельность предприятия, применяются функции борьбы со спамом, вирусами, взломщиками, фильтрации контента, трансляции и шифрования почтовых сообщений; минимизирует риск при использовании электронной почты и снижает затраты на управление электронной почтой |
Tumbleweed MMS - Appliance Edition | 14 500 за специализированное устройство с двумя процессорами | Низкая стоимость внедрения и обслуживания; простые процедуры установки и конфигурирования; обеспечивает масштабируемость, гибкость и расширяемость на корпоративном уровне |