Опубликован: 26.03.2007 | Уровень: для всех | Доступ: платный
Лекция 6:

Защита почтовых систем

Unix-системы

Если Microsoft Exchange преимущественно используется в качестве внутренней почтовой системы и средства групповой работы, MTA с открытым кодом чаще всего выступают в роли релейного сервера, именно они принимают почту из Интернет, передают ее внутренней почтовой системе и наоборот.

Как правило, такие системы работают на серверах под управлением FreeBSD/Linux. Исторически разработкой антивирусных комплексов, работающих на этих операционных системах занимались только компании постсоветского пространства, Лаборатория Касперского и Доктор Веб. В последнее время, правда, к ним примкнули и некоторые западные разработчики - компании Trend Micro и Symantec также обратили свое внимание на Linux. К FreeBSD и вообще всему BSD-семейству это, правда, не относится.

Антивирусные комплексы для проверки почтового потока, интегрирующиеся с МТА с открытым кодом обычно работают по следующей схеме. Предусмотрено три основных модуля - модуль интеграции с МТА (разный для разных МТА, впрочем, возможна и универсализация), его задача - принять сообщение у почтового сервера и передать на проверку антивирусному модулю. Антивирусный модуль, постоянно пребывающий в оперативной памяти сервера (работающий в daemon-режиме), осуществляет проверку и возвращает модулю-перехватчику в зависимости от результатов проверки и возможностей конкретного продукта, либо вердикт, либо вылеченное вложение. Наконец, третий важный компонент осуществляет обновления антивирусных баз.

Sendmail

История антивирусов для Sendmail началась 29 марта 2000 года - в этот день Лаборатория Касперского анонсировала выход AVP для Sendmail. До этого интегрировать антивирусную проверку почтового потока с этим МТА можно было только с использованием сканеров при доступе, однако такая схема работы так сильно увеличивала нагрузку на почтовый сервер, что практически не применялась. Несколько позже, 28 апреля того же года Лаборатория Касперского, также первой в мире, выпустила продукт для другого МТА с открытым кодом - Qmail.

Говоря о практической реализации средств антивирусной защиты для Sendmail необходимо выделить несколько этапов.

Пионер в этой области - AVP для Sendmail, осуществлял проверку почтовых сообщений в двух режимах - локальном и глобальном. В локальном режиме проверялись письма, поступающие к пользователям почтового сервера. Исходящие письма, либо письма, передаваемые на другой сервер (при осуществлении релейных функций), на наличие вирусов не проверялись.

В локальном режиме проверка осуществлялась за счет подмены локального доставочного агента на почтовом сервере.

Работа в глобальном режиме подразумевала несколько иную схему, основанную на переписывании адресов. Каждому письму, поступившему на сервер, присваивался дополнительный доменный суффикс .avp, все письма, содержащие суффикс переправлялись на антивирусную проверку. После проверки суффикс убирался и письмо пересылалось дальше. Второй подход позволял проверять весь проходящий почтовый поток, однако вызывал и большое количество конфликтов, так как многие администраторы использовали возможность переписывания адресов для создания собственных фильтров.

Касательно функционала, выдвинутого в требованиях к продуктам для проверки почтового потока, Антивирус Касперского с самого начала удовлетворял всем необходимым требованиям, вопрос заключался лишь в изменении способа интеграции с Sendmail и введению некоторых второстепенных функций, таких как возможность лечения (не столь важная функция при проверке почтового потока), генерация списка проверяемых объектов и др.

Начиная с версии 8.11.6 в Sendmail был встроен Milter API, позволяющий передавать почтовые сообщения на проверку внешним фильтрам. Таким образом, необходимость в использовании других механизмов интеграции, как и в случае с VS API для Microsoft Exchange, отпала.

Тем не менее если по некоторым причинам использование Milter API невозможно (например, не удовлетворяет версия Sendmail) или нежелательно, возможна другая схема работы. Почтовое сообщение, поступив на сервер, перекладывается в специальную почтовую очередь, откуда уходит на проверку в антивирусный комплекс. После проверки, оно, в свою очередь, попадает в другую почтовую очередь, откуда и происходит его доставка по назначению. Можно проводить аналогии между схемой с переписыванием адресов и описанной схемой - в обоих случаях использованы нештатные механизмы перенаправления сообщений на проверку антивирусом. Вторая схема, однако, является более надежной, поскольку касается только маршрутизации почты и никак не задевает функционирование MTA.

Лаборатория Касперского сегодня является единственным производителем антивирусных комплексов, предоставляющим решения для проверки почтового потока в МТА Sendmail для обоих вариантов интеграции. Прочие производители ограничиваются поддержкой Milter API.

Postfix

В случае с Postfix отсутствовала первая историческая итерация - сам МТА изначально планировался способным передавать сообщения на проверку внешним фильтрам. Именно поэтому отсутствовали различия и в способах интеграции - предложенным механизмом воспользовались абсолютно все производители средств антивирусной защиты.

Заключение

Средства защиты почтовых систем, как и средства защиты шлюзов, несут четко выраженную задачу по проверке определенного информационного потока в сети. Использование таких средств подразумевает важность решаемой задачи по обеспечению антивирусной безопасности. Тем не менее, эта важность не проецируется на требования к функционалу - здесь все достаточно просто и понятно. Учитывая небольшое количество объектов подобного типа в корпоративной сети, а также отсутствие доступа к ним у рядового персонала, нет необходимости в изобретении мощного комплекса средств администрирования и разграничения доступа. Вместе с тем, сбор статистических данных с антивирусных комплексов для защиты почтовых систем необходим для модернизации стратегии защиты компании. Также следует отметить, что несмотря на бытующее мнение о начале заката эры почтовых червей, именно электронная почта сегодня является и в ближайшем будущем будет являться основным средством доставки вредоносных программ в сеть.

Ангелина Бабенко
Ангелина Бабенко
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Дарская
Мария Дарская
Россия, г. Пушкино
Юлия Журавлёва
Юлия Журавлёва
Россия