ЧудESA защиты корпоративной почты или внедрение свободных почтовых шлюзов на базе Proxmox Mail Gateway
Средства межсетевого экранирования стали де-факто атрибутом любой сетевой инфраструктуры. Почтовому трафику тоже необходимы средства фильтрации. Поэтому в современных релеях реалях тяжело представить почтовую инфраструктуру организации без почтовых шлюзов (mail gateways).
Зачем нужен почтовый шлюз и как его выбрать
Электронная почта (ЭП) является одним из векторов атак, как средство для доставки ВПО клиентам с целью проникновения в корпоративную сеть организации. Но у ЭП есть и еще один враг — спам, мешающий работе и заполняющий полезное дисковое пространство на почтовых серверах. Для решения данных проблем, уже разработаны решения: коммерческие и распространяемых под свободными лицензиями. Из коммерческих наибольшей популярностью пользуется продукт Cisco Email Security Appliance (ESA). Но все мы знаем про проблемы «окирпичивания» и отзывов окончания лицензий вендоров в текущих условиях, поэтому попробуем посмотреть в сторону свободно распространяемых продуктов.
Свободные решения считаются более сложными в настройке и требуют опыта настройки и администрирования. Конечно, можно накатить CentOS и поставить туда Postfix с использованием SpamAssassin, ClamAV, OpenDKIM, SPF и DMARC. Однако, если вам, как и мне, хотелось бы раскатать одну виртуалку (в которой уже из коробки есть все необходимое), зайти на вебку и все там настроить — тогда ваш выбор — Proxmox Mail Gateway (PMG).
Proxmox Mail Gateway
Многие слышали о Proxmox благодаря решению для виртуализации — Proxmox VE (PVE), как замену ESXi от VMWare. Поэтому людям, знакомых с PVE, PMG не покажется чем-то новым в установке и администрировании, так как это тот же Debian с тем же Web-интерфейсом, только заточен под ЭП.
Кто использует Proxmox Mail Gateway
Честно сказать, я думал, что мало кто использует данный программный продукт и скептически относился к нему, как замена для ESA. Однако, информация с shodan меня удивила и придала мне уверенности, что я не один такой.
Где ставить
Как говорилось выше, почтовый шлюз является аналогией межсетевого экранирования для почты. Поэтому ставить PMG, как и любой другой шлюз, нужно вразрез (на границе попадания почтового трафика извне) прохождения почтового трафика. Таким образом, между SMTP-сервером отправителя (или спамера) и SMTP-сервером получателя есть барьер в виде почтового шлюза.
На чем ставить
PMG поставляется в виде ISO-инсталлятора. Поэтому на чем его устанавливать — решение на вкус и цвет каждого. Хоть на старый ПК, хоть на сервак, хоть использованием виртуализации.
Установка
Установка предельно простая, описана в официальной документации и мало чем отличается от установки типичной ОС из ISO-инсталлятора. Пользователи PVE вообще не заметят существенной разницы.
Как зайти
После успешной установки, для управления PMG необходимо перейти в браузере по адресу: https://:8006
и ввести учетные данные, указанные при установке.
Настройка Proxmox Mail Gateway
Если описывать настройку всех возможностей, то статья превратится в документацию сайта разработчика, поэтому опишу кратко основные (необходимые) параметры.
Для настройки (администрирования) механизмов почтового шлюза представлены следующие разделы:
- Mail Filter — настройка цепочек правил контентной фильтрации писем (аналог Content Filters у ESA). Касается обработки писем и действий над ними;
- Configuration — настройка основных параметров самого шлюза. Включение/отключение механизмов защиты, настройки сети, ретрансляции, антивирусного и спам движков, управление пользователями, настройка кластера, бекапирования, сертификатов;
- Administration — управление почтовыми очередями, карантинами, настройка Black/White листов, просмотр трекинга сообщений;
Mail Filter
PMG из коробки уже наделен цепочками правил в Mail Filter, готовыми к работе на страже вашего почтового трафика. Подробно останавливаться на этом не вижу смысла, кто работал с ESA — поймет, и допилит под себя, кто впервые на это смотрит — необходимо понять суть. Суть в том, что для построений цепочек правил (Rules) существуют следующие объекты:
- Action Objects — действия, применяемые при попадании в правило (Rule). Например, доставить письмо пользователю, дропнуть письмо, поместить в карантин, удалить вложения, оповестить администратора и т.д.;
- Who Objects — сгруппированные по какому-либо признаку списки объектов, относящихся к отправителю или получателю (конкретные адреса, домены, IP-адреса, регулярные выражения и т.д.);
- What Objects — сгруппированные по какому-либо признаку списки объектов, относящихся к содержимому электронного письма (картинки, ссылки, вложения, офисные файлы и т.д.);
- When Objects — сгруппированные по какому-либо признаку списки объектов, относящихся к временному интервалу, например, нерабочее время или ночь;
Соответственно, подобно составлению ACL, комбинирование данных объектов в цепочку — это и есть правила. Образно работает это так:
Если мне прислали письмо от spammer@spam.ru (адрес из Blacklist в Who Objects), в письме офисный документ .docx (файл из What Objects) — заблокировать письмо или отправить в карантин (действие из Action Objects).
Configuration
Основной раздел для настройки работы почтового шлюза. В этом разделе первым делом нужно настроить Mail Proxy.
Mail Proxy
В разделе Relaying в поле Default Relay указываем IP-адрес или доменное имя SMTP-сервера, на который нужно отправлять письма дальше (сервер, обслуживающий ваш домен).
В разделе Relay Domains необходимо добавить домены, обслуживаемые вашим SMTP-сервером. Делается это для того, чтобы PMG понимал, какие письма ему обрабатывать и отправлять дальше.
В разделе Ports вы можете изменить какие порты PMG должен слушать. По-умолчанию 25 порт (External) служит для приема писем снаружи (из Интернета). Порт 26 (Internal) является релеем для получения писем от вашего почтового сервера и отправки их затем наружу (на другие почтовые домены).
В разделе Transports необходимо указать какому домену какой SMTP-сервер использовать для пересылки. У вас может быть несколько обслуживаемых доменов и на каждый из этих доменов может быть свой SMTP-сервер.
В разделе Networks необходимо указать доверенные сети — сети с которых будет разрешен прием для пересылки на другие домены. Делается это для того, чтобы письма пересылались наружу только с ваших доверенных SMTP-серверов.
В разделе TLS можно включить TLS при отправки и получении сообщений. Это означает, что при включенном TLS PMG будет пытаться отправлять письма наружу с использованием расширения ESMTP — STARTTLS, а так же сможет такие такие письма принять.
В разделе DKIM можно включить подпись исходящих сообщений. О том как добавить в PMG свой ключ подписи — написано в документации.
В разделе Whitelist можете указать те адреса и домены, которые не будут проходить проверки, включенные в разделе Options.
В разделе Options настраивайте механизмы проверок в зависимости от политики вашей организации. От себя хочу посоветовать изменять стандартный баннер и не показывать всем, что вы используете.
На этом основное конфигурирование почтового шлюза заканчивается. Все остальные настройки корректируются в зависимости от ваших личных предпочтений и требований безопасности.
Spam Detector
В качестве антиспам-решения PMG использует под капотом SpamAssassin. По-умолчанию включен и готов к работе из коробки. Для изменения параметров антиспама используются разделы:
Options, Quarantine, Status, Custom Scores
Virus Detector
В качестве АВЗ PMG использует движок ClamAV. По-умолчанию включен и готов к работе из коробки. Для изменения параметров антивирусного движка используются разделы:
Options, ClamAV, Quarantine
Cluster
Cisco ESA позволяет работать в режиме кластера. Это означает, что у вас может быть 2 почтовых шлюза (для балансировки нагрузки или отказоустойчивости). При этом режиме работы, настройки и политики применяемые на одном шлюзе синхронизируются с другим и наоборот (аналог стека у коммутаторов).
Proxmox Mail Gateway так же из коробки позволяет сделать вам кластер из нескольких нод. Аналогией является кластер в PVE, где несколько физических гипервизоров можно объединить в кластер.
Настройка банально проста и происходит в разделе Cluster. Для настройки объединения нод PMG в кластер необходимо:
- На мастер ноде создать кластер (нажать кнопку Create) и подождать завершения операции;
- На мастер ноде нажать на кнопку Add и скопировать себе IP Address и Fingerprint;
- На ноде, которую хотите добавить в кластер нажать кнопку Join и ввести IP Address, Пароль и Fingerprint, скопированного с мастер-ноды.
Кластер готов. Теперь настройки применяемые на одной из нод будут применены и на другой. Все просто, не так ли?
Итог
И это все? Конечно, да нет. Данная статья рассчитана на то, чтобы познакомить вас с таким замечательным, на мой взгляд, решением, как Proxmox Mail Gateway. Конечно до Cisco ESA ему еще далеко, но из того, что предлагает OpenSource — это топ. Настройки, приведеные в статье позволяют лишь подготовить PMG для пересылки писем от внешнего отправителя на внутренний почтовый сервер и наоборот. Как я говорил в самом начале, прелесть данного решения в готовности к бою со спамом из коробки, при минимальных затратах на его настройку. Главная задача настройки сводится к «направлению» почтового трафика через почтовый шлюз. Прелесть данного решения еще и в том, что под капотом Debian с Postfix, SpamAssassin, ClamAV, OpenDKIM и т.д., которые уже взаимодействуют между собой. Все, что вам остается — тюнить правила и политики. Если не хватает возможностей с вебки — лезем по SSH на PMG, устанавливаем пакеты, конфигурируем файлы, танцуем с бубном — все в ваших руках, все как мы любим. Ну и, конечно же — чтение документации. У PMG есть свои утилиты для управления политиками, а так же Rest API.
Не забудьте указать на вашем SMTP-сервере (MTA) в качестве релея — PMG с портом 26, для отправки всех писем наружу через шлюз. Так же не забудьте настроить NAT на вашем пограничном оборудовании, чтобы внешний IP с портом 25 указывал на 25 порт PMG. Дерзайте!
- электронная почта
- антиспам защита
- антиспам
- opensourse
- proxmox
- Спам и антиспам
- Open source
- Системное администрирование
Kaspersky Secure Mail Gateway
Kaspersky Secure Mail Gateway — это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты в составе готового к использованию виртуального устройства безопасности. Продукт обеспечивает самую современную защиту электронной почты от известных и неизвестных угроз, включая спам, фишинг и все виды вредоносных вложений.
Kaspersky Secure Mail Gateway прост в установке и управлении и экономит время, необходимое для выполнения ежедневных задач по работе с электронной почтой и обеспечению ее безопасности. Высокий уровень предоставляемой защиты подтвержден результатами независимых тестов и помогает поддерживать безопасность вашего бизнеса, одновременно повышая производительность работы сотрудников.
- 1 Готовое к использованию виртуальное устройство
- 2 Многоуровневая защита от вредоносного ПО
- 3 Антиспам и фильтрация контента
- 4 Возможности интеграции
- 5 Удобный мониторинг и гибкая система отчетов
- 6 Удобная установка и обслуживание
- 7 Преимущества
- 8 Системные требования
- 8.1 Аппаратное обеспечение
- 8.2 Программное обеспечение
- 8.3 Для работы c веб-консолью используйте следующие браузеры:
Готовое к использованию виртуальное устройство
Предварительно настроенные версии виртуального устройства для большинства наиболее популярных платформ, включая VMware ESXi и Microsoft Hyper-V. Kaspersky Secure Mail Gateway может быть также развернут на физических системах как универсальный, готовый к использованию почтовый шлюз.
Многоуровневая защита от вредоносного ПО
- Многоуровневая защита от угроз с поддержкой облачной сети Kaspersky Security Network
- Репутационный фильтр вредоносных URL-адресов с использованием облачной сети Kaspersky Security Network
- Обнаружение вредоносных макросов / элементов управления ActiveX в файлах Office
- Система быстрого обнаружения Urgent Detection System 2 для более эффективного блокирования спама
Антиспам и фильтрация контента
- Антиспам-ядро
- Облачный антифишинг
- Обнаружение массовых рассылок
- Карантин антиспама
- Оценка уровня вероятности нежелательной почты (Spam Confidence Level)
- Расширенная поддержка символов
- Обнаружение подмены символов доменого имени (юникод-спуфинга)
- Обнаружение объектов внутри вложенных архивов
Возможности интеграции
- Интеграция с Kaspersky Anti Targeted Attack Platform
- Интеграция с Kaspersky Private Security Network
Удобный мониторинг и гибкая система отчетов
- Интеграция с Kaspersky Security Center
- Удобный доступ для специалистов техподдержки
- Информационная панель
- Полная поддержка SNMP (Simple Network Management Protocol)
- Управление через веб-интерфейс
- Подробные гибкие отчеты в формате PDF
- Система уведомлений
- Подробные журналы событий
- Расширенные возможности технической поддержки
- Расширенные возможности системы уведомлений
- Интеграция с SIEM
Удобная установка и обслуживание
- Простая установка
- Active Directory и интеграция с OpenLDAP
- Широкий набор правил для управления трафиком электронной почты
- Поддержка IPv6
- Масштабируемая архитектура
- Простое обновление
Преимущества
- Сокращение расходов и повышение надежности
- Упрощение работы по администрированию
- Повышение производительности пользователей
- Предотвращение ущерба от инцидентов безопасности и атак программ-вымогателей
- Неизменная актуальность защиты
Системные требования
Аппаратное обеспечение
- 100 гб свободного места на хранилище ESXi
- Память: 4 ГБ
- Один 4-х ядерный процессор или выше
Программное обеспечение
Для развертывания образа виртуального устройства используйте следующие гипервизоры:
- VMware ESXi 5.5 обновление 2.
- VMware ESXi 6.0.
- Microsoft Hyper-V Server 2012 R2
Для работы c веб-консолью используйте следующие браузеры:
- Mozilla Firefox 49 или более поздняя версия
- Internet Explorer 11 или более поздняя версия
- Google Chrome 61 или более поздняя версия
Kaspersky Mail Gateway
Kaspersky Mail Gateway – это универсальное решение для комплексной защиты пользователей почтовой системы от вирусов и нежелательной корреспонденции – спама.
Установленное между корпоративной сетью и сетью Интернет, приложение осуществляет антивирусную проверку электронных писем, производит централизованную фильтрацию потока почтовых сообщений на наличие спама, также защищает почтовый сервер компании от несанкционированного использования.
Благодаря своей автономности приложение вписывается практически в любую среду, легко сочетается с антивирусными программами других производителей, установленными на остальных узлах сети, его установка и настройка не требуют большого опыта работы с Linux-системами.
ФУНКЦИИ
- Защита от вирусов и спама
- Дополнительная фильтрация сообщений
- Защита от несанкционарованного доступа
- Гибкое управление и администрирование
- Системные требования
Комплексная защита от вирусов и спама
Антивирусная проверка. Программа осуществляет поиск и удаление любых типов вирусов во всех элементах входящих и исходящих почтовых сообщений, включая вложения.
Фильтрация спама. Приложение проверяет поток почтовых сообщений на наличие спама, используя формальные признаки, а также анализируя содержимое письма и его вложений с помощью технологий искусственного интеллекта, включая специальные графические сигнатуры для распознавания спама в виде изображений.
Уведомления для пользователей. При обнаружении подозрительного или инфицированного объекта системный администратор, отправитель и получатель письма получают уведомление, содержание, формат и язык которого задает администратор системы. Письмо, отнесенное к категории «спам», может быть заблокировано, отправлено в карантинную папку или доставлено получателю со специальной меткой в заголовке.
Карантин. Инфицированные и подозрительные объекты, а также сообщения, признанные спамом, могут быть перенесены в карантинную папку, где администратор может просматривать их, удалять или отправлять конечному получателю.
Резервные копии. Копии зараженных сообщений могут быть сохранены перед антивирусной обработкой, что позволит восстановить важную информацию в случае некорректного лечения.
Дополнительные возможности фильтрации сообщений
По типам вложений. Фильтрация почтового трафика может быть организована по именам и типам вложенных файлов, что позволяет сразу же выделить объекты, с большой долей вероятности содержащие вирусы.
По группам пользователей. Администратор может задавать отдельные правила обработки сообщений для каждой группы пользователей почтовой системы, определяя уровни ограничений в соответствии с политикой безопасности и потребностями сотрудников.
Защита сервера от несанкционированного доступа
Настройки приложения позволяют противостоять DOS-атакам и использованию сервера третьими лицами для организации массовых несанкционированных рассылок. В определенных случаях это помогает увеличить скорость обработки почтового трафика.
Гибкое управление и администрирование
Удаленное администрирование. Работой Kaspersky Mail Gateway можно управлять удаленно через веб-интерфейс, а также и традиционно – через конфигурационный файл.
Настройка и оптимизация работы приложения. Администратор может изменять режим работы приложения – от максимально возможной производительности системы до максимально возможной защиты пользователей. Также есть возможность настраивать различные тайм-ауты при приеме и/или отправке сообщений, управлять рабочей очередью приложения и ограничивать количество одновременно проверяемых в фоновом режиме объектов.
Настройка режима обновлений. Обновления антивирусной базы могут производиться по запросу или по расписанию с серверов Лаборатории Касперского или с заданных локальных серверов. При этом может происходить обновление некоторых модулей антивирусного «движка» и лингвистического анализатора.
Наглядные отчеты. Веб-интерфейс предоставляет возможность просмотра вирусной активности за определенное время в графическом виде, а также данных о типах вирусов, которые были выявлены при антивирусной проверке.
Системные требования
- Процессор класса Intel Pentium (рекомендуется Pentium III или Pentium IV).
- Объем свободной оперативной памяти не менее 256 МБ.
- Свободное место на диске не менее 100 MБ (для установки приложения)
- Свободное место в файловой системе /tmp – не менее 500 MБ.
Программные требования к системе
Одна из следующих операционных систем:
- 32-битные платформы:
- Red Hat Enterprise Linux Server 5;
- Fedora 7;
- SuSE Linux Enterprise Server 10;
- OpenSuSE Linux 10.3;
- Debian GNU/Linux 4r1;
- Mandriva 2007;
- Ubuntu 7.10 Server Edition;
- FreeBSD 5.5, 6.2.
- Red Hat Enterprise Linux Server 5;
- Fedora 7;
- SUSE Linux Enterprise Server 10;
- OpenSUSE Linux 10.3.
Mail gateway что это такое
Решение Kaspersky Secure Mail Gateway позволяет развернуть виртуальный почтовый шлюз и интегрировать его в существующую почтовую инфраструктуру организации. На виртуальном почтовом шлюзе предустановлены: операционная система, почтовый сервер и антивирусная программа «Лаборатории Касперского».
Kaspersky Secure Mail Gateway обеспечивает защиту входящей и исходящей почты от вредоносных объектов и спама, выполняет контентную фильтрацию сообщений, а также, при интеграции с программой Kaspersky Anti Targeted Attack Platform (далее также «KATA»), обеспечивает защиту почты от вторжений в IT-инфраструктуру организации.
Kaspersky Secure Mail Gateway позволяет:
-
Проверять входящие и исходящие сообщения электронной почты на наличие спама, фишинга и вредоносного программного обеспечения, а также, при интеграции с KATA, проверять сообщения на наличие признаков целевых атак и вторжений в IT-инфраструктуру организации.
Атака, направленная на конкретного человека или организацию. В отличие от массовых атак компьютерными вирусами, направленных на заражение максимального количества компьютеров, целевые атаки могут быть направлены на заражение сети определенной организации или даже одного сервера в IT-инфраструктуре организации. Для каждой целевой атаки может быть написана специальная троянская программа.
Вид интернет-мошенничества, целью которого является получение неправомерного доступа к конфиденциальным данным пользователей.
Несанкционированная массовая рассылка сообщений электронной почты, чаще всего рекламного характера.
Чтобы своевременно реагировать на угрозы, информация о которых еще не вошла в антивирусные базы, компоненты защиты Kaspersky Secure Mail Gateway могут использовать информацию из Kaspersky Security Network.
Инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний «Лаборатории Касперского» о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ «Лаборатории Касперского» на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
Решение, позволяющее пользователям антивирусных программ «Лаборатории Касперского» получать доступ к данным Kaspersky Security Network, не отправляя информацию на серверы Kaspersky Security Network «Лаборатории Касперского» со своей стороны.
Сложная целевая атака на IT-инфраструктуру организации с одновременным использованием различных методов проникновения в сеть, закрепления в сети и получения регулярного доступа к конфиденциальным данным.
Атака на IT-инфраструктуру организации, использующая уязвимости «нулевого дня» в программном обеспечении, которые становятся известны злоумышленникам до момента выпуска производителем программного обеспечения обновления, содержащего исправления.
Решение, предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как, например, атаки «нулевого дня», целевые атаки и сложные целевые атаки advanced persistent threats (далее также «APT«).
Фильтрация сообщений электронной почты по размеру сообщения, маскам имен вложенных файлов и форматам вложенных файлов. По результатам контентной фильтрации можно ограничить пересылку сообщений почтовым сервером.
Компонент Kaspersky Secure Mail Gateway, предназначенный для обнаружения сообщений, которые классифицируются как фишинг.
Компонент Kaspersky Secure Mail Gateway, предназначенный для обнаружения сообщений, которые классифицируются как спам.
Компонент Kaspersky Secure Mail Gateway, предназначенный для обнаружения вирусов в сообщениях электронной почты и вложениях в сообщения электронной почты.
Проверка, действительно ли сообщение было отправлено из указанного домена.
Проверка цифровой подписи к сообщениям.Сопоставление IP-адресов отправителей сообщений со списком возможных источников сообщений, созданным администратором почтового сервера.
Kaspersky Secure Mail Gateway распространяется в формате шаблонов виртуальных машин OVA (Open Virtual Appliance) или ZIP-архива с образом виртуальной машины, предназначенного для развертывания в гипервизоре Microsoft Hyper-V.
В результате развертывания образа создается виртуальная машина с предустановленной операционной системой CentOS 6.8, почтовым сервером и программой Kaspersky Security для Linux® Mail Server (далее также «Kaspersky Security»). После развертывания вы можете настроить виртуальную машину с помощью мастера первоначальной настройки.