GFI MailEssentials: почта под защитой

Продукт MailEssentials компании GFI хорошо известен многим администраторам Exchange, особенно в малых и средних компаниях. Он защищает серверы Exchange или другую систему электронной почты на базе SMTP от спама и вредоносных программ. Тем же, кто ещё не знаком с данным продуктом, мы попробуем кратко рассказать, что он собой представляет и чем может быть полезен для вашей организации.

GFI MailEssentials уже много лет знаменит тем, что обеспечивает высочайшую точность фильтрации спама. Это достигается благодаря применению методов байесовского анализа и других технологий идентификации спама. Согласно оценкам, GFI MailEssentials блокирует более 99% спама и при этом демонстрирует рекордно низкий уровень ложных срабатываний, что достигается за счет применения автоматически обновляемых белых списков, а также обеспечивает распознавание и фильтрацию фишинга, для чего используется специальная база данных фишинговых ресурсов и поиск по ключевым словам. 

MailEssentials быстро устанавливается на почтовый сервер предприятия или шлюз электронной почты и практически не требует дополнительной настройки. Таким образом, защита от спама и фишинга реализована на уровне почтового шлюза. Следовательно, можно отказаться от дорогостоящего развертывания и сопровождения систем защиты электронной почты на рабочих станциях предприятия, не понадобится обучать пользователей специфике борьбы со спамом и регулярной настройке правил фильтрации, почтовый мусор не будет захламлять дисковую подсистему сервера электронной почты. 

Более того, GFI MailEssentials гибко адаптируется к особенностям почтовых потоков предприятия без вмешательства администратора и предлагает целый ряд полезных функций управления сообщениями на уровне сервера: автоматическую вставку текста в тело сообщения, средства мониторинга и анализа использования системы электронной почты, сервер рассылок, функции автоответа и загрузку сообщений из многопользовательского почтового ящика провайдера по протоколу POP3. Например, функция автоответа наряду с обычным ответом позволяет использовать настраиваемые шаблоны и добавлять вложение. 

МЕХАНИЗМЫ ЗАЩИТЫ ОТ СПАМА

Технология байесовской фильтрации и анализ признаков

По данным исследований, байесовская фильтрация лидирует по точности распознавания спама, обеспечивает высочайшую точность фильтрации — более 98%. Она значительно опережает методы идентификации основе сигнатур и ключевых слов. В ней используются вероятностные методы оценки на основе найденных характерных признаков — слов и словосочетаний. GFI MailEssentials рассчитывает вероятность того, что сообщение является спамом, по сложной формуле и использует наборы характерных признаков. 

 

Продукт включает в себя многочисленные возможности фильтрации спама

 

Настройка правил фильтрации

 

Настройка действий при фильтрации почты

Продукт детально анализирует служебные поля электронных писем и идентифицирует подделанные заголовки, попытки сокрытия IP-адресов, спам-мутации, фальсифицированные домены и другие признаки спама. 

Движок защиты от спама дополняется настраиваемым движком фильтрации контента по ключевым словам и типам вложения, включая возможность запрета распаковки файлов ZIP. 

Полезное средство — SpamTag, плагин для MS Outlook который позволяет пользователям участвовать в донастройске продукта, помечая прошедший фильтры спам прямо из интерфейса Outlook. Он также создает в Outlook кнопку для доступа пользователя в карантин — не нужно запоминать, как туда попасть. Он просто нажимает кнопку и видит отправленные ему письма заблокированные письма.

 

Настройка SpamTag

В числе других усовершенствованных механизмов защиты от спама — SpamRazor, использующий «отпечатки» почтовых сообщений для выявления распространенного спама и списки блокировки URI DNS для проверки подозрительных сообщений.

GFI MailEssentials может обновлять набор характерных признаков спама, обращаясь к сайту GFI, что позволяет оперативно адаптировать систему к изменению особенностей распространения спама и успешно противостоять новым уловкам мастеров массовых рассылок. Специалисты GFI непрерывно совершенствуют байесовские базы данных в сотрудничестве с ведущими организациями по сбору и изучению спама.

Набор «плохих» признаков регулярно обновляется специалистами GFI и загружается GFI MailEssentials из интернета. Байесовский фильтр GFI MailEssentials формирует набор признаков «плохих» и «хороших» сообщений, анализируя содержимое соответствующих общих папок. Для повышения точности распознавания спама пополнение этих папок могут выполнять наряду с администраторами также пользователи системы, которым предоставлены необходимые права доступа.

Защита от подбора электронных адресов

Иногда спамеры рассылают письма по случайно сгенерированным адресам почтового домена предприятия. GFI MailEssentials сверяет адреса получателей по базе данных Active Directory или каталога LDAP, и если число неверных адресов превышает установленное значение, оно помечается как спам.
Анализ почтовых сообщений предусматривает также проверку того, что письмо, полученное от имени той или иной организации, было отправлено с уполномоченного ею почтового сервера. Эту функцию выполняет модуль Sender Policy Framework (SPF).

Белые и чёрные списки

Руководствуясь белыми списками, GFI MailEssentials пропускает почту от заданных отправителей или почтовых доменов. Поскольку эти списки автоматически пополняются адресами получателей исходящих писем, значительно снижается уровень ложных срабатываний (false positives). Белые списки могут также формироваться с использованием доменных имен, индивидуальных адресов электронной почты и ключевых слов.
Наконец, GFI MailEssentials проверяет содержащиеся в письме электронные адреса по базам данных рассылающих спам сайтов (Spam URI Realtime Blocklists, SURBL). Администратор может самостоятельно задавать серверы SURBL и определять порядок их использования. В процесс можно вовлечь и пользователей, предоставив им доступ к общим папкам, с помощью которых в GFI MailEssentials выполняется настройка черных и белых списков. 
GFI MailEssentials поддерживает также черные списки сторонних организаций и сообществ, таких как ORDB, SpamHaus и Spamcop. Кроме того, администратор может самостоятельно указать серверы, предоставляющие услуги черных списков.

 

Настройка списков

Серые списки

Еще один метод защиты от спама – это так называемые серые списки. Он особенно эффективен, поскольку исходит из того, что программное обеспечение спамера не следует тем же правилам, которые действуют для обычного сервера электронной почты. Движок сообщает почтовому серверу, что нужно «попробовать снова». Со второй попытки сообщение будет принято, и последующие почтовые сообщения от этого отправителя движок будет пропускать. В целом на время доставки электронной почты это влияет мало, но может существенно помочь в защите от спама. 

Куда девать спам?

GFI MailEssentials предлагает гибкие возможности обработки подозрительных сообщений, классифицированных как спам. Можно задать автоматическое удаление таких сообщений, перемещение в специальную общую папку, пересылку по указанному электронному адресу или перенос в папку для подозрительных сообщений в почтовом ящике адресата, чтобы избежать потери электронных писем, ошибочно отнесенных к спаму. При этом настройка действий может быть произведена индивидуально для каждого фильтра.

Наконец, GFI MailEssentials создает в почтовом ящике пользователя специальную папку New Senders и помещает в нее сообщения, не попадающие в категорию спама, но полученные от корреспондентов, с которыми пользователь прежде не контактировал.

ЗАЩИТА ОТ ФИШИНГА

Для защиты от фишинг-атак GFI MailEssentials содержащиеся в почтовом сообщении ссылки на веб-сайты по базе данных фишинговых ресурсов PURBL (Phishing URI Realtime Blocklist). В случае совпадений письмо блокируется. 
Модуль антифишинга в GFI MailEssentials выявляет и блокирует угрозы не только по базе данных фишинговых URL, которая постоянно обновляется: для дополнительной защиты каждое почтовое сообщение проверяется на соответствие ключевым словам. 

ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ

Для защиты от шпионских программ и вирусов GFI MailEssentials применяет целый арсенал технологий, включая несколько антивирусных движков, а также другие средства, созданные специально для защиты от атак через системы электронной почты, такие как анализ эксплойтов, сканер троянов и выполняемых файлов и очистка HTML для удаления опасного содержимого вроде JavaScript.

 

Очистка HTML

 

Настройка антивирусных движков

 

Настройка политик антивирусного сканирования почты

Всего же MailEssentials включает пять антивирусных движков — VIPRE, BitDefender, Kaspersky, Avira и McAfee. Каждый из них автоматически обновляется. В стандартной конфигурации GFI MailEssentials поставляется с движками VIPRE и BitDefender, остальные можно добавить при необходимости. Например, опционально GFI MailEssentials позволяет проверять почту антивирусным движком Касперского со встроенной базой данных сигнатур рекламных и шпионских программ, известных троянов. 

Как показывает практика, разные антивирусные ядра защищают от разных угроз. Это отчетливо видно на снимках экрана одного из российских пользователей продукта:

 

Троян был пойман движками Касперского и BitDefender

 

Троян был пойма движком Касперского

 

Троян был пойман движками Касперского и BitDefender

 

Vipre поймал HTML-эксплойт

Карантин настраивается достаточно тонко, можно дать доступ до индивидуального карантина для каждого пользователя. В случае распределенной установки продукта в сети, карантин синхронизируется между копиями продукта.

 

Настройка карантина для вредоносных программ

ОТЧЁТЫ


Встроенные средства формирования отчетности позволят проанализировать интенсивность и характер использования корпоративной электронной почты, а также проконтролировать эффективность системы фильтрации спама.

 

Отчеты GFI MailEssentials

 

Сводная статистика по заблокированной почте

ИНСТАЛЛЯЦИЯ И ИНТЕГРАЦИЯ С MICROSOFT EXCHANGE SERVER

Типичная инсталляция GFI MailEssentials – сервер Windows Server с сервисом SMTP и MailEssentials, либо сервер Exchange с MailEssentials. Последняя версия MailEssentials нацелена на средние и крупные организации: развертываемая конфигурация может быть «кластерной» с возможностью репликации и централизованной отчетностью. Такой вариант подойдет заказчикам с несколькими серверами Exchange, которые не хотят использовать облачные сервисы антиспама, либо это противоречит корпоративной политике. 

При установке на сервер Microsoft Exchange система GFI MailEssentials автоматически импортирует настройки службы SMTP. Дополнительной настройки почтового шлюза не требуется. Использование протокола SMTP обеспечивает поддержку стандартных почтовых серверов SMTP/POP3.

С сервером Exchange интегрируется также сервер рассылок с функциями оформления и аннулирования подписки (согласно требованиям законодательства по борьбе со спамом). Он может использовать в качестве хранилища информации СУБД Microsoft Access или Microsoft SQL Server.

Версия 2015 года нацелена на многосерверные инсталляции и имеет новые простые средства настройки конфигурации, позволяющие использовать общие настройки конфигурации, карантин и централизованные отчеты. Продукт хорошо интегрируется с текущей версией Exchange.

Хотя инсталляция продукта включает в себя более 20 шагов, включая подготовку, собственно инсталляцию и завершающий этап, это очень простой процесс. Нужно лишь убедиться, что удовлетворены системные требования

Инсталляция MailEssentials на сервере Exchange выполняется фактически за два основных этапа. Сначала нужно выбрать несколько опций для интеграции продукта с Active Directory и Exchange. Выбор User Mode задает, сколько пользователей будет распознавать MailEssentials. На Exchange Server имеет смысл присоединиться к домену Active Directory. Далее устанавливается веб-сайт для панели управления MailEssentials. Можно выбрать несколько сайтов для разных ролей. После этого MailEssentials устанавливает различные компоненты. По завершении процесса MailEssentials дает возможность выполнить завершающую настройку конфигурации и интегрировать ПО с базовой платформой Exchange.

Для интеграции устанавливаются несколько программных агентов, перехватывающих сообщения на транспортном уровне. На завершающем этапе создается аккаунт для доступа к почтовым ящикам.
После установки на первом сервере, MailEssentials будет доступен на сервере Exchange Server по ссылкеhttp://servername/MailEssentials. Для логина используется Active Directory. 

Для работы с MailEssentials применяется интерфейс браузера. Администраторы могут без дополнительных инструментов управлять и Exchange, и MailEssentials.

В древовидном меню можно настроить средства защиты от вредоносных программ, антиспам, фильтрацию контента, использовать средства управления почтовой системой, задать папку карантина и выбрать общие настройки.
В секции Multi-Server можно задать «кластер» MailEssentials. Один сервер определяется как основной, другой – как подчиненный. К последнему можно добавлять новые, дополнительные серверы.  

После этого можно настроить черный и белый списки, ключевые слова и правила фильтрации контента. При установке на нескольких серверах GFI MailEssentials автоматически синхронизирует между ними данные конфигурации и настройки, включая правила фильтрации, ключевые слова и черные/белые списки. Все эти настройки тиражируются между серверами. Можно также выбрать конкретные серверы для карантина и отчетов.

GFI MAILESSENTIALS 20: ЧТО НОВОГО?

В мае 2016 года вышла новая версия продукта – 20.1, в которой улучшен ряд функций и исправлены выявленные ошибки. Перечислим в заключение основные особенности версии 20, представленной в январе 2015 года.  

  • Многопоточная защита от спама для повышения пропускной способности системы электронной почты на системах с несколькими процессорами или многоядерными ЦП, а также в кластерных конфигурациях. 
  • Поддержка 64-разрядных систем, что позволяет GFI MailEssentials эффективнее обрабатывать большие объемы электронной почты.   
  • Поддержка Remote Active Directory (AD) дает возможность устанавливать GFI MailEssentials на системах без AD, таких как серверы IIS SMTP или Edge. При этом Active Directory все равно будет использоваться, несмотря на отсутствие локального доступа к ней. 
  • Поддержка сканирования хранилища Exchange 2013 и старше на наличие вредоносных программ с использованием Exchange Web Services.
  • Поддержка Exchange 2016, Windows 10 и Office 2016.   

 

ВЫВОДЫ

Продукты защиты от спама и вредоносных программ сегодня получили широкое распространение и применяются в организациях самого разного профиля и размера. В их числе — Sophos, McAfee, Barracuda и IronPort. Подобные функции предлагают и системы электронной почты, развертываемые локально или в облаке. GFI MailEssentials – достойная альтернатива Forefront Protection for Exchange, предлагающая дополнительную функциональность. Продукт заработал хорошую репутацию и получил четыре награды VBSpam+.

MailEssentials – полезный, многофункциональный инструмент для почтового сервера, дополняющий его не только средствами защиты от спама и вредоносных программ, но и предлагающий целый ряд других функций, обычно реализуемых автономными продуктами. 

Как и предполагает название «Essentials», продукт включает в себя очень важные для многих организаций функции, пока что не реализованные Microsoft в Exchange. И в этом причина его более чем 15-летнего коммерческого успеха.

Загрузить бесплатную полнофункциональную версию (демо, 30 дней) можно здесь: 
gfi-software.ru/downloads/gfi-mailessentials

На время использования предоставляется техническая поддержка на русском языке в соответствии с политикой: 
gfi-software.ru/support/policy

Автор: Александр Абрамов.

Тематики: ПО, Web, Безопасность

Ключевые слова: программное обеспечение, информационная безопасность