Защитите свою сеть с помощью GFI MailSecurity
Защита вашей сети с помощью GFI MailSecurity
Томас В. Шиндер
Примечание. Полную 60-дневную рабочую версию GFI MailSecurity для Exchange/SMTP можно загрузить здесь.
Вы заметили, что объем спама, нежелательных вложений и почтовых вирусов резко вырос за последние шесть месяцев? Раньше я очень редко получал спам на свои «защищенные» или частные адреса электронной почты. Пару месяцев назад я начал получать спам по этим адресам, вероятно, потому, что я использовал эти адреса на сайтах электронной коммерции, которые решили быстро заработать, продав меня.
Не знаю, как вы, а я НЕНАВИЖУ спам. Это сводит меня с ума, и еще больше сводит меня с ума, когда я слышу жалобы своих клиентов. Я запускаю среду веб-хостинга и почтового хостинга для нескольких доменов, и многие из моих клиентов просили меня что-то сделать со спамом. Мы решили взять быка за рога и что-то с этим сделать. Блокирование спама из почтовых ящиков пользователей стало нашей святой миссией!
Какой продукт мы должны использовать? После некоторых исследований я решил проверить пробную версию MailSecurity программного обеспечения GFI. Этот продукт позволяет контролировать входящие и исходящие почтовые сообщения, проверяя содержимое сообщений и вложения. Он также бьет вирусы. Это именно то, что я искал!
Версии GFI MailSecurity
Существует две версии GFI MailSecurity. Один из них подключается к вашему серверу Exchange 2000 и проверяет содержимое хранилища сообщений. Другая версия предназначена для почтовых шлюзов SMTP и проверяет почту при ее прохождении через шлюз. Основное преимущество версии Exchange Server заключается в том, что она может проверять почту, пересылаемую между внутренними пользователями. Основное преимущество версии с ретрансляцией SMTP заключается в том, что она содержит больше информации о каждом электронном письме и может лучше решать, какая почта считается входящей, а какая исходящей (GFI MailSecurity можно настроить на проверку только входящей, только исходящей или одновременно входящей и исходящей электронной почты).
Поскольку я обычно устанавливаю ретранслятор SMTP во всех сетях, в которых есть сервер Exchange 2000, вариант со шлюзом SMTP показался мне лучшим выбором. Обратите внимание, что вы можете использовать обе версии. Вы можете установить версию шлюза SMTP на ретрансляторе SMTP, а также версию Exchange Server 2000 на своем сервере Exchange. Вам больше не нужно покупать лицензии! Вам нужно доплачивать за обслуживание и автоматические антивирусные обновления.
Установка GFI MailSecurity для шлюзов SMTP
Установить GFI MailSecurity для SMTP-шлюзов несложно. Загрузите установочный файл с http://www.gfi.com/mailsecurity/ и запустите установочный файл mailsecurity.exe. Появится страница приветствия мастера установки. Нажмите Далее, чтобы продолжить.
Появится страница лицензионного соглашения. Выберите вариант «Я принимаю лицензионное соглашение» и нажмите «Далее». На странице «Информация о пользователе» введите свое имя, название компании и серийный номер (если он у вас есть, в противном случае используйте «Оценка» в качестве ключа). Нажмите «Далее».
На странице электронной почты администратора введите адрес электронной почты администратора GFI MailSecurity. Уведомления могут быть отправлены администратору, которого вы указали здесь. Вы можете добавить других администраторов или изменить того, кого вы введете здесь позже. Нажмите «Далее».
На странице «Папка назначения» выберите расположение файлов программы и нажмите «Далее». Это приведет вас к странице почтового сервера, показанной ниже. Если ваш SMTP-ретранслятор находится в сегменте DMZ, введите IP-адрес, используемый вашим правилом публикации SMTP-сервера. Если ретранслятор SMTP находится в вашей внутренней сети, введите IP-адрес вашего сервера Exchange. Порт TCP 25 по умолчанию будет работать в большинстве случаев. Однако если вы хотите, чтобы GFI MailSecurity отправлял сообщения на другой порт, введите здесь альтернативный порт. Программа установки создаст удаленный домен в службе SMTP IIS для домена, введенного в текстовом поле «Локальный домен». Нажмите Далее, чтобы продолжить.
Вы настраиваете тип используемого вами почтового сервера на следующей странице почтового сервера, показанной ниже. В данном случае мы устанавливаем на ретрансляторе SMTP, поэтому второй вариант является правильным. Нажмите «Далее», чтобы продолжить, и еще раз нажмите «Далее», чтобы начать установку приложения. Нажмите «Готово», когда получите уведомление об успешной установке приложения.
Откройте консоль Internet Information Services после установки GFI MailSecurity. Разверните узел Виртуальный SMTP-сервер по умолчанию и щелкните узел Домены. Вы увидите, что новый удаленный домен был создан и настроен для использования вашего внутреннего почтового сервера в качестве смарт-хоста. Если вы настроите GFI MailSecurity на SMTP-ретрансляторе DMZ, вы увидите IP-адрес, используемый в правиле публикации SMTP-сервера, в качестве промежуточного хоста. Если вы размещаете несколько почтовых доменов, создайте удаленный домен для каждого домена, который вы размещаете, и пусть они используют ваш почтовый сервер в качестве смарт-хоста. Кроме того, убедитесь, что ваш сервер не работает как открытый ретранслятор, настроив параметры ретрансляции на SMTP-сервере.
Теперь, когда GFI MailSecurity установлен, а служба SMTP на ретрансляторе настроена с удаленным доменом для вашего домена электронной почты, мы готовы рассмотреть, как настроить GFI MailSecurity для защиты вашей сети.
Настройка GFI MailSecurity
Нажмите «Пуск», нажмите «Программы», а затем нажмите «GFI MailSecurity». Нажмите Конфигурация MailSecurity, чтобы начать. Здесь вы можете увидеть все функции консоли MMC.
Щелкните узел «Проверка содержимого» на левой панели, а затем дважды щелкните правило проверки содержимого по умолчанию. Здесь вы создаете правила проверки содержимого электронной почты. Я обнаружил, что правила проверки контента работают как чемпион! Вы можете создавать правила, которые ищут определенное ключевое слово, или вы можете создавать правила, основанные на ключевых словах с условиями. Некоторые примеры ключевых слов и условных правил показаны на рисунке ниже.
Обратите внимание, что у вас есть возможность проверять входящую и исходящую почту. Вы также можете заблокировать зашифрованную почту PGP. Это предотвратит обход ваших правил проверки содержимого почтой, зашифрованной с помощью PGP. Вы также можете проверить содержимое вложения. Это предотвращает попадание в почтовые ящики пользователей вложений с запрещенным содержимым.
Вы можете отслеживать входящую почту в режиме реального времени и видеть, какая почта была разрешена, а какая была поймана правилами проверки содержимого. Монитор GFI (как показано на рисунке ниже) показывает вашу почту в процессе ее обработки.
Клиент модератора позволяет вам видеть фактические сообщения, пойманные правилами проверки содержимого. Когда вы дважды щелкнете по захваченному сообщению, вы увидите причину, по которой сообщение было перехвачено, некоторые сведения о сообщении и файлы, связанные с сообщением. Вы можете щелкнуть правой кнопкой мыши файл содержимого и открыть сообщение. Сообщения в виде обычного текста сохраняются в виде текстовых файлов, а сообщения HTML сохраняются в виде файлов HTML. Файлы HTML безопасно открывать, поскольку удаляются опасные скрипты и вирусы.
Щелкните узел «Проверка вложений» на левой панели, а затем дважды щелкните «Правило проверки вложений по умолчанию» на правой панели. Этот параметр позволяет блокировать вложения как для входящей, так и для исходящей почты (или для обоих). Имеется встроенный список вложений, которые можно заблокировать, и вы можете легко добавлять свои собственные вложения.
Теперь о лучшей функции GFI MailSecurity — механизмах сканирования на вирусы. Вот так! GFI MailSecurity позволяет сканировать почту на наличие вирусов с помощью нескольких механизмов сканирования. Если один из них не поймает вирус, он повторит попытку с другим модулем сканирования. Даже самый подлый отправитель вирусов не сможет пройти сквозь эту стену! Что ж, я полагаю, что если появится новый вирус, и он поразит ваши серверы до того, как произойдут автоматические обновления, он может добраться до вас. Однако другие функции, такие как блокировка вложений, должны спасти вас в этом случае.
Обратите внимание, что у вас есть возможность сканировать входящую почту, исходящую почту или и то, и другое. Вы также можете заблокировать документы Word, содержащие макросы. Макровирусы Word могут быть большой проблемой, поэтому их блокировка может быть полезной. На втором рисунке ниже вы видите параметры автоматической загрузки и установки обновлений описаний вирусов. Система загружает файлы автоматически, и у меня никогда не было проблем с их загрузкой из-за ISA Server.
Щелкните узел E-mail Exploit Engine на левой панели консоли. На правой панели вы увидите впечатляющий список эксплойтов электронной почты, которые проверяет GFI MailSecurity. Механизм эксплойта электронной почты по умолчанию отключен, поэтому вам нужно щелкнуть правой кнопкой мыши узел на левой панели консоли и нажать «Включить». Я не вижу причин не запускать механизм эксплойтов электронной почты, поэтому рекомендую всегда включать его и разрешать проверку MailSecurity для всех включенных эксплойтов. Если по какой-то причине вам нужно отключить проверку на конкретный эксплойт, вы можете щелкнуть его правой кнопкой мыши и выбрать «Отключить».
Некоторые электронные письма настолько явно являются спамом, что вам даже не нужно их просматривать. Этот вопиющий спам должен быть удален без вашего беспокойства. Такой непристойный и мошеннический спам никогда не нуждается в проверке и может быть быстро уничтожен. Функция защиты от спама позволяет вам вводить очевидные ключевые слова, которые никогда не включаются в законные электронные письма (если только вы не являетесь известным гуру Cisco). Как и в случае с функцией проверки содержимого, упомянутой ранее, вы можете настроить GFI MailSecurity на проверку основного текста или строки темы письма на наличие этих конкретных неуместных или оскорбительных ключевых слов.
Как для проверки содержимого, так и для правил защиты от спама вы можете выбрать, какие действия выполнять с электронной почтой. Для параметра проверки содержимого вы можете поместить почту в карантин, удалить почту или переместить почту в определенную папку для сбора доказательств. У вас также есть возможность уведомить пользователей о том, что они отправили или получили запрещенную почту. Вы также можете сообщить об этом менеджеру пользователя. Менеджер определяется в свойствах учетной записи пользователя в Active Directory.
Производительность GFI MailSecurity мне показалась приемлемой. Если у вас есть большое количество правил и включены все антивирусные ядра и проверка эксплойтов, оценка одного электронного письма может занять несколько секунд. Если у вас загруженный почтовый сервер, убедитесь, что вы загружаете его оперативной памятью и быстрым процессором. Однако, если вам не требуется мгновенная доставка электронной почты с ретранслятора на главный почтовый сервер, вы в хорошей форме. Двигатель не задыхается и не глохнет, когда он занят, он просто замедляется. Но вся почта проверяется и очищается перед тем, как попасть на ваш сервер.
Вывод
Я все еще использую GFI MailSecurity для SMTP-шлюзов и считаю его надежным решением для фильтрации почты SMTP. Мои клиенты довольны, а раз они есть, то и я счастлив! Вирусы проникли в наш сетевой операционный центр или вышли из него. Мои клиенты также очень довольны тем, что больше не получают раздражающий и оскорбительный спам.
Если и есть один недостаток GFI MailSecurity, так это то, что вы не можете фильтровать почту по исходному адресу или почтовому домену. Я обычно решаю эту проблему, комбинируя GFI MailSecurity с SMTP Message Screener, входящим в состав ISA Server. Две системы фильтрации почты хорошо дополняют друг друга, и я чувствую, что получаю от ISA Server свои деньги, потому что я все еще могу воспользоваться преимуществами компонента Message Screener!