Doctor Web 12434363

Курс DWCERT-070-4
«Общие принципы защиты почтового трафика»

Специальность: сертифицированный специалист по основам защиты почтового трафика

План курса

1. Общие принципы защиты почтового трафика

2. Аргументы для руководителя

3. Аргументы для технического специалиста

4. Лицензирование Dr.Web Mail Security Suite. Виды поставки

5. Методика выбора лицензии для защиты почты

Общие принципы защиты почтового трафика

Что такое почтовый сервер?

Почтовый сервер — это просто сервис, размещающийся на обычном файловом сервере. Поэтому, если используемой файловой системой является Windows, кроме защиты почтового сервиса необходимо использовать и защиту самого сервера.

Что такое почтовый шлюз?

В отличие от почтового сервера, почтовый шлюз не хранит почту — он обрабатывает ее «на лету» и передает по назначению. Почтовые шлюзы используются:

• Провайдерами услуг доступа — для фильтрации почты клиентов от вирусов и спама.

• Компаниями — как для снижения нагрузки на почтовый сервер компании, так и для изоляции его от сети Интернет (повышенный уровень защиты). Как правило, это компании, которые имеют филиалы, или компании, офис которых не сосредоточен в одном или нескольких обособленных помещениях.

* Опционально.

Назначение почтовых серверов

• Серверы обработки входящей и исходящей почты

• Серверы для систем массовой рассылки

• Серверы для обмена данными между сотрудниками компании

• Серверы для построения систем документооборота

Виды почтовых сервисов и почтовых серверов

• Microsoft Exchange, Kerio MailServer, Lotus Domino и Communigate Pro являются коммерческими решениями.

• Sendmail, Postfix, Exim (только под Unix), как правило, используются только в бесплатном варианте реализации.

Виды почтовых шлюзов

Как правило, почтовые шлюзы строятся на основе операционных систем Unix. При этом могут встречаться два варианта: использование обычного почтового сервера (зачастую бесплатного, типа Postfix или Sendmail) в роли транзитного сервера или использование специального антивирусного решения, имеющего модуль транзитной передачи почтовых сообщений.

Количество почтовых серверов в компании

От бесперебойного функционирования почты компании, а также ее «чистоты» от вирусов и спама зависят все бизнес-процессы компании. Практически в любой компании есть почтовый сервер.

В многофилиальной сети в каждом филиале может быть свой почтовый сервер, почтовый сервер может быть вынесен за пределы внутренней сети компании (в демилитаризованную зону) и т. д.

Угрозы, связанные с вирусами в почтовом трафике

Использование электронной почты — неотъемлемая составляющая бизнес-процессов каждого предприятия. Чем крупнее предприятие, чем интенсивнее в его бизнес-процессах используется электронная почта, тем больше и чаще подвержено оно воздействию вредоносных программ, проникающих в его информационную систему через почтовые серверы.

Влияние вирусных и спам-атак на бизнес-репутацию и упущенную выгоду

Основные принципы организации фильтрации почты

1. Фильтрацию почты желательно производить через почтовый шлюз (Dr.Web Mail Security Suite Антивирус + (Антиспам) + SMTP proxy)

Угрозы

Выставлять почтовый сервер в Интернет или внутреннюю сеть компании небезопасно. Злоумышленник имеет большие возможности по доступу к серверу или подмене трафика, в том числе и за счет аппаратных закладок. Даже если помещения расположены в одном здании, всегда есть вероятность перехвата или подмены трафика.

Решение

Наилучшим является вариант размещения почтового сервера на границе сети или в специальной организованной демилитаризованной зоне (DMZ) транзитных (или Frontend) почтовых серверов. Серверы принимают почту и переправляют ее на основной почтовый сервер внутрь сети организации, одновременно фильтруя трафик на спам и вирусы до его попадания во внутреннюю сеть компании. Управляться такие серверы могут как специалистами самой компании, так и сторонней компанией (например, специалистами дата-центра).

Следует организовать фильтрацию почтового трафика на шлюзе в таких случаях:

• компания — интернет-провайдер;

• почтовый сервер компании находится вне охраняемой территории компании (например, во внешнем дата-центре);

• компания арендует почтовые адреса на специальном сервисе;

• помещения компании не сосредоточены внутри одного охраняемого периметра, а размещаются в нескольких местах, и для связи между ними не используется выделенный канал (компания с многофилиальной структурой).

2. Необходимо защищать как внешнюю (входящую и исходящую), так и внутреннюю почту компании — т. е. должны быть защищены все пути приема и отправки почты.

В случае заражения сети компании именно почта может стать источником вирусов и путем проникновения их на все машины сети, так как на зараженной машине вредоносные программы имеют доступ к адресной книге сотрудника.

Возможные почтовые потоки компании

• Пользователь (либо программы, на установку которых он согласился, не зная их возможностей) может отправлять и получать письма:

• напрямую на почтовые серверы сети Интернет (по протоколу SMTP), если в сети открыт 25-й порт;

• на почтовые службы сервисов типа mail.ru/gmail.com — по протоколам pop3/imap4.

• Пользователь (либо программы, на установку которых он согласился, не зная их возможностей) может отправлять письма по закрытым каналам, и сервер не сможет их проверить.

• Сервер (либо программы, установленные на нем) может создавать почтовые рассылки и самостоятельно уведомлять получателей и отправителей о различных событиях.

Решение

В связи с этим необходимо:

• фильтровать всю корпоративную почту на почтовом сервере (с помощью Dr.Web Mail Security Suite Антивирус + Антиспам) и дополнительно обрабатывать протоколы POP3 и IMAP4 на шлюзе сети Интернет (в зависимости от используемого на шлюзе продукта, обрабатывающего трафик — Dr.Web Mail Security Suite Антивирус + Антиспам, Dr.Web Mail Security Suite Антивирус + Антиспам + SMTP proxy или Dr.Web Gateway Security Suite Антивирус) — дополнительно к проверке почты на рабочей станции;

• фильтровать всю внешнюю почту (протоколы POP3 и IMAP4, SMTP) на шлюзе (с помощью Dr.Web Mail Security Suite Антивирус + Антиспам + SMTP proxy), а на почтовом сервере сосредоточить только обработку внутренней почты (Dr.Web Mail Security Suite Антивирус + Антиспам) — дополнительно к проверке почты на рабочей станции.

Второй вариант предпочтительнее, так как в этом случае:

• нагрузка на почтовый сервер значительно снижается (количество спама в почтовом трафике составляет до 98%, и, естественно, его отсутствие благоприятно сказывается на работе почтового сервера);

• отсутствие прямого доступа к почтовому серверу из сети Интернет не позволяет хакерам воспользоваться уязвимостями (ранее известными и уязвимостями нулевого дня), в том числе за счет специально сформированных писем.

3. Дополнительные меры защиты

• Достаточно часто почтовые серверы хранят почту пользователей — либо постоянно (пользователи хранят всю почту на сервере компании и получают к ней доступ по протоколу IMAP4), либо временно (до момента выхода сотрудника на работу). В связи с тем что всегда имеется вероятность того, что вирус попадет в почту до того, как он попадет на исследование в антивирусную лабораторию, рекомендуется либо периодически проверять почтовые ящики пользователей на присутствие ранее не обнаруженных вирусов, либо проверять почту при ее отправке сотруднику.

• Отфильтрованная почта должна помещаться в карантин и/или архивироваться на случай возникновения претензий по неверной фильтрации (например, в случае завышения уровня детекта выше рекомендуемого).

Все эти возможности есть в Dr.Web Mail Security Suite.

Аргументы в пользу Dr.Web Mail Security Suite для руководителя или собственника предприятия

Использование Dr.Web Mail Security Suite значительно снижает затраты предприятия и повышает надежность бизнес-процессов.

Соответствие требованиям российского законодательства

Если в компании используется Dr.Web для MS Exchange или Dr.Web для почтовых серверов/шлюзов Unix.

1. Dr.Web Mail Security Suite обладает сертификатами соответствия ФСТЭК России и ФСБ России и позволяет выполнять требования Федерального закона № 152-ФЗ «О персональных данных» в части фильтрации почтового трафика. Сертифицированные продукты Dr.Web могут использоваться в организациях, требующих повышенного уровня безопасности, в том числе в составе подсистемы антивирусной защиты в информационных системах персональных данных (ИСПДн) класса K1. Возможность архивации всех почтовых сообщений позволяет также применять Dr.Web Mail Security Suite в составе информационных систем кредитных учреждений.

2. Согласно требованиям документов по защите ключевых систем информационной инфраструктуры, разработанных ФСТЭК России:

• Только продукты компании «Доктор Веб» могут применяться для защиты ключевых систем информационной инфраструктуры любого уровня важности. Продукты «Доктор Веб» сертифицированы по второму уровню контроля отсутствия несанкционированных действий, что в соответствии с законодательными актами является необходимым требованием для антивирусных продуктов для их использования в системах защиты ключевых систем первого уровня важности.

• Дополнительным плюсом продуктов компании «Доктор Веб» является наличие централизованного управления с рабочего места оператора и компонента Dr.Web SMTP proxy, позволяющего проводить антивирусную проверку на прокси-серверах. Данные положения также присутствуют в требованиях к используемым продуктам.

Снижение риска компрометации компании

Угрозы

1. Наличие значительной доли вредоносных файлов в почтовом трафике приводит к:

• потерям и утечкам данных в результате деятельности вирусов и хакерских утилит;

• захвату локальной сети в результате вирусной атаки и превращению ее в элемент бот-сети;

• ухудшению репутации в глазах потребителей и партнеров;

• формированию мнения о компании как о технологически отсталой;

• уходу клиентов или отказу от услуг компании.

1. «Изобретательность» сотрудников компании зачастую является причиной того, что компьютеры компании становятся частью бот-сетей и сами становятся источником спама, что вредит имиджу компании среди ее партнеров.

1. Иногда бывает, что даже нет необходимости открывать полученное письмо — уже самого факта его получения может быть достаточно для заражения машины и превращения ее в узел бот-сети, за которым следуют внесение компании в черные списки и отключение от сети Интернет за рассылку спама.

Решение

1. Использование Dr.Web Mail Security Suite значительно снизит риск компрометации компании путем внесения ее в черные списки и отключения компании от сети Интернет за рассылку спама.

2. Наличие карантина и функции архивации сообщений в Dr.Web Mail Security Suite позволяет восстанавливать сообщения, случайно удаленные сотрудниками из почтовых ящиков, а также проводить расследования, связанные с утечкой информации.

3. Использование компонента Dr.Web SMTP proxy и перенос фильтрации почтового трафика на шлюз (т. е. исключение возможности прямого доступа к почтовому серверу из сети Интернет) не позволит хакерам воспользоваться уязвимостями (как ранее известными, так и уязвимостями нулевого дня), в том числе за счет специально сформированных писем.

Сокращение затрат на инфраструктуру

Угрозы

1. Наличие вирусов и спама в почтовом трафике приводит к:

• снижению времени отклика почтового сервера, занятого обработкой паразитного трафика;

• снижению производительности почтового сервера или его полной неработоспособности;

• повышению нагрузки на внутреннюю сеть, снижению производительности сетевых ресурсов и пропускной способности каналов;

• выходу сервера из строя в результате получения «почтовой бомбы»;

• простоям оборудования.

1. Вирусы и спам в почтовом трафике приводят к повышению требований к аппаратной части почтовых серверов, а значит, к необходимости апгрейда или покупки новых машин.

Решение

1. Использование Dr.Web Mail Security Suite кардинально снижает объем паразитного трафика благодаря высокой эффективности фильтрации (снижение паразитного спам-трафика достигает 98%). Это в итоге сокращает затраты на ИT-инфраструктуру за счет:

• существенного сокращения расходов на оплату «паразитного» трафика;

• отсутствия необходимости увеличивать количество серверов или проводить аппаратные апгрейды;

• сокращения затрат на хранение почты, в том числе и спама.

1. Сокращение вирусных инцидентов, вызванных вирусами в почтовом трафике, высвобождает время системных администраторов для решения других насущных задач.

Сокращение потерь на оплату труда (повышение производительности труда сотрудников, а значит, и повышение эффективности бизнес-процессов).

Угрозы

1. Наличие вирусов и спама в почтовом трафике приводит к непродуктивным потерям рабочего времени:

• нарушению бесперебойности бизнес-процессов;

• задержкам в выполнении сотрудниками должностных обязанностей или невозможности исполнения служебных обязанностей (простоям);

• вероятности пропуска важной информации;

• потерям рабочего времени на устранение вирусных инцидентов;

• задержкам в выполнении обязательств компании перед клиентами;

• увеличению размеров почтовых ящиков пользователей и их резервных копий, что в свою очередь приводит к проблемам поиска нужной информации.

1. Один офисный работник в среднем тратит от 6 до 11 минут рабочего времени в день на просмотр и удаление спама. После этого сотруднику, чье внимание отвлечено от решения текущей бизнес-задачи, необходимо до 15 минут, чтобы заново сконцентрировать внимание. Чем выше служебное положение такого работника, тем больше теряет предприятие на оплате его труда.

Решение

Использование Dr.Web Mail Security Suite сокращает потери рабочего времени:

• за счет стабильной и безопасной работы корпоративной сети (без вирусов и спама в почтовом трафике);

• за счет отсутствия в почте сотрудников спама, на чистку которого может уходить немало времени. При этом эффективность отсева спама достигает 97–99%.

Сокращение простоев

Угрозы

1. По статистике, простои, часть которых вызвана вирусными инцидентами, составляют в среднем два часа в месяц на одного пользователя. Чем выше служебное положение такого пользователя, тем выше стоимость его простоя.

2. Время простоя тратится на ожидание устранения проблемы или самостоятельные попытки устранить ее, что может привести к непредсказуемым последствиям, вплоть до полной потери данных.

3. От успеха решения задачи по снижению простоев зависит эффективность функционирования бизнес-процессов целого предприятия.

Решение

При использовании Dr.Web Mail Security Suite практически отсутствуют простои, вызванные:

• действиями вирусов во входящем почтовом трафике;

• огромным количеством спама в почтовом трафике, что может парализовать работу компании и вызвать задержки в доставке почты.

Экономия на покупке серверных ОС

Dr.Web Mail Security Suite (для Unix) основан на открытом ПО и не требует покупки дорогостоящей серверной ОС Windows. Он может интегрироваться в решения других производителей. Кроме того, благодаря открытому API в него можно добавить новые функциональные возможности. Dr.Web Mail Security Suite позволяет неограниченно наращивать функциональность, причем любой разработанный плагин работает сразу со всеми поддерживаемыми MTA.

Аргументы в пользу Dr.Web Mail Security Suite для технического специалиста

О необходимости фильтрации почты

1. Почтовый трафик является основным переносчиком вирусов и спама. В случае заражения сети компании именно почта может стать источником вирусов и путем проникновения их на все машины сети, так как на зараженной машине вредоносные программы имеют доступ к адресной книге сотрудника — в ней могут быть как адреса ваших сотрудников, так и адреса ваших клиентов.

2. «Изобретательность» сотрудников компании зачастую является причиной того, что компьютеры компании становятся частью бот-сетей и сами становятся источником спама, что вредит имиджу компании среди ее партнеров. Иногда бывает, что даже нет необходимости открывать полученное письмо — уже самого факта его получения может быть достаточно для заражения машины и превращения ее в узел бот-сети, за которым следуют внесение компании в черные списки и отключение от сети Интернет за рассылку спама. Использование Dr.Web Mail Security Suite значительно снизит риск компрометации компании путем внесения ее в черные списки и отключения компании от сети Интернет за рассылку спама.

О необходимости комплексной фильтрации почты

Только комплексные решения для электронной почты, сочетающие в себе антивирус и антиспам, могут обеспечить ее полноценную защиту и снижение расходов компании. Использование антивируса без антиспама:

• позволяет хакерам проводить атаки на почтовые сервера компании и почтовые клиенты ее сотрудников. Иногда факта получения письма может быть достаточно для заражения машины  или нарушения ее работоспособности

• приводит к повышению платы за трафик;

• приводит к повышению непродуктивной паразитической нагрузки на почтовые серверы;

• снижает производительность труда всех сотрудников компании, получающих почту и вынужденных заниматься чисткой ящиков от спама.

О необходимости защиты всех узлов сети, а не только почтового трафика

1. Проблема

Считается, что если на рабочей станции стоит антивирус, то на сервере (файловом или почтовом) он не нужен.

1. Аргументы

Почтовые потоки, проходящие через рабочую станцию и сервер, не совпадают.

• Пользователь (либо программы, на установку которых он согласился, не зная их возможностей) может отправлять и получать письма:

• напрямую на почтовые серверы сети Интернет (по протоколу SMTP), если в сети открыт 25-й порт;

• на почтовые службы сервисов типа mail.ru/gmail.com — по протоколам pop3/imap4.

• Пользователь (либо программы, на установку которых он согласился, не зная их возможностей) может отправлять письма по закрытым каналам, и сервер не сможет их проверить.

• Сервер (либо программы, установленные на нем) может создавать почтовые рассылки и самостоятельно уведомлять получателей и отправителей о различных событиях.

Поэтому надо защищать как почтовый трафик, так и рабочие станции, и сам сервер.

О значительном снижении нагрузки и на почтовый сервер, и на рабочие станции при использовании

Надо защищать как рабочие станции, так и сам сервер. При использовании Dr.Web Mail Security Suite:

1. Почта будет отфильтрована один раз на сервере, а не несколько раз на каждой станции — это улучшит их быстродействие, и сотрудники станут значительно реже жаловаться на «тормоза» на их рабочих ПК и отвлекать вас на их устранение.

2. Существенно уменьшится внутрисетевой трафик за счет применяемых в продуктах Dr.Web алгоритмов шифрования и сжатия — этого функционала нет в продуктах для защиты рабочих станций ни у одного производителя.

О преимуществах антиспам-фильтрации на сервере, а не на станциях

1. Антиспам в Dr.Web Mail Security Suite отфильтрует почту на спам один раз на сервере, а не на каждой рабочей станции — это снизит нагрузку на рабочие станции.

2. Благодаря использованию антиспама в Dr.Web Mail Security Suite непродуктивная паразитная нагрузка на почтовый сервер снизится (количество спама в почтовом трафике составляет до 98%, и его отсев благоприятно скажется на работе почтового сервера). Задержки в доставке почты и потерянные письма станут редким явлением!

О преимуществах антиспама Dr.Web

1. Антиспам Dr.Web поставляется в составе единого решения (а не в виде отдельного продукта) и устанавливается на одном сервере с продуктом для фильтрации вирусов. Это упрощает администрирование и обеспечивает более низкую совокупную стоимость, чем при покупке решений конкурентов.

2. Антиспам Dr.Web обладает рядом неоспоримых преимуществ:

• не требует обучения и начинает эффективно работать с момента установки — в отличие от антиспамов, построенных на использовании алгоритма Байеса;

• вынесение вердикта спам/не спам не зависит от языка сообщения;

• позволяет задавать различные действия для разных категорий спама;

• использует собственные черные и белые списки, что делает невозможным компрометацию компаний через злонамеренное внесение их в списки нежелательных адресов;

• допускает малое количество ложных срабатываний;

• нуждается в обновлении не чаще одного раза в сутки, а значит, экономит трафик — уникальные технологии распознавания нежелательной почты на основе нескольких тысяч правил избавляют от необходимости скачивать частые и громоздкие обновления.

О преимуществах организации фильтрации почты на почтовом шлюзе

1. Отсутствие прямого доступа к почтовому серверу из сети Интернет не позволит хакерам воспользоваться уязвимостями (как ранее известными, так и уязвимостями нулевого дня), в том числе за счет специально сформированных писем.

2. Совместное использование Dr.Web Mail Security Suite и дополнительного компонента SMTP proxy:

• существенно повышает общую безопасность сети;

• значительно улучшает качество фильтрации за счет отсутствия ограничений, накладываемых почтовыми серверами;

• снижает нагрузку на внутренние почтовые серверы и рабочие станции;

• повышает стабильность работы системы проверки почты в целом.

1. Повышение надежности функционирования всей корпоративной сети (без вирусов и спама в почтовом трафике) укрепит вашу репутацию профессионала в области антивирусной безопасности.

Об угрозах использования бесплатных решений для фильтрации почты

Так называемые Open Source Solutions — бесплатные решения, разрабатываемые группой независимых разработчиков. Доверяя защиту почты подобным продуктам, предприятие с момента установки подвергает себя множеству рисков:

• отсутствие ответственности разработчика за функционирование продукта;

• недостаточно высокая скорость анализа и внесения новых вирусов в базу;

• отсутствие возможности получать квалифицированные услуги специалистов службы технической поддержки разработчика.

Лицензирование Dr.Web Mail Security Suite

1. По числу защищаемых пользователей

Количество защищаемых пользователей в такой лицензии неограниченно.

Внимание! Достаточно часто для обеспечения надежности используется резервирование серверов (горячее, когда все серверы работают одновременно, а почта на них раскидывается балансировщиком нагрузки, или холодное, когда в каждый момент времени почту обрабатывает один сервер, а второй находится в ожидании неисправности первого) или организация полноценного кластера. Вне зависимости от количества основных и резервных серверов, узлов кластера и количества балансировщиков число закупаемых лицензий равно числу адресов. Для каждого сервера необходим уникальный ключевой файл Dr.Web.

1. Посерверная лицензия

Если в компании на каждом сервере обрабатывается свой список адресов — для каждого сервера нужна отдельная лицензия.

• Посерверная лицензия предназначена для проверки неограниченного объема корреспонденции на одном сервере, с числом защищаемых пользователей не более 3 000.

• Продление посерверной лицензии производится по количеству необходимых клиенту защищаемых объектов или путем покупки новой посерверной лицензии со скидкой на продление.

• Дозакупка к посерверной лицензии не производится.

1. Безлимитная лицензия

• Такая лицензия предназначена для проверки неограниченного объема корреспонденции на любом количестве серверов с любым числом защищаемых пользователей.

• Продление безлимитной лицензии производится по количеству необходимых клиенту защищаемых объектов или путем покупки новой безлимитной лицензии со скидкой на продление.

• Дозакупка к безлимитной лицензии не производится.

Варианты лицензий и виды поставки

Возможны практически любые сочетания базовой лицензии на антивирус и дополнительных компонентов.

1. Ценовые коэффициенты за любые дополнительные компоненты применяются к цене базовой лицензии. Исключение: базой для применения ценового коэффициента дополнительного компонента SMTP proxy при покупке лицензии АВ+АС является сумма цен базовой лицензии на антивирус и цены за дополнительный компонент Антиспам.

2. Ценовой коэффициент для Центра управления — 0% (т. е. этот компонент всегда лицензируется бесплатно).

3. Применяются стандартные скидки на миграцию, для образовательных и медицинских учреждений.

Сертификаты и лицензии на Dr.Web Mail Security Suite

* Cертификаты действительны до 20.09.2014.

** Cертификаты действительны до 8.09.2014.

Варианты поставки

1. Несертифицированные ФСТЭК России продукты

• Электронная лицензия (без коробки или в коробке «Dr.Web для бизнеса»)
• Комплект Dr.Web Универсальный для бизнеса

1. Сертифицированные ФСТЭК России продукты

• Комплект Dr.Web «Малый бизнес» (коробка)
• «Dr.Web для бизнеса сертифицированный» (коробка)

Внимание! Продукты Dr.Web, сертифицированные ФСБ России, поставляются напрямую ФСБ.

Методика выбора лицензии для защиты почты

Чтобы сделать правильный выбор, ответьте на следующие вопросы:

• Сколько у вас почтовых серверов?
  
  
  

• Имеются ли в вашей компании филиалы? Сколько? Почтовый сервер есть в каждом филиале? Используется ли для организации передачи данных выделенный канал, поддерживающий шифрование?

• Какая ОС используется на почтовом сервере? Планируете ли вы защищать сам сервер?

Если используемая OС Windows, необходимо также приобрести лицензию для защиты сервера средствами Dr.Web Server Security Suite.

• Какой почтовый сервер вы используете?

• Ваш почтовый сервер доступен непосредственно из сети Интернет или отделен от нее почтовым шлюзом?

Если сервер отделен почтовым шлюзом, рекомендуется использовать фильтрацию почтового трафика на шлюзе средствами Dr.Web SMTP proxy.

• Ваш почтовый сервер располагается внутри помещений компании или вы арендуете внешний сервер?

Если почтовые серверы размещаются в нескольких местах и для связи между ними не используется выделенный канал, прием и передача почтовых сообщений между этим частями компании должны осуществляться через шлюз — даже если серверы расположены в одном здании, всегда есть вероятность перехвата или подмены трафика.

• Ваши сотрудники используют доступ к внешним почтовым сервисам?

Если да, необходимо использовать Dr.Web Mail Security Suite Антивирус +(Антиспам)+SMTP proxy.

20

© «Доктор Веб» 2003 — 2012