Чем грозит клиенту использование только антивируса для фильтрации почтового трафика

Обновлено: 07.07.2024

Как правило, необходимо защищать почтовый трафик, входящий из интернет на внутренние почтовые серверы компании и, в некоторых случаях, защищать исходящий почтовый трафик от серверов или пользовательских компьютеров.

Для защиты почтового трафика, приходящего из интернет на внутренние почтовые серверы, необходимо:

Наименование

Шаг 1. Опубликовать почтовый сервер в сеть Интернет

Смотрите раздел Правила DNAT

Шаг 2. Включить поддержку сервисов SMTP(S) и POP3(S) в зоне, подключенной к сети Интернет

Смотрите раздел Настройка зон

Шаг 3. Создать правила защиты почтового трафика

Создать необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе

Для защиты почтового трафика в случаях, когда не требуется публиковать почтовый сервер, действия сводятся к следующим шагам:

Наименование

Шаг 1. Создать правила защиты почтового трафика

Для настройки правил фильтрации почтового трафика необходимо нажать на кнопку Добавить в разделе Политики безопасности à Защита почтового трафика и заполнить поля правила.

Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил.

Важно! Если не создано ни одного правила, то почтовый трафик не проверяется.

Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Наименование

Включает или отключает правило

Действие, применяемое к почтовому трафику при совпадении всех условий правила:

* Пропустить -- пропускает трафик без изменений

* Блокировать с ошибкой -- блокирует письмо, при этом сообщает об ошибке доставки письма серверу SMTP для SMTP(S)-трафика или клиенту POP3 для POP3(S)-трафика

* Блокировать без ошибки -- блокирует письмо без уведомления о блокировке

Метод проверки почтового трафика:

* Проверка антиспамом и антивирусом Entensys -- проверяет почтовый трафик на наличие спама и вирусов

* Проверка антивирусом Kaspersky -- антивирусная проверка с помощью движка Касперского

* DNSBL -- антиспам-проверка с помощью технологии DNSBL. Применима только к SMTP- трафику. При проверке почтового трафика с помощью DNSBL IP-адрес SMTP-сервера отправителя спама блокируется на этапе создания SMTP-соединения, что позволяет существенно разгрузить другие методы проверки почты на спам и вирусы

Поле, куда требуется помещать тег маркировки

Текст тега, который маркирует письмо

Зона и IP-адреса источника трафика

Пользователи

Пользователи или группы пользователей, к которым применяется данное правило

Зона и IP-адреса назначения трафика

Почтовый протокол (POP3 или SMTP), к которому будет применено данное правило

Envelop from

Почтовый адрес отправителя письма, указанный в поле Envelop from. Только для протокола SMTP

Почтовый адрес адресата письма, указанный в поле Envelop to. Только для протокола SMTP

Рекомендуемые настройки защиты от спама следующие.

Для протокола SMTP(S):

* Второе правило -- маркировка писем с помощью антиспама и антивируса Entensys. Здесь можно использовать любые исключения, в том числе и по Envelop from/Envelop to.

Электронной почте уже более полувека, но она остается одним из самых актуальных способов обмена информацией и коллективной работы. Почтовые сервисы стали не только неотъемлемым элементом бизнес-процессов, но и неотъемлемым элементом повседневной жизни – сегодня личный электронный адрес (и не один) есть практически у каждого человека. А Интернет со своей стороны предлагает множество бесплатных сервисов электронной почты.

Под корпоративной почтой подразумевают электронную почту, которая используется специально для нужд компании. Характерное отличие от личной почты – адрес . Обычно он имеет вид: имя_пользователя@компания.домен . Корпоративная почта привязывается к сайту компании и ее доменному имени.

Ни для кого не секрет, что электронная почта является основным вектором атаки для злоумышленников . Поэтому надежная защита почтового трафика – это не роскошь, а необходимость для существования и развития компании, защиты ее имиджа и повышения конкурентоспособности.

Большинство информации в сети зачастую подвергается вниманию “третьих лиц”. Например, многим известна ситуация с Эдвардом Сноуденом, который сообщил на весь мир о том, что некоторые известные американские спецслужбы читают переписки своих граждан, а также представителей ряда государств (причем стран далеко не рядовых – Германии и Великобритании). С одной стороны, спецслужбы беспокоятся о безопасности и жизни граждан своей страны, а также о целостности непосредственно государства. Но с другой стороны, следует помнить, что пользователи имеют право на личную жизнь без вмешательства и контроля со стороны любых структур и организаций.

Спам и фишинг – типичные проблемы. Кроме прочих неприятностей, они могут стать источником проникновения в корпоративную сеть вредоносного кода.
Результатом внешней атаки на корпоративный почтовый сервер может стать отказ почтовой службы и остановка завязанных на ней рабочих процессов.
Для атак разного типа могут использоваться и содержащие уязвимости клиентские почтовые программы.

Мы сформировали основные правила по работе с электронной почтой , чтобы избежать негативных последствий и не быть «взломанным» злоумышленниками.

Средства мониторинга и фильтрации содержимого электронной почты

Однако, следует отметить, что несмотря на все неоспоримые преимущества использования электронной почты, существует немало опасностей (см. рис.1), сопряжённых с её применением.

Рис.1 Проблемы и негативное воздействие различных факторов на незащищенную почтовую систему

2. Риски использования электронной почты

Открытие таких файлов или попытка «развернуть» архив может привести к «зависанию» системы. При этом одинаково опасны как умышленные атаки этого типа, так и неумышленные, когда пользователи отправляют электронные письма с вложениями большого объема, просто не подумав о том, к каким последствиям может привести открытие подобного файла на компьютере адресата.

Отсутствие контроля над почтовым потоком, как правило, становится причиной того, что сотрудники компании используют электронную почту в целях, не связанных с деятельностью компании (например, для обмена видео-файлами и графикой, частной переписки, ведения собственного бизнеса с использованием почтовых ресурсов компании, рассылки резюме в различные организации и т. п.). Это приводит к резкому падению производительности труда в целом по компании.

Кроме того, к такому же результату может привести непродуктивное использование почтовых ресурсов в трудовой деятельности сотрудников (например, чрезмерное увлечение почтовой перепиской в случаях, когда необходимости в такой переписке нет, использование электронной почты не по назначению и т. п.).

Вообще передача в электронных письмах графических, видео и звуковых файлов, которые, как правило, имеют большой объем, даже если такая передача предусмотрена условиями ведения бизнеса, приводит к значительной перегрузке сети, а значит и к дополнительным финансовым затратам на ее обслуживание.

Все эти особенности, а также простота копирования электронной почты и невозможность проконтролировать данную операцию приводят к тому, что сотрудник может передать корпоративную информацию любому количеству людей как внутри, так и за пределами компании анонимно и без соответствующего разрешения, сразу или по истечении какого-либо времени. При этом, такая информация может представлять собой как служебную информацию компании (тексты договоров, сведения о планируемых сделках и т. п.), так и пароли, системные данные, исходные коды программ или другую конфиденциальную информацию и интеллектуальную собственность компании. Это, в конечном итоге, грозит серьезным нарушением конфиденциальности и может привести к весьма неприятным для компании последствиям.

Одно из основных отличий электронной почты состоит в том, что отношение к ней намного менее формально, чем к другим видам коммерческих коммуникаций. Во-первых, большинство пользователей относятся к электронной почте как к чему-то временному, то есть поступают с ней по принципу «прочитал и выкинул». При таком отношении существует риск случайного удаления значимой информации. Кроме того, существует опасность потери переписки с важным клиентом.

3. Требования к системе фильтрации содержимого электронной почты

При рассмотрении вопроса выбора той или иной системы фильтрации содержимого электронной почты следует принимать во внимание все вышеописанные риски. Данная система должна обеспечивать полный комплекс мер противодействия угрозам. В функции системы должен входить контроль почтового трафика и ведение архива переписки по электронной почте. Система фильтрации должна выполнять следующие функции:

По данным, опубликованным в открытом доступе, защитные механизмы антивирусов и межсетевых экранов имеют доступ ко всем соединениям без исключения, в том числе защищённым. Такое вмешательство может быть опасным для конфиденциальных данных.

Для эксперимента учёные специально разработали продукты перехвата, которые мониторили соединения множества электронных коммерческих площадок, CDN-сервиса CloudFlare и сервера обновлений Mozilla Firefox.

Больше половины всех соединений оказались подвержены критическим уязвимостям

Перехватить данные и расшифровать их потенциально мог злоумышленник, действующий по технологии "атаки посредника" (технологии Man in the middle). Во многом виновата поддержка сервисами давно скомпрометированных шифров и расширений: на них было основано более 85% перехваченных связей.

Также анализу подверглись различные антивирусные продукты, такие как

Avast, Bullguard, CYBERsitter, Kaspersky, PC Pandora и другие. Большинство из них не удовлетворили запросам безопасности исследователей.

Сотрудники "Лаборатории Касперского", в свою очередь, рассказали Лайфу, что их эксперты перепроверили факты, приведённые в статье, но "не нашли им подтверждения". Продукция "Лаборатории", предназначенная для Windows, не поддерживает компрессию данных, а для Mac, по их словам, — на самом деле проверяет достоверность сертификата шифрования.

Алексей Маланов, эксперт "Лаборатории Касперского",

Само по себе шифрование трафика призвано защитить данные от перехвата и изменения по пути, но вовсе не свидетельствует о безопасности самих данных. По словам специалистов, злоумышленники уже многие годы используют шифрование для доставки пользователю вредоносного программного обеспечения, фишинга и других атак.

Читайте также: