Приложение. Скрипт отправки спама на исследование

Этот раздел содержит информацию о скрипте отправки спама на исследование специалистам "Лаборатории Касперского" и настройке его параметров.

О скрипте отправки спама на исследование

Модуль Анти-Спам блокирует спам-сообщения, используя известные ему на текущий момент характеристики спам-рассылок. Если в почтовый ящик пользователя попадают спам-сообщения, пока не известные модулю Анти-Спам, пользователь может передать эти неотфильтрованные образцы спама на обработку специалистами "Лаборатории Касперского". Это позволит оперативно добавить новые записи в базу данных модуля Анти-Спам, быстрее заблокировать спам-рассылку и тем самым предотвратить ее дальнейшую доставку.

Передать образцы спама в "Лабораторию Касперского" пользователи могут, переместив их в папку "Нежелательная почта" ("Junk E-Mail"). Для поиска сообщений в папке "Нежелательная почта" почтовых ящиков указанных пользователей и пересылки их на указанный адрес предназначен скрипт отправки спама на исследование. Скрипт пересылает только те сообщения, которые были добавлены в папку "Нежелательная почта" не ранее заданного количества дней и не были отмечены другими системами защиты почты от спама.

Скрипт пересылает в "Лабораторию Касперского" сообщения из папок "Нежелательная почта" со всем содержимым. Необходимо уведомить пользователей почтовых ящиков, что перенося сообщения в папку "Нежелательная почта", они подтверждают, что в сообщениях отсутствуют конфиденциальные данные.

Скрипт выполняется от имени учетной записи, имеющей адрес электронной почты в инфраструктуре Microsoft Exchange организации и имеющей доступ к Exchange Web Services. Эта учетная запись должна иметь права на изменение папок "Нежелательная почта" всех обрабатываемых почтовых ящиков.

Для ведения журнала работы скрипта и работы с конфигурационным файлом параметров скрипта учетная запись, от имени которой запущен скрипт, должна иметь права на запись в папку, в которой он расположен (<Папка установки программы\SpamForwarder>).

Чтобы открыть папку со скриптом,

выберите в меню Пуск пункт Программы → Kaspersky Security 9.0 для Microsoft Exchange Servers → Скрипт отправки спама на исследование.

Для работы скрипта отправки спама на исследование необходим программный интерфейс Microsoft Exchange Web Services Managed API 2.0. Программный модуль этого интерфейса нужно загрузить по ссылке: http://www.microsoft.com/en-us/download/details.aspx?id=35371 и записать в папку со скриптом, в подпапку bin.

Режимы работы скрипта

Для работы скрипта отправки спама на исследование необходим программный интерфейс Microsoft Exchange Web Services Managed API 2.0. Программный модуль этого интерфейса нужно загрузить по ссылке: http://www.microsoft.com/en-us/download/details.aspx?id=35371 и записать в папку со скриптом, в подпапку bin.

Предусмотрено два режима работы скрипта:

• режим назначения прав;
• обычный режим работы.

Режим назначения прав

В режиме назначения прав скрипт назначает права для обрабатываемых почтовых ящиков пользователю, от имени которого будет впоследствии запускаться скрипт. Вам нужно запустить скрипт в этом режиме перед началом работы, а также каждый раз после добавления новых почтовых ящиков в конфигурационный файл.

Почтовые ящики, для которых уже назначены права, отмечаются в конфигурационном файле специальным атрибутом и при последующих запусках скрипта в этом режиме не обрабатываются.

Вы можете привести выданные скриптом права в исходное состояние вручную.

Чтобы привести выданные скриптом разрешения в исходное состояние вручную, выполните следующие действия:

1. Откройте почтовый ящик пользователя в Microsoft Outlook.
2. Откройте контекстное меню папки "Нежелательная почта".
3. Выберите пункт Свойства.
4. На закладке Разрешения окна свойств папки "Нежелательная почта" удалите запись, связанную с учетной записью, от имени которой выполняется скрипт.
5. Нажмите ОК.
6. Откройте конфигурационный файл скрипта.
7. В блоке <users> удалите запись, касающуюся почтового ящика пользователя.

   Если вы планируете в дальнейшем продолжить обработку спам-сообщений для этого почтового ящика, достаточно убрать из записи в конфигурационном файле атрибут rightsAssigned. Это остановит обработку почтового ящика до очередного запуска скрипта в режиме назначения прав или до возвращения атрибута rightsAssigned в исходный вид.

В режиме назначения прав скрипт выполняется в Exchange Management Shell от имени пользователя, имеющего права на редактирование разрешений в почтовых ящиках пользователей.

Для работы скрипта требуется Windows PowerShell версии 2.0 или выше.

Обычный режим работ скрипта

В этом режиме скрипт последовательно выбирает спам-сообщения из папок "Нежелательная почта" почтовых ящиков пользователей, которые указаны в конфигурационном файле в блоке <users> и для которых назначены соответствующие права.

Применяются следующие критерии отбора:

• сообщение не является отчетом о невозможности доставки (NDR);
• сообщение не старше количества дней, указанного в параметре <oldMessages> конфигурационного файла;
• поле "Тема" сообщения не содержит меток, указанных в блоке <subjectMarks> конфигурационного файла.

Каждое такое спам-сообщение помещается в сообщение в виде вложения с сохранением внутренней структуры спам-сообщения и отправляется на адрес электронной почты, указанный в параметре <recipientEmail> конфигурационного файла. После этого к полю "Тема" сообщения добавляется метка, имеющая атрибут default в конфигурационном файле.

Эта процедура повторяется для всех почтовых ящиков, указанных в блоке <users> конфигурационного файла.

Для постоянной работы скрипта требуется средствами вашей операционной системы создать задачу, выполняемую по расписанию.

Параметры запуска скрипта

Для работы скрипта отправки спама на исследование необходим программный интерфейс Microsoft Exchange Web Services Managed API 2.0. Программный модуль этого интерфейса нужно загрузить по ссылке: http://www.microsoft.com/en-us/download/details.aspx?id=35371 и записать в папку со скриптом, в подпапку bin.

Независимо от режима работы скрипт должен запускаться с параметром -IWantToForwardEmailFromJunkEmailFolderToKasperskyLab. Этот параметр переключает скрипт в активный режим. При попытке запуска скрипта без этого параметра скрипт не выполняется, а в консоли Windows PowerShell отображается текст программного исключения.

В качестве входных параметров для запуска скрипта вы можете указать следующие параметры:

• workFolder – путь к папке, в которой расположен скрипт. По умолчанию путь к текущей папке. Этот параметр позволяет запустить скрипт в обычном режиме работы.

  Пример запуска скрипта в обычном режиме: .\spamForwarder.ps1 –workFolder c:\temp\spamForwarder -IWantToForwardEmailFromJunkEmailFolderToKasperskyLab

• grantPermissions – параметр, позволяющий запустить скрипт в режиме назначения прав.

  Пример запуска скрипта в режиме назначения прав: .\spamForwarder.ps1 –grantPermissions -IWantToForwardEmailFromJunkEmailFolderToKasperskyLab

Настройка конфигурационного файла скрипта

Для работы скрипта отправки спама на исследование необходим программный интерфейс Microsoft Exchange Web Services Managed API 2.0. Программный модуль этого интерфейса нужно загрузить по ссылке: http://www.microsoft.com/en-us/download/details.aspx?id=35371 и записать в папку со скриптом, в подпапку bin.

Конфигурационный файл скрипта config.xml используется для настройки скрипта и имеет следующую структуру:

<config>

<senderEmail>administrator@company.com</senderEmail>

<recipientEmail>Probable_KSEspam@spam.kaspersky.com</recipientEmail>

<exchangeVersion>Exchange2013</exchangeVersion>

<envelopeSubject>Example of SPAM Message</envelopeSubject>

<envelopeBody>This message contains SPAM sample in attachment</envelopeBody>

<logSize>10</logSize>

<oldMessages>3</oldMessages>

<ews>https://kseserver.company.com/EWS/Exchange.asmx</ews>

<users>

<user rightsAssigned="True">user@company.com</user>

<user>user1@company.com</user>

<user>user2@company.com</user>

</users>

<subjectMarks>

<mark>[KL SPAM]</mark>

<mark default="True">[!! SPAM]</mark>

<mark>[!!SPAM]</mark>

<mark>[!!Spam]</mark>

<mark>[!!Probable Spam]</mark>

<mark>[!!Blacklisted]</mark>

</subjectMarks>

</config>

Вы можете настраивать следующие параметры конфигурационного файла скрипта:

• senderEmail – адрес электронной почты, с которого отправляются сообщения с образцами спама на исследование в "Лабораторию Касперского".

  Учетная запись, от имени которой запущен скрипт, должна иметь полные права на работу с почтовым ящиком, с которого отправляются сообщения в "Лабораторию Касперского".

• recipientEmail – адрес электронной почты, на который отсылаются образцы спама. По умолчанию Probable_KSEspam@spam.kaspersky.com.
• exchangeVersion – параметр, указывающий версию сервера Microsoft Exchange для инициализации EWS API, может принимать одно из следующих значений (вам нужно выбрать наиболее подходящее):
  • Exchange2013 (для Microsoft Exchange 2013);
  • Exchange2013_SP1 (для Microsoft Exchange 2013 SP1 и более поздних версий);
  • Exchange2016 (для Microsoft Exchange 2016).
• envelopeSubject – заголовок сообщения, в которое вкладываются образцы спама перед отправкой. Не рекомендуется менять это значение.
• envelopeBody – текст сообщения, в которое вкладываются образцы спама перед отправкой. Не рекомендуется менять это значение.
• logSize – максимальный размер журнала работы скрипта (в мегабайтах), при достижении которого выполняется ротация. Вы можете указать любое значение.
• oldMessages – максимальная давность сообщений (в днях), которые скрипт отбирает для отправки. Значение по умолчанию – 3 дня. Не рекомендуется менять это значение.
• ews – адрес сервера Exchange Web Services. Если этот параметр присутствует в конфигурационном файле, скрипт не использует функцию автоматического определения CA сервера. Не рекомендуется использовать этот параметр.
• users – блок с адресами электронной почты пользователей, почтовые ящики которых обрабатываются скриптом. Этот блок может содержать произвольное количество записей об отдельных почтовых ящиках пользователей.
• user – запись, содержащая адрес электронной почты ящика, подлежащего обработке скриптом. Атрибут rightsAssigned проставляется автоматически на этапе добавления прав. Не рекомендуется менять его значение вручную, за исключением случая, когда нужно повторно назначить права на почтовый ящик пользователя. Записи о почтовых ящиках, для которых этот атрибут не установлен, не участвуют в процессе обработки скриптом.
• subjectMarks – блок, содержащий возможные метки, добавляемые системами защиты от спама к теме сообщения. Блок может содержать произвольное количество записей, но количество разных меток может влиять на скорость поиска сообщений в почтовых ящиках пользователей.
• mark – запись, содержащая отдельную запись о метке. Атрибут default указывает на запись, которая используется скриптом для отметки отправленных на анализ сообщений. Не рекомендуется указывать атрибут default для нескольких меток, так как это нарушит работу скрипта.

Журнал работы скрипта

Результаты работы скрипта сохраняются в файле журнала. Журнал работы скрипта находится в папке, в которой расположен скрипт, в подпапке log.

При каждом запуске скрипта производится оценка размера текущего файла журнала. Если размер файла журнала превышает значение, указанное в параметре <logSize> конфигурационного файла скрипта, выполняется архивирование файла журнала методом GZIP. Также на этом этапе проверяется наличие архивов файлов журнала, которые старше двух месяцев. Такие архивы удаляются.