О Kaspersky Secure Mail Gateway

Решение Kaspersky Secure Mail Gateway (далее также "KSMG") позволяет развернуть почтовый шлюз в виде кластерной системы, масштабируемой в зависимости от объема обрабатываемого трафика, и интегрировать ее в существующую почтовую инфраструктуру организации. KSMG обеспечивает защиту входящей и исходящей почты от вредоносных объектов, спама и фишинга, выполняет контентную фильтрацию сообщений.

Решение поставляется в двух вариантах:

• ISO-образ виртуальной машины c предустановленной операционной системой, почтовым сервером и антивирусным приложением "Лаборатории Касперского". Подробная информация о приложении в этом варианте поставке приведена в настоящем документе.
• RPM- или DEB-пакет установки приложения. Подробная информация приведена в справке KSMG для этого типа поставки.

Как проверить, какой вариант установлен в организации

KSMG в формате ISO-образа виртуальной машины поставляется в двух вариантах:

• На базе операционной системы Rocky Linux 9.4. Операционная система Rocky Linux 9.4 входит в состав образа KSMG.
• На базе операционной системы РЕД ОС 7.3 из образа redos-MUROM-7.3-20240923.0-Everything-x86_64-DVD1.iso.

  Операционная система РЕД ОС 7.3 не входит в комплект поставки KSMG и приобретается отдельно.

KSMG позволяет:

• Выполнять Антивирусную проверку сообщений:
  • Проверять сообщения на наличие вирусов и вредоносных программ, макросов (например, файлов форматов Microsoft Office с макросами), зашифрованных объектов, архивов (в том числе распознавать типы файлов внутри архивов и составных объектов).
  • Использовать информацию из Kaspersky Security Network, чтобы увеличить скорость реакции на новые угрозы.

    Инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.

  • Настроить интеграцию с Kaspersky Private Security Network (далее также KPSN) для тех организаций, в которых доступ в интернет ограничен внутренними правилами и политиками.

    Решение, позволяющее пользователям антивирусных приложений "Лаборатории Касперского" получать доступ к данным Kaspersky Security Network, не отправляя информацию на серверы Kaspersky Security Network "Лаборатории Касперского" со своей стороны.

  • Настроить интеграцию с Kaspersky Anti Targeted Attack Platform (далее также KATA) для обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (APT).

    Решение, предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT").

• Выполнять проверку сообщений модулем Анти-Спам:
  • Проверять сообщения на наличие спама, предполагаемого спама, массовых рассылок (в том числе с использованием технологии распознавания поддельных доменов и проверки репутации IP-адресов).
  • Обнаруживать сообщения с Юникод-спуфингом. В случае обнаружения Юникод-спуфинга сообщение считается спамом. Приложение добавляет метку unicode_spoof к заголовку сообщения X-KSMG-AntiSpam-Method.

    Тип атаки, основанной на фальсификации передаваемых данных. Спуфинг может быть нацелен на получение расширенных привилегий и основан на обходе механизма верификации при помощи формирования запроса, аналогичного настоящему. Одним из вариантов такой подмены является подделка HTTP-заголовка для получения доступа к скрытому контенту.

    Целью спуфинга может также быть обман пользователя — классическим примером подобной атаки может служить подмена адреса отправителя в письмах электронной почты.

  • Добавлять в сообщения Х-заголовки X-MS-Exchange-Organization-SCL, содержащие SCL-оценку, по результатам проверки на спам.

    Spam Confidence Level, специальная метка сообщения, которая используется почтовыми серверами Microsoft Exchange для определения вероятности того, что сообщение является спам-сообщением. SCL-оценка может принимать значения от 0 (вероятность спама минимальна) до 9 (сообщение, скорее всего, является спам-сообщением). Значение SCL-оценки сообщения может быть изменено приложением Kaspersky Secure Mail Gateway в соответствии с результатами проверки сообщения.

  • Помещать сообщения в Анти-Спам карантин, управлять Анти-Спам карантином в веб-интерфейсе.
• Выполнять проверку сообщений модулем Анти-Фишинг.
• Выполнять проверку сообщений на наличие вредоносных или рекламных ссылок, а также ссылок, относящихся к легальному ПО.
• Выполнять контентную фильтрацию сообщений:
  • по размеру сообщения;
  • по размеру MIME-части сообщения;
  • по имени вложения;
  • по типу вложения.

    KSMG позволяет определять истинный формат и тип вложения, независимо от его расширения, в том числе внутри архивов и составных объектов.

  • по теме сообщения;
  • по телу сообщения;
  • по отправителю;
  • по получателю;
  • по получателю копии сообщения;
  • по заголовкам верхнего уровня MIME-структуры сообщения.
• Задавать действия над заголовками сообщения при срабатывании правила обработки сообщения, выражения контентной фильтрации, при ошибке контентной фильтрации.
• Настроить отправку скрытой копии сообщения на определенный адрес при срабатывании правила обработки.
• Осуществлять проверку подлинности отправителей сообщений с помощью технологий SPF, DKIM, DMARC и сопоставления доменов отправителя.

  Проверка совпадения доменов отправителя сообщения, указанных в SMTP-сессии (значение команды MAIL FROM) и в сообщении (значение MIME-заголовка From).

  Проверка, определяющая политику и действия над сообщениями по результатам SPF- и DKIM-проверок подлинности отправителей сообщений.

  Проверка цифровой подписи сообщений.

  Сопоставление IP-адресов отправителей сообщений со списком возможных источников сообщений, созданным администратором почтового сервера.

• Настроить интеграцию с Active Directory для получения информации о пользователях домена.
• Получать информацию о событиях в работе приложения:
  • Записывать события обработки почтового трафика и события приложения в журнал с возможностью фильтрации для удобного поиска событий.
  • Экспортировать события в формат CSV.
• Публиковать события, происходящие во время работы приложения, в SIEM-систему, используемую в организации, по протоколу Syslog. Информация о каждом событии приложения передается как отдельное syslog-сообщение формата CEF.

  SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

• Записывать значения изменившихся параметров приложения и просматривать изменения в журнале событий аудита в веб-интерфейсе.

  Записи об изменениях также могут быть сохранены в виде syslog-сообщений в стандартном формате или в формате CEF.

• Настраивать параметры и управлять работой приложения через веб-интерфейс.
  • Осуществлять мониторинг состояния почтового трафика и использования ресурсов системы, просматривать списки последних обнаруженных угроз в веб-интерфейсе приложения.
  • Создавать учетные записи пользователей и разграничивать доступ пользователей к функциям приложения с помощью ролевой системы.
  • Настраивать аутентификацию с помощью технологии единого входа.
  • Создавать кластер для масштабирования решения (как горизонтально, так и вертикально), с возможностью централизованного управления всеми серверами из кластера через веб-интерфейс приложения.
  • Управлять Хранилищем:
    • Сохранять в Хранилище оригиналы сообщений, проверенных и обработанных приложением.
    • Сохранять сообщения из Хранилища в файл.
    • Пересылать сообщения получателям.
    • Получать информацию о пользователях из разных доменов и предоставлять пользователям доступ к персональному Хранилищу.
    • Предоставлять пользователям доступ к Хранилищу групповых ящиков.
    • Настраивать рассылку дайджеста персонального Хранилища пользователей.
  • Создавать списки запрещенных и разрешенных адресов, позволяющие более точно настроить реакцию почтовой системы на сообщения с определенных адресов.
  • Обновлять базы приложения с серверов обновлений "Лаборатории Касперского" и пользовательских ресурсов по расписанию и по требованию.

    Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в приложении на территории США.

  • Настраивать почтовые уведомления:
    • Отправлять уведомления о событиях проверки сообщений модулями приложения.
    • Отправлять уведомления пользователям о событиях приложения.
  • Добавлять примечания к исходящим и входящим сообщениям, а также добавлять предупреждения о небезопасном сообщении.
  • Создавать и просматривать отчеты о результатах обработки сообщений и событиях работы приложения.
  • Обрабатывать сообщения электронной почты согласно правилам, заданным для групп отправителей и получателей.
  • Добавлять, изменять или удалять информацию о доменах (в том числе локальных доменах организации) и адресах электронной почты, настраивать параметры Kaspersky Secure Mail Gateway для этих доменов и адресов электронной почты, а также маршрутизацию электронной почты.
  • Осуществлять настройку MTA.

    Mail Transfer Agent – агент, осуществляющий пересылку сообщений между почтовыми серверами.

  • Добавлять, изменять и удалять DKIM- и TLS-ключи шифрования.
  • Получать статистику работы приложения по протоколу SNMP, включать и отключать отправку SNMP-ловушек.

    Уведомление о событиях работы приложения, отправляемое SNMP-агентом.

KSMG распространяется в формате ISO-образа виртуальной машины, предназначенного для развертывания в гипервизоре VMware ESXi™, Microsoft Hyper-V, Microsoft Windows Server с установленной ролью Hyper-V, РЕД Виртуализация или ПК СВ "Брест" 3.3.1.

В результате развертывания образа создается виртуальная машина с предустановленной операционной системой, почтовым сервером и приложением KSMG. После развертывания вы можете настроить виртуальную машину с помощью мастера первоначальной настройки.