Общие параметры защиты

KSMG обеспечивает защиту входящей и исходящей почты организации. Вы можете настроить следующие общие параметры защиты:

• Антивирусная защита.
• Проверка ссылок.
• Защита сообщений от спама.
• Защита сообщений от фишинга.
• Контентная фильтрация сообщений.
• Проверка подлинности отправителей сообщений.

Общие параметры защиты применяются при проверке всех сообщений. Вы можете настроить действия над сообщениями по результатам проверки, а также дополнительные параметры с помощью правил обработки сообщений.

Антивирусная защита

KSMG выполняет антивирусную защиту сообщений: проверяет сообщения электронной почты на вирусы и другие программы, представляющие угрозу, а также лечит зараженные объекты с использованием информации текущей (последней) версии антивирусных баз.

Проверку сообщений на вирусы и другие программы, представляющие угрозу, выполняет модуль Антивирус. Модуль Антивирус проверяет тело сообщения и присоединенные к нему файлы любых форматов (вложения) с помощью антивирусных баз. Модуль Антивирус также позволяет обнаруживать и блокировать почтовые вложения, предназначенные для ограниченного числа получателей и представляющие собой компоненты целевых атак на уязвимости в программном обеспечении.

Вы можете настроить следующие параметры модуля Антивирус:

• использование эвристического анализа;

  Технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз приложений "Лаборатории Касперского". Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

• максимальное время проверки сообщений;
• максимальный уровень проверки архивов;
• исключения из проверки некоторых легальных программ, которые могут быть использованы злоумышленниками.

По результатам проверки модуль Антивирус присваивает сообщению один из следующих статусов:

• Не обнаружено – сообщение не заражено.
• Заражено – сообщение заражено, не может быть вылечено или лечение не проводилось.
• Вылечено – сообщение вылечено.
• Зашифровано – не удалось проверить объект из-за того, что он зашифрован.
• Ошибка – при проверке сообщения произошла ошибка.
• Ошибка баз – не удалось проверить сообщение из-за ошибки применения баз приложения.
• Угроза вторжения – объект может быть использован злоумышленниками для вторжения в локальную сеть.
• Не проверено – сообщение не было проверено согласно заданным параметрам приложения.
• Возможно зараженный – объект содержит признаки вредоносного кода.

По умолчанию модуль Антивирус включен. Если требуется, вы можете отключить модуль Антивирус или отключить антивирусную проверку сообщений для любого правила.

Проверка ссылок

KSMG проверяет, являются ли ссылки в тексте сообщения вредоносными, рекламными или относящимися к легальным программам, способным причинить вред компьютеру.

Вы можете настроить следующие параметры проверки ссылок:

• Максимальное время проверки сообщения.
• Исключения из проверки.

  Вы можете отключить обнаружение рекламных ссылок и ссылок, связанных с некоторыми легальными программами.

По результатам проверки ссылок приложение присваивает сообщению один из следующих статусов:

• Ошибка баз – не удалось проверить сообщение из-за ошибки баз приложения.
• Не обнаружено – сообщение не содержит ссылок, обнаружение которых включено согласно параметрам приложения.
• Ошибка – проверка сообщения завершена с ошибкой.
• Обнаружено – в сообщении содержатся вредоносные, рекламные или относящиеся к легальным программам ссылки.
• Не проверено – сообщение не было проверено согласно заданным параметрам приложения.

Защита сообщений от спама

KSMG фильтрует сообщения, проходящие через почтовый сервер, от нежелательной почты (спама).

Проверку сообщений на спам выполняет модуль Анти-Спам. Модуль Анти-Спам проверяет каждое сообщение на присутствие в нем признаков спама. Для этого модуль Анти-Спам, во-первых, проверяет атрибуты сообщения, такие, как: адреса отправителя и получателя, размер сообщения, заголовки (включая заголовки От и Кому). Во-вторых, модуль Анти-Спам анализирует содержание сообщения (включая заголовок Тема) и вложенных файлов.

Приложение присваивает сообщению, в котором обнаружен спам или вероятный спам, определенный статус в соответствии со спам-рейтингом. Спам-рейтинг сообщения – это целое число от 0 до 100, которое складывается из баллов, начисленных сообщению приложением за каждое срабатывание модуля Анти-Спам. При определении спам-рейтинга учитываются также результаты SPF-проверки и репутационной фильтрации сообщений.

При включении модуля Анти-Спам автоматически включается защита от BEC-атак. Это позволяет распознавать поддельные письма злоумышленников, направленные на компрометацию деловой переписки.

Вы можете настроить следующие параметры модуля Анти-Спам:

• Использование службы Moebius.

  Cлужба быстрых обновлений баз Анти-Спама, позволяющая в режиме реального времени установить критические обновления.

  Служба Moebius определяет разницу между текущей базой Анти-Спама, используемой в приложении, и базой на сервере Moebius. После этого недостающие записи передаются на Управляющий узел по протоколу HTTPS. Чтобы объем передаваемых данных не становился большим и служба Moebius работала стабильно, в приложении должны регулярно обновляться базы Анти-Спама.

• Защиту от спуфинга Active Directory.

  Тип атаки, основанной на фальсификации передаваемых данных. Спуфинг может быть нацелен на получение расширенных привилегий и основан на обходе механизма верификации при помощи формирования запроса, аналогичного настоящему. Одним из вариантов такой подмены является подделка HTTP-заголовка для получения доступа к скрытому контенту.

  Целью спуфинга может также быть обман пользователя — классическим примером подобной атаки может служить подмена адреса отправителя в письмах электронной почты.

  Модуль Анти-Спам позволяет предотвращать спуфинговые атаки, в которых злоумышленники используют поддельное имя (Display Name) в заголовке сообщений From. При этом домен, с которого было отправлено сообщение, не совпадает с доменом организации. Вы можете указать в приложении одну группу Active Directory численностью не более 10 000, к пользователям которой будет применяться защита от спуфинга.

• Проверку репутации IP-адресов и доменов.

  Эта опция позволяет проверять данные SMTP-сессии на основе записей о запрещенных IP-адресах и доменах в базах модуля Анти-Спам.

• Использование Анти-Спам карантина.

  Хранилище, в которое временно помещаются сообщения электронной почты, если модулю Анти-Спам не удалось присвоить им окончательный статус по результатам проверки.

  Использование Анти-Спам карантина доступно только при участии в KSN.

  После помещения сообщения в Анти-Спам карантин приложение обращается к серверам KSN для дальнейшей проверки сообщения. Использование облачной службы KSN повышает точность обнаружения признаков спама, так как базы KSN содержат более актуальную информацию, чем базы Анти-Спама, используемые в приложении.

• Максимальное время проверки сообщений.
• Максимальное время хранения сообщения в Анти-Спам карантине
• Максимальное количество сообщений в Анти-Спам карантине.
• Максимальный размер Анти-Спам карантина.

По результатам проверки модуль Анти-Спам присваивает сообщению один из следующих статусов:

• Не обнаружено – сообщение не содержит спам.
• Спам – приложение однозначно расценивает сообщение как спам.
• Предполагаемый спам – возможно, сообщение является спамом.
• Массовая рассылка – сообщение относится к массовой рассылке.
• Ошибка – проверка сообщения завершена с ошибкой.
• Ошибка баз – не удалось проверить сообщение из-за ошибки баз приложения.
• Формальное сообщение – приложение расценивает сообщение как формальное автоматически сгенерированное уведомление (например, автоответы пользователей или уведомления о превышении размера почтового ящика).
• Не проверено – сообщение не было проверено согласно заданным параметрам приложения.
• Доверенный источник – сообщение получено от отправителя, домен которого находится в списке разрешенных в базах модуля Анти-Спам, и прошло DMARC-проверку подлинности отправителей.

По результатам проверки приложение может добавлять в сообщение Х-заголовок X-MS-Exchange-Organization-SCL, значение которого содержит SCL-оценку. Вы можете настроить добавление заголовка в параметрах обработки сообщений.

По умолчанию модуль Анти-Спам включен. Если требуется, вы можете отключить модуль Анти-Спам или отключить проверку сообщений на спам для любого правила.

Защита сообщений от фишинга

KSMG фильтрует сообщения, проходящие через почтовый сервер, от фишинга.

Проверку сообщений на наличие фишинга выполняет модуль Анти-Фишинг. Модуль Анти-Фишинг анализирует содержание сообщения (включая заголовок Тема) и вложенных файлов.

Вы можете настроить максимальное время проверки сообщений модулем Анти-Фишинг.

По результатам проверки модуль Анти-Фишинг присваивает сообщению один из следующих статусов:

• Не обнаружено – сообщение не содержит ссылок на фишинговые веб-адреса, изображений или текста, побуждающих пользователя предоставить конфиденциальные данные злоумышленникам, и не содержит ссылок на веб-ресурсы, содержащие вредоносные программы.
• Фишинг – приложение обнаружило в сообщении изображение или текст, побуждающие пользователя предоставить конфиденциальные данные злоумышленникам.
• Фишинговая ссылка – приложение обнаружило в сообщении ссылку на веб-ресурс, содержащий вредоносные программы.
• Ошибка – проверка сообщения завершена с ошибкой.
• Ошибка баз – не удалось проверить сообщение из-за ошибки баз приложения.
• Не проверено – сообщение не было проверено согласно заданным параметрам приложения.

По умолчанию модуль Анти-Фишинг включен. Если нужно, вы можете отключить модуль Анти-Фишинг или отключить проверку сообщений на фишинг для любого правила.

Контентная фильтрация сообщений

KSMG выполняет контентную фильтрацию сообщений, проходящих через почтовый сервер. Вы можете ограничить пересылку почтовым сервером сообщений с определенными параметрами.

Вы можете настроить следующие параметры контентной фильтрации:

• максимальное время проверки сообщений;
• максимальный уровень проверки архивов.

В результате контентной фильтрации модуль управления проверкой сообщений ScanLogic присваивает сообщению один из следующих статусов контентной фильтрации:

• Не обнаружено – в сообщении не обнаружены нарушения ограничений, заданных в параметрах контентной фильтрации.
• Найдены совпадения – сообщение содержит совпадение с условиями, заданными в параметрах контентной фильтрации.
• Ошибка – проверка сообщения завершилась с ошибкой.
• Не проверено – сообщение не было проверено согласно заданным параметрам приложения.

По умолчанию контентная фильтрация сообщений включена. Если нужно, вы можете включить контентную фильтрацию в общих параметрах защиты и для любого правила.

Проверка подлинности отправителей сообщений

Проверка подлинности отправителей сообщений предназначена для дополнительной защиты почтовой инфраструктуры вашей организации от спама и фишинга.

KSMG использует следующие технологии проверки подлинности отправителей сообщений:

• SPF-проверку (Sender Policy Framework).
• DKIM-проверку (DomainKeys Identified Mail).
• DMARC-проверку (Domain-based Message Authentication, Reporting and Conformance).

SPF-проверка подлинности отправителей сообщений – сопоставление IP-адресов отправителей сообщений со списком возможных источников сообщений, созданным администратором почтового сервера.

KSMG получает списки возможных источников сообщений с DNS-сервера.

Включайте SPF-проверку, если KSMG принимает сообщения напрямую из интернета. Отключайте SPF-проверку, если KSMG принимает сообщения с внутреннего промежуточного сервера.

DKIM-проверка подлинности отправителей сообщений – проверка цифровой подписи к сообщениям.

К сообщениям добавляется цифровая подпись, связанная с именем домена организации. KSMG проверяет эту цифровую подпись.

DMARC-проверка подлинности отправителей сообщений – проверка, определяющая политику и действия над сообщениями по результатам SPF- и DKIM-проверок подлинности отправителей сообщений.

Для выполнения DMARC-проверки требуется включить SPF- и DKIM-проверки. Если SPF- или DKIM-проверки отключены, то DMARC-проверка также будет отключена.

После того, как сообщение прошло SPF- и DKIM-проверки, выполняется проверка того, что домен, содержащий адрес отправителя в поле От заголовка сообщения, соответствует идентификаторам SPF и DKIM.

Для выполнения SPF-, DKIM- и DMARC-проверок подлинности отправителей сообщений необходимо разрешить подключение KSMG к DNS-серверу. Если подключение к DNS-серверу запрещено, SPF-, DKIM- и DMARC-проверки подлинности отправителей сообщений будут отключены.

По результатам проверки подлинности отправителей приложение присваивает сообщению один из следующих статусов:

• Ошибка – во время проверки подлинности произошла ошибка.
• Ошибка баз – не удалось выполнить проверку подлинности.
• Не проверено – сообщение не было проверено согласно заданным параметрам приложения.
• Обнаружено нарушение – обнаружено нарушение хотя бы одной проверки подлинности.
• Нарушение не обнаружено – не обнаружено ни одного нарушения проверки подлинности.

По умолчанию все проверки подлинности отправителей включены. Если нужно, вы можете отключить любую проверку в общих параметрах защиты или для любого правила.

Для того чтобы удаленный почтовый сервер мог проверить подлинность отправителя исходящих сообщений (если отправителем является KSMG), вам нужно предварительно добавить SPF- и DMARC-записи в параметры вашего DNS-сервера.