Система фильтрации электронной почты

Системы фильтрации электронной почты

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems

О самом главном

Самое главное в системе фильтрации электронной почты -это неумение работать с разными языками и заглядывать внутрь передаваемых архивов на несколько уровней вложенности и невозможность карантина. Самая ценная и важная часть системы анализа e-mail -МТА (mail transfer agent), который отвечает за прием и передачу почтовых сообщений. Очень часто системы фильтрации e-mail строят на основе юниксовых машин, справедливо полагая, что если их изначально разработали для работы с сетями, то для целей защиты почты они подходят как нельзя лучше. Но... традиционный MTA, входящий в состав Unix/Linux, не предназначен для массовой обработки электронной почты. Он имеет ряд фундаментальных особенностей, которые "не видны" во время обычной работы, но выходят на первое место во время фильтрации и защищенной обработки e-mail. Во-первых, традиционные MTA одновременно работают с одной-двумя сотнями параллельных соединений, ограничивая это число из-за нехватки стека памяти для каждого из открываемых подключений. Во-вторых, традиционные MTA для хранения информации о состоянии домена, с которым осуществляется взаимодействие, зачастую используют файловую систему. А это значит, что очень важна эффективность работы подсистемы ввода/вывода. В нормальном режиме обычный MTA справляется со своей задачей, но это в случае с массовыми рассылками, особенно когда многие адреса отправителей не существуют на практике. Такая зависимость от системы ввода/вывода и небольшого числа параллельных соединений приводит к замедлению работы всей системы фильтрации электронной почты. И если для небольшого предприятия использование обычного MTA является нормальной задачей, то для крупной компании или даже оператора связи очень важно иметь собственный MTA, оптимизированный для эффективной обработки огромных потоков почты - сотни тысяч и миллионы сообщений в час.

О виртуализации

Интересной возможностью, которая появляется в ряде продуктов, является виртуализация или возможность в рамках одной системы получить несколько независимых виртуальных подсистем фильтрации почты со своими настройками и особенностями. Например, в филиальном шлюзе можно настроить систему таким образом, чтобы вся почта была разделена на 3 независимых потока - центральный филиал, бизнес-партнеры и все остальное. Такой подход позволяет решить задачу приоритезации сообщений e-mail, что очень важно, особенно в условиях низкой пропускной способности и борьбы за нее между разными корпоративными приложениями.

Аутентификация почты

По разным оценкам, до 80% всей входящей почты - это спам или иная незапрашиваемая корреспонденция, большой процент которой приходит с поддельных адресов. Все бы ничего, если бы это не создавало проблем для бизнеса. Например, отправка рекламных или содержащих нецензурные выражения писем от вашего имени может сказаться на вашей репутации среди бизнес-партнеров. Примером этого также могут послужить распределенные атаки "отказ в обслуживании" (DDoS), которые реализуются достаточно просто - создается большой объем писем с единственным поддельным адресом или доменом отправителя. Когда все почтовые серверы возвращают недоставленное сообщение на сфальсифицированный адрес, он не справляется с лавиной e-mail и выходит из строя. Для защиты от такого рода атак используются различные механизмы, один из которых - применение специальной цифровой подписи (ЭЦП). Другой пример аутентификации почты - это использование механизма DomainKeys (DKIM), в рамках которого для каждого сообщения вычисляется хэш-функция и шифруется с помощью секретного ключа. Открытый ключ при этом помещается в запись DNS для всех участников DomainKeys. Когда почтовый сервер получает такое сообщение, он обращается в DNS за открытым ключом и с его помощью аутентифицирует получаемое сообщение. Этот метод очень эффективен в борьбе с фишинговыми атаками, так как почти всегда проверяется домен из поля FROM.

О репутационных фильтрах

Проверка текста сообщения на нарушение политики безопасности - безусловно, важный и обязательный элемент хорошей системы фильтрации электронной почты. Но сегодня одного этого механизма уже недостаточно. Вспомним фи-шинговые атаки, которые могут содержать абсолютно легитимный контент, но могут быть отправлены с подставного адреса или содержать в себе HTML-ссылки на сфальсифицированные Web-серверы. Также фишинговые атаки могут содержать почтовый домен, с которого была отправлена электронная почта и который был создан всего один день назад или принадлежит компании, уже зарекомендовавшей себя с плохой стороны. Или почтовый сервер фиксирует слишком много сообщений с неправильными адресами получателя от одного отправителя (это может служить признаком спамера, изучающего легитимные адреса для будущих рассылок). Все это признаки, говорящие о низкой репутации отправителя, возможно даже спамера. И никакая фильтрация содержимого, как текста, не способна справиться с такими проблемами. В отличие от репутационных фильтров, которые появляются у ряда производителей и позволяют отслеживать для каждого отправителя до 150 различных критериев. На основе данных критериев вычисляется рейтинг отправителя и на его основе осуществляется дальнейшая обработка почты. Высокий рейтинг - это когда отправитель получает высший приоритет, возможность отправки большого количества сообщений или почты с вложениями любых типов и размеров и т.п. Чем ниже репутационный рейтинг, тем меньше возможностей получает отправитель и тем медленнее обрабатывается от него почта, что приводит к потере смысла для него присылать почту на ваш адрес.

О вирусах и антивирусах

Наличие у системы фильтрации антивирусного движка давно стало нормой, но в почте все равно появляется новый вирус или вредоносный код. А все потому, что антивирусные системы построены по уже устаревшему принципу - реактивному. Сигнатура для вируса появляется после того, как вирус появился в природе и был проанализирован. И если по тем или иным причинам антивирусный движок не был обновлен, то система становится неэффективной и не решает поставленных перед ней задач. Обычно для обновления антивируса требуется от 6 до 48 часов, которых более чем достаточно для активного распространения вируса по Интернету. Именно поэтому некоторые разработчики дополняют свои антивирусные возможности новыми технологиями. Например, обнаружение аномальной активности и временное помещение подозрительного письма в карантин. Внезапная вспышка почтовой активности с определенного адреса, вложения с подозрительными именами или типами и т.д. Помещая такую почту в карантин, мы не забываем про нее, и либо ждем ручного анализа со стороны администратора, либо ожидаем, когда антивирусная система после своего обновления вынесет вердикт о наличии или отсутствии вируса, после чего система автоматически извлечет письмо из карантина и отправит адресату.

Почти как межсетевой экран

Являясь по сути своей межсетевым экраном, но для электронной почты, системы ее фильтрации должны обладать схожим "сетево-защитным" функционалом - балансировкой нагрузки, кластеризацией, интеграцией с LDAP или Active Directory, а также возможностью создавать собственные политики безопасности. Причем чем мощнее последний механизм, тем эффективнее будет работать система. Следуя классическому оператору в программировании "ifЕthenЕ-else", можно описать практически любые правила как для собственной политики безопасности, так и для требований различных регулирующих органов и стандартов.

Интересной особенностью, которая может быть востребована заказчиками, является выборочное шифрование электронной почты. Для этого можно использовать как встроенные в систему фильтрации e-mail механизмы (например, шифрование по TLS), так и интеграцию с широко распространенными продуктами, такими как PGP, Sigaba, PostX и т.д.