понедельник, 24 мая 2010 г.

Защита Exchange 2010 от спама и вирусов

В данной статье мы продолжим разговор про защиту от спама и вирусов при помощи продуктов компании Microsoft.
Для начала давайте определимся, какие варианты защиты предлагает компания Microsoft.

Рис.1: Варианты защиты от спама и вирусов.

Фильтрация почты – дело профессионалов

В качестве первого варианта, я хотел бы предложить воспользоваться облачным сервисом от Microsoft – Forefront Online Security for Exchange.
Служба Forefront Online Security for Exchange - это набор специализированных средств, для фильтрации спама и вирусов, а также защиты от фишинг-атак. С ее помощью предотвращаются попытки несанкционированного доступа, она обеспечивает многоуровневую защиту от спама и вирусов.

Рис.2: Принцип работы Forefront Online Security for Exchange
Данная служба подходит компаниям практически любого размера, она чрезвычайно проста в использовании и не требует выделенных серверов. Вы просто подписываетесь на данную услугу, делаете небольшие настройки вашего сервера Exchange 2010 и получаете профессионально отфильтрованный поток почты. Подробно останавливаться на этом варианте не будем, т.к. сложно ни чего в нем нет, а всю необходимую информацию вы сможете сами найти на сайте проекта - http://www.microsoft.com/rus/allpromo/fose/.

Фильтрация почта на Hub Transport сервере

Этот вариант подробно расписан в прошлой статье - Включение защиты от спама на Hub Transport сервере в Exchange 2010.

Защита на сервере c ролью Edge Transport

Сегодня давайте обсудим третий вариант - защиту от спама и вирусов на выделенном сервере с ролью Edge Transport.
Посмотрим, как можно организовать защиту на выделенном пограничном сервере:
1. Использовать базовый функционал Exchange 2010 Server.
2. Воспользоваться возможностями TMG для дополнительной фильтрации спама и вирусов.
3. Установить Forefront Protection for Exchange 2010 – продукт, специально созданный для защиты от спама и вирусов, причем не только входящей корреспонденции, но и исходящей и внутрикорпоративной.
Примечание: О том, как установить сервер Edge Transport совместно с Threat Management Gateway (TMG) можно почитать тут (http://www.alexxhost.ru/2010/04/exchange-server-2010-edge-server.html).  А о том, как сконфигурировать работу Интернет почты через Edge сервер – тут (http://www.alexxhost.ru/2010/05/edge-transport-exchange-2010.html).

Базовый функционал анти-спам защиты Exchange 2010

Основная цель Edge Transport - не пропустить спам и вирусы в корпоративную сеть, и Edge серверы используют целый набор спам-фильтров (тех, которые мы активировали выше на роли Hub Transport):
1. Connection filtering (Фильтрация подключений)
2. Content filtering (Фильтрация содержимого)
3. Sender ID (Код отправителя)
4. Sender filtering (Фильтрация отправителей)
5. Recipient filtering (Фильтрация получателей)
6. Sender reputation (Репутация отправителя)
Примечание: Recipient Filtering (фильтр получателей) нуждается в информации из Active Directory, соответственно для его работы нужна подписка Edge Subscription, а если конкретнее, то механизм репликации EdgeSync.
После установки роли Edge Transport мы можем видеть, что по умолчанию включены все возможные фильтры и активно их автоматическое обновление (его можно только отключить):

Рис.3: Фильтры анти-спама на Edge сервере.
В результате, мы получаем простой и дешевый сценарий, который обеспечивает базовую защиту от спама на выделенном и специально предназначенном для этих целей сервере. Данный вариант гораздо лучше и правильнее, того, когда мы активируем модули анти-спам защиты на сервере Hub Transport, но, тем не менее, он не достаточен для серьезной борьбы с Интернет угрозами, распространяющимися через электронную почту. В частности в данном случае мы не имеем возможности фильтрации сообщений на предмет содержания вредоносного ПО.

Защита почты при помощи TMG

Рассмотрим «переходный» вариант защиты от вирусов (почему «переходный» – расскажу в конце). У Threat Management Gateway (TMG) есть возможность «заглядывать» внутрь протокола SMTP и тем самым контролировать проходящую через него почту. Если мы откроем консоль TMG, то увидим, что там есть раздел Политика электронной почты.

Рис.4: Политика электронной почты в консоли TMG.
Данная политика изначально не сконфигурирована, по этому нужно нажать кнопку Настроить политику электронной почты в меню Действие. Запустившемуся мастеру нужно указать адреса локальных серверов Hub Transport и имена доверенных доменов (Accepted Domains), далее нужно выбрать внутреннюю и внешнюю сети (или набор сетей), на которые будут настроены соответствующие прослушиватели (Listeners – выполняют функцию, аналогичную коннекторам в серверах Exchange). Если у вас на сетевых интерфейсах несколько IP-адресов, то можно будет указать только часть из них. При настройке внешнего прослушивателя не забудьте указать внешнее FQDN вашего сервера, чтобы SMTP-сервер мог правильно представляться на запрос команд HELO/EHLO (например mail.firma.ru). На следующем шаге мастера нужно поставить галочку в графе «Включить подключение для трафика EdgeSync», зачем это необходимо, мы уже говорили выше, помните только, что предварительно нужно оформить саму подписку Edge Subscription.
В результате будут созданы два SMTP маршрута, один внутренний, другой внешний (рис.5).

Рис.5: Настраивать методов аутентификации на прослушивателях.
Обратите внимание, что на прослушивателях, так же как и на Exchange-коннекторах можно и даже нужно настраивать методы аутентификации!
Т.к. необходимые маршруты уже созданы, то в ручную настраивать политики трафика не нужно, если у вас до этого внешняя почта работала, то и теперь она должна также работать без проблем.
В результате установки роли Edge Transport совместно с Интернет-шлюзом на базе сервера TMG 2010, в дополнение к базовым функциям фильтрации почты от спама, мы получили функционал по анализу содержимого писем на наличие вредоносного ПО, запрещенных фраз и типов файлов (рис.15).
Примечание: Совместно с сервером TMG 2010 можно использовать роли Edge не только Exchange 2010 сервера, но и Exchange 2007 SP1/SP2.

Рис.6: Антивирусный фильтр в TMG.
Причем при анализе писем на вирусы вы можете активировать для сканирования до 5 антивирусных модулей.
Примечание: Нужно иметь ввиду, что чем больше модулей вы выберете, тем больше будет нагрузка на ваш сервер!

Обновление антивируса, или «ложка дегтя в бочке меда»

TMG имеет свой Центр обновлений, через который вы всегда сможете проконтролировать актуальность имеющихся определений, причем у Проверки наличия вредоносных программ есть свои лицензионные данные (рис.7).

Рис.7: Лицензирование антивирусных сигнатур.
И если присмотреться, то можно заметить, что через 120 дней, после установки TMG, защита на вирусы обновляться престанет. Все дело в том, что обновления антивирусных модулей  для TMG распространяются в рамках подписки на Forefront Protection for Exchange и стоимость их составляет около 15 долларов в год на пользователя (для TMG Medium Business Edition (который идет в составе Essential Business Server) – 8 долларов).
В результате и получается, что данный вариант защиты от спама и вирусов является «переходным», т.е. через 4 месяца вам придется решать проблему обновления защиты от вирусов.
Фактически, в Microsoft TMG компонент Политики электронной почты (E-Mail Protection) предоставляет лишь центральное управление для Microsoft Exchange Edge и Forefront Protection for Exchange серверов, когда они размещены на одном сервере, и использовать его без подписки на FPE не целесообразно.
Для полноценной защиты почты от спама и вирусов необходимо приобретать подписку Forefront Protection for Exchange и пользоваться удобной графической консолью со всем возможным функционалом защиты и централизованным управлением.
Загрузить Forefront Protection for Exchange можно по ссылке прямо из мастера установки Exchange 2010, либо TMG (самая первая картинка при запуске установщика)

Рис.8: Установка FPE из мастера установки Exchange.
Что касается конфигурирования FPE 2010, то это достаточно обширная тема и её мы рассмотрим в одной из будущих статей.

Заключение

В статье я попытался раскрыть свое видение вариантов защиты корпоративной почты от спама и вирусов, а также показать процесс установки данных решений. Следующим шагом должна быть настройка самой защиты, о чем я и постараюсь написать в одной из следующих статей.

6 комментариев:

Анонимный комментирует...

много воды и общей информации, которая и так всем доступна, толковых советов - 0.

Алексей Богомолов (Alexx) комментирует...

А о чем именно вы хотели бы прочитать в этой теме?

Анонимный комментирует...

Было бы неплохо обсудить сборщики почты - фильтрацию - возврат обратно в ящик пользователя.

Через gmail или централизовано на одном Outlook'е с одной лицензией не очистить от спама?

Анонимный комментирует...

Алексей, спасибо за твой блог. Для многих он просто находка. общая информация тоже полезна если сконцентрирована в одном месте как у тебя. Очень все доходчиво и практично.

Анонимный комментирует...

Не подскажете как обойти спам-фильтры в exchange 2013? У меня от одного домена не доставляются письма. Пробовал через правила добавлять исключения - толку нет.

Анонимный комментирует...

Алексей, что порекомендуете для антивирусной защиты на Edge Exchange 2010 после FFP 2010 for Exchange, когда закончится поддержка этого продукта?

Отправить комментарий