В данной статье мы рассмотрим основные возможности шлюза безопасности электронной почты Kaspersky Secure Mail Gateway (в дальнейшем — KSMG): какие компоненты присутствуют в системе и как они защищают почтовый трафик, базовую конфигурацию почтовой системы с KSMG. Посмотрим на основные настройки, веб-интерфейс в целом и проведем тесты.
Электронная почта — основной канал, по которому в корпоративные системы проникает вредоносное ПО, угрожающее IT-безопасности бизнеса. Чаще всего злоумышленники используют методы социальной инженерии, чтобы завоевать доверие получателя и мотивировать его сделать то, что делать не рекомендуется.
KSMG эффективно борется с фишингом, попытками компрометации корпоративной электронной почты, шифровальщиками и даже продвинутыми атаками по электронной почте. Безопасный шлюз действует на ранних этапах цепочки поражения, пока угрозы не привели к инцидентам и не причинили ущерба. Благодаря этому эффективно снижается риск атаки, а сотрудники не отвлекаются на ненужную дополнительную работу. Интеллектуальная обработка данных осуществляется на всех уровнях защиты, подкрепленных технологией машинного обучения. Применение разных моделей машинного обучения, песочницы и облачной репутационной системы позволяет правильно фильтровать сообщения электронной почты, отделяя нужные от опасных.
Заранее оговоримся, что речь будет идти именно о версии Kaspersky Secure Mail Gateway 2.0, так как она претерпела множество положительных изменений и на данный момент является флагманской версией продукта.
Какие технологии KSMG защищают почту?
Kaspersky Secure Mail Gateway — это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты, в составе готового к использованию виртуального устройства безопасности.
В основные функции защиты электронной почты входит:
Выполнение Антивирусной проверки сообщений: проверять сообщения на наличие вирусов и вредоносных программ, макросов (например, файлов форматов Microsoft Office с макросами); зашифрованных объектов, архивов (в том числе распознавать типы файлов внутри архивов и составных объектов).
Выполнение проверки сообщений модулем Анти-Спам: проверять сообщения на наличие спама, предполагаемого спама, массовых рассылок (в том числе с использованием технологии распознавания поддельных доменов и проверки репутации IP-адресов), обнаруживать сообщения с Юникод-спуфингом.
Выполнение проверки сообщений модулем Анти-Фишинг.
Выполнение проверки сообщений на наличие вредоносных или рекламных ссылок, а также ссылок, относящихся к легальному ПО.
Выполнение контентной фильтрации сообщений, в том числе по типу вложений (KSMG позволяет определять истинный формат и тип вложения, независимо от его расширения).
Проверка подлинности отправителей сообщений с помощью технологий SPF, DKIM и DMARC.
Базовая конфигурация почтовой системы с KSMG
Предположим, имеется почтовый сервер, на который простой трансляцией адресов реализован доступ к 25 порту. Вся почта, приходящая на домен организации, сразу попадает на сервер в почтовые ящики пользователей. Данная конфигурация является типичной и самой опасной, поэтому внедрение KSMG будет наилучшим вариантом.
Шлюз безопасности KSMG ставится «в разрез» между внешней сетью и вашим почтовым сервером. Он принимает письмо извне, обрабатывает и далее по цепочке передает в почтовую систему конечным адресатам. Схема базовой конфигурации для защиты входящей почты может выглядеть таким образом:
Для внедрения Kaspersky Security Mail Gateway требуется развернуть подготовленный образ в формате ISO на виртуальную машину (поддерживаются гипервизоры VMware ESXi и Microsoft Hyper-V) и произвести базовую настройку. Настройки по умолчанию уже обеспечивают стандартный уровень защиты и поэтому много времени развертывание не занимает.
Установка и первоначальная настройка KSMG
При развертывании образа ISO в виртуальной машине вам предложат пройти мастер настройки в псевдовизуальном консольном интерфейсе. Данный процесс особых сложностей вызвать не должен, поэтому этот этап мы опустим и перейдем к базовой настройке через веб-интерфейс.
В конце развертывания в консольном окне вам покажет QR-код с информацией о хосте, а также в текстовом виде IP адрес сервера, порт взаимодействия с кластером, отпечаток хоста (fingerprint).
Для доступа в веб-интерфейс перейдем по адресу сервера через HTTPS, введем имя пользователя Administrator и пароль, указанный при установке.
Перед нами откроется панель мониторинга следующего вида:
Для переключения языка интерфейса необходимо нажать слева внизу на профиль пользователя (в данном случае Administrator) и выбрать нужный язык из списка.
Лицензирование
Первым делом необходимо подставить активную лицензию. Для этого перейдем в раздел Параметры -> Общее -> Лицензирование и нажмем «Добавить лицензионный ключ»:
В зависимости от типа поставки вы можете добавить код активации (для активации нужен доступ к серверам Лаборатории Касперского) или файл ключа.
После добавления убедитесь, что статус лицензионного ключа на узле «Действующая лицензия»:
Дата и время
Следующим этапом в том же разделе «Общие» -> «Дата и время» проверим настройки часового пояса:
В случае необходимости вы можете синхронизировать время с корпоративным или внешним NTP-сервером.
Обновление баз
Далее перейдем в раздел «Внешние службы» -> «Обновление баз» и нажмем «Обновить базы».
После первого обновления баз необходимо выполнить перезагрузку Управляющего узла. Перейдем в раздел «Узлы» и нажмем на строку с Управляющим узлом -> Перезагрузить -> OK.
После перезагрузки сервера, снова авторизуйтесь под администратором и убедитесь, что подразделы Обновление баз и Лицензирование имеют статус «Без ошибок».
Интеграция с KSN/KPSN
Базы сигнатур обновляются с определенной периодичностью и могут быть не всегда актуальны. Kaspersky Security Network (KSN) создана для получения и обработки данных о киберугрозах со всего мира, которые затем преобразуются в актуальные аналитические данные об угрозах. Благодаря этой интеграции шлюз безопасности KSMG может передавать элементы в платформу KSN, данные в которой обновляются в реальном времени, и получать актуальные вердикты.
Взамен на получение информации об угрозах из KSN, Kaspersky собирает анонимизированную информацию об элементах, которые вы посылаете в KSN, и использует её для совершенствования сети. В случае, если вам запрещено отправлять информацию об элементах наружу, вы можете развернуть в своей инфраструктуре Kaspersky Private Security Network. KPSN это аналог KSN, который предназначен для изолированных сетей. Его отличие от KSN в том, что он не передает информацию о ваших элементах во вне вашей инфраструктуры. KPSN интегрируется с семейством продуктов Лаборатории Касперского и может быть использован не только с шлюзом безопасности KSMG.
Включение интеграции KSN/KPSN СИЛЬНО повышает уровень защиты к уязвимостям нулевого дня.
Мы рассмотрим включение интеграции именно с KSN.
В этом же разделе «Внешние службы» перейдем в «KSN/KPSN». Во вкладке «Параметры KSN/KPSN» необходимо выбрать из выпадающего меню «Использование KSN/KPSN» — KSN:
После сохранения убедитесь, что во вкладке «Состояние соединения с KSN/KPSN» статус соединения для вашего узла — Без ошибок.
Добавление домена и маршрутов
Один из главных пунктов настройки шлюза — это настройка Mail Transfer Agent. В KSMG в качестве MTA используется Postfix и веб-интерфейс позволяет производить тонкие настройки без необходимости подключения к консоли.
Для корректной работы шлюза необходимо добавить локальный домен, на который будет приходить почта пользователей. В качестве примера добавим домен cgp.tssolution.ru и он будет обслуживаться далее сервером Communigate Pro, который будет выступать в качестве локального почтового сервера для пользователей.
Перейдем к основным параметрам в разделе «Встроенный MTA».
Заполним основные параметры:
Имя домена: основное доменное имя, которое будет использоваться для всех узлов кластера. В данном случае выберем tssolution.ru.
Имя хоста: введите полное доменное имя Kaspersky Secure Mail Gateway. В данном случае укажем mx1.tssolution.ru.
Доверенные сети: адреса, подсети внутренних почтовых серверов или других внутренних систем, которые должны иметь возможность отправлять почту по SMTP через шлюз. В примере у нас имеется только почтовый сервер Commnigate Pro, который имеет адрес 10.10.30.43, поэтому он указан.
Теперь перейдем в этом же разделе «Встроенный MTA» в подраздел «Домены». Здесь мы можем указывать различные настройки маршрутизации для внутренних и внешних доменов. Нажмем «Добавить домен» и укажем параметры для cgp.tssolution.ru:
Тип записи: домен, cgp.tssolution.ru;
Локальный домен: да;
Маршрутизация: да, и тут необходимо указать адрес внутреннего почтового сервера. Вы можете использовать доменное имя вместо IP адреса. Для этого дополнительно включите «Поиск MX-записей DNS».
Если никаких ошибок в процессе не возникло, то базовую настройку на этом можно считать оконченной.
Тестирование
Для проверки работы настроенного шлюза можно использовать программу SwithMail. Её можно использовать и в терминальном режиме, передавая ей параметры, но мы перейдем к визуальному интерфейсу. Тестирование будем проводить на специально подготовленных зловредных сообщениях и посмотрим, как в интерфейсе KSMG отображаются данные о них.
Заполним параметры отправителя и в качестве сервера почты укажем шлюз KSMG:
Отправку будем осуществлять на адрес postmaster@cgp.tssolution.ru, пользователь postmaster существует в системе Communigate Pro и имеет почтовый ящик.
Тестирование вредоносным ПО
Прикрепим тестовый заархивированный файл EICAR, который имитирует вредоносное ПО.
Укажем тему и содержимое:
Отправим сообщение используя кнопку «Test settings» и получим ответ от сервера:
Сообщение было заблокировано по соображениям безопасности. KSMG сразу же распознал угрозу и заблокировал отправку. Вы можете изменить поведение по умолчанию в разделе «Правила» через веб консоль KSMG.
В веб консоли KSMG в разделе «События» мы можем увидеть письмо и открыть дополнительную информацию:
Из дополнительной информации мы видим по какому правилу было заблокировано письмо и какими модулями, в данном случае на тестовое вредоносное ПО Eicar сработали модули Анти-Спам и Анти-Фишинг. При этом Антивирус и Контентная фильтрация не стали проверять письмо, так как вердикт уже был сформирован и перегружать систему лишними проверками смысла не было.
Тестирование спам сообщением
Проводить тест будем тем же методом, только в программе SwithMail вместо вложения укажем в теле письма определенно сформированную строку из символов Eicar.
В таком случае получаем сообщение об успешной отправке:
Пользователю приходит сообщение с измененным заголовком, указывающее, что письмо было расценено как спам:
В веб консоли KSMG мы можем увидеть, что сообщение было пропущено получателю и что ни один модуль (кроме Анти-Спама) ничего не нашел в сообщении:
Панель мониторинга
Как только через систему KSMG начнут проходить сообщения, можно будет отслеживать статистику и получать графики по трафику на панели мониторинга:
Панель мониторинга можно настраивать по своему усмотрению: добавлять/изменять/удалять графики, менять типы графиков, менять расположение плиток и т.п.
Выводы
Kaspersky Secure Mail Gateway — мощный инструмент по защите почтового трафика, обладающий всеми необходимыми компонентами для создания надежной защиты от большинства вредоносных атак. Благодаря возможности интеграции с платформой Kaspersky Anti Targeted Attack можно не только использовать почтовые системы как дополнительный источник информации для обнаружения целенаправленных атак, но также блокировать дальнейшее распространение сообщений с опасным содержимым в зависимости от результатов глубокого анализа Kaspersky Anti Targeted Attack Platform.
Помимо затронутых, можно отметить следующие возможности системы KSMG:
Обнаружение скриптов;
Проверка архивов;
Управление электронной почтой с проверкой подлинности;
Интеграция с SIEM-системами;
Система управления доступом на основе ролей;
Гибкая настройка правил;
Черные и белые списки;
Персональные настройки для пользователей;
Интеграция с Active Directory;
Кластерная архитектура и централизованное управление кластером;
Встроенное резервное копирование;
Мониторинг очереди сообщений;
Хранилище для карантина;
Отчетность.
Это комплексное решение класса SEG (Secure Email Gateway способно распознать опасные сообщения электронной почты и заблокировать их прежде, чем они достигнут получателя.
Авторы статьи: Инженеры TS Solution