Как мы защищали от спама администрацию Калужской области



    Как корпоративный облачный провайдер мы предлагаем нашим клиентам максимальное количество услуг, связанных с хранением и передачей данных – в том числе и защиту от спама. В этом посте мы хотим рассказать о том, как работает услуга антиспам Cloud4Y на базе SpamTitan для платформы VMware на примере одного из наших клиентов – администрации Калужской области. Мы хотим рассказать о функциональных особенностях и основных настройках «СпамТитана», а так же о том, как нам пришлось решать проблему лицензирования, которая возникла у клиента в ходе работы.

    Возможности


    Не имеет смысла в данном посте перечислять весь функционал системы, приведем лишь наиболее интересные особенности:
    • быстрое развертывание на виртуальных машинах VMware благодаря готовому virtual appliance;
    • возможно создания кластерного почтового шлюза для оптимизации нагрузки;
    • удобные настраиваемые отчеты и уведомления
    • гибкие политики доступа для пользователей и администраторов
    • двойная антивирусная защита

    Остальные особенности можно узнать на сайте www.spamtitan.com/about-us/about-spamtitan
    Сравнение SpamTitan с другими системами cloud4y.ru/cloud-services/antispam

    Настройка


    Настройка SpamTitan обычно не занимает много времени, и состоит из следующих этапов, на которые стоит обратить внимание:
    • Развертывание образа виртуальной машины на базе виртуальной инфраструктуры клиента. Для платформы VMware мы использовали Virtual appliance, который можно скачать с сайта производителя.
    • Настройка сетевых параметров виртуальной машины делается это с локальной консоли через интерфейс в виде текстового меню и не должна вызвать никаких проблем.



    Дальнейшая настройка уже проходит через веб интерфейс доступный по адресу http:// ip-вашего-сервера

    Первое что необходимо сделать после настройки сети и перезагрузки – это добавить лицензионный ключ. Ключ можно получить либо триальный (на 10 дней без ограничений) либо приобрести коммерческий. Делается это в разделе “System setup” “Licensing”.



    Затем обновить систему до последней версии в System Updates. На момент написания статьи актуальная версия 6.0.4.



    В разделе Network настраиваем сеть Network configuration DNS Settings.



    Настраиваем синхронизацию времени.



    Настраиваем Mail relay для требуемого домена.





    Необходимо прописать название домена, адрес сервера SMTP, который обслуживает этот домен сейчас. Возможно несколько режимов подключения:
    с проверкой существования ящика и без проверки существования ящика.

    На вкладке IP CONTROLS можно настроить белые и черные списки SMTP-серверов и включить поддержку RBLs (Realtime Blackhole Lists), в нашем случае это было не актуально, так как мы находились за SMTP Relay и всю почту принимаем от одного сервера.

    В GENERAL SETTING необходимо указать hostname spam-фильтра, которое должно соответствовать dns записи.

    Content Filtering ->Viruses
    Настраиваем параметры проверки вирусов, обновляем базы Clam AV, Kasperky AV

    Content Filtering->Spam
    Включаем проверку на спам и обновляем спам листы

    Anti-Spam Engine->Settings
    Включить сетевые тесты Razor V2, Pyzor, RBLs

    Anti-Spam Engine-> Domain policies/User-Policies
    Можно задать глобальные политики домена и политики для отдельных пользователей. Например, глобальная политика домена все письма со спамом по умолчанию отбрасывать, а для других пользователей отправлять в карантин
    Anti-Spam Engine->Roles and permissions/Admins/Domain Groups
    Можно создать роли пользователей, глобальных администраторов и администраторов доменов.

    Settings->Access/Authentification
    Можно настроить способ аутентификации пользователей к веб интерфейсу карантину
    Мы использовали аутентификацию через домен Windows посредством LDAP.В этом случае каждый из клиентов получает свой раздел с карантином, вход в который осуществляется через веб интерфейс, логин и пароль совпадает с учетными данными для входа в электронную почту.

    Filter Rules
    Можно создать закладки глобальные белые и черные списки email адресов и доменов.

    Quarantine
    Полный список сообщений попавших в карантин.

    Reporting Graphs
    Отчет обо всех обработанных сообщениях, обнаруженных вирусов, загрузки процессоров, памяти и дисковой системы за периоды 1 день, неделя, месяц, год:





    Reporting History
    Полный лог сообщений с возможностью сортировки по полям.

    Logs
    Сырые логи из каталогов /var/logs: Maillog, messages и CFMA

    Cluster
    Раздел для настройки кластерной конфигурации.

    Полную документацию про SpamTitan можно найти по ссылке.

    Проблема


    В ходе работы выяснилось, что из 3500 ящиков необходимо защищать от спама только 500, при том, что лицензии были закуплены только на 500 ящиков и расширять их не планировалось.

    Логика расчета необходимых лицензий такова: каждые 24 часа рассчитывается среднее за 5 последних рабочих дней количество ящиков, которые получали почту, минус 20 % на элиасы (только 20% дается потому, что, как правило алиасы не используются с той же интенсивностью, что и основной почтовый ящик). Информация о текущем использовании отображается в консоли управления.
    При превышении количества ящиков – система выдаст предупреждение и лицензию надо будет расширять.

    К примеру, в вашей организации 100 ящиков, но лишь 50 из них вам необходимо защищать от спама. Поскольку система считает общее количество проходящих через нее ящиков, то в случае прохождения 51 ящика – система заблокируется. Придется докупать лицензии или воспользоваться решением описанным ниже.

    Решение


    В качестве примера приведем реальную часть инфраструктуры заказчика.

    Для того, чтобы SpamTitan не блокировался ему необходимо “сказать” какие ящики он должен защищать.
    Поэтому сперва был составлен список ящиков, которые будут проходить через спам-фильтр. Данный список заносится в шлюз, например SMTP Relay Postfix. После того, как письма проходят через брандмауэр Kerio Firewall они попадают на SMTP Relay, в котором происходит сверка с составленным ранее списком. Если ящик присутствует в списке защищаемых – то письмо направляется в SpamTitan, если отсутсвует, то письмо направляется на почтовый сервер.

    Пример идеальной модели прохождения почтовых сообщений и доработанной с учетом особенностей лицензирования SpamTitan:



    Клиент захотел оставить старый фаерволл в довесок к спамтитану. Спам титан находится после Kerio. В процессе инсталляции выяснилось, что клиент купил лицензии на меньшее количество чем требовалось.Пришлось искать выход не нарушающий условий лицензирования, но позволяющий использовать полностью функционал системы.

    Пример доработанной с учетом особенностей лицензирования SpamTitan:



    Клиенту развернули SMTP relay, на котором разместили правила маршрутизации сообщений основанных на списках почтовых ящиков. Сообщения для ящиков из списка отправляются на спам титан, проходят через фильтр и пересылаются на почтовый сервер, а все остальные напрямую на почтовый сервер.

    Результат



    В данном рассмотренном кейсе работа «СпамТитана» позволяет отсеивать ежедневно от общего количества 24% писем, которые классифицируются, как спам. При этом у клиента появился инструмент гибкой настройки списка ящиков, которые необходимо защищать от спама без дополнительных затрат на покупку лицензий.



    Отдельно хотим поблагодарить ИТ специалистов администрации Калужской области за проявленный профессионализм.

    Спасибо за внимание и как всегда будем рады вашим комментариям.
    Cloud4Y
    85,00
    #1 Корпоративный облачный провайдер
    Поделиться публикацией

    Похожие публикации

    Комментарии 19

      +2
      Ах вот благодаря кому обращение моего знакомого в администрацию калужской области рассматривали четыре мясяца и то, только после бумажного письма, которое сделало touch() первому обращению, т.к электронное «в спам попало». Время событий январь-май 2014, так что наверное вы тут даже ни при чём.

      Однако, пожалуй, самое ценное в этом посте красивая иллюстрация к способам обхода ограничений лицензии. Теперь, когда я в очередной раз буду городить что-то подобное, у меня будет возможность ткнуть в этот пост с обоснованием «вот, я не один такой».

      И вопрос.
      Как тестировали спам-фильтр на адекватность работы и тестировали ли?
        0
        Да тестировали, методику объяснять не буду, но по результатам подняли скоринг для чистых писем.
          +1
          Если кратко, в течении месяца анализировали письма в карантине и уже после этого делали тонкую настройку спам-фильтра.
        +2
        Слишком большой процент рекламы…

        Неуклюжая попытка обмануть собственную систему лицензирования которая, к слову сказать, тоже какая-то странноватая, что это за такая привязка к количеству защищаемых ящиков? По сути же ящик электронной почты — это абстракция, это всё равно, что привязать лицензии к количеству разных тем в письмах или к количеству пробелов в тексте письма. Правильно было бы лицензировать по количеству писем которые способен обработать Титан в единицу времени.

        В общем всё это хозяйство как-то не внушает доверия совсем.
          0
          А почему бы почту на оставшиеся адреса не пропускать через свободные решения против спама, тот же spamassassin или через стандартные спамлисты? 25% спама — очень большая цифра, такое чувство, что почта не фильтруется больше ничем.
            –2
            Думаю, что ИТ-специалисты это делают, но это выходит за рамки нашей задачи.
            +2
            Мне не совсем понятно, зачем.

            При грамотной настройки почтового сервера — к вам будет проползать 1-2% спама. Пример

            Второй момент — самая убогая настройка спама — это карантин. Отправитель отлупа не получил — получатель заходить в веб-интерфейс не будет проверять наличие писем там. Вывод — система не рабочая. Помечать письмо как "[SPAM]" может и любая другая бесплатная система. Я и не говорю, про стабильность работа данной системы.

            Скриншоты — как настроить general настройки, мало кому интересны. Там же вроде триал есть, сделали бы тестовый стенд. Показывать систему вашего клиента (скорей всего без его согласия) совсем не красиво.

            И вы уж простите, но Документация намного интересней вашего поста. Там даже скрины не затерты, хоть вы и перевели первые 20 страниц.
              0
              В нашем случае процент спама ниже чем 1-2% и ложные срабатывания тоже.
              Карантин нужен не системе, а для спокойствия души пользователя.
                0
                В нашем случае процент спама ниже чем 1-2% и ложные срабатывания тоже.

                Вы уж простите мой скептицизм, но не верю, что вы ЛИЧНО все 6 тыс. писем проверили и там не было 60-120 писем «спама». Показатели Тинана говорят, сколько он обнаружил и не факт, что это и есть весь спам.

                Карантин нужен не системе, а для спокойствия души пользователя.

                Спокойствия от чего? Опишите как у вас реализован сценарий с карантином в плоскости отправителя и получателя.
              0
              По ценам:
              • На оффсайте годовая подписка на 500 ящиков — 1515$
              • У вас — 0.42$ в месяц за ящик. 0.42$ х 12 х 500 = 2520$


              По функционалу:
              • Double antivirus protection, including Kaspersky Lab and Clam AV engines.
              • Web based administrative GUI
              • LDAP, Dynamic and aliases file recipient verification


              Осталось сравнить эффективность связки ClamAV+Spamassasin с обучением, ну и сделать интеграцию с AD.
                +2
                > На оффсайте годовая подписка на 500 ящиков — 1515$
                > У вас — 0.42$ в месяц за ящик. 0.42$ х 12 х 500 = 2520$

                Похоже, вы нечаянно раскрыли одну из схем откатов :-)
                  0
                  А вот ClamAV я бы антивирусом не называл вообще.
                    +1
                    ClamAV безусловно, не панацея, но совместо с Kaspersky и профессионализмом админов могут дать весьма хороший результат.
                    0
                    По ценам:
                    На оффсайте годовая подписка на 500 ящиков — 1515$
                    У вас — 0.42$ в месяц за ящик. 0.42$ х 12 х 500 = 2520$

                    Вы посчитали базовую стоимость. В зависимости от количества ящиков применяется скидка от 10% до 60%.
                    Так например, для 500 пользователей итоговая стоимость составит $1512 в год и +ежемесячный платёж по ресурсам.
                    Для каждого конкретного клиента рассчитывается индивидуальная стоимость.
                      0
                      > Для каждого конкретного клиента рассчитывается индивидуальная стоимость.

                      Госструктуры — ваша естественная ЦА, сходу и без вопросов.
                        0
                        Как раз наоборот, подавляющее большшинство — это корпоративные заказчики.
                    +1
                    вся эта приблуда это фря с постфиксом и стандартным антиспамом, плюс касперский и гуй. поддержка, в америке, хреноватенькая. апгрейд часто убивает систему в хлам, а проходит штатно примерно в половине случаев.
                    когда-то давно (~2007), титан продавали апплаенсы и они работали, да и поддержка была приличной, но сейчас у них что то перегорело.
                      0
                      Пока никаких проблем с апплаенсами не наблюдали.
                        0
                        я их гонял в 2006-2007 и все работало неплохо. в прошлом году по старой памяти купил виртуальный апплаенс, и понеслось — каждый апгрейд это 50/50 взлетит/не взлетит. звонки в саппорт не помогали. короче я плюнул и поднял собственный антиспам на линуксе.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое