Защита электронной почты
Несмотря на благоприятную тенденцию снижения общемирового объема спама год от года, этот вид угроз наносит организациям существенный экономический ущерб, выражающийся как в потере производительного времени сотрудников, так и в проникновении вредоносного ПО за периметр локальной сети организации. Согласно отчету компании Pingdom, специализирующейся на поддержке сайтов и корпоративных интернет-услугах, за 2012 год из 144 млрд. писем, составляющих ежедневный e-mail трафик, 68,8% оказались спамом. Если посмотреть статистику от компании Symantec, то в 2012 году спам составлял от 65% до 80% всех входящих писем.
Спам традиционно подразделяется на несколько категорий:
- Фармацевтический спам — рассылка рекламных предложений, предлагающих купить различные лекарственные препараты, БАДы, различные дженерики, реклама медицинских и оздоровительных услуг и т. д.;
- Нигерийские письма — различные виды мошеннических рассылок, сводящихся к просьбе получателю письма поучаствовать в многомиллионных денежных операциях за определенный процент от вознаграждения ("Меня зовут Бакаре Тунде, я брат первого нигерийского космонавта...");
- Спам для «взрослых» — разновидность спама, содержание которого относится к порнографии. В этом случае мошенники часто прибегают к обходу спам-фильтров путем использования искажений в словах, например se><, \/|@gr@ и т. д.;
- Личные финансы — рассылка, относящаяся к различным предложениям по выгодным условиям займов, страхованию, уменьшению кредитной задолженности, покупки акций, цены на которые должны в скором времени сильно подрасти и т. д.;
- Реклама — спам про услуги спамеров, одновременно являющийся и предложеним рекламных услуг, и доказательством того, что спамер может достичь цели, проникнув через спам-фильтр;
- Фишинг — вид мошеннических рассылок, целью которого является получение доступа к конфиденциальным данным пользователей: логинам и паролям. Электронное письмо исходит от якобы известной компании, где пользователь видит ссылку на сайт банк-клиента, электронно-платежной системы или социальной сети. После того, как пользователь переходит по поддельной ссылке, ему предлагается ввести свой логин/пароль в систему, что автоматически позволит злоумышленникам получить доступ к аккаунтам, банковским счетам и т. д.
В настоящее время все большее число организаций выбирают для защиты периметра сети UTM-устройства, в том числе из-за встроенных возможностей защиты электронной почты. Первым российским решением этого класса в 2009 году стал межсетевой экран ALTELL NEO. В его арсенале имеется два независимых антивируса (ClamAV и Kaspersky Antivirus) и два антиспам-решения (SpamAssasin и Kaspersky Antispam).
К стандартным возможностям и функциям ALTELL NEO по защите электронной почты относятся:
- Поддержка работы в прозрачном режиме — настойка межсетевого экрана на канальном уровне модели ISO/OSI (режим моста), который не воспринимается подключаемыми устройствами как маршрутизируемый переход (bump-in-the-wire, так называемый «узел на проводе») и не меняет IP-адреса входящих пакетов;
- Поддержка DNS Black List — список адресов (это могут быть open relay, списки спам-серверов, dialup-серверов, открытых HTTP/Socks прокси-серверов), хранимых с использованием архитектуры DNS;
- Поддержка «черных», «белых» и «серых» списков — поведенческие способы автоматической блокировки спама:
* черные списки — способ автоматической блокировки спама, содержащий список серверов, которые рассылают спам. Например, SORBS, SpamHaus, SpamCop;
* белые списки — список доверенных серверов, с которых не рассылается спам;
* серые списки — способ автоматической блокировки спама, основанный на том, что активность программного обеспечения для рассылки спама отличается от поведения обычных серверов электронной почты. Если почтовый сервер получателя отказывается принять письмо и сообщает о «временной ошибке», сервер отправителя обязан позже повторить попытку как того требует протокол SMTP. Спамерское программное обеспечение в таких случаях обычно не пытается этого делать, вместо этого используя другой релей, обратный адрес и т. д. в попытках обойти защиту. - Проверка наличия DNS-записи о сервере-отправителе — осуществление обратного преобразования IP-адреса в DNS-запись;
- Технология SPF (Sender Policy Framework, структура политики отправителя) — расширение для протокола отправки электронной почты через SMTP. Данная технология позволяет владельцу домена указать в TXT-записи, соответствующей имени домена, специальным образом сформированную строку, указывающую список серверов, имеющих право отправлять сообщения электронной почты с обратными адресами в этом домене;
- Сервис SURBL (Spam URI Realtime Blocklists) — сервис, содержащий сведения не об IP-адресах, с которых поступает спам, а о сайтах, которые рекламируются в спамерских сообщениях. Поскольку большинство спам-писем (и фишерских писем в частности) призывают посетить какой-либо сайт, и сайтов этих меньше, чем IP-адресов отправителей спама, то SURBL может работать более эффективно, чем RBL — фильтровать до 80-90% спама при ложных срабатываниях не выше 0.001-0.05%;
- Отсутствие технической возможности потери сообщений в фильтре — письмо отвергается еще во время обработки команды SMTP DATA, а принимается только после отправки на конечный сервер. Соответственно, в случае отвержения сообщения отправляющий MTA узнает об этом по результату команды DATA, а в случае прохождения отправляющий MTA получает успешный результат DATA только после того как письмо уже принято целевым почтовым сервером;
- Применение ЭЦП в отправляемых письмах с помощью технологии DKIM (DomainKeys Identified Mail). Данная технология позволяет подтвердить подлинность (аутентифицировать) отправителя письма, а так же подтвердить отсутствие изменения в электронном письме во время ее передачи от отправителя к получателю;
- Передовые методы фильтрации:
* Байесовская фильтрация — метод для фильтрации спама, основанный на применении наивного байесовского классификатора, в основе которого лежит применение теоремы Байеса;
* Фильтрация Razor — распределенная сеть обнаружения и фильтрации спама. База пополняется благодаря вкладу пользователей со всего мира, поэтому сеть Razor обладает распределенным и постоянно обновляющимся спам-каталогом.
Бесплатное тестирование
Все модели ALTELL NEO доступны для тестирования совершенно бесплатно. Предварительно вы можете подобрать желаемую конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную стоимость с помощью конфигуратора.
Отправить заявку