Антиспам средства для Exchange Server
Предлагаю провести обзор всех средств защиты от спама и вирусов в почтовой корреспонденции Exchange Server 2007. Полагаю, список основных инструментов и средств будет следующим:
-
Антиспам фильтры в самом Exchange Server 2007
-
Exchange Hosted Filtering
-
Microsoft ForeFront Security for Exchange
-
Прочие продукты партнеров Microsoft
Надо сказать что ни один из этих инструментов не является самодостаточным средством-панацеей, и применять их во многом рекомендуется в совокупности. Как говорится «Security – не бывает «одной кнопкой», — включил и готово». Безопасность почтовых сообщений – это комплекс мер, применяемых ко всей почтовой инфраструктуре и к каждому серверу в отдельности.
Раньше, в предыдущих версиях Exchange Server было немного нативных, естественных инструментов антиспам/антивирусной защиты. А защита от вирусов и от спама часто интегрированы в один продукт и это в целом правильно – снижает стоимость решения, уменьшает проблематичность внедрения и troubleshooting связанного с совместимостью всех этих продуктов.
В Exchange 5.5 своих средств защиты от вирусов и спама не было вообще. Приходилось пользоваться сторонними продуктами. Давайте вспомним, что и спама тогда было сравнительно немного, и подобная проблема не стояла так остро как в последние годы. Во время Exchange 2000 Server стали появляться первые фильтры и продукты, такие Message Screener, ORF и SpamAssasin для SMTP шлюзов перед Exchange серверами.
Наконец в Exchange Server 2003 Microsoft включила ряд встроенных фильтров, таких как Sender/Recipient Filters, реинкарнация того же Message Screener ставилась отдельно из знаменитого набора Exchange All Tools. Позже в SP2 фильтры стали лучше и стали включены в стандартный набор инструментов Exchange. Примерно в это же время Microsoft купила компанию Antigen и ее продукт Antigen for SMTP Hosts, вследствие чего появился также Microsoft Antigen for Exchange и сейчас мы видим этот продукт под именем Microsoft Forefront Security for Exchange, ставший уже 64-битным для Exchange Server 2007.
В Exchange Server 2007 фильтры стали более удобными в использовании, изменилась платформа интеграции их в Exchange (они стали из компонентов Exchange, транспортными агентами, что повысило их управляемость и стабильность всей системы в целом). В то же самое время Microsoft анонсирует Exchange Hosted Filtering услугу в составе Exchange Hosted Services. Тоже очень качественное решение, и конечно же не абсолютная панацея.
Антиспам/антивирусные механизмы развиваются, спамеры поспевают за технологиями, а иногда и опережают их. Понятно что применять нужно комплексные решения.
Предлагаю желающим высказаться о своих применяемых решениях. HolyWar разводить не будем, лучших и худших вариантов — нет. Просто расскажите о том что вам нравится и что не нравится в вашем механизме защиты, будут интересные выводы и решения! 
Честно ожидал, что вы Максим, нам что-нибудь посоветуете. Опыта внедрения у вас больше чем у нас
Сейчас в моей существующей системе первым стоит
SPF затем DNS-BL на последнем рубеже GreyList(с ним больше всего проблем) Антиспам ну и Bayesian (если письмо таки дошло).
именно благодаря GL спаму стало на 80% меньше, но бывают ситуации когда письмо теряется
Я пока только осваиваю E2K7 что посоветуете?
Ну, советовать это такое дело…
Я вот тут открываю серию аналитических статей(это только первая из них, предворяющая), а выбирать будете вы сами.
Продукцию Microsoft или кого-нибудь еще я не продаю, по-этому показывать на кого-нибудь пальцем не буду
Вот это и интересно. А сравнить и выбрать сами сможем.
так что ждем статей, Много и разных
Добрый день.
На мой взгляд GreyList применим там, где важность и скорость доставки сообщения адресату не очень важна.
К сожалению приходится ставить по несколько фильтров в цепочке серверов для более гибкой настройки «защиты».
По поводу того, что спамеры не дремлют полностью согласен. К примеру используя BCC (Blind carbon copy)можно скрыть из заголовка сообщения mail to: — а смотреть с утра до вечера логи сервера утомительно.
Опять же всё упирается в критичность почтовых сообщений. Люди порой просят пропускать всю почту минуя фильтры.
У меня такое ощущение, что спаму жить осталось относительно не долго. Примут законы и на этом всё закончится.
Как было написано где-то «хуже спама может быть только борьба со спамом».
to Sergey:
Спасибо за классный коммент
>>К сожалению приходится ставить по несколько фильтров в цепочке серверов для более гибкой настройки
Ну почему же «к сожалению». Это нормально, Microsoft так и делает [будет ссылка].
Насчет закона, сомневаюсь, сомневаюсь. Посмотрите что происходит с пиринговыми сетями — их законом, а они в подполье (всегда найдется какой-нибудь Китай, которому будут пофиг чужие уставы), одну засудят — на ее месте десяток новых вырастает.
Эх, вот если бы всех админов почтовых систем обязали SenderID [будет ссылка] сделать — вот это был бы мощный удар по спамерам, «если не на смерть, то уж здоровье точно было бы не то»(с)анекдот.
У меня будет использованы два сервера HT для приема и отправки писем (для надежности так сказать)
Антивирусную защиту буду стоить на FSE, благо он очень губко настраивается.
А вот с Антиспамом не решил еще. Для моих целей необходим комплексный метод, т.к. будет 2 точки входа писем, то и Антиспам система должна работать сообща, т.е. одни правила, одни фильты и т.д. единственое что я смог найти с такими требованиями это ORF 4.1 но релиз обесчали только в конце марта
Может другие есть?
К сожалению, спам вряд ли исчезнет, скорее его будет становиться только больше. В свое время в блоге таки написал статью на тему антиспама и используемых для этого технологий. Если кому интересно — может ознакомиться, буду рад комментариям. Пока, пришли к выводу, что GreyList является самым эффективным (>=95%). У себя в группе компаний перепробовали много решений от спама. От фильтров, анализирующих содержание письма, отказались — очень много ложных срабатываний. Родной спам фильтр Exchange также не порадовал эффективностью. Из того что можно посоветовать это ORF (www.orf-filter.ru) (не уверен что есть для x64) и JEPS (www.spam-filter.ru, есть поддержка x64 и Exchange 2007). Мы остановились на последнем варианте, кому-то может больше приглянется ORF.
версия ORF 4.1 полностью поддерживает E2K7
но хотелось бы узнать про Jeps …
есть ли там Грейлист? и поддержка внейней базы данных?
Да есть, и Greylist и поддержка внешней базы на SQL
Всем привет!
Может быть немного в оффтоп, но хотел поделиться решением по антиспам антивирусу.
Классное решение предлагает Сisco, которое купила контору, под брендом IronPort — получилcя продукт Cisco IronPort.
Вся прелесть продукта состоит в том, что существует единая база по спам источникам и составу спам писем. Так же существует так называемая репутационная база, которая позволяет в реальном времени отлавливать новые виды спам рассылок.
К этим двум базам подключаются все устройства IronPort находящиеся по всему миру. Таким обраом, происходит автоматическое дообучение спам фильтров и обнаружение новых рассылок.
Сюда же включены два антивирусных движка от Sophos и McAfee.
Управляется железка через web интерфейс. Есть классные виды отчетов. По ним легко можно понять в реальном времени сколько отсеяно сколько принято и т. д. Вот в нашей конторе стоят такие два устройства (управляемые с единого интерфейса): спама стаол значительно меньше — из всего потока писем (порядка 400000 писем в день на одно устройство) всего 1% не спама!!
Есть интергация с Active Directory для проверки пользователей и групп.
Да единственное но — это порграммно-аппаратная железка. Отдельного софта для установки на Edge Transport нет..
А по поводу борьбы со спамом и вирусами 5+!
Подтверждаю — IronPort — вещь стоящая. Обязательно включу его в будущий обзор.
И совсем не оффтоп, спасибо за ценное дополнение.
Кстати, не забывайте,
* Sender Reputation Filter в Exchange Server 2007 тоже динамически составляет репуцию отправителей.
* Несколько (а именно 8 ) антивирусных/антиспам движков — в Microsoft ForeFront Security for Exchange.
А Cisco IronPort мы заказчику ставим прямо перед EdgeTransport. Антиспам фильтры на ET тоже активируются.
Приветствую Максим!
«А Cisco IronPort мы заказчику ставим прямо перед EdgeTransport. Антиспам фильтры на ET тоже активируются.»
IronPort ставится вместе с ET только для многоуровневой защиты или какие-то еще плюсы в этом есть? Мы народу предлагаем ставить IronPort вместо ET
Ну здрасьте, это не совсем взаимозаменяемые вещи. Если вам нужно будет управление SMTP потоками, специальные коннекторы, правила сообщений, журналирование — где вы в IronPort это возьмете?
Продукт бесспорно хороший, и преимущества у него есть, но намого более дорогой, нежели ET+Ff.
У вас — хорошая конструкция, как я вижу.
Приветствую!
Управление SMTP потоками кхм…
ну мы на HT делаем коннектор, который направляет все на IronPort.
На IronPort-е можно настроить маршрутизацию почтовых сообщений + правила там тоже есть.
Правила можно настроить на HT в принципе тоже.
Мы бы с удовольствием продавали бы Ff, но для него же нужна, как я понимаю, спец лицензия microsoft (корпоративная лицензия вроде бы). Просто так же нельзя ее отдельно купить?
А можно ли как-нибудь скачать Ff для тестов?
С удовольствием бы протестировали бы
Спасибо.
Хороший у вас блог.
Спасибо Виктория.
ОФФТОП: Максим, а куда подевался раздельчик FAQ, который был привязан к верхней части страницы?
Ищу человека, разбирающегося в PHP.
Как найду — все появится.
Приветствую, Максим!
Немного ОФФТОП (просто не знал в каком разделе лучше данный вопрос задать):
Возник вопрос про альтернативные методы (без ISA) публикации внешнего Интернет доступа к OWA +возможно к POP и IMAP.
Расскажите есть ли какие либо другие промышленные решения публикации?
Желательно, чтобы это выглядело не простым открытием закрытием портов, как в обычном FireWall, но и чтобы проверялся трафик на уровнк приложений, как в ISA. Тем самым защищая внутренние сервера Exchange от различных атак.
Приведите, пожалуйста, примеры.
Данный вопрос продублировал на форуме ExchangeRUS.ru, так как нужно делать предложение заказчику.
Спасибо.
Ну, навскидку могу вам назвать следущие продукты (очень популярные решения):
* Cisco ASA — программно-аппаратное решение, универсальный FW, есть модули AV, мощно но недешево.
* WebSense — ПО, конкурентоспособно
* CheckPoint Firewall — oldschool firewall, менее распространен, но тоже мощное решение. Один из тройки лидеров — ISA/ASA/CheckPoint
* Cisco IronPort
— наименее удачные, но распространенные случаи
* пингвин/freebsd +iptables и быть уверенным что «все и так уже секюрней некуда»:). такие решения, в разговоре называются ncq.
* керио fw, и иже с ним — для тех кто верит что «MS и все кто выше — только обдирают клиентов, а на самом деле можно круто и за 3 рубля».
Прветствую, Максим!
Спасибо за ответ.
Скажите, Вы внедряли данные решения совместно с Exchange:Cisco ASA / PIX, CheckPoint Firewall?
Они позволяют фильтровать на уровне приложений и выступать в качестве прокси для внешних подключений клиентов по HTTPS,IMAP или SMTP, выполнять авторизацию и уже потом пробрасывать данные на CAS Exchange?
Хотелось бы иметь именно такой функционал (так же как в ISA), а не простой форвардинг портов.
Спасибо.
Весь день уговаривал нашего Cisco-монстра написать вам развернутый ответ, но он видимо стесняется:))
Ладно, напишу сам.
Игорь! PIX это староватый раутинг с некоторой фильтрацией, не совсем наша тема. Нас интересует ASA. Это hardware network appliance, аппаратная платформа front-end с подключаемыми модулями для антивирусной/антифишинг/антиспам фильтрацией.
Умеет оно, как вы можете убедиться по ссылке, немало.
CheckPoint, к сожалению, штука очень сильно редкая, по крайней мере у нас в России. Я за все время СИ деятельности встречал его в организациях всего с десяток раз. Все что я привел в списке — High End Quality systems (за исключением неудачников разумеется). В списке может нехватать чего-то из Top решений, но несерьезных поделок я не рекомендовал. Все это используется в больших серьезных компаниях и заслуженно держит марку. Все обладают расширенным инструментарием мониторинга, фильтрования, шифрования, app-filters и защиты в целом.
PS: Если время терпит несколько дней, то я как раз пишу статью об архитектуре развертывания фронтовых площадок в Exchange организации, на основе реальных документов.
Приветствую, Максим!
Спасибо за ответ.
Завтра у нас встреча с заказчиком, нужно предлагать какие-либо решения.
По поводу Cisco ASA понял.
Буду ждать твою статью об архитектуре фронтовых решений.
Кстати, на форуме http://www.exchangerus.ru/sf-forum/ms-exchange-2007/clientaccess-isa/page-1
я задал аналогичны ответ. Там выяснилось что ISA 2006 — сертифицированный продукт, правда только версия Standard. Это хорошая инфо, но заказчику требуется отказоустойчивое решение и если предлагать ISA, то потребуется версия Enterprise…
Я вот думаю, а где Вы материал взяли для этой статьи? Неужели из головы?
вы будете удивлены(©) — как обычно, да
Автору спасибо, продолжайте нас радовать!
Хех…
Почаще пишите смайлики, а то всё так как будто серъёзно 
Огромное спасибо! Очень помогла ваша информация!!!)
Сенкс. Интересно, и вообще полезный у Вас блог
Позновательно!!!!
Позновательно!!!!