Kaspersky Secure Mail Gateway 2.0

В данной статье мы рассмотрим основные возможности шлюза безопасности электронной почты Kaspersky Secure Mail Gateway (в дальнейшем — KSMG): какие компоненты присутствуют в системе и как они защищают почтовый трафик, базовую конфигурацию почтовой системы с KSMG. Посмотрим на основные настройки, веб-интерфейс в целом и проведем тесты.

Электронная почта — основной канал, по которому в корпоративные системы проникает вредоносное ПО, угрожающее IT-безопасности бизнеса. Чаще всего злоумышленники используют методы социальной инженерии, чтобы завоевать доверие получателя и мотивировать его сделать то, что делать не рекомендуется.

KSMG эффективно борется с фишингом, попытками компрометации корпоративной электронной почты, шифровальщиками и даже продвинутыми атаками по электронной почте. Безопасный шлюз действует на ранних этапах цепочки поражения, пока угрозы не привели к инцидентам и не причинили ущерба. Благодаря этому эффективно снижается риск атаки, а сотрудники не отвлекаются на ненужную дополнительную работу. Интеллектуальная обработка данных осуществляется на всех уровнях защиты, подкрепленных технологией машинного обучения. Применение разных моделей машинного обучения, песочницы и облачной репутационной системы позволяет правильно фильтровать сообщения электронной почты, отделяя нужные от опасных.

Заранее оговоримся, что речь будет идти именно о версии Kaspersky Secure Mail Gateway 2.0, так как она претерпела множество положительных изменений и на данный момент является флагманской версией продукта.

Kaspersky Secure Mail Gateway — это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты, в составе готового к использованию виртуального устройства безопасности.

В основные функции защиты электронной почты входит:

• Выполнение Антивирусной проверки сообщений: проверять сообщения на наличие вирусов и вредоносных программ, макросов (например, файлов форматов Microsoft Office с макросами); зашифрованных объектов, архивов (в том числе распознавать типы файлов внутри архивов и составных объектов).
• Выполнение проверки сообщений модулем Анти-Спам: проверять сообщения на наличие спама, предполагаемого спама, массовых рассылок (в том числе с использованием технологии распознавания поддельных доменов и проверки репутации IP-адресов), обнаруживать сообщения с Юникод-спуфингом.
• Выполнение проверки сообщений модулем Анти-Фишинг.
• Выполнение проверки сообщений на наличие вредоносных или рекламных ссылок, а также ссылок, относящихся к легальному ПО.
• Выполнение контентной фильтрации сообщений, в том числе по типу вложений (KSMG позволяет определять истинный формат и тип вложения, независимо от его расширения).
• Проверка подлинности отправителей сообщений с помощью технологий SPF, DKIM и DMARC.

Предположим, имеется почтовый сервер, на который простой трансляцией адресов реализован доступ к 25 порту. Вся почта, приходящая на домен организации, сразу попадает на сервер в почтовые ящики пользователей. Данная конфигурация является типичной и самой опасной, поэтому внедрение KSMG будет наилучшим вариантом.

Шлюз безопасности KSMG ставится «в разрез» между внешней сетью и вашим почтовым сервером. Он принимает письмо извне, обрабатывает и далее по цепочке передает в почтовую систему конечным адресатам. Схема базовой конфигурации для защиты входящей почты может выглядеть таким образом:

Для внедрения Kaspersky Security Mail Gateway требуется развернуть подготовленный образ в формате ISO на виртуальную машину (поддерживаются гипервизоры VMware ESXi и Microsoft Hyper-V) и произвести базовую настройку. Настройки по умолчанию уже обеспечивают стандартный уровень защиты и поэтому много времени развертывание не занимает.

При развертывании образа ISO в виртуальной машине вам предложат пройти мастер настройки в псевдовизуальном консольном интерфейсе. Данный процесс особых сложностей вызвать не должен, поэтому этот этап мы опустим и перейдем к базовой настройке через веб-интерфейс.

В конце развертывания в консольном окне вам покажет QR-код с информацией о хосте, а также в текстовом виде IP адрес сервера, порт взаимодействия с кластером, отпечаток хоста (fingerprint).

Для доступа в веб-интерфейс перейдем по адресу сервера через HTTPS, введем имя пользователя Administrator и пароль, указанный при установке.

Перед нами откроется панель мониторинга следующего вида:

Для переключения языка интерфейса необходимо нажать слева внизу на профиль пользователя (в данном случае Administrator) и выбрать нужный язык из списка.

Первым делом необходимо подставить активную лицензию. Для этого перейдем в раздел Параметры -> Общее -> Лицензирование и нажмем «Добавить лицензионный ключ»:

В зависимости от типа поставки вы можете добавить код активации (для активации нужен доступ к серверам Лаборатории Касперского) или файл ключа.

После добавления убедитесь, что статус лицензионного ключа на узле «Действующая лицензия»:

Следующим этапом в том же разделе «Общие» -> «Дата и время» проверим настройки часового пояса:

В случае необходимости вы можете синхронизировать время с корпоративным или внешним NTP-сервером.

Далее перейдем в раздел «Внешние службы» -> «Обновление баз» и нажмем «Обновить базы».

После первого обновления баз необходимо выполнить перезагрузку Управляющего узла. Перейдем в раздел «Узлы» и нажмем на строку с Управляющим узлом -> Перезагрузить -> OK.

После перезагрузки сервера, снова авторизуйтесь под администратором и убедитесь, что подразделы Обновление баз и Лицензирование имеют статус «Без ошибок».

Базы сигнатур обновляются с определенной периодичностью и могут быть не всегда актуальны. Kaspersky Security Network (KSN) создана для получения и обработки данных о киберугрозах со всего мира, которые затем преобразуются в актуальные аналитические данные об угрозах. Благодаря этой интеграции шлюз безопасности KSMG может передавать элементы в платформу KSN, данные в которой обновляются в реальном времени, и получать актуальные вердикты.

Взамен на получение информации об угрозах из KSN, Kaspersky собирает анонимизированную информацию об элементах, которые вы посылаете в KSN, и использует её для совершенствования сети. В случае, если вам запрещено отправлять информацию об элементах наружу, вы можете развернуть в своей инфраструктуре Kaspersky Private Security Network. KPSN это аналог KSN, который предназначен для изолированных сетей. Его отличие от KSN в том, что он не передает информацию о ваших элементах во вне вашей инфраструктуры. KPSN интегрируется с семейством продуктов Лаборатории Касперского и может быть использован не только с шлюзом безопасности KSMG.

Включение интеграции KSN/KPSN СИЛЬНО повышает уровень защиты к уязвимостям нулевого дня.

Мы рассмотрим включение интеграции именно с KSN.

В этом же разделе «Внешние службы» перейдем в «KSN/KPSN». Во вкладке «Параметры KSN/KPSN» необходимо выбрать из выпадающего меню «Использование KSN/KPSN» — KSN:

После сохранения убедитесь, что во вкладке «Состояние соединения с KSN/KPSN» статус соединения для вашего узла — Без ошибок.

Один из главных пунктов настройки шлюза — это настройка Mail Transfer Agent. В KSMG в качестве MTA используется Postfix и веб-интерфейс позволяет производить тонкие настройки без необходимости подключения к консоли.

Для корректной работы шлюза необходимо добавить локальный домен, на который будет приходить почта пользователей. В качестве примера добавим домен cgp.tssolution.ru и он будет обслуживаться далее сервером Communigate Pro, который будет выступать в качестве локального почтового сервера для пользователей.

Перейдем к основным параметрам в разделе «Встроенный MTA».

Заполним основные параметры:

• Имя домена: основное доменное имя, которое будет использоваться для всех узлов кластера. В данном случае выберем tssolution.ru.
• Имя хоста: введите полное доменное имя Kaspersky Secure Mail Gateway. В данном случае укажем mx1.tssolution.ru.
• Доверенные сети: адреса, подсети внутренних почтовых серверов или других внутренних систем, которые должны иметь возможность отправлять почту по SMTP через шлюз. В примере у нас имеется только почтовый сервер Commnigate Pro, который имеет адрес 10.10.30.43, поэтому он указан.

Теперь перейдем в этом же разделе «Встроенный MTA» в подраздел «Домены». Здесь мы можем указывать различные настройки маршрутизации для внутренних и внешних доменов. Нажмем «Добавить домен» и укажем параметры для cgp.tssolution.ru:

• Тип записи: домен, cgp.tssolution.ru;
• Локальный домен: да;
• Маршрутизация: да, и тут необходимо указать адрес внутреннего почтового сервера. Вы можете использовать доменное имя вместо IP адреса. Для этого дополнительно включите «Поиск MX-записей DNS».

Если никаких ошибок в процессе не возникло, то базовую настройку на этом можно считать оконченной.

Для проверки работы настроенного шлюза можно использовать программу SwithMail. Её можно использовать и в терминальном режиме, передавая ей параметры, но мы перейдем к визуальному интерфейсу. Тестирование будем проводить на специально подготовленных зловредных сообщениях и посмотрим, как в интерфейсе KSMG отображаются данные о них.

Заполним параметры отправителя и в качестве сервера почты укажем шлюз KSMG:

Отправку будем осуществлять на адрес postmaster@cgp.tssolution.ru, пользователь postmaster существует в системе Communigate Pro и имеет почтовый ящик.

Прикрепим тестовый заархивированный файл EICAR, который имитирует вредоносное ПО.

Укажем тему и содержимое:

Отправим сообщение используя кнопку «Test settings» и получим ответ от сервера:

Сообщение было заблокировано по соображениям безопасности. KSMG сразу же распознал угрозу и заблокировал отправку. Вы можете изменить поведение по умолчанию в разделе «Правила» через веб консоль KSMG.

В веб консоли KSMG в разделе «События» мы можем увидеть письмо и открыть дополнительную информацию:

Из дополнительной информации мы видим по какому правилу было заблокировано письмо и какими модулями, в данном случае на тестовое вредоносное ПО Eicar сработали модули Анти-Спам и Анти-Фишинг. При этом Антивирус и Контентная фильтрация не стали проверять письмо, так как вердикт уже был сформирован и перегружать систему лишними проверками смысла не было.

Проводить тест будем тем же методом, только в программе SwithMail вместо вложения укажем в теле письма определенно сформированную строку из символов Eicar.

В таком случае получаем сообщение об успешной отправке:

Пользователю приходит сообщение с измененным заголовком, указывающее, что письмо было расценено как спам:

В веб консоли KSMG мы можем увидеть, что сообщение было пропущено получателю и что ни один модуль (кроме Анти-Спама) ничего не нашел в сообщении:

Как только через систему KSMG начнут проходить сообщения, можно будет отслеживать статистику и получать графики по трафику на панели мониторинга:

Панель мониторинга можно настраивать по своему усмотрению: добавлять/изменять/удалять графики, менять типы графиков, менять расположение плиток и т.п.

Kaspersky Secure Mail Gateway — мощный инструмент по защите почтового трафика, обладающий всеми необходимыми компонентами для создания надежной защиты от большинства вредоносных атак. Благодаря возможности интеграции с платформой Kaspersky Anti Targeted Attack можно не только использовать почтовые системы как дополнительный источник информации для обнаружения целенаправленных атак, но также блокировать дальнейшее распространение сообщений с опасным содержимым в зависимости от результатов глубокого анализа Kaspersky Anti Targeted Attack Platform.

Помимо затронутых, можно отметить следующие возможности системы KSMG:

• Обнаружение скриптов;
• Проверка архивов;
• Управление электронной почтой с проверкой подлинности;
• Интеграция с SIEM-системами;
• Система управления доступом на основе ролей;
• Гибкая настройка правил;
• Черные и белые списки;
• Персональные настройки для пользователей;
• Интеграция с Active Directory;
• Кластерная архитектура и централизованное управление кластером;
• Встроенное резервное копирование;
• Мониторинг очереди сообщений;
• Хранилище для карантина;
• Отчетность.

Kaspersky Secure Mail Gateway — это комплексное решение класса SEG (Secure Email Gateway), способное распознать опасные сообщения электронной почты и заблокировать их прежде, чем они достигнут получателя. Оно не только снижает риск инфицирования и утечки данных, но и экономит время сотрудников, которым приходилось отвлекаться на нежелательную почту.