Urządzenia firm Proofpoint i Symantec oferują coś więcej niż tylko ochronę przed spamem - także przed atakami pozyskiwania adresów i phishingiem.

Chociaż spam nadal jest poważnym problemem - konsumuje pasmo sieci i czas użytkownika - nie jest to jedyny problem trapiący administratorów poczty elektronicznej. Ataki typu "żniwa adresowe" (Directory Harvest Attack - DHA) to próby wynajdywania prawdziwych adresów poczty elektronicznej drogą wysyłania losowych przesyłek pocztowych do setek tysięcy, a nawet milionów prawdopodobnych użytkowników w poszczególnych domenach. Phishing to z kolei próba zbierania informacji związanych z logowaniem użytkowników, z wykorzystaniem fałszywych wiadomości, zawierających prośbę o uaktualnianie danych, pochodzących rzekomo od znanych firm czy witryn (np. eBay lub amazon.com). Jest jeszcze problem użytkowników odbierających wiadomości z niepożądaną zawartością lub wysyłających informacje poufne poza firmę.

Rozpoznając coraz powszechniejsze zagrożenia tego typu, urządzenia antyspamowe wychodzą poza proste funkcje filtrowania niepożądanych treści. Testom poddano dwa urządzenia: Proofpoint Protection Server i Symantec Mail Security - oba zapewniają dobrą wydajność filtrowania spamu i pomagają w zabezpieczaniu systemów pocztowych przed innymi zagrożeniami. Urządzenia są proste w instalacji i bardzo dobrze integrują się z dowolnym serwerem pocztowym. Pomagają także w egzekwowaniu reguł wynikających z obowiązujących uregulowań prawnych i zapobiegają wyciekom wrażliwych informacji.

Cena obu tych rozwiązań jest dość skomplikowana do wyliczenia. Proofpoint oferuje trzy różne modele urządzenia, a Symantec dwa. Koszty subskrypcji zależą od liczby użytkowników i dostępnych funkcji. Symantec wydaje się znacznie tańszy zarówno w kosztach liczonych na użytkownika, jak i rocznych, ponieważ mechanizmy filtrowania zawartości, filtrowania poczty i zgodności z regulacjami prawnymi zawarte są w cenie podstawowej. I tak przy 5 tys. użytkowników koszt jednego użytkownika w ciągu roku za te wszystkie mechanizmy kształtuje się na poziomie ok. 10 USD, podczas gdy dla rozwiązania Proofpoint powyżej 57 USD.

Ograniczanie fałszywych rozpoznań

Wydajność filtrowania spamu jest mierzona w dwóch kategoriach: procent przechwyconego spamu oraz liczba fałszywych rozpoznań. Rozróżnia się dwa typy fałszywych rozpoznań: poczta masowa uznana za spam (materiały marketingowe, newslettery itp., akceptowane przez odbiorcę) i krytyczne fałszywe rozpoznania, czyli przesyłki pocztowe, które użytkownik końcowy powinien zobaczyć, a które zostały błędnie uznane przez filtr za spam.

Oba produkty osiągają bardzo dobre wyniki w filtrowaniu spamu - ponad 95% wyłapanego spamu i brak krytycznych fałszywych rozpoznań w ponad 8 tys. przetworzonych wiadomości. Proofpoint zaliczył trzy, a Symantec cztery fałszywe rozpoznania poczty masowej, które były jednak relatywnie nieistotne (przesyłki masowe zazwyczaj powtarzają się i dlatego są łatwe do umieszczenia na białych listach - zadanie, które może wykonać sam użytkownik). Zerowy wynik krytycznych fałszywych rozpoznań jest dużo bardziej istotny niż najwyższy wskaźnik przechwycenia, ponieważ zbyt wiele krytycznych fałszywych rozpoznań zmniejsza wydajność pracowników, zmuszając ich do przeszukiwania plików kwarantanny w poszukiwaniu istotnych wiadomości.

Oba urządzenia mogą stosować kwarantannę spamu, odsyłać wiadomość do nadawcy oraz zaznaczać w nagłówku, że wiadomość jest definitywnie spamem lub prawdopodobnie spamem. Pozwala to na zróżnicowane reakcje w oparciu o stopień prawdopodobieństwa, że wiadomość jest spamem - wiadomości z wysokim współczynnikiem pewności można odrzucać, kwarantannie poddawać te, które są tylko przypuszczalnie spamem, pozwalając pozostałym na dotarcie do skrzynki odbiorczej użytkownika.

Oba produkty są porównywalne. Zawierają elastyczne motory działające z wykorzystaniem reguł, radzące sobie z przesyłkami, które naruszają reguły językowe - wyraźnie natrętny lub wulgarny styl lub zawartość słów czy fraz, które nie powinny wychodzić poza firmę, a także zawierają dokumenty, które nie powinny opuszczać firmy.

Symantec ma niewielką przewagę w zakresie możliwych reakcji na naruszenia takich reguł, ale każdy z tych systemów powinien zadowolić osoby odpowiedzialne za bezpieczeństwo. Zarówno Proofpoint, jak i Symantec oferują szczegółowe i elastyczne administrowanie oparte na rolach, pozwalające na sprawdzanie wiadomości, które zostały zatrzymane z powodu naruszeń reguł polityki bezpieczeństwa.

W celu zatrzymania ataku DHA, urządzenia mogą importować informacje o użytkownikach z Active Directory, Exchange, serwerów Notes/Domino lub standardowych serwerów katalogowych LDAP. Mogą także odrzucać wiadomości adresowane do nieistniejących użytkowników. Symantec zapewnia bardzo proste w użyciu funkcje synchronizacji katalogów, które z mechanizmami autowykrywania i autowypełniania sprowadzają liczbę kroków niezbędnych do synchronizacji do jednego: wprowadzenia przez administratora loginu i hasła. To chyba najłatwiejsza metoda synchronizacji, jaką można sobie wyobrazić, chociaż synchronizacja katalogów Proofpoint daleko nie odbiega, wymaga wypełnienia jedynie kilku dodatkowych pól w dobrze udokumentowanej, obowiązującej składni.

Proofpoint Protection Server wersja 3.2.2.40

Proofpoint Protection Server jest dostępny w trzech wersjach: podstawowej (Messaging Security Gateway X200) z ograniczonym zakresem funkcji, która kosztuje 1995 USD, a z dołączonymi modułami antyspamowym i antywirusowym - niepełna 9 tys. USD; wersji P600 - w cenie ok. 6750 USD, obsługującej 500 użytkowników, oraz modelu P800 obsługującym od 1000 do 5000 użytkowników, w cenie 9750 USD.

Testom poddano wersje P800, która jest dostarczana z modułem zgodności, ale moduły antyspamowy, antywirusowy i ochrony zasobów cyfrowych są wyceniane osobno. Podczas testów wyłapano ponad 95% przesyłek spamowych z trzema przypadkami fałszywego rozpoznania poczty masowej jako spamu.

Urządzenie Proofpoint jest proste do skonfigurowania z pomocą klawiatury, monitora i myszki, konsoli szeregowej lub przeglądarki webowej łączonej z domyślnym adresem IP w celu konfigurowania ustawień sieciowych. Po wykonaniu wstępnej konfiguracji, pozostała część procesu jest wykonywana za pośrednictwem czystego interfejsu przeglądarkowego.

Import użytkowników z Active Directory, Exchange Server, Lotus Notes/Domino, pliku lub dowolnego serwera LDAP - w celu ustawienia ochrony przed DHA - oraz ustawienie dostępu do kwarantanny są proste do wykonania, chociaż poprawne ustawienie zapytania LDAP przez Exchange/AD wymaga pewnych eksperymentów w celu uzyskania poprawnej kwerendy i informacji logowania. Można także udostępnić użytkownikowi dostęp do jego własnej kwarantanny lub ograniczyć taki dostęp tylko do administratora - w zależności od polityki bezpieczeństwa przyjętej w organizacji.

System wysyła informację o poczcie przeznaczonej do kwarantanny bądź do administratora, bądź do użytkownika - można wtedy kliknąć na linku w zawiadomieniu w celu zwolnienia lub usunięcia wiadomości, ewentualnie wpisać nadawcę na białą listę. Zwolnienie wiadomości z kwarantanny jest odseparowane od procesu przyznania nadawcy statusu "bezpieczny" - po zwolnieniu nadawca nie jest dopisywany automatycznie do białej listy, co oznacza dla administratora konieczność wykonania dodatkowego kroku. Nie ma także możliwości bezpośredniego wglądu w treść wiadomości, np. przez kliknięcie na linku. Jeżeli nie jest się pewnym, czy wiadomość jest spamem - na podstawie nadawcy czy nagłówka - konieczne jest otwarcie kwarantanny przez przeglądarkę, zalogowanie się do kwarantanny i wyszukanie tej wiadomości.

Zapora ogniowa poczty ma elastyczny motor reguł, który może ograniczać tempo akceptowania wiadomości SMTP na podstawie adresów IP nadawców lub punktacji spamowej wiadomości odbieranych spod tych adresów w przeszłości. Motor reguł zawiera kilka różnych słowników, które pozwalają na ustawianie różnych reguł dla potencjalnie obraźliwego języka, ataków phishingu, a także słów lub fraz, które mogą wskazywać na wyciek wrażliwych danych. Słowniki mogą być dostosowywane. Można także przeszukiwać załączniki - wg typów plików lub nazw - i poddawać kwarantannie wiadomości lub przekazywać do kontroli zgodności z regułami.

Pomijając sprawę ceny i relatywnie trochę udziwnionego zarządzania, możliwość tak dokładnych ustawień sprawia, że Proofpoint Protection Server można uznać za solidny system ochrony poczty.