Urządzenia ochrony poczty elektronicznej
- Józef Muszyński,
- Logan G. Harbaugh,
- 07.06.2006
Urządzenia firm Proofpoint i Symantec oferują coś więcej niż tylko ochronę przed spamem - także przed atakami pozyskiwania adresów i phishingiem.
Urządzenia firm Proofpoint i Symantec oferują coś więcej niż tylko ochronę przed spamem - także przed atakami pozyskiwania adresów i phishingiem.
Chociaż spam nadal jest poważnym problemem - konsumuje pasmo sieci i czas użytkownika - nie jest to jedyny problem trapiący administratorów poczty elektronicznej. Ataki typu "żniwa adresowe" (Directory Harvest Attack - DHA) to próby wynajdywania prawdziwych adresów poczty elektronicznej drogą wysyłania losowych przesyłek pocztowych do setek tysięcy, a nawet milionów prawdopodobnych użytkowników w poszczególnych domenach. Phishing to z kolei próba zbierania informacji związanych z logowaniem użytkowników, z wykorzystaniem fałszywych wiadomości, zawierających prośbę o uaktualnianie danych, pochodzących rzekomo od znanych firm czy witryn (np. eBay lub amazon.com). Jest jeszcze problem użytkowników odbierających wiadomości z niepożądaną zawartością lub wysyłających informacje poufne poza firmę.
Rozpoznając coraz powszechniejsze zagrożenia tego typu, urządzenia antyspamowe wychodzą poza proste funkcje filtrowania niepożądanych treści. Testom poddano dwa urządzenia: Proofpoint Protection Server i Symantec Mail Security - oba zapewniają dobrą wydajność filtrowania spamu i pomagają w zabezpieczaniu systemów pocztowych przed innymi zagrożeniami. Urządzenia są proste w instalacji i bardzo dobrze integrują się z dowolnym serwerem pocztowym. Pomagają także w egzekwowaniu reguł wynikających z obowiązujących uregulowań prawnych i zapobiegają wyciekom wrażliwych informacji.
Cena obu tych rozwiązań jest dość skomplikowana do wyliczenia. Proofpoint oferuje trzy różne modele urządzenia, a Symantec dwa. Koszty subskrypcji zależą od liczby użytkowników i dostępnych funkcji. Symantec wydaje się znacznie tańszy zarówno w kosztach liczonych na użytkownika, jak i rocznych, ponieważ mechanizmy filtrowania zawartości, filtrowania poczty i zgodności z regulacjami prawnymi zawarte są w cenie podstawowej. I tak przy 5 tys. użytkowników koszt jednego użytkownika w ciągu roku za te wszystkie mechanizmy kształtuje się na poziomie ok. 10 USD, podczas gdy dla rozwiązania Proofpoint powyżej 57 USD.
Ograniczanie fałszywych rozpoznań
Wydajność filtrowania spamu jest mierzona w dwóch kategoriach: procent przechwyconego spamu oraz liczba fałszywych rozpoznań. Rozróżnia się dwa typy fałszywych rozpoznań: poczta masowa uznana za spam (materiały marketingowe, newslettery itp., akceptowane przez odbiorcę) i krytyczne fałszywe rozpoznania, czyli przesyłki pocztowe, które użytkownik końcowy powinien zobaczyć, a które zostały błędnie uznane przez filtr za spam.
Oba urządzenia mogą stosować kwarantannę spamu, odsyłać wiadomość do nadawcy oraz zaznaczać w nagłówku, że wiadomość jest definitywnie spamem lub prawdopodobnie spamem. Pozwala to na zróżnicowane reakcje w oparciu o stopień prawdopodobieństwa, że wiadomość jest spamem - wiadomości z wysokim współczynnikiem pewności można odrzucać, kwarantannie poddawać te, które są tylko przypuszczalnie spamem, pozwalając pozostałym na dotarcie do skrzynki odbiorczej użytkownika.
Oba produkty są porównywalne. Zawierają elastyczne motory działające z wykorzystaniem reguł, radzące sobie z przesyłkami, które naruszają reguły językowe - wyraźnie natrętny lub wulgarny styl lub zawartość słów czy fraz, które nie powinny wychodzić poza firmę, a także zawierają dokumenty, które nie powinny opuszczać firmy.
Symantec ma niewielką przewagę w zakresie możliwych reakcji na naruszenia takich reguł, ale każdy z tych systemów powinien zadowolić osoby odpowiedzialne za bezpieczeństwo. Zarówno Proofpoint, jak i Symantec oferują szczegółowe i elastyczne administrowanie oparte na rolach, pozwalające na sprawdzanie wiadomości, które zostały zatrzymane z powodu naruszeń reguł polityki bezpieczeństwa.
W celu zatrzymania ataku DHA, urządzenia mogą importować informacje o użytkownikach z Active Directory, Exchange, serwerów Notes/Domino lub standardowych serwerów katalogowych LDAP. Mogą także odrzucać wiadomości adresowane do nieistniejących użytkowników. Symantec zapewnia bardzo proste w użyciu funkcje synchronizacji katalogów, które z mechanizmami autowykrywania i autowypełniania sprowadzają liczbę kroków niezbędnych do synchronizacji do jednego: wprowadzenia przez administratora loginu i hasła. To chyba najłatwiejsza metoda synchronizacji, jaką można sobie wyobrazić, chociaż synchronizacja katalogów Proofpoint daleko nie odbiega, wymaga wypełnienia jedynie kilku dodatkowych pól w dobrze udokumentowanej, obowiązującej składni.
Proofpoint Protection Server wersja 3.2.2.40
Proofpoint Protection Server jest dostępny w trzech wersjach: podstawowej (Messaging Security Gateway X200) z ograniczonym zakresem funkcji, która kosztuje 1995 USD, a z dołączonymi modułami antyspamowym i antywirusowym - niepełna 9 tys. USD; wersji P600 - w cenie ok. 6750 USD, obsługującej 500 użytkowników, oraz modelu P800 obsługującym od 1000 do 5000 użytkowników, w cenie 9750 USD.
Testom poddano wersje P800, która jest dostarczana z modułem zgodności, ale moduły antyspamowy, antywirusowy i ochrony zasobów cyfrowych są wyceniane osobno. Podczas testów wyłapano ponad 95% przesyłek spamowych z trzema przypadkami fałszywego rozpoznania poczty masowej jako spamu.
Urządzenie Proofpoint jest proste do skonfigurowania z pomocą klawiatury, monitora i myszki, konsoli szeregowej lub przeglądarki webowej łączonej z domyślnym adresem IP w celu konfigurowania ustawień sieciowych. Po wykonaniu wstępnej konfiguracji, pozostała część procesu jest wykonywana za pośrednictwem czystego interfejsu przeglądarkowego.
Import użytkowników z Active Directory, Exchange Server, Lotus Notes/Domino, pliku lub dowolnego serwera LDAP - w celu ustawienia ochrony przed DHA - oraz ustawienie dostępu do kwarantanny są proste do wykonania, chociaż poprawne ustawienie zapytania LDAP przez Exchange/AD wymaga pewnych eksperymentów w celu uzyskania poprawnej kwerendy i informacji logowania. Można także udostępnić użytkownikowi dostęp do jego własnej kwarantanny lub ograniczyć taki dostęp tylko do administratora - w zależności od polityki bezpieczeństwa przyjętej w organizacji.
System wysyła informację o poczcie przeznaczonej do kwarantanny bądź do administratora, bądź do użytkownika - można wtedy kliknąć na linku w zawiadomieniu w celu zwolnienia lub usunięcia wiadomości, ewentualnie wpisać nadawcę na białą listę. Zwolnienie wiadomości z kwarantanny jest odseparowane od procesu przyznania nadawcy statusu "bezpieczny" - po zwolnieniu nadawca nie jest dopisywany automatycznie do białej listy, co oznacza dla administratora konieczność wykonania dodatkowego kroku. Nie ma także możliwości bezpośredniego wglądu w treść wiadomości, np. przez kliknięcie na linku. Jeżeli nie jest się pewnym, czy wiadomość jest spamem - na podstawie nadawcy czy nagłówka - konieczne jest otwarcie kwarantanny przez przeglądarkę, zalogowanie się do kwarantanny i wyszukanie tej wiadomości.
Zapora ogniowa poczty ma elastyczny motor reguł, który może ograniczać tempo akceptowania wiadomości SMTP na podstawie adresów IP nadawców lub punktacji spamowej wiadomości odbieranych spod tych adresów w przeszłości. Motor reguł zawiera kilka różnych słowników, które pozwalają na ustawianie różnych reguł dla potencjalnie obraźliwego języka, ataków phishingu, a także słów lub fraz, które mogą wskazywać na wyciek wrażliwych danych. Słowniki mogą być dostosowywane. Można także przeszukiwać załączniki - wg typów plików lub nazw - i poddawać kwarantannie wiadomości lub przekazywać do kontroli zgodności z regułami.
Pomijając sprawę ceny i relatywnie trochę udziwnionego zarządzania, możliwość tak dokładnych ustawień sprawia, że Proofpoint Protection Server można uznać za solidny system ochrony poczty.