Содержание статьи
Вот список полезных качеств и возможностей, которыми должен обладать современный почтовый шлюз корпоративного уровня:
- встроенные политики безопасности;
- антивирусные модули;
- «песочница»;
- репутационные фильтры;
- черные списки;
- настройка SPF, DKIM и DMARC;
- блокировка исходящего спама;
- карантин;
- поддержка SNMP;
- интеграция с другими средствами защиты;
- управление через интерфейс командной строки либо веб-консоль;
- возможность создания собственных контент-фильтров.
Мы подробно поговорим именно о последнем. С помощью пользовательских контент-фильтров можно создавать правила для блокировки сообщений по различным признакам. Сервер будет искать их в служебных заголовках, теме или теле письма. Такие фильтры пригодятся для борьбы с однотипными атаками или в качестве временной меры.
WARNING
Помни о существовании статьи 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». Чтобы соблюсти закон, следует задокументировать контроль и мониторинг почтового трафика в частных политиках по информационной безопасности компании. И ознакомить с этими политиками работников под расписку.
Советы по настройке фильтров
Прежде чем активировать контент-фильтр на блокировку, необходимо убедиться, что он работает, и построить белый список таким образом, чтобы было как можно меньше ложных срабатываний.
Я рекомендую тестировать каждый пользовательский фильтр в течение трех месяцев, отправляя копию писем на ручной анализ. Когда этот срок закончится, лучше перенаправлять сообщения в карантин, чтобы у тебя была возможность вытащить их оттуда, если ложное срабатывание все же случится — или того потребует расследование инцидента.
Кстати, хорошая практика — разрешить каждому пользователю смотреть свои письма, попавшие в карантин. Для этого нужно будет проинструктировать сотрудников о работе с ним.
Каждый контентный фильтр имеет свой порядковый номер, который можно менять. В начало списка рекомендую ставить контент-фильтр с белыми списками, затем с черным. Для удобства я под каждый фильтр создаю белый список, что позволяет оперативно добавлять в него «белые» ящики и удалять список, когда в правиле, под которое оно создавалось, уже нет необходимости.
Список в итоге выглядит примерно так:
- Whitelist_Case_1
- Whitelist_Case_2
- Whitelist_Case_3
- Blacklist
- Content_Filter_Case_1
- Content_Filter_Case_2
- Content_Filter_Case_3
Можно после каждого белого списка расположить соответствующий ему контент-фильтр, например, после Whitelist_Case_1 поставить Content_Filter_Case_1, но тогда у тебя в белых списках будут дублироваться десятки, а то и сотни почтовых адресов, что может сказаться на производительности. Да и в белый список нужно добавлять только тех отправителей, с которыми регулярно ведется переписка.
Я разберу несколько примеров из практики, которые позволят продемонстрировать потенциал почтового шлюза.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
