Если верить базе данных MITRE, многие APT-группировки начинают свои атаки с фишинговых рассылок на корпоративную почту. Но даже если таргетированные атаки — это не про твою контору, в ящики все равно непрерывно сыпется спам, фишинговые письма и прочая зараза. Чтобы защитить пользователей, существуют шлюзы безопасности, или Email Security Gateway. Но пользу они приносят, только если их грамотно настроить. Об этом и поговорим.

Вот список полезных качеств и возможностей, которыми должен обладать современный почтовый шлюз корпоративного уровня:

  • встроенные политики безопасности;
  • антивирусные модули;
  • «песочница»;
  • репутационные фильтры;
  • черные списки;
  • настройка SPF, DKIM и DMARC;
  • блокировка исходящего спама;
  • карантин;
  • поддержка SNMP;
  • интеграция с другими средствами защиты;
  • управление через интерфейс командной строки либо веб-консоль;
  • возможность создания собственных контент-фильтров.

Мы подробно поговорим именно о последнем. С помощью пользовательских контент-фильтров можно создавать правила для блокировки сообщений по различным признакам. Сервер будет искать их в служебных заголовках, теме или теле письма. Такие фильтры пригодятся для борьбы с однотипными атаками или в качестве временной меры.

WARNING

Помни о существовании статьи 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». Чтобы соблюсти закон, следует задокументировать контроль и мониторинг почтового трафика в частных политиках по информационной безопасности компании. И ознакомить с этими политиками работников под расписку.

 

Советы по настройке фильтров

Прежде чем активировать контент-фильтр на блокировку, необходимо убедиться, что он работает, и построить белый список таким образом, чтобы было как можно меньше ложных срабатываний.

Я рекомендую тестировать каждый пользовательский фильтр в течение трех месяцев, отправляя копию писем на ручной анализ. Когда этот срок закончится, лучше перенаправлять сообщения в карантин, чтобы у тебя была возможность вытащить их оттуда, если ложное срабатывание все же случится — или того потребует расследование инцидента.

Кстати, хорошая практика — разрешить каждому пользователю смотреть свои письма, попавшие в карантин. Для этого нужно будет проинструктировать сотрудников о работе с ним.

Каждый контентный фильтр имеет свой порядковый номер, который можно менять. В начало списка рекомендую ставить контент-фильтр с белыми списками, затем с черным. Для удобства я под каждый фильтр создаю белый список, что позволяет оперативно добавлять в него «белые» ящики и удалять список, когда в правиле, под которое оно создавалось, уже нет необходимости.

Список в итоге выглядит примерно так:

  • Whitelist_Case_1
  • Whitelist_Case_2
  • Whitelist_Case_3
  • Blacklist
  • Content_Filter_Case_1
  • Content_Filter_Case_2
  • Content_Filter_Case_3

Можно после каждого белого списка расположить соответствующий ему контент-фильтр, например, после Whitelist_Case_1 поставить Content_Filter_Case_1, но тогда у тебя в белых списках будут дублироваться десятки, а то и сотни почтовых адресов, что может сказаться на производительности. Да и в белый список нужно добавлять только тех отправителей, с которыми регулярно ведется переписка.

Я разберу несколько примеров из практики, которые позволят продемонстрировать потенциал почтового шлюза.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Check Also

Непростой протокол. Автоматизируем настройку адресов в IPv6

IPv6 печально знаменит своей сложностью, во многом — оправданно. Взамен наследия IPv4 появ…

4 комментария

  1. Аватар

    ikar

    23.09.2019 at 10:19

    Насколько я помню в последних нововведениях хакера статьи «Для начинающих» предполагалось публиковать полностью.
    Разве не так?

    Что творится с хакером?

    • Андрей Письменный

      Андрей Письменный

      27.09.2019 at 18:12

      Не планировалось. Есть цикл «Справочник анонима» по защите личных данных, он публикуется бесплатно. Остальные материалы помечены «для начинающих» или наоборот «хардкор» только чтобы помочь соизмерять силы и ожидания.

  2. Аватар

    alexzh16

    24.09.2019 at 13:34

    Статья в принципе не чем. Теория без конкретики. Смысл не понимаю таких статей. Далее еще у всех таких статей однобокий подход, все смотрят как защитить от входящей почты, вы ни где не найдете статей толковых про то — чтобы защищать в обе стороны. Как будто только принимают почту фирмы и все. Тот же шифровальщик рассылает потом с жертв компа почту в свет и внутри компании — и что, ни кому в голову не пришло что такими фильтрами можно быстро обнаружить в сети проблемы и решить их оперативно ? потому и пользуются сообщества бездарностью айтишников, которые только смотрят на атаки из вне, а свой халэмус внутри — и так сойдет.

    • Аватар

      Сергей Сторчак

      24.09.2019 at 20:27

      Чтобы никого не рекламировать, писал статью без привязки к конкретному вендору. В статье описаны конкретные примеры из практики. Читатель должен быть хорошо знаком с настройками почтового шлюза безопасности, который он адимнит. Иначе статья, действительно, выглядит бессмысленно. Никто не мешает настраивать контент-фильтры в обе стороны. Обычно из «коробки» уже идет включенная защита от спама, который распространяется из корпоративной сети наружу, поэтому нет смысла об этом писать.
      Кроме того, если от вас валит спам наружу, тут, скорее, проблема с управлениями уязвмостями нежели с настройками почтового шлюза.

Оставить мнение