Если верить базе данных MITRE, многие APT-группировки начинают свои атаки с фишинговых рассылок на корпоративную почту. Но даже если таргетированные атаки — это не про твою контору, в ящики все равно непрерывно сыпется спам, фишинговые письма и прочая зараза. Чтобы защитить пользователей, существуют шлюзы безопасности, или Email Security Gateway. Но пользу они приносят, только если их грамотно настроить. Об этом и поговорим.

Вот список полезных качеств и возможностей, которыми должен обладать современный почтовый шлюз корпоративного уровня:

  • встроенные политики безопасности;
  • антивирусные модули;
  • «песочница»;
  • репутационные фильтры;
  • черные списки;
  • настройка SPF, DKIM и DMARC;
  • блокировка исходящего спама;
  • карантин;
  • поддержка SNMP;
  • интеграция с другими средствами защиты;
  • управление через интерфейс командной строки либо веб-консоль;
  • возможность создания собственных контент-фильтров.

Мы подробно поговорим именно о последнем. С помощью пользовательских контент-фильтров можно создавать правила для блокировки сообщений по различным признакам. Сервер будет искать их в служебных заголовках, теме или теле письма. Такие фильтры пригодятся для борьбы с однотипными атаками или в качестве временной меры.

WARNING

Помни о существовании статьи 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». Чтобы соблюсти закон, следует задокументировать контроль и мониторинг почтового трафика в частных политиках по информационной безопасности компании. И ознакомить с этими политиками работников под расписку.

 

Советы по настройке фильтров

Прежде чем активировать контент-фильтр на блокировку, необходимо убедиться, что он работает, и построить белый список таким образом, чтобы было как можно меньше ложных срабатываний.

Я рекомендую тестировать каждый пользовательский фильтр в течение трех месяцев, отправляя копию писем на ручной анализ. Когда этот срок закончится, лучше перенаправлять сообщения в карантин, чтобы у тебя была возможность вытащить их оттуда, если ложное срабатывание все же случится — или того потребует расследование инцидента.

Кстати, хорошая практика — разрешить каждому пользователю смотреть свои письма, попавшие в карантин. Для этого нужно будет проинструктировать сотрудников о работе с ним.

Каждый контентный фильтр имеет свой порядковый номер, который можно менять. В начало списка рекомендую ставить контент-фильтр с белыми списками, затем с черным. Для удобства я под каждый фильтр создаю белый список, что позволяет оперативно добавлять в него «белые» ящики и удалять список, когда в правиле, под которое оно создавалось, уже нет необходимости.

Список в итоге выглядит примерно так:

  • Whitelist_Case_1
  • Whitelist_Case_2
  • Whitelist_Case_3
  • Blacklist
  • Content_Filter_Case_1
  • Content_Filter_Case_2
  • Content_Filter_Case_3

Можно после каждого белого списка расположить соответствующий ему контент-фильтр, например, после Whitelist_Case_1 поставить Content_Filter_Case_1, но тогда у тебя в белых списках будут дублироваться десятки, а то и сотни почтовых адресов, что может сказаться на производительности. Да и в белый список нужно добавлять только тех отправителей, с которыми регулярно ведется переписка.

Я разберу несколько примеров из практики, которые позволят продемонстрировать потенциал почтового шлюза.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Подписаться
Уведомить о
4 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии