Внутренняя защита в среде Exchange
После первого звоночка 1999 года — нашествия вируса Melissa — администраторы стали осознавать необходимость защищать свои серверы Microsoft Exchange Server от угроз извне. Для администраторов Exchange это означало, что создание эффективной защиты от почтовых вирусов приобретает абсолютный приоритет, а следом идет задача просвещения пользователей: как вирусы инфицируют систему и как распознать в сообщении подозрительный контент. Сегодня большинство серверов хорошо защищено от вирусов, но только не от спама. Настало время пересмотреть защиту от сорной почты, поскольку разработчики Microsoft включили в состав Exchange Server 2003 несколько новых функций, которые могут использоваться независимыми поставщиками программного обеспечения — Independent Software Vendors (ISVs) — как средства борьбы со спамом.
Концепция defense in depth (защита изнутри) означает использование многократного подавления для блокировки максимального количества нежелательных сообщений, насколько это возможно с момента их проникновения на почтовые серверы до момента доставки в почтовый ящик пользователя. Защита изнутри также предполагает осознание пользователями того факта, что вероятность получения спама возрастает при подписке на различные группы новостей или участии в форумах по Internet, а также понимание методов, позволяющих спамерам добывать почтовые адреса, которые иным образом не могут быть получены. Конечно, как и антивирусная защита, реализация защиты изнутри — дорогое удовольствие. Некоторые компании выбирают для внедрения какой-то один метод вместо техники многослойного подавления спама. Если идти таким путем, подавление спама на уровне сервера — правильное решение, поскольку оно обеспечивает максимально возможную защиту клиентов (в том числе Microsoft Outlook Web Acces, OWA), не требуя обязательного обновления программного обеспечения рабочих станций. А теперь рассмотрим некоторые инструменты и техники, позволяющие реализовать защиту изнутри, а также новые функции Exchange 2003, разработанные Microsoft для противодействия спаму.
Защита периметра
Крупные компании, такие как HP, как правило, выстраивают настоящие бастионы серверов для наблюдения за входящим трафиком SMTP и принятия решения, пропускать ли поступившее сообщение для дальнейшей обработки. Естественно, для тех же целей можно воспользоваться Exchange 2003, особенно если он развернут на платформе Windows Server 2003 и использует специализированный антиспамовый пакет, а не просто встроенные функции почтового фильтра. Хотя сервер Exchange 2003 может быть установлен на Windows 2000, Windows 2003 — более надежная платформа, в первую очередь благодаря Microsoft Internet Information Services (IIS) 6.0 и в целом в связи с инициативой Microsoft под названием Trustworthy Computing.
Серверы защиты периметра принимают доменные подключения по SMTP (например, abc.com) и, во-первых, проверяют входящее сообщение на наличие вируса, а во-вторых, на основе списка провайдера Real-time Blackhole List (RBL), например Mail Abuse Prevention System (MAPS), Spamhaus или Open Relay Database (ORDB), устанавливают, не спам ли это. Списки Blackhole содержат записи об известных спамерах и серверах, работающих как открытые ретрансляторы, которые спамеры могут попытаться использовать в качестве источника очередной атаки. Следовательно, проверка входящих сообщений на принадлежность списку Blackhole — отличный способ отсечь значительную часть спама, учитывая, что списки Blackhole постоянно обновляются. Необходимо также протестировать входящий трафик на RBL, прежде чем внедрять данный фильтр на промышленных серверах. Одни RBL пропускают очень много спама, другие задерживают нужный трафик. Может понадобиться провести исследование комбинаций различных списков RBL, чтобы подыскать именно то их сочетание, которое отсекает максимальный объем спама, и в Exchange 2003 такая функция поддерживается.
Дополнительно серверы периметра могут проверить, правильно ли адресовано данное сообщение. Для этого сервер проверяет адрес по каталогу Exchange Server 5.5 Directory Store, Active Directory (AD) или другому Lightweight Directory Access Protocol (LDAP)-совместимому каталогу. Например, серверы периметра HP перерабатывают около 30 млн. сообщений в месяц, адресованных получателям hp.com, и 70% этого трафика уходит «в корзину», т. е. остается примерно 9 млн. сообщений, которые попадают на почтовые серверы для дальнейшей обработки. К сожалению, доля спама в оставшихся сообщениях возрастает — спам-генераторы постоянно совершенствуются в своем умении обойти защиту.
Если вы еще не готовы развернуть Windows 2003 и Exchange 2003, можно выбрать одно из коммерческих программных решений защиты периметра, например Clearswift CS MAILsweeper for SMTP (выполняет мониторинг шлюзов и точек сетевого подключения) и CS MAILsweeper for Exchange. Чтобы ликвидировать превосходство нападающей стороны, некоторые администраторы систем Microsoft предпочитают разворачивать серверы Linux и Unix как точки подключения к Internet, а затем адаптируют антиспамовые и антивирусные программные решения к своей конфигурации — необходимо обеспечить поддержку отправки сообщений или работу агентов Postfix Message Transfer Agents (MTA).
Средства защиты Exchange 2003
Когда разработчики Microsoft проектировали Exchange 2000, спам еще не вызывал такое сильное раздражение, как сегодня. Основное внимание на серверах Exchange уделялось защите от вирусов, поэтому специалисты Microsoft сосредоточились на создании Virus Scanning API (VSAPI) и убеждении основных поставщиков ISV поддерживать VSAPI в своих продуктах. Можно настроить фильтры на виртуальных серверах Exchange 2000 SMTP для запрета приема сообщений от определенных пользователей или целых доменов, однако этот подход недостаточно эффективен для противодействия современным спамерам. Уже в процессе создания Exchange 2003 разработчики Microsoft осознали необходимость обеспечить серверы средствами подавления спама. Так, в Exchange 2003 появилась фильтрация подключений, которая настраивается с помощью консоли Exchange System Manager (ESM) на узле Global Settings. Следует выделить объект Message Delivery, выбрать Connection Filtering для описания правил, используемых во всей организации в целом, а затем применить новые фильтры к виртуальным серверам SMTP на серверах Exchange, которые выступают в роли SMTP-хостов в Internet.
На экране 1 показано, как настраивать список фильтрации подключений (connection filtering). Чтобы узнать, удалось ли отловить максимально возможное количество нежелательных сообщений, достаточно настроить некоторое число фильтров и отобрать нужные списки RBL (или Block List Services). Кроме того, можно задать исключения, чтобы Exchange не отвергал сообщения от бизнес-партнеров или определенных корреспондентов как спам — даже если в таких сообщениях будут содержаться сигнатуры потенциального спама, например get rich quick («быстро разбогатеть»). В дополнение к фильтрации подключений, Exchange 2003 позволяет описать фильтры получателей и фильтры отправителей. Фильтры получателей применяются для блокировки входящих сообщений, адресованных указанным получателям. Можно также создать фильтр получателя, который бы сверял все входящие сообщения с данными AD и отвергал любые сообщения, которые не адресованы конкретному получателю. Спамеры обычно используют автоматически генерируемые адреса, стараясь послать сообщение каждому в домене, поэтому фильтры реципиентов позволяют Exchange избежать переполнения из-за огромного потока спама и необходимости его дальнейшей обработки.
Фильтры отправителей во многом похожи на фильтры реципиентов, за исключением того, что вы описываете список почтовых адресов, от которых никогда не хотите получать сообщения. Когда Exchange обнаруживает, что входящее сообщение прислано от одного из таких отправителей, данное подключение немедленно сбрасывается. Фильтры отправителей можно использовать для сброса подключений, сообщения от которых приходят с незаполненными полями отправителя — еще один способ распространения спама.
Транспортные приемники
Начиная с Exchange 2000 Microsoft заменила основанный на X.400 MTA с наращиваемым ядром на базе SMTP. С тех пор независимые производители программных продуктов начали создавать транспортные приемники (transport sink), которые включали код для проверки сообщений по мере их поступления для SMTP-обработки (и еще до того, как Exchange воспримет эти сообщения для обработки). Блокировка спама на уровне SMTP — эффективное использование ресурсов системы, поскольку Exchange не нужно транслировать почтовые адреса, раскрывать группы рассылки (distribution groups), определять оптимальный маршрут и выполнять дальнейшую обработку сообщения. Кроме того, немедленное сканирование и удаление спама предпочтительно и с точки зрения использования хранилища Store. После того как спам проникает в почтовые ящики пользователей, предполагаются дальнейшие затраты сервера на его хранение, обслуживание, транспортировку, резервирование — не говоря уже о раздражении самих пользователей. И наконец, подавление спама на сервере позволяет защитить многие типы клиентов без необходимости устанавливать специализированное антиспамовое программное обеспечение для Outlook, Outlook Express, а также различных Web-браузеров. Пользователи, работающие с беспроводными устройствами связи, также заинтересованы в том, чтобы спам не забивал впустую полосу пропускания этих устройств.
Относительно небольшое число ISV занимается исследованиями в области транспортных приемников для защиты от спама, в первую очередь потому, что классические вирусы остаются по-прежнему главной проблемой защиты серверов и, следовательно, определяют наиболее доходную часть рынка программных продуктов. Однако некоторые разработчики программного обеспечения уже оценили возможности событийных приемников для противодействия спаму. Примером продукта, в котором используется событийный приемник для подавления спама в Exchange 2000, может служить ORFilter (martijnjongen.com), бесплатная утилита, сверяющая входящий трафик SMTP-сообщений с «черным» списком серверов и отвергающая сообщения, пришедшие с известного, но нежелательного адреса.
Недавно я обратил внимание на рост интереса к транспортным приемникам для подавления спама со стороны двух поставщиков антивирусного программного обеспечения (они решили таким образом расширить функциональность и конкурентоспособность своих продуктов) и разработчиков специализированного программного обеспечения. Sybari Software SpamManager — пример компании, использующей транспортный приемник для подавления спама с целью расширения возможностей хорошо известного антивирусного продукта. Недавно Sybari выпустила Advanced Spam Defense — продукт, в котором выдвинута новаторская идея внедрения технологии Commtouch, использующей цифровые подписи и сетевые проверки (network probe) для обнаружения, фиксации и подавления спама.
SCL
Microsoft включила в состав Exchange 2000 интерфейс программирования VSAPI как платформу для антивирусного программного обеспечения, чтобы у разработчиков появился доступ к компонентам Exchange, таким, например, как Store. В Exchange 2003 версия VSAPI была обновлена, и главный результат этого обновления заключается в том, что независимые разработчики могут для защиты серверов от почтовых угроз использовать новые программные продукты для борьбы со спамом — и все благодаря своеобразному антиспамовому «крючку».
Spam Confidence Level (SCL) — это новое свойство Store, которое может быть обновлено антиспамовыми утилитами с помощью любых технических приемов или алгоритмов, заложенных в транспортных приемниках. Store SCL Processor — это новый компонент Store, который отслеживает значения SCL и затем на их основе предпринимает те или иные действия — так же, как при определенных настройках на почтовом клиенте, скажем, Junk E-mail Filter в Outlook 2003. Чем выше значение SCL, тем с большей вероятностью можно утверждать, что данное сообщение — спам. Чтобы установить значение SCL, антиспамовые утилиты задействуют различные алгоритмы для анализа данных в заголовке и теле сообщения.
Пороговые значения, используемые Exchange 2003 для SCL-обработки, содержатся в трех атрибутах, добавляемых сервером Exchange в AD, когда работает программа установки ForestPrep. Вот эти атрибуты:
Enabled Flag (ms-Exch-Uce-Enabled) Block Threshold (ms-Exch-Uce-Block-Threshold) Store Action Threshold (ms-Exch-Uce-Store -Action-Threshold)
Чтобы выяснить, будет ли выполняться в Exchange SCL-обработка, Enabled Flag устанавливается в 0 или 1. Атрибут Block Threshold определяет значение, которому соответствует действие, предпринимаемое антиспамовой утилитой для блокировки сообщения — будет ли данное сообщение удалено полностью или же попадет в карантин. Атрибут Store Action Threshold сообщает Exchange, как надлежит поступить с сообщениями, которые прошли проверку и предназначены для доставки. Если сообщение получило значение SCL выше порогового значения, Exchange отправляет его в каталог Junk E-mail; в противном случае сообщение направляется в Inbox. Независимые поставщики программного обеспечения продолжают работать над определением точных алгоритмов взаимодействия своих антиспамовых программ и перечисленных атрибутов, но хорошо уже то, что специалисты Microsoft заложили фундамент для борьбы со спамом.
Если это необходимо, можно установить множество антиспамовых утилит или программных продуктов, которые используют различные методы сканирования (подобно тому, как различные антивирусные программы применяют множество разных алгоритмов обнаружения вирусной активности) для получения гарантий, что отфильтровано максимально возможное число подозрительных сообщений. В любом случае желаемый результат борьбы со спамом — или полное уничтожение спама, или передача сообщений на дальнейшую обработку, с учетом оценочного алгоритма SCL для помощи в поиске спама на стороне клиента.
Например, Junk E-mail Filter в Outlook 2003 позволяет удалять подозрительные сообщения. Установка по умолчанию — размещение этих сообщений в каталоге Junk E-mail. Обычно алгоритм Junk E-mail Outlook помогает установить, стоит ли записывать сообщение в каталог Junk E-mail после того, как оно оказалось в почтовом ящике пользователя. Однако сервер Exchange 2003 содержит специально разработанное программное обеспечение, которое настраивает значения SCL, а в службе Store заложен механизм принятия решения и перемещения сообщения, для которого антиспамовая утилита установила высокое значение SCL — причем все это происходит до того, как сообщение достигло клиента. Такой сценарий развития событий предпочтителен, поскольку клиенту не нужно загружать само сообщение, тратить время на обработку спама, каналы связи не забиваются.
Если необходимо вместе с Exchange 2003 установить еще дополнительно и средства для подавления спама, я бы рекомендовал те из них, которые ориентированы на SCL-обработку. На сегодня такие продукты находятся на стадии бета-тестирования, но вскоре после начала официальных поставок Microsoft Exchange 2003 SCL-совместимое программное обеспечение должно появиться. Подробное описание SCL можно найти в секции Solutions в Exchange 2003 Software Development Kit (SDK) Solutions из пакета Microsoft Developer Network (MSDN).
Защита на коммерческой основе
Очевидно, что не все могут позволить себе развернуть Exchange 2003. К счастью, на рынке программного обеспечения существуют антиспамные программы, которые в состоянии защитить серверы Exchange 2003. В частности, Sunbelt Software предлагает iHateSpam Server Edition — программный пакет, который работает как на сервере Exchange 2003, так и на Exchange 2000. Для Exchange 5.5 доступна шлюзовая версия программы. Sunbelt Software дополнительно предлагает и клиентскую редакцию iHateSpam, которая защищает Outlook 2002 и Outlook 2000.
Серверная редакция программы проводит мониторинг трафика SMTP и сверяет его с заранее настроенными «черным» и «белым» списками, к тому же накладываются дополнительные ограничительные политики по усмотрению пользователя. Установка и настройка iHateSpam проводится легко и не требует ни вмешательства пользователя, ни каких-либо обновлений существующей схемы AD. Разработчики продукта особенно гордятся возможностями составления отчетов о проделанной работе, чтобы администратор мог получать исчерпывающую информацию о том, каков текущий объем спама и кто из пользователей получает больше всего спам-сообщений. Однако для составления отчетов необходимо иметь доступ к базе данных Microsoft SQL Server 2000. Кроме того, программа вставляет значение спам-рейтинга в заголовок сообщения, чтобы пользователь мог быстро оценить характер полученного письма. Чтобы увидеть заголовки SMTP-сообщения в Outlook, нужно открыть сообщение и щелкнуть View, Options. Outlook показывает заголовок сообщения в поле Internet Headers. Компания Sunbelt планирует выпустить новую версию программы, которая позволила бы работать с ядром Microsoft Data Engine (MSDE) вместо SQL Server. Это снизит сложность продукта и поможет небольшим сайтам избежать затрат на покупку лицензий SQL Server.
Вот еще примеры серверных решений борьбы со спамом: CS MAILsweeper for Exchange, Brightmail Anti-Spam Enterprise Edition, GFI MailEssentials for Exchange/SMTP, McAfee Spamkiller. Более полную информацию о подобном программном обеспечении можно найти на странице Content Control Tools корпорации Slipstick Systems по адресу http://www.slipstick.com/addins/content_control.htm. Поскольку интерес к защите от спама не ослабевает, в ближайшее время ожидается рост числа разработок в этом секторе программного обеспечения. Все упомянутые выше продукты поддерживают Exchange 2003, хотя некоторые из них требуют обновления для поддержки новой функции SCL. Как и в большинстве других случаев, я рекомендую скачать демоверсии программ с соответствующих Web-сайтов и поработать с ними на тестовых серверах, чтобы подобрать наиболее подходящий продукт. Затраты на установку программ от продукта к продукту различаются и зависят от необходимого уровня поддержки. Кроме того, нужно учесть затраты на подписку RBL у провайдера и определить, будет ли эта услуга использоваться как источник фиксированной информации о спамерах.
Antigen 7.5 — барьер для спама
В Antigen 7.5 компания Sybari интегрировала антиспамовую обработку через транспортный приемник. Antigen имеет репутацию хорошего антивирусного продукта для Exchange. Обновленная версия программы, поддерживающая новую функцию Exchange 2003 SCL, будет доступна к концу 2003 года.
Как и в большинстве других программ для борьбы со спамом, в среде Sybari Spam Manager можно установить набор различных параметров для подавления или идентификации спама по мере поступления сообщений на виртуальный сервер Exchange SMTP. Эти настройки представляют собой фильтры адресов (позволяют создавать «черные» списки — blackhole), фильтры контента (позволяют определить тип контента, который Antigen пропустит для дальнейшей обработки в Exchange), файловые фильтры (устанавливают типы разрешенных для обработки файлов) и фильтры ключевых слов (позволяют создавать списки слов, которые Antigen просматривает в новых сообщениях для выявления спама). Программа Antigen снабжена заранее заполненными списками ключевых слов (см. экран 2), которые охватывают богохульство, расовую и сексуальную дискриминацию, а также часто встречающиеся в спам-сообщениях слова, скажем виагра. Можно добавить и собственные слова, но и того, что есть, хватает для значительного уменьшения потока спама.
После того как список ключевых слов установлен, нужно решить, как Antigen должен подавлять спам. Можно сделать так, чтобы спам удалялся немедленно — это достаточно эффективно, но есть риск по ошибке пропустить что-то действительно важное. Лучше всего на первых порах установить режим detect only, чтобы программа просто информировала вас о новых поступлениях, а вы уже самостоятельно будете проверять эффективность настройки фильтров. После того как будет установлено, что фильтры точно обнаруживают настоящий спам, а все остальные сообщения игнорируют, можно задать действительную блокировку (т. е. удаление) спама или перенос сообщений в каталог для карантина. На экране 3 показано, что именно программа Antigen сообщает администраторам об обнаружении спам-сообщений. Программу можно настроить таким образом, чтобы администраторам рассылались уведомления о появлении спама.
Учитывая объем спама, который может поступать на серверы, технику уведомлений следует использовать с большой осторожностью. Сообщения о спаме могут попросту забить почтовый ящик, особенно если сервер является первым в линии обороны. Если, по мнению администратора, нужно разрешить спаму проходить в почтовую систему, Antigen может быть настроен так, что спам будет помечаться префиксом SUSPECT в поле Subject (см. экран 4), перед тем как Exchange отправит сообщение дальше по маршруту.
Защита клиента
Подавление спама после того, как он достиг клиента, — последняя отчаянная попытка справиться с ним. Вы уже потратились на транспортировку, доставку и хранение спама на маршруте сервер-клиент, и вот пользователь получает сообщение и видит, что это спам, если только он не просматривает сообщения, которые переносятся в каталог с подозрительными поступлениями. Конечно, Outlook можно настроить так, чтобы он удалял любой обнаруженный спам, но, как отмечалось выше, есть риск, что важное сообщение будет по ошибке принято за спам. Наверное, сначала все же стоит убедиться, что защита junk-mail (см. экран 5) соответствует поставленной цели.
Оба клиента — и Outlook 2003, и OWA 2003 — обладают фильтрующими функциями junk-mail на стороне клиента. Outlook 2003 поддерживает связь с серверами Exchange 2003, Exchange 2000 и Exchange 5.5, тогда как OWA 2003 — только с Exchange 2003. Outlook 2003 Junk E-mail работает только в том случае, если Exchange находится в режиме кэширования. Outlook должен загрузить полный контент сообщения, прежде чем фильтры начнут свою работу. Попытка такой загрузки в классической схеме клиент-сервер была бы чрезмерно дорогим удовольствием с точки зрения загрузки сети, — вообще говоря, загружать гигантские объемы вложений для проверки содержимого контента не нужно. Пытаясь предотвратить получение спама, и Outlook 2003, и OWA 2003 автоматически не загружают изображения сообщений в формате HTML до тех пор, пока пользователь в явном виде не задаст команду просмотра изображений или не установит новые настройки для их загрузки.
Многие спамеры включают в свои сообщения крохотные образы (размером 1х1 пиксел) с тем, чтобы заставить пользователей установить соединение со своим сайтом для загрузки «образа». Поскольку такой файл — его называют Web beacon — очень мал, при его загрузке мы не замечаем никаких задержек, а поскольку спамер, как правило, скрывает такой файл, в сообщении его не увидишь. Этот технический прием очень эффективно используется спамерами, чтобы установить, дошли ли их послания до адресата. В идеале спамер хотел бы знать, какие адреса в списке рассылки действительно существуют и являются активными, чтобы потом сообщить полученные сведения другим спамерам или включить их в свои списки рассылки на будущее. Для этого спамеры могут включать в URL особые инструкции для передачи сведений о получателе на свои серверы.
На экране 6 представлена копия описанного Web beacon. Я получил сообщение, которое Outlook определил как спам и переместил в каталог Junk E-mail. Чтобы посмотреть на исходный HTML-код и установить, нет ли там Web beacon, я открыл контекстное меню контента сообщения и выбрал View Source. Как показано на экране 6, в коде действительно имеется ссылка на файлы на удаленном сервере (обведена ссылка на крохотный скрытый файл).
Если есть какие-либо сомнения, связанные с переходом на Outlook 2003, всегда можно добавить антиспамную поддержку клиента, установив, например, Cloudmark SpamNet, iHateSpam, MailFrontier Matador или Mailshell SpamCatcher. Все названные продукты поддерживают Outlook 2002 и Outlook 2000, некоторые — Outlook Express, но так или иначе это означает привлечение средств для закупки, установки и поддержки соответствующего программного обеспечения. Стоимость программ невелика (от 20 до 30 долл. на рабочее место, действуют корпоративные скидки), но, если предстоит защитить от спама тысячи рабочих мест, затраты, конечно же, будут совсем иные. С этой точки зрения переход на Outlook 2003 выглядит более заманчивым, особенно если принять во внимание остальные функции Outlook 2003, такие как режим кэширования в Exchange.
Новые угрозы
Хотя значительный прогресс в деле защиты почтовых серверов от вирусов и спама налицо, успокаиваться рано. Авторы вирусов и генераторов спама ищут новые методы взлома почтовых служб. Например, до сих пор ничего не было сказано об атаках на сети Instant Messaging (IM). Наша задача — внимательно следить за новыми разработками и установкой защитного программного обеспечения на серверы, и задача эта в ближайшем будущем едва ли перестанет быть актуальной.
Тони Редмонд — редактор Windows 2000 Magazine, вице-президент Compaq Global Servises. С ним можно связаться по адресу: exchguru@win2000mag.com