Outbreak Protection (OP) – это революционная технология для борьбы со спамом, вирусами и фишингом в реальном масштабе времени, способная автоматически защищать почтовую инфраструктуру MDaemon в упреждающем режиме уже через несколько минут после начала эпидемии. Технология Outbreak Protection входит в состав пакета SecurityPlus for MDaemon 3.0 или более поздней версии и требует наличия MDaemon PRO версии 9.5 или новее; доступ к этой технологии можно получить из меню Безопасность (Безопасность » Outbreak protection..., либо нажав Ctrl+Shift+1).
Технология Outbreak Protection является полностью агностической по отношению к содержанию, что означает, что в этой технологии не используется строгий лексический анализ содержимого сообщений. Следовательно, оказываются ненужными эвристические правила, фильтрация содержания и обновления вирусных сигнатур. Более того, это значит, что данную технологию не обмануть добавлением затравочного текста (seed text), хитроумных изменений в написании слов, приемов социального инжиниринга, языковых барьеров или различий в кодировке. Вместо всего этого, технология OP полагается на математический анализ структуры сообщений и характеристик распространения сообщений по SMTP – она анализирует «паттерны» (“patterns” – шаблоны, образцы), связанные с передачей электронной почты, а затем сравнивает их с такими же «паттернами», собранными из миллионов электронных писем по всему миру, которые анализируются и сравниваются в реальном масштабе времени.
Поскольку анализ писем ведется по всему миру в режиме реального времени, защита включается всего за несколько минут — а иногда и секунд — после зарождения новой эпидемии. Для вирусов такой уровень защиты является критическим, поскольку зачастую проходит несколько часов после зарождения эпидемии, пока поставщик традиционных антивирусов сможет проверить и опубликовать обновление вирусных сигнатур, а может пройти и еще больше времени, пока это обновление начнет реально использоваться в системах заказчиков. В рамках этого интервала серверы, не защищенные технологией Outbreak Protection, оказываются уязвимыми перед данной конкретной эпидемией. Точно так же дела обстоят и со спамом – часто анализ спама и создание корректных правил фильтрации отнимают довольно много времени и сил, пока этот спам можно будет распознавать с помощью традиционных эвристических систем и систем анализа содержания.
Здесь важно отметить, что функция Outbreak Protection в модуле SecurityPlus не является заменой традиционных технологий, предназначенных для борьбы с вирусами, спамом и фишингом. Фактически, технология OP обеспечивает еще один специализированный эшелон обороны над всеми существующими эвристическими, сигнатурными и контент-аналитическими инструментами, которые реализованы в системах SecurityPlus и MDaemon. Если говорить более точно, технология OP призвана ускорить блокирование крупномасштабных эпидемий, а не бороться со старыми, уникальными или особым образом нацеленными рассылками, которые гораздо удобнее блокировать с помощью традиционных средств.
|
Модуль основан Outbreak Protection на технологиях RPD и Zero-Hour компании CommTouch. Работа модуля заключается в извлечении «паттернов» из вашей входящей почты и сравнении их с паттернами, извлеченными из миллионов писем, заносимых в базы каждый день по всему миру. Реальное содержимое писем при этом никогда не передается, а по извлеченным паттернам в принципе невозможно восстановить содержание письма. |
Дополнительные сведения о SecurityPlus и технологии Outbreak Protection можно найти далее в это разделе, а также на сайте: www.altn.com.
Outbreak Protection
Включить Outbreak Protection
Включите эту опцию, чтобы разрешить использование технологии Outbreak Protection на своем сервере. Входящие письма будут проанализированы, чтобы понять, не являются ли они частью развивающейся эпидемии вирусов, спама или фишинга. Остальные опции в этом диалоге используются для того, чтобы определить, чтоб делать с сообщениями, которые идентифицированы, как часть эпидемии, и назначить отправителей, которые будут исключены из сферы контроля OP.
Вирусы следует...
блокировать в реальном времени
Включите эту опцию, если хотите блокировать сообщения во время обработки SMTP-сеанса, если OP определил, что эти сообщения являются частью вирусной эпидемии. Такие сообщения не будут помещены в карантин или доставлены своим адресатам — сервер просто отклонит их.
помещать в карантин
Включите эту опцию, если хотите все же принимать сообщения, которые OP идентифицировал, как часть вирусной эпидемии. Хотя такие сообщения не будут отклонены сервером, все равно они будут изолированы в карантине, а не доставлены прямым адресатам. Изолированные сообщения помещаются специальную карантинную папку SecurityPlus.
Спам следует...
блокировать в реальном времени
Включите эту опцию, если хотите блокировать сообщения во время обработки SMTP-сеанса, если OP установил, что эти сообщения являются частью эпидемии спама или фишинга. Такие сообщения не будут помечены как спам и доставлены своим адресатам — сервер просто отклонит их. Сообщения, которые модуль классифицировал, как «массовые рассылки» (“bulk”), не будут блокированы этой опцией, пока вы не включите ниже опцию При блокировании спама также блокировать почту, классифицированную, как массовые рассылки. Сообщения, которые модуль OP классифицировал, как «массовые рассылки» (“bulk”), могут на самом деле принадлежать некоторым очень крупным спискам рассылки, либо к иному широко распространяемому контенту, так что вы можете рассматривать такие типы сообщений их в качестве спама, а можете не делать этого. Именно по этой причине сообщения такого типа обычно не следует блокировать в модуле OP или повышать их спам-рейтинг.
принимать для фильтрации
Включите эту опцию, если хотите принять сообщения, которые OP подозревает или идентифицирует, как эпидемию спама, тогда эти письма будут далее обработаны спам-фильтром и фильтром содержания. Такие сообщения не будут блокироваться модулем OP, но их спам-рейтинг будет скорректирован согласно значению опции Рейтинг.
|
При использовании опции принимать для фильтрации модуль OP не будет напрямую блокировать сообщение, четко идентифицированное, как спам, но в дальнейшем это письмо MDaemon может заблокировать в ходе обработки SMTP-сессии, если вы включили в фильтре спама опцию SMTP отклоняет сообщения с очками больше или равными [xx], размещенную на вкладке Фильтр спама. Например, если опция поправки внизу вызвала повышение спам-рейтинга сообщения до 15.0, то такое сообщение будет отклонено, как спам, если вы кроме этого настроили параметр фильтра спама SMTP отклоняет...на отклонение писем со спам-рейтингом от 15.0 и более. |
Рейтинг
Если вы включили выше опцию принимать для фильтрации, тогда указанное в этом поле значение будет прибавляться к спам-рейтингу сообщения в фильтре спама, если OP заподозрит, что данное сообщение является частью эпидемии спама
IWF-содержание
Описанные далее настройки применяются к содержанию, которое фонд IWF (Internet Watch Foundation) определил, как относящееся к издевательствам над детьми (т.е. сайты с детской порнографией). Это дает модулю OP возможность использовать встроенный список адресов URL, предоставленный фондом IWF, для идентификации и маркировки сообщений со ссылками на такого рода содержание. Фонд IWF работает, как независимая «горячая линия» в Интернете, собирая и распространяя информацию о потенциально незаконном содержании, в том числе о содержании с издевательствами над детьми, в какой бы точке мира оно не размещалось. Этот фонд сотрудничает с полицией, органами власти, с Интернет-индустрией в целом, а также с общественными организациями, ведя борьбу с доступностью противозаконного содержания. Поддерживаемый фондом список сайтов ежедневно пополняется новыми сайтами, размещающими изображения с насилием над детьми.
Многие организации вводят внутренние положения режима, регулирующие отправку и получение сотрудниками различного содержания по электронной почте, особенно в отношении непристойных и противозаконных материалов. Вдобавок к этому, многие страны вообще поставили вне закона пересылку такого содержания. Данная функция поможет вам гарантировать соблюдение законодательных требований.
Доп. информацию о фонде IWF см. по адресу:
IFW-контент следует...
блокировать в реальном времени
Включите эту опцию, чтобы блокировать входящие сообщения в ходе обработки SMTP-сессии, если в этих сообщениях присутствуют ссылки на сообщенные фондом IWF ресурсы.
принимать для фильтрации
Включите эту опцию, чтобы повышать спам-рейтинг входящих сообщений, а не отклонять их, если в этих сообщениях присутствуют ссылки на сообщенные фондом IWF ресурсы. Спам-рейтинг будет увеличен на значение, указанное в поле Рейтинг ниже.
Рейтинг
Если вы включили выше опцию принимать для фильтрации , тогда указанное в этом поле значение будет прибавляться к спам-рейтингу сообщения в Фильтре спама, если в сообщении будут обнаружены ссылки на сообщенные фондом IWF ресурсы.
При блокировании спама также блокировать почту, классифицированную, как массовые рассылки
Иногде OP определяет некоторые письма, как возможный спам, хотя они не были присланы от известного спамера или бот-сети, как иногда бывает при организации массовых рассылок рекламы и других сообщений. OP классифицирует сообщения такого типа, как "Spam (bulk)" или «массовые рассылки», а не как "Spam (confirmed) – подтвержденный спам". Включите эту опцию, если хотите использовать средства блокировки спама в модуле OP еще и к письмам, помеченным, как "Spam (bulk)" (массовые рассылки). Когда эта опция отключена, средства модуля OP для блокировки спама действуют только в отношении почты с пометкой Spam (confirmed)" (подтвержденный спам). Если вы принимаете такого рода спам на дальнейшую обработку, что может быть необходимо для узлов, которые хотят получать массовые рассылки, но по какой-либо причине не могут, то в этом случае следует создать белый список источников или получателей.
Фиксировать ход обработки в журнале работы модулей MDaemon
Включите эту опцию, если хотите фиксировать все операции OP в файле журнала работы подключаемых модулей MDaemon.
Исключения
Авторизованные SMTP-сессии исключаются из обработки OP
Если эта опция включена, OP не будет обрабатывать авторизованные SMTP-сессии. Это значит, что сообщения, отправленные в ходе такой сессии, не будут подвергаться проверкам со стороны модуля Outbreak Protection.
SMTP-сессии с разрешенных IP исключаются из обработки OP
Включите эту опцию, если хотите исключить доверенные IP-адреса из проверки модулем Outbreak Protection — сообщения, поступающие от сервера с разрешенным IP-адресом, не будут проходить проверку модулем OP.
Почта, прошедшая проверку SPF/Sender-ID/DK/DKIM, исключается из обработки OP
Включите эту опцию, чтобы исключать сообщения из обработки в модуле OP, если эти сообщения пришли с доменов из доверенного списка успешно прошли проверку по SPF, ID отправителя, DK или DKIM
Адреса белых списков спам-ловушки и спам-фильтра исключаются из обработки OP
Включите эту опцию, если хотите использовать заданные в фильтре спама "белый список (без фильтрации)" и "белый список (по отправителю)" как дополнительные белые списки для модуля Outbreak Protection. «Белый список (без фильтрации)» действует для адресов получателя, то есть для значения параметра RCPT, выдаваемого в ходе SMTP-сессии. «Белый список (по отправителю)» действует для адресов отправителя, то есть для значения параметра MAIL, выдаваемого в ходе SMTP-сессии. Эти операции не работают со значениями в заголовках писем.
Ложные срабатывания и ложные пропуски
Ложные срабатывания (False positive), то есть неверная идентификация совершенно легального сообщения, как части эпидемии, должны происходить редко, а лучше никогда. Тем не менее, если ложное срабатывание все же произошло, вы можете отправить такое сообщение нам по адресу spamfp@altn.com для случаев ложного срабатывания на спам/фишинг, либо по адресу virusfp@altn.com для случаев ложного срабатывания на вирусы, чтобы мы могли использовать ваши случаи для анализа и совершенствования технологий обнаружения и идентификации угроз.
Случаи ложных несрабатываний (False negative), или классификации сообщения, как не имеющего отношения к эпидемии, хотя оно является спамом или частью атаки, происходят намного чаще, чем ложные срабатывания. В то же время, нетрудно заметить, что модуль OP не предназначен для отлавливания всего спама, всех вирусных атак и схожих угроз — это просто еще один уровень защиты, рассчитанный специально на борьбу с эпидемиями. Старые сообщения, целевые сообщения и их аналоги, непричастные к развивающимся в текущий момент эпидемиям, вполне могут пройти проверку модуля OP. Такие типы сообщений должны быть перехвачены другими средствами системы SecurityPlus и пакета MDaemon в ходе дальнейшего процесса обработки. Тем не менее, если ложное срабатывание все же произошло, вы можете отправить такое сообщение нам по адресу spamfp@altn.com для случаев ложного срабатывания на спам/фишинг, либо по адресу virusfp@altn.com для случаев ложного срабатывания на вирусы, чтобы мы могли использовать ваши случаи для анализа и совершенствования технологий обнаружения и идентификации угроз.
Отправляя нам неправильно классифицированные сообщения, отправляйте исходные сообщения в виде MIME-вложения к электронному письму, но не путем пересылки (forward). В ином случае, заголовки и другие критически важные для классификации сведения будут утрачены.