Спам-фильтр «Барьер» — пример интеграции Kaspersky Anti-Spam

В материале освещается решение Поликом Про — петербургского системного интегратора, представляющее собой специализированный Relay-сервер с предустановленным Kaspersky Anti-Spam и технологией его интеграции в корпоративную почтовую систему. Спецификации сервера получены в результате тестирования программного продукта на реальном почтовом потоке среднего предприятия. Приводятся результаты тестирования.
Сергей Курьянов, руководитель Центра Компьютерной Безопасности Поликом Про.

Проблема спама для корпораций

Поликом Про — петербургский системный интегратор. Работает на рынке информационных технологий с 1992 года. Microsoft Certified Partner, IBM Premier Partner Software Programme, Kaspersky Distributor & Value Added Reseller. Интеграцией и поддержкой почтовых систем мы занимаемся с момента появления Lotus cc:Mail и первых версий Microsoft Exchange. Примерно с тех же пор занимаемся и информационной безопасностью. Спам, как известно, появился практически одновременно с Интернет, но несколько лет назад еще не являлся серьезной проблемой для корпоративных клиентов, скорее портил нервы домашним пользователям.

Однако года три назад ситуация изменилась. Количество перешло в качество. Спам теперь реальная проблема для пользователей, системных администраторов, ИТ-менеджеров и руководителей предприятий. Как видно, это глобальная проблема корпораций — она затрагивает почти всех работников на всех этажах иерархической структуры. В чем, на наш взгляд заключается эта проблема:

Вы — пользователь:
На работе вы отвечаете за работу в первую очередь. От этого зависит вся ваша карьера. Удаляя утром гору пришедшего за ночь спама вы не можете дать гарантии что вы не удалили случайно рабочего письма от нового клиента с непонятной темой и почтовым ящиком на бесплатном сайте, не можете также дать гарантию что не пропустили очередного любимого письма о способах заработать миллион долларов за пару дней. Т.е. спам — проблема для ваших интересов как работника и как человека.

Вы — системный администратор:
Помимо технических проблем спам просто разрушает ваш имидж профессионала. Все категории пользователей, включая высших руководителей, считают вас бездельником или в лучшем случае неумехой, который не может «настроить почту таким образом, чтобы избавить нас всех от спама». Пару недель назад вы перенастроили фильтр в очередной раз, а позавчера пробегая по диагонали папку «удаленные» с ужасом увидели там письмо в отдел продаж с темой «Срочно пришлите коммерческое предложение». Как вообще можно фильтровать письмо, отправленное Интернет-почтой и содержащее текстовый баннер со спамом Центра Американского Английского? Письмо-то ведь отправлено реальным клиентом. Надо быть дураком чтобы теперь в этом сознаться, лучше снять фильтры — пусть юзеры сами решают — спам это или нет.

Вы — ИТ-менеджер
Численно персонал не растет, а размеры дисков почтового сервера приходится увеличивать все чаще и чаще. Скоро почта станет самой большой корпоративной базой из всех. Обидно, что она почти вся заключает в себе почтовый мусор. Системные администраторы, особенно в филиалах очевидно плюют на все — не желают настраивать фильтры, чистить почтовые базы и прочее. Директор уже говорил что люди, которые не могут решить с помощью реальных денег несложную задачу должны задуматься о своей необходимости:

Вы — руководитель
Лично вы спама почти не получаете, к счастью ваш ИТ-менеджер несколько лет назад объяснил вам, что ставить на визитку директора прямой электронный адрес чревато нежелательными письмами. Секретарь разберется с почтой входящей на общий ящик и направит вам действительно нужное письмо. Однако электронная почта становится для вас проблемой персонала — на нее все чаще ссылаются в оправдание невыполненных поручений и упущенных возможностей. Вот хоть вчера — директор по продажам объяснял, что оказывается, клиент за которого мы боролись полгода направлял нам запрос по электронной почте на коммерческое предложение. Запрос куда-то пропал. Никто якобы не знает куда. Похоже все что умеет ИТ-менеджер — переписывать прошлогодний ИТ-бюджет, увеличивая в нем статью «Интернет». Как может дорожать то, чего становится все больше и больше! Надо искать нового ИТ-шника. И главное, чтобы понимал в электронной почте. Курьерами проблемы в нашем веке не решишь.

Анализ проблемы глазами системного интегратора показывает:
Главная угроза спама — угроза человеческому фактору, спам приводит к утечкам рабочего времени, разрушает рабочую среду, коммуникации внутри фирмы и в ее внешней среде.

Давайте посчитаем потери:

• Зарплата сотрудника с накладными расходами $11/час.
• Время «очистки» почтового ящика от спама 10 мин/день
• Время, потерянное на чтение и обсуждение «интересного» спама 20 мин/день
• Количество сотрудников, имеющих электронную почту 100 чел.
• Ваши потери = $550/день = $120 000/год.

Это — серьёзные деньги!

Постановка задачи интеграции, выбор решения

Попытаемся проанализировать задачу интеграции спам-фильтра на среднем предприятии, выделяя существенные требования подчеркиванием в тексте. Позже мы их сведем в общий список.

Почтовая инфраструктура и функциональность

Что реально представляет собой почтовая система среднего предприятия — место, в котором надо организовать барьер против спама?
Как правило это один или несколько почтовых серверов, чаще всего Microsoft Exchange, или Lotus Domino, реже SendMail. Встречаются и гетерогенные почтовые службы — в разных филиалах и подразделениях используются разные почтовые платформы. С точки зрения масштабируемости было бы удобнее, если спам-фильтр будет независим от платформы почтовой службы.

Почта давно является критически важным для бизнеса приложением, миграция с одной платформы на другую — тяжелая задача, всегда приводящая к каким-то потерям, несмотря на все обещания вендоров. Остановка почты даже на один день, не говоря уже о потере почтового трафика или архивной базы — серьезная проблем для бизнеса.

Поэтому барьер против спама должен быть чем-то внешним, чтобы меньше трогать настроенную и худо-бедно работающую почтовую среду.
В тоже время — отдельная машина это отдельная платформа. Стоимость любого фильтрующего ПО сразу надо увеличить на стоимость платформы — операционная система, СУБД и прочее.

Внедрять спам-фильтр надо срочно, бюджеты уже согласованы и чем дешевле получится решение тем легче удастся выделить под него деньги.
Решений по уровню интеграции спам-фильтра может быть три:

• внешний почтовый Relay
• Relay на платформе почтового сервера
• Спам-фильтр, интегрированный в почтовый сервер

Из этого вытекает, что спам-фильтр должен быть реализован:

• в виде внешнего Relay-сервера на бесплатной платформе нетребовательной к аппаратным ресурсам, либо
• на самой ходовой ОС, если все почтовые сервера организации работают на этой единственной платформе, либо
• как add-on к стандартному почтовому фильтру организации

Спамеров в мире гораздо больше, чем вирусописателей, поэтому база сигнатур спама должна быть обновляемой как можно чаще, при этом фильтр должен работать с локальной копией базы, чтобы не грузить интернет-соединение on-line проверками каждого письма. Учитывая разнообразие спама и размер базы, репликация должна быть аддитивной, передавая каждый раз только дополнения и изменения к базе сигнатур.

Спам в России на 99% состоит из русско- и англо-язычной корреспонденции, поэтому для адекватной фильтрации спама и снижения риска удаления действительно нужной почты блок лексического анализа спама кроме поддержки английского языка должен работать с русским языком, при этом имея для него развитую базу сигнатур.

В истории электронной почты выработаны различные технологии фильтрации спама:

• списки разрешенных и запрещенных отправителей, включая разрешенные и запрещенные имена почтовых доменов;
• анализ заголовков писем
• фильтры по RBL-листам
• фильтры по типам и размерам вложенных файлов;
• самый надежный способ — анализ текста письма

Желательно, чтобы спам-фильтр использовал все перечисленные способы фильтрации и обеспечивал возможность независимого управления этими способами при определении корпоративных политик.

Пользователи и политики безопасности

Пользователи бывают разные. Некоторым спам нужен. Это в первую очередь маркетинг, вернее его общий ящик market@ourcompany.ru. На ящик info@ourcompany.ru тоже нужно пропускать весь спам. В обоих случаях его желательно категоризировать и разложить по отдельным папкам, чтобы проще было отделять реальные услуги для бизнеса от порнографии и горящих путевок. Другим пользователям спам противопоказан на 100%. Это в первую очередь электронные адреса службы сервиса и технической поддержки. У них каждое входящее письмо автоматически регистрируется, категоризируется и в конечном счете обрабатывается как инцидент. Часть пользователей, желающих избавиться от спама полностью, хотят при этом иметь доступ к мусорной корзине, в которой можно поискать возможно удаленное письмо для полной гарантии.

Т.е. нужна многоуровневая корпоративная политика. Общая политика организации по правилам фильтрации и обработки спама, политика пользователя по умолчанию, групповые политики по подразделениям, возможность индивидуальной политики для отдельной должности (роли) и для конкретного пользователя.

Для интегрированного в почтовый сервер спам-фильтра необходима возможность понимать alias’ы почтовых ящиков как идентичные по политикам фильтрации спама. Для внешних по отношению к почтовому серверу Relay’ев это вряд ли полезно — придется дублировать структуру alias’ов на спам-фильтре. Желательно, чтобы для внешних спам-фильтров схема лицензирования учитывала наличие многочисленных alias’ов у реальных почтовых ящиков.

Для единства управления политиками, спам-фильтр должен интегрироваться со службой каталогов, например с Microsoft Active Directory.

Требования к корпоративному спам-фильтру

В итоге получаем следующий набор требования к корпоративному спам-фильтру:

• независимость от платформы почтового сервера
• минимум изменений в структуре и маршрутизации сети при установке спам-фильтра
• минимум затрат на программно-аппаратную платформу решения (бесплатная ОС и недорогой компьютер)
• регулярное аддитивное обновление базы сигнатур лексического анализа, работа фильтра с локальной репликой базы
• использование полного набора методов фильтрации спама, единое управление этим набором в том числе при формировании корпоративных политик
• поддержка многоуровневых политик фильтрации для различных групп пользователей и индивидуальных почтовых ящиков, интеграция со службой каталогов
• гибкая схема лицензирования, учитывающая наличие alias’ов
• поддержка лексического анализа русского языка наряду с английским

Программное обеспечение спам-фильтров поставляется многими разработчиками антивирусных решений, а также и другими производителями наряду с другими решениями фильтрации контента прикладных протоколов.

Однако до последнего времени общим недостатком предлагаемых решений являлось отсутствие блока лексического анализа русскоязычной почты и/или недостаточная база сигнатур для русского языка.

Наилучшим на сегодня решением на наш взгляд является Kaspersky Anti-Spam, удовлетворяющий практически всем вышеприведенным требованиям, и включающий уникальный лексический анализатор разработанный и поддерживаемый российской компанией «Ашманов и партнеры».

В таблице сопоставлены основные технические характеристики Kaspersky Anti-Spam и конкурирующих продуктов.

Kaspersky Anti-SpamSpamKiller (McAfee)Symantec AntiVirus./Filtering for Microsoft Exchange 2000RAV AntiVirus for Mail Servers

Результаты тестирования Kaspersky Anti-Spam

Центр Компьютерной Безопасности Поликом Про провел комплексное тестирование Kaspersky Anti-Spam.
Тестировались как функциональные качества продукта, так и его системные характеристики — интеграция, загрузка аппаратных ресурсов, быстродействие, управляемость.
Тестирование проводилось как в лабораторных условиях, так и на реальном потоке корпоративной почты предприятия. Количество почтовых ящиков около 100, почтовый сервер Microsoft Exchange 2000.
В качестве платформы для Kaspersky Anti-Spam использовался сервер в следующей конфигурации:

• P4 Celeron 1700
• 512 RAM
• 40 Gb HDD
• OS: FreeBSD v. 4.8
• Anti-Spam был настроен как Relay между двумя почтовыми серверами — внешним и внутренним.
• На тестируемом сервере кроме Kaspersky Anti-Spam не выполнялось никаких других задач.
• Настройки политик:
• Common profile «Standart w/o RBL&DNS»
• Personal profile «Marking subject»

Результат:

• Через систему проходило около 1,5 тысяч сообщений в день общим объемом примерно 75 Mb.
• Средняя загрузка процессора менее 1%
• Занято памяти: менее 250Mb из них не менее 100Mb выделено, но не используется.
• Свободной памяти: ~260Mb
• Swap не используется.
• Использование диска: ~500M вся система + очередь и временные файлы.

Распознавание спама:

• Распознано 92% спама.
• Зарегистрировано 3 ложных срабатывания: 2 из них содержали формализованный текст, и были помечены как «[??Formal Message]». Еще одно ложное срабатывание ([??Formal Message]) произошло на отчетах Proxy-сервера.

Спам-фильтр «БАРЬЕР» — решение системного интегратора на базе Kaspersky Anti-Spam

Результатом работы Центра Компьютерной Безопасности стало решение, представляющее собой готовый почтовый Relay на базе специализированного сервера с предустановленным ПО Kaspersky Anti-Spam for Free BSD/Linux.

Решение предназначено для средних и небольших предприятий. При его проектировании преследовались следующие цели:
1) Предоставить заказчику экономичное многофункциональное решение, сочетающее защиту почтового трафика от спама и опционально от вирусов в почте.
2) Минимизировать сроки внедрения и изменения в настройках действующей почтовой системы заказчика, уменьшить время работы персонала Поликом Про на объектах заказчиков и стоимость этих работ.

Спецификации спам-фильтра «БАРЬЕР»

А. Спецификация решения на 100 почтовых ящиков

*) Kaspersky AntiVirus включается в решение по желанию заказчика

Б. Специализированный Relay-Сервер

* Имеется вариант сервера в стоечном исполнении SVEC FD7131-XPM 1U Server Chassis

Стоимость предложенного решения вполне умеренная, но все-таки существенная для небольшого предприятия.

Для уменьшения риска, при покупке решения, а также с целью дать возможность широкому кругу заказчиков опробовать новую технологию в реальных условиях эксплуатации своих почтовых систем, была разработана технология внедрения спам-фильтра «Барьер» через пилотный проект на базе бесплатных тестовых лицензий Kaspersky Anti-Spam и Kaspersky AntiVirus. Заказчик в пилотном проекте оплачивает только работы и аренду компьютера.

В пилотный проект входит поставка предустановленного почтового Relay-сервера, работы по встраиванию его в инфраструктуру ИС заказчика, а также по восстановлению ее состояния по окончании пилотного проекта, если заказчик примет решение отложить внедрение спам-фильтр «Барьер» в промышленную эксплуатацию.

При этом работы по настройке и интеграции решения не приходится делать повторно при масштабировании пилотного проекта, а часть арендной платы компьютера зачитывается при его покупке. Увеличение стоимости решения при реализации через пилотный проект составит менее $200, при уменьшении рисков в 4 раза, а времени внедрения и возврата инвестиций — на порядок.

В. Спецификация пилотного проекта:

Для контраста напомним оценку потерь предприятия на 100 почтовых ящиках (масштаб приведенных спецификаций). Это $120 000 в год. Срок окупаемости решения действительно составляет несколько дней.

Выводы
Kaspersky Anti-Spam представляет мощную технологию, на основе которой проблема спама может быть решена успешно как с технической, так и с экономической точек зрения. Спам-фильтр «Барьер» является хорошим примером работы системного интегратора по созданию решений высокой компактности и готовности в области информационной безопасности.

На сегодняшний день спам-фильтр «Барьер» успешно внедрен в ряде предприятий. Прошедший эксплуатационный период не выявил каких-либо технологических или организационных проблем.