Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

Ochrona poczty - Retarus Email Security

Data publikacji: 23-09-2021 Autor: Marcin Jurczyk

Poczta e-mail to wciąż najpopularniejszy sposób komunikacji elektronicznej na świecie i nic nie wskazuje na to, aby ta sytuacja miała się w najbliższym czasie zmienić. Tym kanałem komunikacyjnym rozsyłanych jest także najwięcej szkodliwych i niepożądanych wiadomości. Warto zatem zrobić wszystko, aby tego typu zagrożenia zminimalizować. Testujemy rozwiązanie, które może w tym pomóc.

 

Ochrona przed zagrożeniami płynącymi z sieci realizowana jest zazwyczaj na wielu płaszczyznach. Najczęściej chronimy stacje robocze, instalując mniej lub bardziej rozbudowane oprogramowanie typu endpoint security. Tego typu rozwiązania poza oczywistymi funkcjami typu skaner antywirusowy oferują także dużo bardziej zaawansowane mechanizmy ochrony, jak chociażby rozbudowana zapora ogniowa, HIPS (Host-based Intrusion Prevention System) czy filtr antyspamowy. W zależności od wielkości sieci pomiędzy stacją użytkownika końcowego a internetem znajduje się zwykle przynajmniej jeden firewall. Współczesne rozwiązania tego typu, podobnie jak oprogramowanie działające na hostach, potrafią filtrować ruch w wielu warstwach, wykorzystując do tego celu zróżnicowane mechanizmy, w tym także ochronę antywirusową, sygnatury IPS, filtrowanie URL czy kontrolę w warstwie aplikacyjnej. W zależności od potrzeb zdarza się również tak, iż konieczne jest dedykowane rozwiązanie chroniące określony rodzaj ruchu sieciowego lub określony typ aplikacji. Mowa tu np. o urządzeniach typu WAF (Web Application Firewall), SWG (Secure Web Gateway) czy ESG (Email Access Gateway), które wyspecjalizowane są w ochronie tylko wybranego typu ruchu.

Tym razem obiektem naszego testu jest rozwiązanie do ochrony poczty e-mail niemieckiego producenta – firmy Retarus. Co ciekawe, pomimo niewielkiej rozpoznawalności na polskim rynku firma już od niemal 30 lat specjalizuje się wyłącznie w rozwiązaniach do komunikacji elektronicznej opartej na wiadomościach e-mail, faksie oraz SMS-ach, a pierwsze rozwiązania poczty elektronicznej posiadała w czasach, kiedy ten typ komunikacji funkcjonował jedynie w sieciach lokalnych.

 

> ARCHITEKTURA

Retarus Email Security to rozwiązanie w całości bazujące na chmurze obliczeniowej. Zatem żeby wdrożyć ten produkt w przedsiębiorstwie, nie jest konieczna instalacja żadnego dedykowanego sprzętu w sieci lokalnej. Konfiguracja wszystkich mechanizmów ochrony poczty, a jest ich sporo, możliwa jest z poziomu konsoli zarządzania dostępnej poprzez przeglądarkę internetową. Wdrożenie rozwiązania opiera się zatem na przekierowaniu komunikacji e-mail na wskazane przez firmę Retarus adresy hostów dostępne w infrastrukturze dostawcy usługi. Mowa tu konkretnie o zmianach głównie na poziomie rekordów MX w konfiguracji strefy DNS, tak aby cały ruch pocztowy przechodził najpierw przez serwery Ratarusa, które mają za zadanie odfiltrować potencjalnie niebezpieczne wiadomości, zanim te dotrą do naszych serwerów poczty. Nie ma także znaczenia, gdzie znajduje się nasza firmowa infrastruktura pocztowa – może to być zarówno własna serwerownia, usługa kolokacji, jak i wybrany dostawca chmurowy. Ważne, aby zapewnić odpowiedni routing Internet->Retarus->Firma, a także w przypadku kiedy zdecydujemy się na filtrowanie poczty wychodzącej, to także Firma->Retarus->Internet, gdzie pod pojęciem „firma” rozumiemy dowolną lokację własnej infrastruktury poczty elektronicznej. W przypadku filtrowania poczty wychodzącej, poza modyfikacją rekordów MX, konieczne będzie także odpowiednie dopasowanie rekordów definiujących dozwolonego nadawcę dla wskazanej domeny, jak chociażby rekord SPF. Reszta konfiguracji leży już po stronie dostawcy usługi. Retarus przed uruchomieniem usługi wymaga wypełnienia formularza, w którym znajdują się informacje na temat chronionych domen czy hostów. Test czy potencjalne wdrożenie rozwiązania można zatem przeprowadzić niemal z dnia na dzień, a jedynym czynnikiem mającym wpływ na faktyczne uruchomienie usługi jest propagacja zmian w DNS. Tego typu rozwiązania do ochrony poczty e-mail nie są niczym nowym, a konkurencja na rynku tego typu produktów jest całkiem spora. Główna zaleta podejścia chmurowego to przerzucenie na usługodawcę wszystkich aspektów związanych z wydajnością, skutecznością filtrowania poczty, a także wysoką dostępnością. Dodatkowo możliwe jest stosunkowo proste uruchomienie całości oraz równie nieskomplikowane zrezygnowanie z tego typu ochrony, ze względu na subskrypcyjny model zakupu, o czym w dalszej części.

 

> MECHANIZMY OCHRONY

Zestaw narzędzi do filtrowania i ochrony poczty e-mail różni się w zależności od tego, czy zamierzamy kontrolować jedynie komunikację przychodzącą, czy również wiadomości wysyłane do świata. Z oczywistych względów więcej mechanizmów ochrony dostępnych jest dla poczty przychodzącej, skąd zazwyczaj pochodzi najwięcej zagrożeń. Pierwsze sprawdzenie poczty przychodzącej dotyczy weryfikacji adresu odbiorcy pod kątem jego istnienia w katalogu użytkowników i zgodności z RFC. Retarus pozwala na automatyczną synchronizację katalogu użytkowników z Active Directory, dzięki czemu łatwo odrzucić próby rekonesansu adresów mailowych lub ataków typu DoS. Na tym poziomie można również zdefiniować czarną oraz białą listę nadawców z dokładnością do adresu
e-mail lub całej domeny. Zanim program przejdzie do kolejnego etapu, jakim jest skan antywirusowy, weryfikowana jest jeszcze reputacja nadawcy. Podobnie jak we wszystkich rozwiązaniach tego typu weryfikowany może być zarówno rekord SPF, jak również DKIM. Wiadomości, które nie przejdą weryfikacji, mogą zostać przeniesione automatycznie do kwarantanny. Można również podnieść dla nich współczynnik prawdopodobieństwa spamu (zakres od 0 do 100) oraz dodać odpowiedni tag w temacie wiadomości. Istnieje również możliwość obniżenia wartości współczynnika spamu przy poprawnej weryfikacji każdego z rekordów.

Analiza antywirusowa na poziomie wiadomości i załączników może być przeprowadzona aż przez cztery niezależne skanery AV. Producent nie chwali się nigdzie, z jakich konkretnie silników korzysta. Udało nam się jedynie ustalić, iż za część mechanizmów ochronnych odpowiadają rozwiązania Sophosa. Każdy z użytkowników może otrzymywać cykliczne raporty mailowe na temat wykrytych zagrożeń oraz wiadomości umieszczonych w kwarantannie. Bezpośrednio z poziomu raportu mailowego dostępne są linki prowadzące do konsoli Retarusa, w której można sprawdzić więcej szczegółów oraz np. przesunąć błędnie zaklasyfikowaną wiadomość z kwarantanny do skrzynki odbiorczej. Co więcej – nie jest wymagane logowanie, gdyż autoryzacja odbywa się za pomocą tokena umieszczonego w wiadomości.

Innym, stosunkowo prostym mechanizmem chroniącym przed spoofingiem adresów e-mail jest External Sender Visibility Enhancement – wiadomości pochodzące od zewnętrznych nadawców podszywających się pod członków lokalnej domeny pocztowej są odpowiednio tagowane, podobnie jak w przypadku wykrycia innego typu zagrożenia.

W kolejnym etapie analizy e-maile poddawane są walidacji pod kątem phishingu oraz szeroko rozumianego spamu. Retarus, analogicznie do przypadku silników antywirusowych, ogranicza się jedynie do informacji, że sprawdzanie wykorzystuje bazy danych wiodących dostawców rozwiązań tego typu. W przypadku rozwiązań antyspamowych działanie bazuje na rozwiązaniach autorskich, a także wspomnianym już wcześniej Sophosie. Według deklaracji skuteczność wykrywania niepożądanych wiadomości sięga 99,95% przy wskaźniku false positives na poziomie jedynie 0,0001%. Patrząc na listę zastosowanych mechanizmów detekcji w postaci analizy heurystycznej, wykorzystaniu algorytmu Bayesa, analizy wielojęzykowej itp., można jedynie zgadywać, że poza silnikiem komercyjnym za skuteczność filtrowania odpowiada chociażby zoptymalizowany SpamAssassin lub nieco już zapomniany, ale zdecydowanie szybszy DSPAM. Pozostaje jedynie zaufać zapewnieniom i zweryfikować działanie mechanizmów ochronnych w praktyce.

 

[...]

 

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"