Установка и настройка решений почтовой гигиены на брандмауэре TMG 2010 Firewall - часть 4: Настройка фильтрации вирусов и содержимого

В третьей части цикла о решениях почтовой гигиены TMG мы рассмотрели некоторые подробности настройки функции антиспама. В этой части мы рассмотрим функции фильтрации вирусов и контента.

Антивирус и фильтрация контента

В консоли брандмауэра TMG нажмите на узле Политика электронной почты (Email Policy) в левой панели. В средней панели консоли перейдите в закладку Вирусы и фильтрация контента (Virus and Content Filtering). Это откроет три опции фильтрации контента, доступные для защиты почты в TMG. К ним относятся:

• Фильтрация файлов (File Filtering): фильтрация файлов позволяет вам контролировать то, какие файловые вложения будут разрешены для приема и отправки в вашей почтовой системе
• Фильтрация вирусов (Virus Filtering): фильтрация вирусов позволяет вам блокировать прием и отправку вредоносного ПО в вашей почтовой системе
• Фильтрация тела сообщений (Message Body Filtering): эта функция позволяет вам контролировать входящие и исходящие сообщения на основе содержимого самих сообщений

На рисунке ниже показаны две ссылки, указывающие, что фильтрация контента и фильтрация вирусов включена.

Фильтрация файлов

Начнем с рассмотрения опции фильтрации файлов (File Filtering). Нажмите на ссылку File Filtering в средней панели. В диалоге Фильтрация файлов (File Filtering) вы сначала столкнетесь с закладкой фильтров файлов (File Filters). Здесь вы можете настроить фильтры файлов, которые не будут позволять вложенным файлам приниматься или отправляться из вашей организации. Нажмите кнопку Добавить (Add), как показано на рисунке 2 ниже.

Это вызовет диалог фильтров файлов (File Filter). В закладке Общие (General) вы можете выбирать следующие опции:

• Включить этот фильтр (Enable this filter): эта опция включает или отключает фильтр
• Имя фильтра (Filter name): дает место для введения легко запоминаемого названия фильтра, создаваемого здесь
• Действие в отношении сообщений, отвечающих критериям этого фильтра (Action for messages matching this filter): эта опция позволяет выбирать следующие действия: Пропустить (Skip), Идентифицировать (Identify), Удалить (Delete) и Очистить (Purge). Опция Skip проверяет сообщение и делает запись в журнал, если сообщение отвечает критериям фильтрации, но затем пересылает сообщение в следующий пункт назначения. Опция Identify отмечает строку темы настраиваемым словом, которое можно использовать для фильтрации входящих сообщений. Опция Delete удаляет сообщение, а опция Purge удаляет сообщение полностью из системы.
• Сканировать входящие сообщения (Scan inbound messages): если эта опция включена, TMG будет проводить осмотр входящих сообщений, присылаемых в вашу организацию.
• Сканировать исходящие сообщения (Scan outbound messages): если эта опция включена, TMG будет осматривать исходящие сообщения, отправляемые из вашей почтовой организации.

Опции закладки «Общие» (General) показаны на рисунке 3 ниже.

Теперь перейдите в закладку Типы файлов (File Types). Здесь у вас есть возможность управлять тем, какие типы файлов должны подвергаться проверке. Когда обнаруживается выбранный вами тип файла, настроенное вами в закладке General действие будет выполнено. Обратите внимание, что это функция Forefront Protection for Exchange (FPE), поэтому определение будет выполняться для самого типа файла, а не для его расширения. Это хорошо, поскольку файлы можно переименовывать, после чего расширения будут указывать на тип файла, которым данный файл может и не являться на самом деле. Закладка File Types показана на рисунке 4 ниже.

Теперь перейдите в закладку Имена файлов (File Names). Здесь вы можете настраивать имена файлов, которые система будет искать во вложениях электронной почты. Вы можете вводить полное имя файла, или воспользоваться такими символами как '?' и '*'. Знак вопроса используется для замещения одного символа в строке, а звездочка используется для замены неизвестного количества символов. Закладка File Names показана на рисунке 5.

Настройка антивируса

Теперь давайте рассмотрим настройку антивируса электронной почты брандмауэра TMG. Нажмите на ссылку Фильтрация вирусов (Virus Filtering) в средней панели консоли. Есть множество преимуществ в использовании нескольких антивирусных механизмов: оно повышает степень вероятности того, что новые угрозы будут обнаружены, если не все механизмы были обновлены сигнатурами появляющихся угроз, а также обеспечивает избыточность, поэтому если один механизм дает сбой или обновляется, остальные механизмы будут осуществлять сканирование. Можно включать до пяти различных механизмов. Обратите внимание, что большее количество механизмов равно более тщательному сканированию, однако количество механизмов также влияет на производительность.

Первая закладка, которую мы рассмотрим здесь, представляет собой закладку механизмов Engines. Здесь есть следующие опции:

• Использовать автоматическое управление механизмами (Use automatic engine management): если выбрана эта опция, FPE будет решать, какие механизмы антивируса использовать и как их применять.
• Вручную включать до 5 механизмов (Manually enable up to 5 engines): выберите эту опцию, если хотите контролировать, какие механизмы использовать, а также контролировать выбор механизмов или политики использования. Когда вы выбираете эту опцию, вам нужно выбирать один или более механизмов AV из списка.
• Всегда проводить проверку с помощью всех выбранных механизмов (Always scan with all selected engines): после выбора нужных механизмов вам нужно определить политику выбора механизмов Intelligent Engine Selection Policy. Когда вы выбираете опцию Always scan with all selected engines, FPE будет сканировать сообщения, используя все выбранные механизмы.
• Сканировать несколькими выбранными механизмами, которые доступны (Scan with a subset of selected engines that are available): доступный механизм – это тот, которые не находится в процессе обновления. Когда механизм обновляется, он помечается как недоступный, поэтому, когда вы выбираете эту опцию, система не ждет, пока все механизмы будут доступны для завершения проверки сообщений. Все доступные механизмы будут использоваться, если выбрана данная опция.
• Сканировать динамически выбираемым количеством механизмов (Scan with a dynamically chosen subset of selected engines): эта опция использует эвристику на основе недавних результатов и статистических проекций для выбора того, какие механизмы использовать при проверке сообщений. Со временем для проверки сообщений будет использоваться среднее половинное количество выбранных механизмов.
• Сканировать только одним выбранным механизмом (Scan with only one of the selected engines): эта опция также использует эвристику на основе недавних результатов и статистических проекций для выбора одного механизма, который будет использоваться для проверки сообщений.

Все эти опции показаны на рисунке 6.

Теперь давайте перейдем в закладку исправления (Remediation). Здесь у вас есть следующие опции:

• Пропустить (только определение) (Skip (detect only)): эта опция определяет и создает отчеты по вирусам при их обнаружении, но пересылает сообщение вместе с вредоносным кодом на следующий порт вызова. Это, как правило, не самая лучшая опция.
• Очистить (исправить вложения) (Clean (repair attachment)): эта опция пытается почистить вложение и затем доставить очищенное вложение в пункт назначения. Если TMG не сможет очистить вложение, оно будет удалено, а в сообщение будет вложен отчет об удалении.
• Удалить (Delete): эта опция удаляет зараженное вложение, и файл с текстом об удалении замещает это вложение.
• Включить (Enable): эта опция включает текст удаления, который является .txt файлом, содержащим текст сообщения об удалении, введенный вами в разделе текста удаления
• Текст удаления (Deletion Text): это информация, которая включается в файл текста удаления. %File% запись будет заменена именем файла, который был удален.

Этот диалог показан на рисунке 7.

Наконец, давайте выберем закладку опций (Options). Здесь у вас есть следующие опции:

• Сканировать doc файлы, как контейнеры (Scan doc files as containers): вы можете выбрать эту опцию, чтобы сканировать .doc файлы, использующие OLE вложенные данные, как файлы контейнера, чтобы вложенные данные также подвергались проверке.
• Таймаут сканирования контейнера (в секундах) (Container scanning timeout (seconds)): стандартным значением здесь будет 120 секунд на сканирование контейнера, но это значение можно изменить здесь.
• Действие, выполняемое по достижении таймаута (Action to perform upon reaching scanner timeout): здесь вы указываете, какое действие выполнять, когда предельное время достигнуто.
• Действие, выполняемое для нелегальных MIME заголовков (Action to perform for illegal MIME headers): здесь вы указываете, какое действие выполнить, если обнаружен нелегальный MIME заголовок (например, очистить или удалить).
• Передавать информацию об отправителе (Transport sender information): этот параметр определяет то, как определяется передача информации об отправителе.
• Удалять сообщение, если тело удалено (Purge message if body is deleted): по умолчанию сообщение удаляется, если тело сообщения удалено.
• Оптимизировать для максимальной производительности (не выполнять повторную проверку сообщений) (Optimize for performance (do not rescan message)): по умолчанию сообщения не подвергаются повторной проверке после выполнения действия фильтра. Это повышает производительность, но это можно здесь изменить.

По закладке Options в настоящее время нет документации ' поэтому нам придется подождать обновления документации TMG, чтобы узнать больше о природе и функциях этих параметров. Я написала Тому о том, что он должен предоставить документацию по этой проблеме :) Эти опции показаны на рисунке 8.

Фильтрация тела сообщения

Нажмите на ссылку фильтрации тела сообщений (Message Body Filtering) в средней панели консоли. В диалоге Message Body Filtering перейдите в закладку Фильтры тела сообщений (Message Body Filters). Нажмите кнопку Добавить (Add). Это вызовет диалог Message Body Filter, показанный на рисунке 9. В закладке Общие (General) у вас есть следующие опции:

• Включить этот фильтр (Enable this filter): включает создаваемый вами фильтр.
• Имя фильтра (Filter Name): дает возможность ввести легко запоминаемое название, по которому просто идентифицировать фильтр.
• Действие в отношении сообщений, отвечающих критериям этого фильтра (Action for messages matching this filter): эта опция позволяет выбирать следующие действия: Пропустить (Skip), Идентифицировать (Identify), Удалить (Delete) и Очистить (Purge). Опция Skip проверяет сообщение и делает запись в журнал, если сообщение отвечает критериям фильтрации, но затем пересылает сообщение в следующий пункт назначения. Опция Identify отмечает строку темы настраиваемым словом, которое можно использовать для фильтрации входящих сообщений. Опция Delete удаляет сообщение, а опция Purge удаляет сообщение полностью из системы.
• Сканировать входящие сообщения (Scan inbound messages): если эта опция включена, TMG будет проводить осмотр входящих сообщений, присылаемых в вашу организацию.
• Сканировать исходящие сообщения (Scan outbound messages): если эта опция включена, TMG будет осматривать исходящие сообщения, отправляемые из вашей почтовой организации.

Перейдите в закладку ключевых слов (Keywords) в диалоге Message Body Filters, как показано на рисунке 10. Здесь вы можете определить ключевые слова для проверки в теле сообщения. Вы можете вводить отдельные слова или воспользоваться правилами синтаксиса списка ключевых слов, которые действуют в качестве запросов для содержимого сообщений. Синтаксис запроса сложен; однако сотрудники команды TMG проделали отличную работу по объяснению того, как создавать такие запросы, и привели примеры. Смотрите их инструкции здесь.

Заключение

В этой части цикла о решениях почтовой гигиены брандмауэра TMG мы рассмотрели опции фильтрации вирусов и контента. Используя TMG, вы можете блокировать входящую и исходящую почту, содержащую вредоносный код или сообщения, содержащие контент в теме или теле сообщения, которые на ваш взгляд неприемлемы. В следующей заключительной части цикла мы рассмотрим процедуру создания подписки Edge Subscription с сервером Exchange заднего плана. Это очень ценная функция, поскольку она позволяет выполнять фильтрацию получателя с тем, чтобы сообщения, адресованные пользователям, которые не являются членами организации, блокировались.