Пограничный почтовый сервер как средство защиты от вирусов и нежелательной почты

Введение

Система электронной почты – одно из самых уязвимых мест в IT-инфраструктуре предприятия. Именно через неё в локальную сеть компании могут проникать вирусы, способные нанести ущерб компьютерам пользователей и расположенной на них информации. Кроме того, неконтролируемые потоки спама могут значительно усложнить работу сотрудников, в чьи обязанности входит общение с внешними клиентами и партнерами. Для предотвращения подобных проблем можно применить комплексное решение от компании Microsoft, основанное на совместном использовании серверов Forefront Threat Management Gateway (TMG ) 2010, Exchange Edge Transport   2010 и Microsoft Forefront Protection 2010 для сервера Exchange (FPE).

В статье рассматриваются ключевые возможности данной системы в целом и её отдельных составляющих. Подробно изложен процесс установки роли  Exchange Edge Transport  2010 на сервер с предварительно установленным Forefront TMG 2010 и его интеграция с существующей почтовой системой на базе Exchange 2007.

Обзор

В начале рассмотрим основные компоненты системы защиты электронной почты и их место в IT-инфраструктуре предприятия.

Forefront TMG 2010

Forefront TMG 2010 – это новая версия корпоративного брандмауэра Microsoft Internet Security and Acceleration (ISA) Server. Его можно использовать для решения следующих задач:

• проверка входящего HTTP/HTTPS-трафика на наличие вредоносного кода;
• организация отказоустойчивого подключения при наличии нескольких каналов передачи данных;
• обнаружение и предотвращение сетевых вторжений;
• защита системы электронной почты от вирусов и нежелательных сообщений на уровне сетевого периметра (требуемая в нашем случае функциональность).

Одним из ключевых преимуществ данного продукта является возможность его установки на 64-разрядную операционную систему. Например, это может быть Windows 2008 x 64 со вторым пакетом обновлений или Windows 2008 R 2.

Для обеспечения более высокого уровня защиты сервер Forefront TMG 2010 может быть помещен в демилитаризованной зоне организации (DMZ). Под DMZ понимается участок, отделенный от внутренней сети предприятия. Обычно туда помещаются серверы, доступные из публичной сети Internet. Основным преимуществом демилитаризованной зоны является то, что при атаке на общедоступный сервер снижается риск компрометации внутренних серверов и рабочих станций.

Exchange Edge Transport 2010

Exchange Edge Transport   2010 – это роль пограничного транспортного сервера почтовой системы. Основной его задачей является фильтрация вирусов и нежелательной почты. Помимо этого, он может выполнять функции транспортировки.

Фильтрация осуществляется посредством работы установленных на сервере агентов. По умолчанию фильтруется только нежелательная почта. Для организации антивирусной защиты требуется установка дополнительного программного обеспечения - Forefront Protection 2010 для сервера Exchange.

Так же как и Forefront TMG, данный сервер располагается в демилитаризованной зоне организации и не входит в домен Active Directory (AD). Однако, для работы ему необходима следующая информация из AD:

• почтовые домены организации;
• надежные отправители;
• список получателей;
• конфигурация соединителя для обеспечения сквозного прохождения потока почты.

Для хранения этих данных на пограничном почтовом сервере используется режим Active Directory Application Mode (ADAM). Синхронизация ADAM с AD происходит через службу EdgeSync, расположенную на внутреннем почтовом сервере с ролью транспортного сервера-концентратора. Для безопасной передачи данных при репликации соблюдаются следующие условия:

• информация передается в одностороннем порядке от AD к ADAM;
• данные по умолчанию шифруются;
• синхронизация происходит по расписанию.

Схема системы защиты электронной почты представлена на рис. 1.

Увеличить рисунок

Рисунок 1. Схема системы защиты электронной почты

Рассмотрим процесс установки и настройки пограничного почтового сервера.

Установка

Подготовительные действия

Установка Forefront TMG 2010 детально описана в статье «Установка Forefront Threat Management Gateway (Forefront TMG) версии Beta 1». Здесь же остановимся на процессе установки роли пограничного почтового сервера. В качестве почтовой системы, используемой в организации, рассматривается Exchange 2007. Эта версия почтовой системы выбрана в связи с тем, что финальная версия Exchange 2010 вышла сравнительно недавно и еще не нашла широкого распространения в промышленной среде.

Установка Exchange Server Edge Transport и Forefront Protection для сервера Exchange поверх Forefront TMG может привести к сбою службы Microsoft Forefront TMG Managed Control (более подробно это описано в статье «Understanding E-Mail Protection on Forefront TMG»). Для предотвращения такой ситуации, рекомендуется на время установки останавливать указанную службу. Сделать это можно командой:

net stop isamanagedcrtl

для запуска службы после установки необходимо выполнить команду:

net start isamanagedctrl.

Кроме того, перед процессом установки необходимо проверить, что в качестве основного ДНС-суффикса  сервера Forefront TMG используется полное имя домена Active Directory. Также следует убедиться в наличии на сервере роли Active Directory Lightweight Directory Service. В случае её отсутствия процесс установки указанной роли можно запустить командой:

cmd.exe /c start /w pkgmgr.exe /iu:"DirectoryServices-ADAM"

После этого можно приступать к процессу установки системы защиты от вирусов и нежелательной почты.

Установка Exchange 2010

Рассмотрим по шагам процесс установки роли пограничного почтового сервера.

1. Запускаем файл setup.exe из дистрибутива Exchange 2010 Standard.
2. Нажимаем «Далее» в приветственном окне.
3. Соглашаемся с лицензионным соглашением.
4. Выбираем требуется ли отправка отчетов о проблемах в корпорацию Microsoft.
5. Указываем выборочную установку Exchange Server.
6. Определяем путь для установки.
7. Выбираем роль пограничного транспортного сервера (рис. 2).




Увеличить рисунок

Рисунок 2. Выбор устанавливаемых ролей почтового сервера Exchange

8. Принимаем решение об участии в программе улучшения качества программного обеспечения.
9. Дожидаемся проверки готовности.
10. Запускаем установку.
11. Завершаем мастер установки.

После этого можно запустить консоль управления и ввести ключ активации для сервера Exchange. При установке следует учитывать, что для использования Exchange с ролью пограничного транспортного сервера требуется наличия отдельной лицензии.

Установка Forefront

Отдельно следует установить антивирусное программное обеспечение. В нашем случае будет использоваться  Microsoft Forefront Protection 2010 для Exchange Server. Процесс его установки рекомендуется выполнять с настройками, предлагаемыми по умолчанию. В случае возникновения проблем можно воспользоваться инструкцией: «Установка Forefront Security». После завершения установки следует перезапустить службу Exchange Transport Service и дождаться обновления антивирусных баз.

Так же как и в случае с Exchange, данный программный продукт необходимо активировать. Приглашение на ввод ключа активации  появляется сразу же после первого запуска консоли управления «Microsoft Forefront Protection for Exchange Server Administrator». После ввода ключа нужно указать номер лицензионного соглашения и дату его окончания.

Forefront Security для Exchange Server может использоваться бесплатно в течении 120 дней в ознакомительных целях. По истечении этого срока ознакомительная версия системы продолжит работу, но без  функции очистки и удаления «подозрительных» файлов. Также не будет производиться обновление антивирусных баз.

Настройка

Процесс настройки системы защиты электронной почты от вирусов и вредоносных сообщений можно условно разбить на три основных этапа:

• настройка Forefront TMG;
• настройка репликации с AD;
• настройка параметров фильтрации.

Рассмотрим их более подробно.

Настройка Forefront TMG

Для настройки политики фильтрации почты на Forefront TMG необходимо выполнить следующие действия.

1. Запустить консоль управления Forefront TMG.
2. Перейти в раздел E -Mail Policy и запустить мастер настройки защиты почтовой системы, щелкнув по ссылке «Configure E -mail Policy» (рис. 3).




Увеличить рисунок

Рисунок 3. Запуск мастера настройки Forefront TMG для защиты системы электронной почты

3. На странице «Internal Mail Server Configuration» указать почтовые домены, для которых следует принимать и пересылать почту, а также внутренние почтовые серверы, куда будут перенаправляться сообщения (рис. 4).





Рисунок 4. Выбор внутреннего почтового сервера

4. На странице Internal E -Mail Listener (рис. 5) выбрать Internal (внутренние сетевые интерфейсы).





Рисунок 5. Выбор внутренних сетевых интерфейсов

5. На странице External E -Mail Listener выбрать External и указать полное доменное имя пограничного почтового сервера. Оно будет использоваться при представлении по командам HELO и EHLO (рис. 6).





Рисунок 6. Выбор внешних сетевых интерфейсов

6. В завершении указать параметры фильтрации (рис. 7):
   • Enable spam filtering ;
   • Enable virus and content filtering.





Рисунок 7. Выбор параметров фильтрации

7. После завершения работы мастера по настройке следует применить правила, разрешающие прохождение почтового трафика через сервер Forefront TMG (рис. 8).

Рисунок 8. Применение настроенных параметров

После выполнения указанных действий можно приступать к настройке репликации ADAM с AD.

Настройка репликации с AD

Для репликации данных из Active Directory на погранично почтовом сервере необходимо выполнить следующие действия.

1. Щелкнуть «Enable Connectivity for EdgeSync Traffic» (рис. 9).





Рисунок 9. Разрешение синхронизации с AD

2. Создать файл подписки для службы EdgeSync (рис. 10).





Рисунок 10. Создание файла подписки

3. Перейти в консоль управления корпоративной почтовой системы Exchange Management Console и импортировать созданный ранее файл подписки (рис. 11).




Увеличить рисунок

Рисунок  11. Импорт файла подписки

Здесь следует указать сайт Active Directory, в котором находится почтовый транспортный сервер-концентратор, предназначенный для синхронизации.

4. Рекомендуется принудительно запустить первоначальную синхронизацию на пограничном почтовом сервере с помощью следующей команды в Exchange Management Shell:

Start-EdgeSynchronization

В результате должно возникнуть два соединителя отправки. Проверить их появление можно с помощью команды:

Get-SendConnector

запускаемой там же. Приблизительный вывод этой команды представлен на рис. 12.

Рисунок 12. Соединители отправки

Один из соединителей отключен. Это связано с тем, что по умолчанию после создания подписки отправка всей почты будет осуществляться через пограничный почтовый сервер. Если данная функциональность не требуется, коннектор, название которого заканчивается словами «to internet», можно отключить. В этом случае, почта будет отправляться так же, как и до установки пограничного почтового сервера.

Настройка параметров фильтрации

Для настройки параметров фильтрации можно воспользоваться консолью управления Forefront TMG на пограничном почтовом сервере. Для этого нужно перейти на закладку Virus and Content Filtering. В частности, здесь можно выбрать набор используемых фильтров (рис. 13).

Увеличить рисунок

Рисунок 13. Выбор антивирусных фильтров

или включить фильтрацию нежелательных типов файлов во вложении (рис. 14).

Увеличить рисунок

Рисунок 14. Создание фильтра вложений

В разделе Update Center можно посмотреть состояние обновлений системы защиты (рис. 15).

Увеличить рисунок

Рисунок 15. Состояние системы обновлений

Статистику работы системы защиты можно посмотреть в консоли «Microsoft Forefront Protection 2010 for Exchange Server Administrator» в разделе «Filtering Details» (рис. 16).

Увеличить рисунок

Рисунок 16. Статистика фильтрации

Например, для данного случая из трех сообщений отфильтровано два. Одно по фильтру на вложения, второе – по фильтру ключевых слов в теле письма. Отфильтрованные сообщения можно найти в разделе Quarantine (рис. 17).

Увеличить рисунок

Рисунок 17. Сообщения, попавшие в карантин

Здесь показано:

• время обнаружения нежелательной почты;
• имя отправителя;
• имя получателя;
• тема письма;
• тип применившегося фильтра;
• имя применившегося фильтра и краткая информация о нем.

При необходимости системный администратор может из этой же консоли выполнить с отфильтрованным сообщением следующие действия:

1. сохранить;
2. доставить получателю;
3. удалить.

Со стороны конечного получателя ситуация выглядит следующим образом.  Письмо, отфильтрованное из-за наличия в нем ключевых слов, не было доставлено. Письмо с отфильтрованным вложением поступило, но вместо «подозрительного» qqq.exe там находился файл qqq.txt со следующим содержанием:

FILE QUARANTINED

Microsoft Forefront Protection for
Exchange Server removed a file since it was found to match a filter.
File name: "qqq.exe"
Filter name: "FILE FILTER= exe
filtering: *.exe"

Более подробную информацию о настройке системы защиты электронной почты можно найти на сайте Microsoft Technet в разделе «Microsoft Forefront Protection 2010 for Exchange Server».

Заключение

В статье описан процесс установки и настройки корпоративной системы защиты электронной почты от вирусов и нежелательных сообщений. В качестве компонентов данной системы рассмотрены:

• Microsoft Exchange Edge Server ;
• Microsoft Forefront TMG ;
• Microsoft Forefront Protection 2010 for Exchange Server.

Проведен обзор основных возможностей данной системы. В случае использования только одного из компонентов (например, пограничного почтового сервера), задача существенно упростится. Однако это отрицательно скажется на уровне защиты.

Дополнительные ресурсы:

• Uncovering the Exchange 2007 Edge Transport Server (6 частей)
• Understanding E-Mail Protection on Forefront TMG
• Using Mail Protection with Exchange EdgeSync on Forefront TMG
• На страже границы. Встречайте Forefont Threat Managment Gateway
• Установка Forefront Threat Management Gateway (Forefront TMG) версии Beta 1
• Overview of the Edge Transport Server Role

Статья опубликована в рамках конкурса «Microsoft Office 2010 – эффективное воплощение ваших идей».