BC/NW 2006, №2, (9) :10.2
ПОДХОДЫ К РЕАЛИЗАЦИИ ЗАЩИЩЕННЫХ СИСТЕМ
ЭЛЕКТРОННОЙ ПОЧТЫ
С.Н. Хорьков, А.Н. Култашев, А.В. Беляков
(Москва, Московский Энергетический Институт,
Российская Федерация)
Одной из основных проблем почтовых систем, имеющих
прямое соединение с Интернет, являются вирусы и рекламно-информационные
материалы, рассылаемые по электронной почте. Вредоносные программы, к которым
относятся вирусы и различные «шпионские» программы нарушают работу локальных
сетей, вплоть до отказа, обеспечивают несанкционированный доступ к информации,
содержащейся на компьютерах пользователей. Незатребованная рассылка
рекламно-информационных материалов по электронной почте, называемая спамом,
приводит к большой потере рабочего времени, потраченного на ручную фильтрацию
огромного количества сообщений. Часто при ручной фильтрации в корзину
отправляется и ценная информация. Кроме прямых потерь рабочего времени имеются
еще и моральные потери, поскольку пользователи получают зачастую информацию
неприличного содержания. Кроме того, спам отнимает ресурсы каналов связи,
серверов электронной почты и рабочих станций. В больших почтовых системах
масштаба предприятия потери рабочего времени и ресурсов достигают значительных
величин. Большинство используемых
почтовых систем являются открытыми, где любой пользователь сети Интернет может,
при желании, отправить сообщение любому другому пользователю. Принцип
свободного обмена информацией является одним из основополагающих принципов
работы Интернет и в нынешнее время не может быть пересмотрен.
Таким образом, защищенная система электронной почты,
должна, соблюдая принципы свободного обмена информацией, не допускать
проникновения в почтовый ящик пользователя вредоносных программ и, по
возможности, ограничить незатребованную рассылку – спам.
При выполнении этих задач почтовая система должна четко определять, что является вредоносной программой и что является спамом. Следует учесть, что отнесение той или иной информации к спаму, является сугубо личным. Для одного пользователя полученная информация может нести какую-то ценность, для другого – нет. Следует также отметить, что проблема спама является условно разрешимой – любое представленное на рынке ПО подвержено следующим ошибкам:
1) Ошибки 1-го рода: распознавание деловой переписки в
качестве нежелательной и ошибочная блокировка полезных сообщений.
2) Ошибки 2-го рода: распознавание нежелательной
переписки как деловой и ошибочный пропуск спама в почтовый ящик пользователя.
Ошибки первого рода для промышленных систем на
искусственно сгенерированном потоке сообщений составляют около 0,05%-0,005%
сообщений. Ошибки второго рода – около 5% сообщений.
Основываясь на достаточно длительном опыте
эксплуатации Общеуниверситетской системы электронной почты в МЭИ (ТУ) – ОСЭП,
насчитывающей 15000 пользователей можно с годами были выработаны следующие
требования к защищенной почтовой системе:
1. Почтовая система обязана обеспечить бесперебойный
прием письма вне зависимости от того, какое письмо получено, кому предназначено
и от кого отправлено. Никаких проверок в ходе прима передачи осуществляться не
должно. Допустимы только проверки на соответствие получаемого сообщения
требованиям протоколов передачи почтовых сообщений.
2. После приема письма необходимо обеспечить антивирусную
проверку вложений, прикрепленных к почтовому сообщению. В случае обнаружения
вируса в теле письма, содержащее вирус вложение должно быть удалено. Письмо без
вложения должно быть доставлено до абонента с предупреждением об удалении
вируса. В случае если проверить вложение на вирус не удалось (защищенные
паролем файлы), письмо с вложением должно быть доставлено абоненту с
дополнительным предупреждением о потенциальной опасности.
3. Далее необходимо осуществить проверку на
принадлежность письма к категории SPAM
рассылок. Вне зависимости от значения SPAM
показателей (даже если письмо является 100% спамом) письмо должно быть
доставлено абоненту с маркером в поле темы, указывающей на то, что письмо было
распознано как спам.
В ходе проектирования и создания защищенной почтовой
системы была разработана архитектура почтовой системы, обеспечивающая
выполнение вышеизложенных требований. В архитектуру системы заложена
трехуровневая защита почтовых ящиков пользователей.
1 уровень.
Централизованная защита на маршрутизаторе электронной почты. На этом уровне
проверяется соответствие сообщения требованиям протокола передачи электронной
почты (наличие DNS MX записей для домена отправителя, наличие обратного
разрешения IP-адреса в имя) и проверка наличия
IP-адреса отправителя в «черных» списках, как локальных,
так и централизованных (на специальных серверах Интернет). На этом уровне
осуществляется первичная проверка сообщения на принадлежность к спаму и на
наличие вирусов. Проверка осуществляется на основе анализа заголовков сообщения
и на основе наличия в тексте сообщения URL ссылок, вызовов внешних процессов. После этого
осуществляется проверка на тип и имя вложенного файла и проверка на содержание
вирусов. Если сообщение определено как спам и содержит вирус или опасное
вложение, то модифицируется заголовок сообщения, куда вставляется специальный
текстовый маркер, и оно пересылается дальше. В случае наличия вируса, вложение
удаляется.
2 уровень.
На этом уровне осуществляется контекстная проверка сообщения. При этом
осуществляется поиск ключевых слов в сообщении, исходя из количества вхождений
ключевых слов и их комбинаций, принимается решение о принадлежности данного
сообщения к спаму. В случае, если сообщение причислено к спаму, то
модифицируется заголовок сообщения, куда вставляется специальный текстовый
маркер. Осуществляется еще одна проверка на вирусы. Вторая проверка на вирусы
необходима для того, что бы убедиться в «чистоте» сообщения. Желательно, что бы
антивирусные проверки (и проверки на спам) осуществлялись разными программными
комплексами и на разных платформах.
3 уровень.
На этом уровне определяются действия над маркированными сообщениями. В
зависимости от желания пользователя маркированное сообщение может быть удалено,
отложено в отдельную папку или получено в основную папку.
Первые два уровня защит реализуются на выделенных для
этой цели серверах, поскольку такие проверки в условиях большого потока
сообщений требуют значительных ресурсов. Третий уровень защиты осуществляется
уже на рабочей станции пользователя с помощью стандартного клиентского
программного обеспечения.
Выбор программного обеспечения для различных уровней
основывается на анализе и тестировании программных комплексов различных
производителей. Платформой для 1-го уровня реализации защиты выбран Linux. На 2-м уровне защиты реализуются на базе Windows-сервера. Основным требованием к программам фильтрации
является отсутствие проверок сообщения в момент приема. При такой проверке
тесты на принадлежность сообщения к спаму запускаются в момент получения команд
протокола SMTP и секции заголовков
сообщения. Антивирусные проверки осуществляются после получения тела сообщения.
Достоинством таких систем является то, что последующие проверки и обработка
электронной почты требуют меньших ресурсов. Недостатком то, что в случае
ложного срабатывания (причисление сообщения к спаму) или в случае аварийной
ситуации с сервером, осуществляющим проверку, сообщение может быть потеряно. К
таким системам относятся:
·
Sophos Pure Message
·
Amavis
·
Яндекс Спам-Оборона
Как удовлетворяющие условиям на основе тестов и
практической эксплуатации к реализации рекомендованы:
·
MailScanner (или DefenderMX) от Fort Systems Ltd. на первом уровне.
·
TrendMicro IMSS на
втором уровне защит.
Третий уровень защит, реализованный в почтовом
клиенте, на рабочих станциях пользователей использует правила и выполняемые
сценарии, заложенные в возможности этого программного обеспечения.
При реализации вышеизложенных подходов к реализации
защищенной системы электронной почты следующие:
·
Формируется
собственная база сигнатур спама, что облегчает и ускоряет обработку сообщений
на основе уже имеющихся данных.
·
Отслеживается
весь путь прохождения сообщения в системе, те действия, которые система
производит над сообщениями.
·
Вероятность
потери сообщения электронной почты, после приема его маршрутизатором сведена к
минимуму. Собственно, основной причиной потери сообщения может быть только
авария сервера.
·
Решение о
действиях над маркированным сообщением принимает конечный пользователь.
Для масштабирования системы предлагается использовать
кластеризацию серверов, что позволяет подобрать конфигурацию под любой размер
системы.