|
Компонент может осуществлять защиту электронной почты двумя способами:
1.Подключение к почтовому серверу (Sendmail, Postfix, Exim и т.п.) в качестве внешнего фильтра сообщений (с использованием любого из расширений: Milter, Spamd, Rspamd, поддерживаемого почтовым сервером). 2.Организация прокси, выполняющего проверку сообщений электронной почты, передаваемых по протоколу SMTP, POP3 или IMAP4, прозрачно для почтового сервера. Для организации данного способа проверки используются компоненты SpIDer Gate и Dr.Web Firewall для Linux. В силу того, что эти компоненты работают только в среде GNU/Linux, этот способ доступен только для этого семейства операционных систем. Проверенные письма обрабатываются в соответствии с правилами, заданными в настройках компонента. Для каждого из интерфейсов, используемого для взаимодействия с почтовыми серверами, может быть определена своя собственная система правил обработки писем. В случае использования механизма прокси (т.е. когда проверяются сообщения, полученные непосредственно по протоколу SMTP, POP3, IMAP), компонент использует правила обработки, определенные в настройках компонента Dr.Web Firewall для Linux.
Для проверки URL, содержащихся в сообщениях электронной почты используются те же автоматически обновляемые базы категорий веб-ресурсов, которые используются компонентом SpIDer Gate. Для обращения к облачному сервису Dr.Web Cloud используется компонент Dr.Web CloudD (использование облачного сервиса задается в основных настройках Dr.Web для почтовых серверов UNIX, и при необходимости может быть отключено). Для проверки передаваемых данных Dr.Web MailD использует агента сетевой проверки данных Dr.Web Network Checker, который, в свою очередь, инициирует их проверку сканирующим ядром Dr.Web Scanning Engine.
В зависимости от условий (характеристик письма, сработавших правил и протокола, по которому письмо попало в компонент на проверку), компонент может выполнить с письмом следующие действия:
Действие
|
Описание
|
Пропустить
(Pass)
|
Письмо будет доставлено получателю. При этом к нему будут применены все действия по добавлению и изменению заголовков, а также по перепаковке, если таковые были заданы в правилах, сработавших для данного письма.
Аргументы: Нет.
Особенности реализации действия:
Действие может быть применено для всех способов подключения к MTA, а также для встраивания через механизм прокси в любой почтовый протокол.
|
Отклонить
(Reject)
|
Письмо не будет принято у отправителя (для POP3/IMAP – от почтового сервера) и не будет передано получателю.
Особенности реализации действия:
•Подключение к MTA в качестве фильтра: Для интерфейсов Spamd и Rspamd MTA возвращается вердикт "письмо является спамом". Реальное действие с письмом зависит от настроек защищаемого MTA. Необязательный параметр действия <description>, если указан, будет использован как значение заголовка 'Message', добавленного MTA к письму после сообщения результатов проверки (позволяет косвенно вернуть в MTA причину отклонения письма).
•Встраивание в почтовые протоколы через механизм прокси: ▫Для случая протоколов IMAP и POP3 вернуть получателю письма, т.е. MUA, ошибку протокола. ▫Для случая SMTP – возврат отправителю кода 541. |
Временная ошибка
(Tempfail)
|
Письмо не будет принято у отправителя (для POP3/IMAP – от почтового сервера) и не будет передано получателю.
Особенности реализации действия:
•Подключение к MTA в качестве фильтра: Для интерфейсов Spamd и Rspamd MTA возвращается вердикт "письмо является спамом". Реальное действие с письмом зависит от настроек защищаемого MTA. Необязательный параметр действия <description>, если указан, будет использован как значение заголовка 'Message', добавленного MTA к письму после сообщения результатов проверки (позволяет косвенно вернуть в MTA причину отклонения письма).
•Встраивание в почтовые протоколы через механизм прокси: ▫Для случая протоколов IMAP и POP3 вернуть получателю письма, т.е. MUA, ошибку протокола. ▫Для случая SMTP – возврат отправителю кода 451. |
Отбросить
(Discard)
|
Письмо не будет принято у отправителя (для POP3/IMAP – от почтового сервера) и не будет передано получателю.
Особенности реализации действия:
•Подключение к MTA в качестве фильтра: Для интерфейсов Spamd и Rspamd MTA возвращается вердикт "письмо является спамом". Реальное действие с письмом зависит от настроек защищаемого MTA.
•Встраивание в почтовые протоколы через механизм прокси: ▫Для случая протоколов IMAP и POP3 вернуть получателю письма, т.е. MUA, ошибку протокола. ▫Для случая SMTP – прием письма у отправителя с подтверждением OK, и удалением вместо передачи получателю. |
Заблокировать
(Block)
|
Синоним для действия «Отклонить» (Reject). Используется для совместимости.
|
Перепаковать
(Repack)
|
Письмо будет доставлено получателю в измененном виде: в него будет добавлено уведомление о наличии угроз, а сами угрозы будут помещены в архив, прикрепленный к созданному письму. В зависимости от настроек, этот архив может быть защищен паролем.
Если угрозы содержались в заголовках или текстовой части письма, а не в его вложениях (в том числе если письмо признано спамом или в целом не соответствует политикам безопасности, заданным администратором в правилах), то в архив будет помещено все исходное письмо целиком.
Имеются следующие предопределенные шаблоны перепаковки:
1.Сообщение признано спамом (в архив помещается исходное письмо); 2.Наличие в сообщении одной или более угроз (в архив помещаются файлы с угрозами); 3.Наличие в сообщении одного или более вредоносных/нежелательных URL (в архив помещается исходное письмо или части, содержащие URL); 4.Нарушение сообщением политик безопасности, указанных администратором (в архив помещается исходное письмо или нежелательные части). Действие будет применено к письму, если в правилах встретилась финальная резолюция Pass (или не встретилось Reject, Block, Tempfail, Discard).
Особенности реализации действия:
•Подключение к MTA в качестве фильтра: Для интерфейсов Spamd и Rspamd не поддерживается (невозможно вернуть серверу измененное письмо).
|
Добавить заголовок
(Add Header)
|
Добавить к письму указанный заголовок.
Действие будет применено к письму, если в правилах встретилась финальная резолюция Pass (или не встретилось Reject, Block, Tempfail, Discard).
Особенности реализации действия:
•Подключение к MTA в качестве фильтра: Для интерфейсов Spamd и Rspamd не поддерживается (невозможно вернуть серверу измененное письмо).
|
Изменить заголовок
(Change Header)
|
Изменить в письме значение указанного заголовка.
Действие будет применено к письму, если в правилах встретилась финальная резолюция Pass (или не встретилось Reject, Block, Tempfail, Discard).
Особенности реализации действия:
•Подключение к MTA в качестве фильтра: Для интерфейсов Spamd и Rspamd не поддерживается (невозможно вернуть серверу измененное письмо).
|
Подробнее с заданием указанных действий в правилах вы можете ознакомиться в главе Правила проверки трафика части Приложение Г. Конфигурационный файл программного комплекса.
|
Если для взаимодействия Dr.Web MailD с MTA используется интерфейс Spamd или Rspamd, то единственное действие, которое может совершить Dr.Web MailD в рамках этого взаимодействия – сообщить MTA, является ли письмо чистым или оно классифицировано как спам. То есть при нарушении письмом любого ограничения, установленного в правилах, или при наличии в письме любой угрозы, в MTA передается вердикт «Сообщение является спамом». Все действия по обработке письма (например, добавить заголовки, отвергнуть письмо, передать его получателю и т.п.) должны быть определены в настройках на стороне MTA. Также в этом случае Dr.Web MailD не имеет возможность вернуть в MTA модифицированное письмо, следовательно, действие типа REPACK («перепаковать» письмо, удалив вредоносные вложения и вставив в него сообщение о наличии угроз) также невозможно. Для возврата в MTA причины отклонения письма используйте действие REJECT <description>. Указанный параметр <description> будет использован как значение заголовка 'Message', добавленного MTA к письму после сообщения результатов проверки.
|
Схема работы компонента показана на рисунке ниже.
Рисунок 13. Схема работы компонента
Заштрихованными овалами на схеме обозначены места, в которые Dr.Web MailD может быть встроен через механизм прозрачного прокси c использованием компонента SpIDer Gate.
Для анализа сообщений на наличие признаков Dr.Web MailD использует специальный компонент Dr.Web ASE (Dr.Web Anti-Spam Engine).
|
Компонент проверки сообщений электронной почты на наличие признаков спама Dr.Web ASE может отсутствовать в составе продукта, в зависимости от поставки. В этом случае проверка писем на наличие признаков спама не производится.
|
|
