Глава 3. Dr.Web для почтовых серверов UNIX

В настоящем документе рассматриваются аспекты настройки компонентов, входящих в продукт Dr.Web для почтовых серверов UNIX, предназначенный для работы в ОС GNU/Linux, FreeBSD. Руководство адресовано лицу, отвечающему за антивирусную безопасность и настройку сетей, называемому в данном руководстве «Администратором».

Dr.Web для почтовых серверов UNIX создан для защиты почтовых серверов, работающих под управлением ОС семейства UNIX (GNU/Linux и FreeBSD) от вирусов и всех прочих видов вредоносного программного обеспечения, а также для предотвращения распространения через них угроз, разработанных для различных платформ.

Основные функции Dr.Web для почтовых серверов UNIX:

1.Поиск и обезвреживание угроз. Производится поиск как непосредственно вредоносных программ всех возможных типов (различные вирусы, включая вирусы, инфицирующие почтовые файлы и загрузочные записи дисков, троянские программы, почтовые черви и т. п.), так и нежелательных программ (рекламные программы, программы-шутки, программы автоматического дозвона).

Для обнаружения угроз используются:

•Сигнатурный анализ. Метод проверки, позволяющий обнаружить уже известные угрозы, информация о которых содержится в вирусных базах;

•Эвристический анализ. Набор методов проверки, позволяющих обнаруживать угрозы, которые еще неизвестны.

•Обращение к сервису Dr.Web Cloud, собирающему свежую информацию об актуальных угрозах, рассылаемую различными антивирусными продуктами Dr.Web.

Обратите внимание, что эвристический анализатор может ложно реагировать на программное обеспечение, не являющегося вредоносным. Поэтому объекты, содержащие обнаруженные им угрозы, получают специальный статус — «подозрительные». Рекомендуется помещать такие файлы в карантин, а также передавать на анализ в антивирусную лабораторию «Доктор Веб».

При проверке файловой системы по запросу пользователя имеется возможность как полной проверки всех объектов файловой системы, доступных пользователю, так и выборочной проверки только указанных объектов (отдельных каталогов или файлов, соответствующих указанным критериям). Кроме того, доступна возможность отдельной проверки загрузочных записей томов и исполняемых файлов, из которых запущены процессы, активные в системе в данный момент. В последнем случае при обнаружении угрозы выполняется не только обезвреживание вредоносного исполняемого файла, но и принудительное завершение работы всех процессов, запущенных из него.

2.Проверка сообщений электронной почты. Продукт поддерживает следующие режимы проверки сообщений электронной почты:

•Режим внешнего фильтра, подключенного к почтовому серверу (MTA). Продукт может быть интегрирован с любым почтовым сервером, поддерживающим интерфейсы подключения внешних фильтров Milter, Spamd и Rspamd. В режиме фильтра все письма, поступающие на почтовый сервер, по инициативе MTA передаются Dr.Web для почтовых серверов UNIX через интерфейс сопряжения для проверки. В зависимости от возможностей интерфейса, работающий в качестве фильтра Dr.Web для почтовых серверов UNIX может:

▫Сообщить серверу результаты проверки письма. В этом случае почтовый сервер должен самостоятельно обработать письмо в соответствии с полученными результатами (отклонить его прием или передачу, добавить заголовки или модифицировать содержимое письма, если результат проверки содержит информацию о наличии угроз).

▫Отдать почтовому серверу команду пропустить или отклонить письмо.

▫Модифицировать письмо, добавив к нему указанные заголовки, или удалив из него выявленное вредоносное или нежелательное содержимое. Вырезанное содержимое прикрепляется к письму в виде архива, защищенного паролем. Пароль для распаковки защищенного архива получатель письма может запросить у администратора почтового сервера. При необходимости, хотя это и не рекомендуется, администратор может настроить использование архивов, не защищенных паролем.

•Режим прозрачного прокси почтовых протоколов. В этом режиме продукт (при помощи компонента SpIDer Gate) реализует функции прокси-сервера, встроенного в канал обмена данными между MTA и/или MUA прозрачно для обменивающихся сторон, и проверяющего проходящие сообщения при их получении и оправке. Поддерживается прозрачное встраивание антивируса в основные почтовые протоколы: SMTP, POP3, IMAP. В этом режиме, также в зависимости от возможностей протокола, в который он встроен, Dr.Web для почтовых серверов UNIX может пропустить письмо получающей стороне (в неизменном виде или после модификации, добавив заголовки или перепаковав письмо), или заблокировать его передачу, в том числе — вернув отправившей или получающей стороне корректную ошибку протокола.

Dr.Web для почтовых серверов UNIX, в зависимости от комплектности и настроек, выполняет следующие проверки сообщений электронной почты:

▫Выявление вредоносных вложений, содержащих угрозы;

▫Поиск ссылок на вредоносные веб-сайты или веб-сайты, отнесенные к нежелательным категориям;

▫Выявление признаков спама (как с использованием автоматически обновляемой базы правил спам-фильтрации, так и при помощи механизма проверки наличия адреса отправителя в черных списках DNSxL);

▫Соответствие критериям безопасности, заданным администратором почтовой системы самостоятельно (проверка тела и заголовков сообщений при помощи регулярных выражений).

Для проверки ссылок на нежелательные веб-сайты, которые могут присутствовать в сообщениях электронной почты, используется автоматически обновляемая база данных категорий веб-ресурсов, поставляемая вместе с Dr.Web для почтовых серверов UNIX. Также производится обращение к сервису Dr.Web Cloud для проверки наличия информации, не отмечен ли веб-ресурс, ссылка на который встретилась в почтовом сообщении, как вредоносный, другими антивирусными продуктами Dr.Web.