Forefront Security 2010 for Exchange Server: Novinky
Autor: Miroslav Knotek – knotek@kpcs.cz – Microsoft MVP: Security, IT Senior konzultant KPCS CZ, s.r.o.
Úvod
MS Exchange Server 2010 je již v podstatě za dveřmi, a tak si můžeme právem klást otázku, jakým způsobem budeme v této nové verzi řešit hygienu poštovních zpráv – především ochranu proti škodlivému software a nevyžádané poště. Odpovědí vývojového týmu Forefront technologií je nedávno uvolněná RC verze produktu Forefront Security 2010 for Exchange Server. V tomto článku se zaměříme na podmínky pro nasazení a na novinky, které tato nová verze přináší.
Požadavky
V následujícím stručném seznamu jsou uvedeny podporované verze serverového operačního systému, MS Exchange serveru, scénáře vysoké dostupnosti a také požadavky na hardware.
Software serveru
- Microsoft Windows Server 2003 SP2 nebo Microsoft Windows Server 2008
- Microsoft Exchange Server 2007 SP1 nebo Microsoft Exchange Server 2010
Podporované scénáře
- Instalace v prostředí Hyper-V
- Všechny varianty vysoké dostupnosti
- Exchange 2007: SCC, CCR, SCR a LCR
- Exchange 2010: DAG
Hardware serveru
- 64bitová architektura
- Doporučeno 2GB RAM navíc k paměti pro OS a MS Exchange Server
- Doporučeno 2GB diskového prostoru navíc k plánované kapacitě pro OS a MS Exchange Server
Novinky
1. Nová správcovská konzola
Forefront Security 2010 for Exchange Server (dále FSE) přichází se zcela novou správcovskou konzolou, která umožňuje mnohem efektivnější a přehlednější nastavení celé aplikace i následnou kontrolu běhu pomocí vestavěného monitoringu.
Konfigurace ochrany proti malware je rozčleněna do 3 základních kategorií:
Mailbox Realtime – tato ochrana je aktivní pouze v případě, že je FSE instalován na server, který vystupuje v roli Mailbox. Jedná se jednoduše o kontrolu zprávy při jejím čtení poštovním klientem.
Hub Transport – v tomto případě, jak název napovídá, se jedná o kontrolu na přítomnost škodlivého kódu v poštovní zprávě na jejím tranzitu. Může se jednat o zprávu odesílanou či přijímanou poštovním systémem.
Mailbox Scheduled – díky tomuto testu je možné kontrolovat zprávy, které již byly doručeny a uloženy do poštovní schránky uživatele. Pokud například firma změní politiku filtrování obsahu dle typu souboru nebo klíčových slov, tento typ akce zajistí její vynucení i u zpráv, které již byly uloženy do schránky v minulosti.
.png "Obrázek 1 Administrátorská konzola FSE")
Obrázek 1 Administrátorská konzola FSE
2. Nová akce - scheduled scan job
V případě potřeby je možné vyvolat pomocí této nové akce jednorázovou kontrolu obsahu poštovních schránek a veřejných složek. Mohu si přesně zvolit, které schránky chci zkontrolovat a kolik různých antimalware enginů se pro to použije. Celou akci je také možné kdykoliv pozastavit a pokračovat v ní později. Všimněte si také následujícího obrázku, na kterém je vidět, že pro tuto akci oproti Exchange Serveru 2010 se využívá Client Access Server.
.png "Obrázek 2 Scheduled scan job")
Obrázek 2 Scheduled scan job
3. Integrovaná správa Antispamu
Po instalaci FSE dojde převzetí správy vestavěné antispamové ochrany MS Exchange Serveru. Nastavení filtrování na základě IP adresy odesílajícího serveru, e-mailové adresy příjemce i odesílatele, obsahu zprávy či výsledků kontroly Sender ID je tak možné provést zde přehledně na jednom místě.
.png)
Obrázek 3 Konfigurace antispamu
4. Ochrana proti nevyžádané poště typu backscatter
Určitě všichni známe situaci, kdy rozesílatel spamu odeslal na neexistující adresu naším jménem e-mail a nám se pak vrací v podobě DSN (Delivery Status Notification). Tento typ spamu tvoří v dnešní době více než 3% všech poštovních zpráv posílaných Internetem. To je ohromné číslo, a proto FSE přináší elegantní řešení tohoto problému.
Do hlavičky každé odchozí zprávy je vložen token, který je unikátní pro danou organizaci a pravidelně se obměňuje. Pokud dorazí DSN, které obsahuje tento token, je vše v pořádku a zpráva je doručena. V případě, že token naopak v hlavičce obsažen není, jedná se o nevyžádanou poštu, kterou FSE odhalí ihned při příchodu a samozřejmě zabrání jejímu doručení.
.png)
Obrázek 4 Filtrování backscatter spamu
5. Forefront Management Shell
I FSE se konečně dočkal plné podpory skriptovacího jazyka powershell. Všechny konfigurační volby, reportovaní a vůbec vše co je dostupné z grafického rozhraní, můžeme volat také z prostředí powershell. Jako příklad uveďme velmi zajímavé cmdlety Export-FSESettings a Import-FSESettings, které umožňují export konfigurace na jednom serveru a následný import na serveru druhém. Můžeme tak rychle nastavit mnoho serverů s FSE a navíc s garancí konzistentní konfigurace.
.png "Obrázek 5 Forefront Management Shell")
Obrázek 5 Forefront Management Shell
6. Monitorování a FSE
FSE konzola nabízí obsáhlou sekci pro monitorování celého řešení – tzv. Dashboard. Můžeme zde rychle zkontrolovat zdraví celého řešení včetně běhu klíčových služeb, stav aktualizací jednotlivých enginů atd. K dispozici jsou rovněž detailní statistiky ochrany proti škodlivému software i nevyžádané poště.
.png "Obrázek 6 Dashboard")
Obrázek 6 Dashboard
7. Integrace s Forefront Online Security for Exchange Gateway
FSE přináší kromě možnosti kompletně hostovaného řešení nebo zcela vlastního řešení ještě třetí tzv. hybridní model. V tomto modelu si zákazník nastavuje své vlastní politiky hygieny e-mailů z lokální FSE konzoly a tato konfigurace se následně přenáší pomocí brány na hostované řešení, které se touto politikou řídí. Opačným směrem putují statistiky, které si správce opět může prohlížet a analyzovat lokálně stejně jako kdyby používal své vlastní řešení.
.png "Obrázek 7 Integrace s Forefront Online Security")
Obrázek 7 Integrace s Forefront Online Security
Závěr
Forefront Security 2010 for Exchange Server přináší velké množství novinek v oblasti správy i kvality ochrany před škodlivým softwarem a nevyžádanou poštou. Už testy stávající verze potvrdily vysokou kvalitu celého řešení – například průměrný ukazatel false positive pouze 0,0005% hovoří za vše. Dá se tedy právem očekávat, že tento produkt bude velmi často nedílnou součástí projektů implementace MS Exchange Serveru. Jen pro úplnost přidávám informaci, že produkt se bude ve finální verzi prodávat pod názvem Forefront Protection 2010 for Exchange Server.