.png "Microsoft Exchange Server")
Ochrona wiadomości E-Mail za pomocą programu Forefront Security .png "Udostępnij na: Facebook")
Autor: Neetu Rajpal
Opublikowano: 10 sierpnia 2009
Zawartość strony
.gif){kind=icon} |
Wprowadzenie |
|
Ustawienia ochrony przed złośliwym oprogramowaniem |
|
Ustawienia ochrony przed spamem |
|
Wyświetlanie rezultatów |
|
Program Windows PowerShell |
|
Podsumowanie |
Kolejna wersja programu Forefront Security for Exchange Server (który w dalszej części tego artykułu nazywany będzie skrótem FSE) jest doskonałym produktem chroniącym przed złośliwym oprogramowaniem (połączenie programu antyspamowego, antywirusowego oraz filtrowania treści) wiadomości e-mail przesyłane poprzez środowisko serwera Exchange. Program ten jest zintegrowany z oprogramowaniem Exchange Server i może skanować wszystkie wiadomości e-mail znajdujące się w trakcie przesyłania (wchodzące, wychodzące lub przesyłane w obrębie przedsiębiorstwa), będące w użyciu (znajdujące się w trakcie odczytywania) lub pozostające w spoczynku (zapisane w skrzynce pocztowej użytkownika). Produkt ten dostarczany jest z domyślną konfiguracją, pozwalającą na jego natychmiastowe używanie od razu po zainstalowaniu, ale konfigurację tę można oczywiście dostosować do konkretnych potrzeb danego przedsiębiorstwa.
Więcej informacji na temat tego programu, opisy przykładowych wdrożeń (tzw. case studies) oraz wersje testowe, będą dostępne jeszcze w tym roku na witrynie Microsoft Forefront Server Security TechCenter, po opublikowaniu finalnej wersji programu FSE.
W tym artykule przedstawione zostaną podstawowe funkcje programu FSE. Zakładam, że Czytelnik tego artykułu jest już obeznany z oprogramowaniem Exchange Server 2007 i że interesują go wyłącznie funkcje związane z bezpieczeństwem oraz filtrowaniem wiadomości e-mail, jakie są oferowane przez program FSE zainstalowany na lokalnym serwerze Exchange. Omówimy możliwe sposoby ochrony przedsiębiorstwa przed niechcianym spamem oraz złośliwym oprogramowaniem, a także pokażemy, jak za pomocą różnych rodzajów filtrowania można ograniczyć treści przesyłane za pomocą wiadomości e-mail. Podczas prezentowania szczegółów technicznych korzystać będę z nowych, uproszczonych możliwości zarządzania programem FSE, jakie daje jego integracja z nowym serwerem zarządzającym Microsoft Forefront (nazwa kodowa „Stirling”). W artykule tym nie będą jednak poruszane kwestie związane z samym serwerem Stirling ani kwestie związane z integrowaniem z tym serwerem programu FSE.
Wprowadzenie
Jeśli w danej organizacji znajduje się już skonfigurowany serwer Exchange Server, to instalacja programu FSE jest bardzo prosta. Produkt ten należy zainstalować na tym samym komputerze, na którym znajduje się serwer Exchange. Program FSE obsługuje role serwerów Exchange Edge Transport , Exchange Hub Transport oraz Exchange Mailbox . Oprogramowanie FSE bardzo gładko dopasowuje się do istniejącego środowiska Exchange, używając do tego celu architektury publicznie dostępnego agenta oraz różnych interfejsów API do skanowania antywirusowego (VSAPI - Virus Scanning API). Po zainstalowaniu tego oprogramowania zasady zabezpieczeń oraz filtrowania można edytować za pomocą pokazanej na rysunku 1 konsoli Forefront Server Security Administrator (Administrator zabezpieczeń serwera Forefront). Znajdujący się po lewej stronie panel nawigacyjny pozwala na przeglądanie lub edytowanie konkretnych obszarów interfejsu użytkownika. Informacje konfiguracyjne wyświetlane są w znajdującym się w środkowej części okna panelu Details (Szczegóły), a znajdujący się po prawej stronie panel Actions (Akcje) służy do wykonywania różnych akcji.
.gif)
Rysunek 1: Konsola Forefront Server Security Administrator (Administrator zabezpieczeń serwera Forefront).
Przyjrzyjmy się ustawieniom ochrony przed złośliwym oprogramowaniem (po lewej stronie na rysunku 1). W tym przykładzie węzeł Antimalware zawiera trzy węzły podrzędne, których można używać do konfigurowania ustawień zabezpieczeń dla wiadomości e-mail znajdujących się w różnych punktach serwera:
Mailbox Realtime (Skrzynka pocztowa w czasie rzeczywistym) Te ustawienia dotyczą wiadomości e-mail będących w użyciu (w trakcie ich odczytywania). Ta grupa ustawień jest wyłączona, jeśli serwer Exchange Server, na którym zainstalowano program FSE, nie pełni roli serwera skrzynek pocztowych (Mailbox). Dla ustawień z tego węzła przyjęto założenie, że, zanim wiadomości e-mail trafią do skrzynki pocztowej, zawsze są one skanowane przy użyciu ustawień skanowania Hub Transport lub Edge Transport. Jednak ustawienia skanowania z grupy Mailbox Realtime są przydatne w sytuacji, gdy od chwili nadejścia wiadomości e-mail do systemu do chwili jej odczytania upływa dłuższy okres czasu. Ponieważ program FSE skanuje wiadomości w poszukiwaniu złośliwego oprogramowania używając sygnatur antywirusowych oraz algorytmów heurystycznych wbudowanych w motory programu, aktualizacje tych motorów oraz zbioru sygnatur mogą mieć istotny wpływ na skuteczność wykrywania złośliwego oprogramowania.
Hub Transport Ta grupa służy do konfigurowania ustawień dla wiadomości e-mail znajdujących się w trakcie dostarczania (dla wiadomości przychodzących, wychodzących oraz wewnętrznych). Ta grupa ustawień będzie widoczna tylko wtedy, gdy na lokalnym serwerze Exchange została wdrożona rola Hub Transport . Niektóre organizacje decydują się na rezygnację z roli serwera brzegowego (Edge Transport), wdrażając wyłącznie rolę serwera Hub Transport. Począwszy od wersji Exchange 2007, wszystkie wiadomości e-mail (przychodzące, wychodzące oraz wewnętrzne) są przesyłane poprzez serwer pełniący rolę Hub Transport. Przedsiębiorstwa, które wdrożyły tylko serwer typu Hub, mogą skonfigurować wszystkie ustawienia zabezpieczeń dla przesyłanych wiadomości e-mail w sekcji Hub Transport konsoli administracyjnej. Przedsiębiorstwa, które wdrożyły zarówno serwery brzegowe (z rolą Edge Transport), jak i serwery typu Hub (z rolą Hub Transport), mogą zaniechać ponownego skanowania wiadomości docierających do serwera typu Hub, które zostały już przeskanowane na serwerze brzegowym.
Mailbox Scheduled (Skrzynka pocztowa według harmonogramu) W tej grupie znajdują się ustawienia ochrony przed złośliwym oprogramowaniem dla wiadomości e-mail pozostających w stanie spoczynku (wiadomości, które zostały już odebrane i zapisane w skrzynce pocztowej użytkownika). Ta grupa ustawień jest widoczna tylko wtedy, gdy lokalny serwer Exchange pełni rolę serwera skrzynek pocztowych. Skanowanie konfigurowane w tej sekcji pozwala na wykrywanie złośliwego oprogramowania, które prześlizgnęło się przez proces skanowania wiadomości będących w trakcie doręczania, a także może służyć do pomiaru efektywności zasad filtrowania proponowanych słów kluczowych. Przypuśćmy np., że fikcyjna firma o nazwie Contoso wprowadziła nową zasadę zabraniającą używania przekleństw w przesyłanych wiadomościach e-mail. Firma nie ma jednak pewności, czy taka zasada jest naprawdę potrzebna ani czy będzie ona efektywna. W celu sprawdzenia efektywności nowej zasady firma skonfigurowała więc w programie FSE listę zabronionych słów kluczowych oraz proces zaplanowanego skanowania skrzynek pocztowych (Mailbox Scheduled). Następnie administrator działu IT może uruchomić ten proces skanowania dla skrzynek pocztowych kilku (lub wielu albo nawet wszystkich) wybranych użytkowników i wygenerować raport z listą wszystkich wiadomości pocztowych, które naruszałyby tę zasadę, gdyby została ona zaimplementowana. Dysponując takimi danymi firma Contoso może podejmować bardziej świadome decyzję dotyczące zasad filtrowania wybranych słów kluczowych.
Należy zwrócić uwagę na fakt, że na rysunku 1 nie występuje węzeł Edge Transport. Sekcja Edge Transport, pozwalająca na konfigurowanie ustawień ochrony przed złośliwym oprogramowaniem dla wiadomości e-mail znajdujących się w trakcie doręczania (wewnętrznych i zewnętrznych), jest dostępna tylko wtedy, gdy lokalny serwer Exchange pełni rolę Edge Transport. W przykładzie z rysunku 1 lokalny serwer Exchange pełnił rolę Hub Transport oraz Mailbox i dlatego węzeł ustawienia z węzła Edge Transport jest na nim niedostępny. Rola brzegowego serwera Exchange jest stosowana głównie w strefie zdemilitaryzowanej (DMZ) i służy zachowaniu właściwej higieny wiadomości e-mail. Zaleca się, aby w przypadku tej roli skonfigurować maksymalny możliwy poziom zabezpieczeń.
.gif){kind=icon}
Do początku strony
Ustawienia ochrony przed złośliwym oprogramowaniem
Program Forefront Security for Exchange używa kilku różnych motorów do wyszukiwania wirusów, robaków oraz programów szpiegujących. Działanie niektórych z tych motorów opiera się na zbiorach sygnatur, podczas gdy inne oferują możliwości heurystyczne. Do typowych pytań użytkowników należą prośby o podanie wskazówek, które z dostępnych motorów skanowania należy wybrać, aby uzyskać jak największy stopień wykrywalności oraz jak najlepszą wydajność. Dzięki nowym, wstępnie skonfigurowanym ustawieniom programu FSE proces ten jest obecnie znacznie prostszy, zachowując jednocześnie wszystkie dostępne poprzednio ustawienia zaawansowane, które przeznaczone są dla użytkowników wymagających większego poziomu kontroli nad działaniem programu. Obecnie możliwe jest wskazanie dla wybranych motorów skanowania jednej z zasad opartych na kompromisie pomiędzy bezpieczeństwem a wydajnością. Zasady te powodują automatyczne skonfigurowanie pozostałych ustawień zarządzania motorami skanującymi. Na rysunku 2 pokazane zostały opisy różnych rodzajów skanowania, oferowanych w sekcji Intelligent Engine Selection (Wybór inteligentnych motorów skanowania).
| Zasada | Opis |
| Always scan with all selected engines (Zawsze skanuj przy użyciu wszystkich wybranych motorów) | To ustawienie oferuje największy poziom bezpieczeństwa. Po wybraniu tej opcji program FSE będzie skanował wszystkie wiadomości e-mail przy użyciu wszystkich motorów skanowania wchodzących w skład tego produktu. W przypadku aktualizacji któregokolwiek z motorów skanowania lub zbiorów sygnatur program FSE zablokuje wiadomości e-mail do czasu ukończenia aktualizacji, kiedy możliwe będzie użycie nowego motoru lub nowego zbioru sygnatur. |
| Scan with the subset of selected engines that are available (Skanuj przy użyciu podzbioru wybranych motorów, złożonego z dostępnych motorów) | To ustawienie oferuje nieco mniejszy poziom bezpieczeństwa. Po wybraniu tej opcji program FSE będzie skanował wszystkie wiadomości e-mail przy użyciu wszystkich aktualnie dostępnych motorów skanowania. Jeśli wszystkie wybrane motory skanowania będą dostępne, to wiadomości e-mail będą skanowane przez wszystkie te motory. Jeśli jednak jeden z wybranych motorów skanowania będzie akurat aktualizowany, to wiadomość e-mail będzie skanowana przy użyciu pozostałych motorów skanowania i jeśli żaden z nich nie wykryje w niej żadnego złośliwego oprogramowania, wiadomość zostanie doręczona bez czekania na zakończenie procesu aktualizacji. |
| Scan with a dynamically chosen subset of the selected engines (Skanuj przy użyciu dynamicznie określanego podzbioru wybranych motorów) | To ustawienie oferuje pewien poziom równowagi pomiędzy bezpieczeństwem, a wydajnością. Powoduje ono wybranie przez program FSE pewnego podzbioru motorów skanujących, które będą używane do skanowania wiadomości e-mail. Z ustawienia tego należy korzystać, jeśli zależy nam na dodatkowej ochronie i wykorzystywaniu kilku motorów skanowania, ale konieczne jest branie pod uwagę również aspektów wydajnościowych. |
| Scan with only one of the selected engines (Skanuj przy użyciu tylko jednego z wybranych motorów) | Z tego ustawienia należy korzystać tylko wówczas, gdy wydajność jest czynnikiem krytycznym, a wiadomości e-mail zostały już wcześniej przeskanowane. Po wybraniu tej opcji wiadomości e-mail będą skanowane tylko przez jeden motor skanowania, wybierany dynamicznie przez program FSE. |
Rysunek 2: Dostępne różne zasady skanowania.
Przedsiębiorstwa wymagające precyzyjnej kontroli nad tym, które z motorów skanowania będą używane do skanowania wiadomości e-mail, mogą skorzystać z ustawień Advanced Engine Management (Zaawansowane zarządzanie motorami), znajdujących się w dolnej części strony z zasadami.
Do początku strony
Ustawienia ochrony przed spamem
W kategoriach używanych zasobów spam należy do najpoważniejszych kosztów ponoszonych przez przedsiębiorstwa z tytułu korzystania z poczty elektronicznej. W większości przedsiębiorstw spam stanowi niewspółmiernie dużą część otrzymywanych wiadomości e-mail. Program FSE oferuje nowe, doskonałe rozwiązanie antyspamowe, stosując dwa uzupełniające się podejścia: filtrowanie oparte na połączeniach oraz filtrowanie oparte na zawartości.
Connection Filtering (Filtrowanie połączeń) Zanim wiadomość e-mail dostanie się do wnętrzna przedsiębiorstwa, oprogramowanie FSE dokona oceny reputacji nadawcy w oparciu o jego adres IP. Jeśli adres IP nadawcy został oznaczony jako adres znanego nadawcy spamu, połączenie zostanie odrzucone, a wiadomość e-mail nigdy nie przekroczy granicy przedsiębiorstwa. Proces oceny reputacji nadawcy realizowany jest w oparciu o usługę, utrzymywaną w sieci Internet przez firmę Microsoft. Program FSE uwzględnia również fakt, że administratorzy działów IT oraz serwerów pocztowych powinni mieć możliwość arbitralnego określania reputacji nadawcy i dlatego oferuje on listy IP Allow List (Lista dozwolonych adresów IP) oraz IP Block List (Lista zablokowanych adresów IP). Wszystkie adresy IP znajdujące się na liście IP Allow List nie będą poddawane żadnej ocenie i wiadomości nadchodzące z tych adresów będą przekazywane wprost do skrzynki pocztowej odbiorcy. Wszystkie połączenia nadchodzące z adresów IP figurujących na liście IP Block List będą natomiast odrzucane bez żadnej oceny reputacji nadawcy. Rysunek 3 pokazuje ustawienia ochrony dla programu FSE, filtrującego spam na podstawie połączeń.
.gif)
Rysunek 3: Filtrowanie spamu na podstawie połączenia.
Content Filtering (Filtrowanie treści) Po przejściu wiadomości e-mail przez filtr połączeń programu FSE zostaje ona poddana drugiej ocenie antyspamowej, opartej na treści wiadomości. Program FSE zawiera motor antyspamowy, który należy do jednych z najlepszych rozwiązań oferowanych na rynku przez niezależnych producentów oprogramowania. Po włączeniu funkcji filtrowania treści program FSE przypisuje każdej skanowanej wiadomości wartość określającą prawdopodobieństwo, że dana wiadomość nie jest spamem (Spam Confidence Level - Poziom zaufania, że wiadomość nie jest spamem). Na podstawie wartości poziomu zaufania przedsiębiorstwo może usuwać wiadomości e-mail, kierować je do kwarantanny lub tylko oznaczać wartością tego poziomu i dostarczać do skrzynki pocztowej odbiorcy, w której trafi ona do folderu Wiadomości śmieci.
Konsola administracyjna programu FSE pozwala określić kilka różnych rodzajów filtrów treści. Na rysunku 4 pokazane zostało okno, które otrzymamy po wskazaniu zasady filtrowania plików, pozwalającej przedsiębiorstwu na blokowanie wiadomości e-mail zawierających określone rodzaje plików. Aby uniknąć niebezpieczeństwa związanego z możliwością zmiany rozszerzenia w nazwie pliku, program FSE określa typ pliku na podstawie inspekcji binarnej zawartości pliku, a nie na podstawie jego nazwy. Tak więc, jeśli przedsiębiorstwo wprowadzi zasadę zabraniającą wymieniania się za pomocą poczty elektronicznej plikami wykonywalnymi, to program FSE będzie blokował pliki wykonywalne, nawet jeśli nadawca spróbuje ominąć to ograniczanie zmieniając nazwę pliku np. na ToNieJestPlikWykonywalny.txt. Oprócz filtrowania typów plików, program FSE może również blokować pliki w oparciu o ich nazwę lub w oparciu o kombinację nazwy i typu pliku.
.gif)
Rysunek 4: Konfigurowanie filtru.
Do początku strony
Wyświetlanie rezultatów
Po skonfigurowaniu wszystkich ustawień program FSE będzie działać w tle. Sekcja Monitoring (Monitorowanie) z panelu Navigation (Nawigacja) pozwala na obserwowanie wszystkiego, co dzieje się w programie FSE. Pokazany na rysunku 5 panel Incident (Incydent) zawiera listę wszystkich incydentów związanych z bezpieczeństwem oraz przypadków spełniania kryteriów zasad filtrowania. Konsola administracyjna zawiera również panel Quarantine (Kwarantanna), w którym wyświetlane są wszystkie wiadomości e-mail skierowane przez program FSE do kwarantanny. Panel ten pozwala nie tylko na przeglądanie zablokowanych wiadomości, ale także na dostarczanie wybranych wiadomości znajdujących się w trakcie kwarantanny.
.gif)
Rysunek 5: Wyświetlanie incydentów związanych z bezpieczeństwem.
Do początku strony
Program Windows PowerShell
Program FSE oferuje również nową, rozbudowaną warstwę dla programu Windows PowerShell. Wszystkie ustawienia konfiguracyjne, raporty oraz inne opcje, które są dostępne za pomocą interfejsu użytkownika, są również dostępne za pomocą tej warstwy. Przystawka programu FSE PowershellSnapIn jest dostępna w grupie Forefront Management Shell . Listę dostępnych poleceń programu PowerShell związanych z programem FSE można uzyskać wykonując następujące polecenie:
Get-Help *FSE*
Jednym z najbardziej użytecznych aspektów korzystania z programu Windows PowerShell jest możliwość łatwego przeniesienia ustawień konfiguracyjnych programu FSE z jednego serwera na drugi. Po skonfigurowaniu jednego serwera można eksportować jego ustawienia przy pomocy polecenia Export-FSESettings, a następnie importować je na innym serwerze przy pomocy polecenia Import-FSESettings.
Do początku strony
Podsumowanie
W tym artykule pokazane zostały niektóre z możliwości oferowanych przez następną generację oprogramowania Forefront Security for Exchange Server. Dzięki dostępności kilku motorów skanujących oraz funkcjonalności filtrowania, produkt ten chroni wiadomości e-mail, pozwalając jednocześnie na uwzględnianie kwestii związanych z wydajnością. Możliwe jest także konfigurowanie i zarządzanie działaniem programu FSE, stosownie do własnych preferencji, za pomocą konsoli administracyjnej albo za pomocą programu Windows PowerShell. Mam nadzieję, że tym artykułem zachęciłam Czytelników do samodzielnego wypróbowania możliwości programu FSE.
O autorze
Neetu Rajpal jest kierowniczką grupy programistów (Group Program Manager) z zespołu Forefront Sever Security i pracującego w Hauppauge, w stanie Nowy York. Ma ponad 13-letnie doświadczenie jako programistka i uwielbia tworzyć doskonałe oprogramowanie. Swoją karierę zawodową zaczynała od pracy związanej z formatem XML, a obecnie zajmuje się oprogramowaniem zabezpieczającym przeznaczonym dla serwerów.
| Do początku strony |