Сервер сообщений MDaemon 24.0

 

Outbreak Protection (OP) доступен в меню "Безопасность" в интерфейсе MDaemon (Безопасность » Outbreak protection..., или Ctrl+Shift+1). Эта революционная технология для борьбы со спамом, вирусами и фишингом в реальном масштабе времени, способна обеспечить защиту почтовой инфраструктуры MDaemon в автоматическом режиме уже через несколько минут после начала эпидемии.

Система Outbreak Protection является полностью агностической по отношению к содержанию, что означает, что в этой технологии не используется строгий лексический анализ содержимого сообщений. Следовательно, оказываются ненужными эвристические правила, фильтрация содержания и обновления вирусных сигнатур. Более того, это значит, что данную технологию не обмануть добавлением затравочного текста (seed text), хитроумных изменений в написании слов, приемов социального инжиниринга, языковых барьеров или различий в кодировке. Вместо всего этого, технология OP полагается на технологии Recurrent Pattern Detection и Zero-hour. В основе этих разработок лежит математический анализ структуры сообщений и характеристик распространения сообщений по SMTP – они анализируют "паттерны" ("patterns" – шаблоны, образцы), связанные с передачей электронной почты, а затем сравнивает их с такими же "паттернами", собранными из миллионов электронных писем по всему миру, которые анализируются и сравниваются в реальном времени. Примечание: OP никогда не передает действительное содержание сообщений, извлечение содержимого из изучаемых паттернов также невозможно.

Поскольку анализ писем ведется по всему миру в режиме реального времени, защита включается всего за несколько минут — а иногда и секунд — после зарождения новой эпидемии. Поскольку сообщения анализируются по всему миру в режиме реального времени, защита обеспечивается в течение нескольких минут, а зачастую и секунд, после новой вспышки. В рамках этого интервала серверы, не защищенные технологией Outbreak Protection, оказываются уязвимыми перед данной конкретной эпидемией. Точно так же дела обстоят и со спамом – часто анализ спама и создание корректных правил фильтрации отнимают довольно много времени и сил, пока этот спам можно будет распознавать с помощью традиционных эвристических систем и систем анализа содержания.

Аналогичным образом, для спам-сообщений часто требуется время и усилия для анализа спама и создания правил безопасной фильтрации, прежде чем он будет распознан традиционными эвристическими и контент-ориентированными системами. Фактически OP предоставляет дополнительный уровень защиты в дополнение к существующим эвристическим, сигнатурным и контент-аналитическим инструментам, реализованным в MDaemon. Если говорить более точно, технология OP призвана ускорить блокирование крупномасштабных эпидемий, а не бороться со старыми, уникальными или особым образом нацеленными рассылками, которые гораздо удобнее блокировать с помощью традиционных средств.

 

Outbreak Protection

Включить Outbreak Protection

Включите эту опцию, чтобы разрешить использование технологии Outbreak Protection на своем сервере. Установите этот флажок, чтобы включить защиту от эпидемий для вашего сервера. Остальные опции в этом диалоге используются для того, чтобы определить, чтоб делать с сообщениями, которые идентифицированы, как часть эпидемии, и назначить отправителей, которые будут исключены из сферы контроля OP.

Вирусы следует...

блокировать в реальном времени

Включите эту опцию, если хотите блокировать сообщения во время обработки SMTP-сеанса, если OP определил, что эти сообщения являются частью вирусной эпидемии. Такие сообщения не будут помещены в карантин или доставлены своим адресатам — сервер просто отклонит их.

помещать в карантин

Включите эту опцию, если хотите все же принимать сообщения, которые OP идентифицировал, как часть вирусной эпидемии. Хотя такие сообщения не будут отклонены сервером, все равно они будут изолированы в карантине, а не доставлены прямым адресатам. Изолированные сообщения помещаются специальную карантинную папку.

Спам следует...

блокировать в реальном времени

Включите эту опцию, если хотите блокировать сообщения во время обработки SMTP-сеанса, если OP установил, что эти сообщения являются частью эпидемии спама или фишинга. Такие сообщения не будут помечены как спам и доставлены своим адресатам — сервер просто отклонит их. Сообщения, которые модуль классифицировал, как "массовые рассылки" ("bulk"), не будут блокированы этой опцией, пока вы не включите ниже опциюПри блокировании спама также блокировать почту, классифицированную, как массовые рассылки. Сообщения, которые модуль OP классифицировал, как "массовые рассылки" ("bulk"), могут на самом деле принадлежать некоторым очень крупным спискам рассылки, либо к иному широко распространяемому контенту, так что вы можете рассматривать такие типы сообщений их в качестве спама, а можете не делать этого. Именно по этой причине сообщения такого типа обычно не следует блокировать в модуле OP или повышать их спам-рейтинг.

принимать для фильтрации

Включите эту опцию, если хотите принять сообщения, которые OP подозревает или идентифицирует, как эпидемию спама, тогда эти письма будут далее обработаны спам-фильтром и фильтром содержания. Такие сообщения не будут блокироваться модулем OP, но их спам-рейтинг будет скорректирован согласно значению опцииРейтинг.

Рейтинг

При использовании опции "принимать для фильтрации" указанное в этом поле значение будет прибавляться к спам-рейтингу сообщения в фильтре спама, если OP заподозрит, что данное сообщение является частью эпидемии спама.

IWF-содержание

Описанные далее настройки применяются к содержанию, которое фонд IWF (Internet Watch Foundation) определил, как относящееся к издевательствам над детьми (т.е. сайты с детской порнографией). Это дает модулю OP возможность использовать встроенный список адресов URL, предоставленный фондом IWF, для идентификации и маркировки сообщений со ссылками на такого рода содержание. Фонд IWF работает, как независимая "горячая линия" в Интернете, собирая и распространяя информацию о потенциально незаконном содержании, в том числе о содержании с издевательствами над детьми, в какой бы точке мира оно не размещалось. Этот фонд сотрудничает с полицией, органами власти, с Интернет-индустрией в целом, а также с общественными организациями, ведя борьбу с доступностью противозаконного содержания. Поддерживаемый фондом список сайтов ежедневно пополняется новыми сайтами, размещающими изображения с насилием над детьми.

Многие организации вводят внутренние положения режима, регулирующие отправку и получение сотрудниками различного содержания по электронной почте, особенно в отношении непристойных и противозаконных материалов. Вдобавок к этому, многие страны вообще поставили вне закона пересылку такого содержания. Данная функция поможет вам гарантировать соблюдение законодательных требований.

Доп. информацию о фонде IWF см. по адресу:

http://www.iwf.org.uk/

IFW-контент следует...

блокировать в реальном времени

Включите эту опцию, чтобы блокировать входящие сообщения в ходе обработки SMTP-сессии, если в этих сообщениях присутствуют ссылки на сообщенные фондом IWF ресурсы.

принимать для фильтрации

Включите эту опцию, чтобы повышать спам-рейтинг входящих сообщений, а не отклонять их, если в этих сообщениях присутствуют ссылки на сообщенные фондом IWF ресурсы. Спам-рейтинг будет увеличен на значение, указанное в полеРейтинг.

Рейтинг

Если приведенная выше опция " принимать для фильтрации", тогда указанное в этом поле значение будет прибавляться к спам-рейтингу сообщения в Фильтре спама, если в сообщении будут обнаружены ссылки на сообщенные фондом IWF ресурсы.

При блокировании спама также блокировать почту, классифицированную, как массовые рассылки

Иногде OP определяет некоторые письма, как возможный спам, хотя они не были присланы от известного спамера или бот-сети, как иногда бывает при организации массовых рассылок рекламы и других сообщений. OP классифицирует сообщения такого типа, как "Spam (bulk)" вместо"Spam (confirmed) – подтвержденный спам". Включите эту опцию, если хотите использовать средства блокировки спама в модуле OP еще и к письмам, помеченным как "Spam (bulk)" (массовые рассылки). Когда эта опция отключена, средства модуля OP для блокировки спама действуют только в отношении почты с пометкой"Spam (confirmed) – подтвержденный спам" (подтвержденный спам). Если вы принимаете такого рода спам на дальнейшую обработку, что может быть необходимо для узлов, которые хотят получать массовые рассылки, но по какой-либо причине не могут, то в этом случае следует создать разрешенный список источников или получателей.

Фиксировать ход обработки в журнале работы модулей MDaemon

Включите эту опцию, если хотите фиксировать все операции OP в файле журнала работы подключаемых модулей MDaemon.

Исключения

Авторизованные SMTP-сессии исключаются из обработки OP

Если эта опция включена, OP не будет обрабатывать авторизованные SMTP-сессии. Это значит, что сообщения, отправленные в ходе такой сессии, не будут подвергаться проверкам со стороны модуля Outbreak Protection.

SMTP-сессии с разрешенных IP исключаются из обработки OP

Включите эту опцию, если хотите исключить доверенные IP-адреса из проверки модулем Outbreak Protection — сообщения, поступающие от сервера с разрешенным IP-адресом, не будут проходить проверку модулем OP.

Почта, прошедшая проверку SPF/DKIM, исключается из обработки OP

Включите эту опцию, чтобы исключать сообщения из обработки в модуле OP, если эти сообщения пришли с доменов изОдобренный список и успешно прошли проверку по SPF или DKIM.

Адреса разрешенных списков спам-ловушки и спам-фильтра исключаются из обработки OP

Включите эту опцию, если вы хотите исключитьСпам-ловушки и фильтр спама из Outbreak Protection. Разрешенный список действует для адресов получателя, то есть для значения параметра RCPT, выдаваемого в ходе SMTP-сессии. Разрешенный список (по отправителю) действует для адресов отправителя, то есть для значения параметра MAIL, выдаваемого в ходе SMTP-сессии. Эти операции не работают со значениями в заголовках писем.

Ложные срабатывания и ложные пропуски

Ложные срабатывания (False positive), то есть неверная идентификация совершенно легального сообщения, как части эпидемии, должны происходить редко, а лучше никогда. Тем не менее, если ложное срабатывание все же произошло, вы можете отправить такое сообщение нам по адресуspamfp@mdaemon.com для случаев ложного срабатывания на спам/фишинг, либо по адресуvirusfp@mdaemon.com для случаев ложного срабатывания на вирусы, чтобы мы могли использовать ваши случаи для анализа и совершенствования технологий обнаружения и идентификации угроз.

Случаи ложных несрабатываний (False negative), или классификации сообщения, как не имеющего отношения к эпидемии, хотя оно является спамом или частью атаки, происходят намного чаще, чем ложные срабатывания. Ложноотрицательные результаты или классификация сообщения как не являющегося частью вспышки, хотя оно по-прежнему является спамом или атакой, случаются чаще, чем ложноположительные. Старые сообщения, целевые сообщения и их аналоги, непричастные к развивающимся в текущий момент эпидемиям, вполне могут пройти проверку модуля OP. Такие типы сообщений должны быть перехвачены другими средствами антивируса и пакета MDaemon в ходе дальнейшего процесса обработки. Тем не менее, если ложное срабатывание все же произошло, вы можете отправить такое сообщение нам по адресуspamfp@mdaemon.com для случаев ложного срабатывания на спам/фишинг, либо по адресуvirusfp@mdaemon.com для случаев ложного срабатывания на вирусы, чтобы мы могли использовать ваши случаи для анализа и совершенствования технологий обнаружения и идентификации угроз.

Отправляя нам неправильно классифицированные сообщения, отправляйте исходные сообщения в виде MIME-вложения к электронному письму, но не путем пересылки (forward). В ином случае, заголовки и другие критически важные для классификации сведения будут утрачены.