Всё о о Microsoft Exchange Server и электронной почте.

Думаете защитились? Проверьте безопасность своего почтового сервера

Читал я тут на днях Интернет, много думал … и вычитал, что дескать MailSecurity у GFI полная ерунда.  И вспомнилась мне одна давняя история про этот MailSecurity, после которой наша компания купила сей продукт, правда потом от него отказались. Но аргумент для покупки был отличный.  Дело было так…

       Помните, что перед покупкой арбуза всегда лучше посмотреть что у него внутри или хотя бы посмотреть на его разрезанного собрата из этой же партии.

       В свое время я наткнулся на любопытный тест на сайте GFI. Заключается он в том, что Вы получаете штук 20 сообщеьний с различными эксплойтами и вирусами. Вернее они все безопасны, только после прочтения сообщений у Вас вдруг запускается notepad с каким-нибудь текстовым файлом.

         После того,  как я увидел у себя на экране парочку несанкционированных действий, то мы купили у GFI MailSecurity, который нам эти гадости вырезал. Правда он еще и русский текст корежил, но это ерунда, мы нашли другие решения и забыли про GFI MailSecurity.

Сегодня я протестировал свою систему опять. Писем пришло много, все гадости были вырезаны или  заблокированы. Что же приятно. Если интересно, протестируйте свою  почтовую систему. Много notepadов откроется? 🙂

           Хотя есть у меня подозрение, что все эти эксплойты были основаны на дырках в IE и Outlook старых версий. В последних версиях программного обеспечения дырок меньше или просто GFI про них пока не знает 🙂

Похожие посты:

  • http://www.samarasoft.ru Oleg Krylov

    Паш, GFI оооочень инертная контора. Мы с ними бодаемся регулярно, вышел новый движок Каспера, они его используют в MailSec. Спрашиваем: «Когда обновление движка будет?» Ответ: «Вы знаете, нам нужно протестировать его возможности, его алгоритмы поиска и т.п.» Прошло почти полгода — движок старый. Мало того, Каспер обновляет базы раз в час\раз в полчаса. В продуктах GFI, а это не только MailSec, базы двухнедельной давности. Вот такие пирожки 🙁

  • http://www.samarasoft.ru Oleg Krylov

    В тему наверное: Но GFI Mail Essential, как партнер использую версию 14, считаю ЛУЧШИМ продуктом для борьбы со спамом, после Hosted Services.

  • http://komatozo.blogspot.com Alexander Trofimov

    Похоже, основанные опасения. Один из них существует только под Outlook 2000, как я понял. В общем ко мне ни одного живого эксплойта просто не пришло.
    Защищаюсь я, правда, не GFI.
    P.S. Кстати, Паш, GFI в другой раскладке посмотри — похоже, что это сутьпа 😉

  • http://www.buldakov.ru Stanislav Buldakov

    У GFI ME есть большой минус — он непредсказуемо ведёт себя с письмами на кириллице. Стоял у меня прошлогодний билд. Всё вроде нормально было. Решил обновиться на свою голову. В итоге письма на кириллице, помечаемые GFI ME, в нечитабельном виде. Пока единственное, что было предложено с их стороны — обновится до 14 версии и, если проблема не решится — откатиться на прошлогоднюю рабочую. Чуствую, что в следующем году их подписку мы проблевать не будем.

  • http://www.samarasoft.ru Oleg Krylov

    В версии 64-бит кодировки корректные.

  • http://www.exchangerus.ru Pavel Nagaev

    Мы съехали с GFI по двум причинам: кодировки и отказ от поддержки русского языка(давно это было), второе — это счет за поддержку. У нас был полугодичный перерыв, когда мы не платили, нам засчитали, что мы пользовались GFI, но базы при этом не обновлялись.
    После таких финтов ушами мы на них забили.

  • http://www.adhard.ru Michael Evseev

    Ни одного нотепада не выскочило :))) Хотя письма вроде пришли, часть блокировал сам Утглюк, остальные вложения вырезал сервер.

  • Vladislav Artukov

    «У нас был полугодичный перерыв, когда мы не платили, нам засчитали, что мы пользовались GFI, но базы при этом не обновлялись.»

    Подписка на Kerio Mail Server продляется на таких же условиях. Так что GFI не одинока в стремлении откусить побольше баблос.

  • http://www.exchangerus.ru Pavel Nagaev

    Это хорошо, что не выскочило. У меня есть подозрения, что тесты просто устарели и баги, на которых они работали, закрыты.
    Эту страничку с «морды» сайта сейчас не найти 🙂

    По поводу подписки. Было бы не так обидно, если бы обновления работали и мы действительно ее получали. А так ведь не честно получается, а у них ответ один. Согласно нашим правилам…. козлы в общем.

  • Алексей

    Хм… Forefront for exchange покрошил все файлики как капусту и даже не напрягся:-) , оставил только записи вида:
    ФАЙЛ НА КАРАНТИНЕ
    Microsoft Forefront Security для Exchange Server удалила зараженный вирусом файл.
    Имя файла: «viewthis.hta.»
    Имя вируса: «Troj/GFI-A»

  • http://www.exchangerus.ru Pavel Nagaev

    Ну правильно, так и должно быть.

  • agorby

    А условия испытаний?
    Мы, когда по причине безобразия, сотворённого Нацбанком Беларуси, не смогли пролонгировать подписку на eTrust, были без антивирусников вообще! И к чести Windows XP, работающего в режиме «пользователя», ни одна гадость не прицепилась за продолжительное время! При всём, что почтовое отделение находилось и находится у здешнего госмонополиста, который не гасит ни спам, ни вирусы, а контора публичная: единственный частный ТВ-канал и «добра» этого ежедневно — мешками!

  • agorby

    Это я на тему, что Майкрософт прибавили на порядок!

  • Krivoshein Alexander

    Детские тесты 🙂 Все повырезано
    Не пользуемся ни касперским ни тем более GFI’ем — IronPort Рулит 🙂 

  • http://www.exchangerus.ru Pavel Nagaev

    IronPort меня тоже как-то трамбовали. У них внутри железяк что стоит? Cвоя разработка? Cпам режет?

  • Krivoshein Alexander

    Если честно, то как продуктом IP, так и его поддержкой крайне доволен — поддержка Российскими партнерами IP и сертифецированными специалистами — отвечают быстро и квалифицированно. Внутри железяки стоит ОС их собственной разработки AsyncOS — основана на FeeBSD. Спам режит потрясающе, производительность отличная. Тствировали eSafe, Symantec, TrendMicro IMSS 7.0 — IP оказался лучше. От TM IMSS7 (Software) остались плохие впечатления — ему нужна КУЧА патчей чтобы он работал причем очередной патч лечит одно ломая другое едитственный плюс — конфигурируется ОЧЕНЬ просто мне хватало минут 10 🙂 eSafe (железка) — очень мутный в настройке: одни и теже настройки по классификации расположены в разных разделах и разных частях меню (да и само меню очень запутанно). Symantec (железка) — им не повезло, тестировался в паре с IP — проиграл по всем статьям :). IP есть интересные технологии типо нулевого обнаружения вторжений — уже успела себя показать в реальных условиях. В настройке IP не очень прост, но по своему интересен в этом плане, если проникнуться его философией, то начинаешь понимать всю суть.

  • http://www.exchangerus.ru Pavel Nagaev

    «Спам режит потрясающе» — а как на счет ложных срабатываний?

    «если проникнуться его философией, то начинаешь понимать всю суть.» сильно сказано 🙂

  • Krivoshein Alexander

    По поводу ложных срабатываний — скорее всего они есть как и в любой системе, к сожалению, пока малый период эксплуатации не позволяет ответить мне на этот вопрос, но заявки по этому поводу исчезли (это, конечно, не показатель, но уже хороший результат т.к. раньше подобные заявки поступали часто). Бывает пропускает спам (очень маленький процент) — это я подлавливал (было несколько заявок), но там сообщения были очень не похожи на спам. Кстати у IP есть утилита которая встраивается в Outlook и если сообщение помечено ложно или не помечено как спам, то можно жмакнуть кнопочку (спам, не спам) и результат уйдет в IP для анализа — пока не тестил т.к. не было надобности (да и времени :)). Философия… наверное по другому не скажешь :)))) Просто когда я начал разбираться с настройками IP, то после относительно «плоской» структуры настроек IMSS7 было немного не понятно, что делать дальше :)))

  • Kashuro KV

    Поддерживаю насчет АйронПорта. Сейчас в тестовой эксплуатации — не жизнь, а песня! Убивает более 90% спама. Причем на уровне соединений. Расходы на траффик сократились в разы. Может мое сообщение слишком уж эмоционально, но такого результата не ожидали. Единственная заковыка — пока не испытали модуль борьбы с графическим спамом.

  • http://www.exchangerus.ru Pavel Nagaev

    Надо же, ну что, очень хорошо, что есть такое хорошее решение, нужно будет почитать о нем поподробнее.

  • http://www.exchangerus.ru Pavel Nagaev

    Вот интересно, Reputation Filtering ловит 96,8% спама. Как он у них работает? Ведут свои RBL?

    А также пока нет информации про ложные срабатывания.

  • Krivoshein Alexander

    Да, вы мне, кстати, напомнили и про трафик — сократился с 30Gb/сутки на каждый шлюз до 6-8Gb/сутки mx10 и 600-900Mb/сутки mx20
    При начале эксплуатации показатель Stopped by Reputation Filtering был 8M в стуки за месяц этот показатель снизился до 2.8M-3.2M т.е. спамеры поняли, что сюда ходить теперь не стоит — лавочка прекрыта 🙂
    Статистика с mx10 — период неделя.
    Stopped by Reputation Filtering 96.8%  16.1M 
    Stopped as Invalid Recipients  2.0%  333.1k 
    Spam Detected 0.6%  98.9k 
    Virus Detected 0.0%  34 
    Stopped by Content Filter 0.0%  0 
    Total Threat Messages:  99.4%  16.5M 
    Clean Messages 0.6%  94.1k 
    Статистика с mx20 — период неделя.
    Stopped by Reputation Filtering  97.9%  15.0M 
    Stopped as Invalid Recipients 1.6%  240.3k 
    Spam Detected 0.5%  77.6k 
    Virus Detected 0.0%  736 
    Stopped by Content Filter 0.0%  0 
    Total Threat Messages:  100.0%  15.3M 
    Clean Messages 0.0%  3,932 
    Total Attempted Messages:   15.3M
    Средний показатель остановленной пакости 99.7% (в начале эксплуатации было 99.9%)

  • Krivoshein Alexander

    Что-то типо того. http://www.senderbase.org/ Репутация строится на основе поинтов которые они строят по своим алгоритмам, а на устройстве уже настраиваются политики на основе данных поинтов — подкручивал эти поинты в политиках когда обрабатывал напильником конфигурацию. Т.е. есть возможность даже подкрутить жесткость фильтрации по репутации, в то время как в других продуктах есть только две настройки — принимать или нет.
    Павел, если интересно могу скинуть «рекламку» (RU), где коротко описываются используемые технологии и, если интересно, документацию по последней версии AsyncOS (EN) Мой Ёмаил у вас вроде как засветился.

  • http://devhelp.ru zetrix

    Протестировался.
    Стоит KIS 7.
    Из 20 писем, во время приёма у 19 было удалено вложение. У оставшегося письма пытался сохранить/запустить вложение… Каспер визжал и сопротивлялся. Вообщем обнаружено так или иначе всё.
    Тестик наверное уже устарел.

  • Oleg Iliukhin

    Добрый вечер.
    А как у IP с управлением в масштабах Enterprise?
    Централизованные конфигурация, накатка апдейтов, управление лицензиями для большого количества хостов?
    Что-то вроде Control Manager у TM?
    Русский спам, поддержка кодировок в контент-фильтрах?
    Есть ли практический опыт, коллеги?

  • Rept-Tile

    А у меня такой вопрос по поводу самого Callback.
    У меня SMTP Outbound gateway и MX — это две разные, слабо связанные между собой системы. И первый отшибает все соединения извне по 25-му порту.
    Какие мысли по этому поводу? Были где-нибудь уже дискуссии? (Сорри, новенький я на этом ресурсе, а со временем жесткая напряженка. 🙂