Этот блог посвящен MS Exchange, Outlook и проблемам, связанным с электронной почтой

Думаете защитились? Проверьте безопасность своего почтового сервера

Читал я тут на днях Интернет, много думал … и вычитал, что дескать MailSecurity у GFI полная ерунда.  И вспомнилась мне одна давняя история про этот MailSecurity, после которой наша компания купила сей продукт, правда потом от него отказались. Но аргумент для покупки был отличный.  Дело было так…

       Помните, что перед покупкой арбуза всегда лучше посмотреть что у него внутри или хотя бы посмотреть на его разрезанного собрата из этой же партии.

       В свое время я наткнулся на любопытный тест на сайте GFI. Заключается он в том, что Вы получаете штук 20 сообщеьний с различными эксплойтами и вирусами. Вернее они все безопасны, только после прочтения сообщений у Вас вдруг запускается notepad с каким-нибудь текстовым файлом.

         После того,  как я увидел у себя на экране парочку несанкционированных действий, то мы купили у GFI MailSecurity, который нам эти гадости вырезал. Правда он еще и русский текст корежил, но это ерунда, мы нашли другие решения и забыли про GFI MailSecurity.

Сегодня я протестировал свою систему опять. Писем пришло много, все гадости были вырезаны или  заблокированы. Что же приятно. Если интересно, протестируйте свою  почтовую систему. Много notepadов откроется? :-)

           Хотя есть у меня подозрение, что все эти эксплойты были основаны на дырках в IE и Outlook старых версий. В последних версиях программного обеспечения дырок меньше или просто GFI про них пока не знает :-)

Похожие посты:

clock 10 Октябрь 2008, 15:50 comment Комментариев: 26



Комментариев: 26 к “Думаете защитились? Проверьте безопасность своего почтового сервера”

  1. Oleg Krylov:
    10 Октябрь 10, 2008 г. в 16:45

    Паш, GFI оооочень инертная контора. Мы с ними бодаемся регулярно, вышел новый движок Каспера, они его используют в MailSec. Спрашиваем: «Когда обновление движка будет?» Ответ: «Вы знаете, нам нужно протестировать его возможности, его алгоритмы поиска и т.п.» Прошло почти полгода — движок старый. Мало того, Каспер обновляет базы раз в час\раз в полчаса. В продуктах GFI, а это не только MailSec, базы двухнедельной давности. Вот такие пирожки :(


  2. Oleg Krylov:
    10 Октябрь 10, 2008 г. в 16:49

    В тему наверное: Но GFI Mail Essential, как партнер использую версию 14, считаю ЛУЧШИМ продуктом для борьбы со спамом, после Hosted Services.


  3. Alexander Trofimov:
    10 Октябрь 10, 2008 г. в 16:52

    Похоже, основанные опасения. Один из них существует только под Outlook 2000, как я понял. В общем ко мне ни одного живого эксплойта просто не пришло.
    Защищаюсь я, правда, не GFI.
    P.S. Кстати, Паш, GFI в другой раскладке посмотри — похоже, что это сутьпа ;)


  4. Stanislav Buldakov:
    12 Октябрь 12, 2008 г. в 18:36

    У GFI ME есть большой минус — он непредсказуемо ведёт себя с письмами на кириллице. Стоял у меня прошлогодний билд. Всё вроде нормально было. Решил обновиться на свою голову. В итоге письма на кириллице, помечаемые GFI ME, в нечитабельном виде. Пока единственное, что было предложено с их стороны — обновится до 14 версии и, если проблема не решится — откатиться на прошлогоднюю рабочую. Чуствую, что в следующем году их подписку мы проблевать не будем.


  5. Oleg Krylov:
    13 Октябрь 13, 2008 г. в 08:50

    В версии 64-бит кодировки корректные.


  6. Pavel Nagaev:
    13 Октябрь 13, 2008 г. в 09:07

    Мы съехали с GFI по двум причинам: кодировки и отказ от поддержки русского языка(давно это было), второе — это счет за поддержку. У нас был полугодичный перерыв, когда мы не платили, нам засчитали, что мы пользовались GFI, но базы при этом не обновлялись.
    После таких финтов ушами мы на них забили.


  7. Michael Evseev:
    13 Октябрь 13, 2008 г. в 10:33

    Ни одного нотепада не выскочило :) )) Хотя письма вроде пришли, часть блокировал сам Утглюк, остальные вложения вырезал сервер.


  8. Vladislav Artukov:
    13 Октябрь 13, 2008 г. в 10:53

    «У нас был полугодичный перерыв, когда мы не платили, нам засчитали, что мы пользовались GFI, но базы при этом не обновлялись.»

    Подписка на Kerio Mail Server продляется на таких же условиях. Так что GFI не одинока в стремлении откусить побольше баблос.


  9. Pavel Nagaev:
    14 Октябрь 14, 2008 г. в 08:22

    Это хорошо, что не выскочило. У меня есть подозрения, что тесты просто устарели и баги, на которых они работали, закрыты.
    Эту страничку с «морды» сайта сейчас не найти :-)

    По поводу подписки. Было бы не так обидно, если бы обновления работали и мы действительно ее получали. А так ведь не честно получается, а у них ответ один. Согласно нашим правилам…. козлы в общем.


  10. Алексей:
    14 Октябрь 14, 2008 г. в 13:38

    Хм… Forefront for exchange покрошил все файлики как капусту и даже не напрягся:-) , оставил только записи вида:
    ФАЙЛ НА КАРАНТИНЕ
    Microsoft Forefront Security для Exchange Server удалила зараженный вирусом файл.
    Имя файла: «viewthis.hta.»
    Имя вируса: «Troj/GFI-A»


  11. Pavel Nagaev:
    15 Октябрь 15, 2008 г. в 08:49

    Ну правильно, так и должно быть.


  12. agorby:
    15 Октябрь 15, 2008 г. в 10:59

    А условия испытаний?
    Мы, когда по причине безобразия, сотворённого Нацбанком Беларуси, не смогли пролонгировать подписку на eTrust, были без антивирусников вообще! И к чести Windows XP, работающего в режиме «пользователя», ни одна гадость не прицепилась за продолжительное время! При всём, что почтовое отделение находилось и находится у здешнего госмонополиста, который не гасит ни спам, ни вирусы, а контора публичная: единственный частный ТВ-канал и «добра» этого ежедневно — мешками!


  13. agorby:
    15 Октябрь 15, 2008 г. в 11:06

    Это я на тему, что Майкрософт прибавили на порядок!


  14. Krivoshein Alexander:
    15 Октябрь 15, 2008 г. в 18:44

    Детские тесты :) Все повырезано
    Не пользуемся ни касперским ни тем более GFI’ем - IronPort Рулит :)  


  15. Pavel Nagaev:
    15 Октябрь 15, 2008 г. в 21:02

    IronPort меня тоже как-то трамбовали. У них внутри железяк что стоит? Cвоя разработка? Cпам режет?


  16. Krivoshein Alexander:
    17 Октябрь 17, 2008 г. в 14:01

    Если честно, то как продуктом IP, так и его поддержкой крайне доволен — поддержка Российскими партнерами IP и сертифецированными специалистами — отвечают быстро и квалифицированно. Внутри железяки стоит ОС их собственной разработки AsyncOS — основана на FeeBSD. Спам режит потрясающе, производительность отличная. Тствировали eSafe, Symantec, TrendMicro IMSS 7.0 — IP оказался лучше. От TM IMSS7 (Software) остались плохие впечатления — ему нужна КУЧА патчей чтобы он работал причем очередной патч лечит одно ломая другое едитственный плюс — конфигурируется ОЧЕНЬ просто мне хватало минут 10 :) eSafe (железка) — очень мутный в настройке: одни и теже настройки по классификации расположены в разных разделах и разных частях меню (да и само меню очень запутанно). Symantec (железка) — им не повезло, тестировался в паре с IP — проиграл по всем статьям :) . IP есть интересные технологии типо нулевого обнаружения вторжений — уже успела себя показать в реальных условиях. В настройке IP не очень прост, но по своему интересен в этом плане, если проникнуться его философией, то начинаешь понимать всю суть.


  17. Pavel Nagaev:
    17 Октябрь 17, 2008 г. в 15:33

    «Спам режит потрясающе» — а как на счет ложных срабатываний?

    «если проникнуться его философией, то начинаешь понимать всю суть.» сильно сказано :-)


  18. Krivoshein Alexander:
    17 Октябрь 17, 2008 г. в 16:21

    По поводу ложных срабатываний — скорее всего они есть как и в любой системе, к сожалению, пока малый период эксплуатации не позволяет ответить мне на этот вопрос, но заявки по этому поводу исчезли (это, конечно, не показатель, но уже хороший результат т.к. раньше подобные заявки поступали часто). Бывает пропускает спам (очень маленький процент) - это я подлавливал (было несколько заявок), но там сообщения были очень не похожи на спам. Кстати у IP есть утилита которая встраивается в Outlook и если сообщение помечено ложно или не помечено как спам, то можно жмакнуть кнопочку (спам, не спам) и результат уйдет в IP для анализа — пока не тестил т.к. не было надобности (да и времени :) ). Философия… наверное по другому не скажешь :) ))) Просто когда я начал разбираться с настройками IP, то после относительно «плоской» структуры настроек IMSS7 было немного не понятно, что делать дальше :) ))


  19. Kashuro KV:
    18 Октябрь 18, 2008 г. в 21:15

    Поддерживаю насчет АйронПорта. Сейчас в тестовой эксплуатации — не жизнь, а песня! Убивает более 90% спама. Причем на уровне соединений. Расходы на траффик сократились в разы. Может мое сообщение слишком уж эмоционально, но такого результата не ожидали. Единственная заковыка — пока не испытали модуль борьбы с графическим спамом.


  20. Pavel Nagaev:
    20 Октябрь 20, 2008 г. в 12:32

    Надо же, ну что, очень хорошо, что есть такое хорошее решение, нужно будет почитать о нем поподробнее.


  21. Pavel Nagaev:
    20 Октябрь 20, 2008 г. в 15:57

    Вот интересно, Reputation Filtering ловит 96,8% спама. Как он у них работает? Ведут свои RBL?

    А также пока нет информации про ложные срабатывания.


  22. Krivoshein Alexander:
    20 Октябрь 20, 2008 г. в 15:53

    Да, вы мне, кстати, напомнили и про трафик — сократился с 30Gb/сутки на каждый шлюз до 6-8Gb/сутки mx10 и 600-900Mb/сутки mx20
    При начале эксплуатации показатель Stopped by Reputation Filtering был 8M в стуки за месяц этот показатель снизился до 2.8M-3.2M т.е. спамеры поняли, что сюда ходить теперь не стоит — лавочка прекрыта :)
    Статистика с mx10 — период неделя.
    Stopped by Reputation Filtering 96.8%  16.1M 
    Stopped as Invalid Recipients  2.0%  333.1k 
    Spam Detected 0.6%  98.9k 
    Virus Detected 0.0%  34 
    Stopped by Content Filter 0.0%  0 
    Total Threat Messages:  99.4%  16.5M 
    Clean Messages 0.6%  94.1k 
    Статистика с mx20 — период неделя.
    Stopped by Reputation Filtering  97.9%  15.0M 
    Stopped as Invalid Recipients 1.6%  240.3k 
    Spam Detected 0.5%  77.6k 
    Virus Detected 0.0%  736 
    Stopped by Content Filter 0.0%  0 
    Total Threat Messages:  100.0%  15.3M 
    Clean Messages 0.0%  3,932 
    Total Attempted Messages:   15.3M
    Средний показатель остановленной пакости 99.7% (в начале эксплуатации было 99.9%)


  23. Krivoshein Alexander:
    20 Октябрь 20, 2008 г. в 17:26

    Что-то типо того. http://www.senderbase.org/ Репутация строится на основе поинтов которые они строят по своим алгоритмам, а на устройстве уже настраиваются политики на основе данных поинтов — подкручивал эти поинты в политиках когда обрабатывал напильником конфигурацию. Т.е. есть возможность даже подкрутить жесткость фильтрации по репутации, в то время как в других продуктах есть только две настройки — принимать или нет.
    Павел, если интересно могу скинуть «рекламку» (RU), где коротко описываются используемые технологии и, если интересно, документацию по последней версии AsyncOS (EN) Мой Ёмаил у вас вроде как засветился.


  24. zetrix:
    25 Октябрь 25, 2008 г. в 16:10

    Протестировался.
    Стоит KIS 7.
    Из 20 писем, во время приёма у 19 было удалено вложение. У оставшегося письма пытался сохранить/запустить вложение… Каспер визжал и сопротивлялся. Вообщем обнаружено так или иначе всё.
    Тестик наверное уже устарел.


  25. Oleg Iliukhin:
    5 Декабрь 5, 2008 г. в 20:21

    Добрый вечер.
    А как у IP с управлением в масштабах Enterprise?
    Централизованные конфигурация, накатка апдейтов, управление лицензиями для большого количества хостов?
    Что-то вроде Control Manager у TM?
    Русский спам, поддержка кодировок в контент-фильтрах?
    Есть ли практический опыт, коллеги?


  26. Rept-Tile:
    11 Декабрь 11, 2008 г. в 12:38

    А у меня такой вопрос по поводу самого Callback.
    У меня SMTP Outbound gateway и MX — это две разные, слабо связанные между собой системы. И первый отшибает все соединения извне по 25-му порту.
    Какие мысли по этому поводу? Были где-нибудь уже дискуссии? (Сорри, новенький я на этом ресурсе, а со временем жесткая напряженка. :)