Всё о о Microsoft Exchange Server и электронной почте.

Онлайн проверка защиты почтовой системы и Forefront Protection 2010 for Exchange Server

Forefront Protection 2010 for Exchange ServerСколько я себя помню,  для защиты входящей почты от вирусов в нашей компании использовался  самый известный в нашей стране продукт, версия под Linux :-).  Сейчас необходимость в этом отпала, т.к. был установлен Forefront Protection 2010 for Exchange Server на все почтовые серверы.  Во время процесса миграции работали оба продукта, но после окончания внедрения FPE мне нужно было убедиться в том, что он действительно фильтрует сообщения, зараженные вирусами и вредоносным кодом. Конечно я проверял это и раньше, анализируя логи и отчеты, проводя тестовую рассылку зараженных файлов и аттачей, просматривая карантин, но нужно было что-то глобальное.

Те, кто давно занимаются электронной почтой, наверняка знают компанию GFI и ее продукты, но об этом отдельный разговор.  У них есть одна очень ценная штука — онлайн тест почтовой системы на вирусы,  нужно просто зайти на сайт и ввести свой адрес электронной почты.  После этого Вы получите e-mail для подтверждения следующих тестов:

o     VBS file vulnerability test
o     CLSID extension vulnerability test
o     MIME header vulnerability test
o     ActiveX vulnerability test
o     Malformed file extension vulnerability test (for Outlook 2002 — XP)
o     CLSID extension vulnerability test (for Outlook 2002 — XP)
o     GFI’s Access exploit vulnerability test
o     Object Codebase vulnerability test
o     Iframe remote vulnerability test
o     Eicar anti-virus test
o     Fragmented Message test
o     Long Subject Attachment Checking Bypass (for Outlook Express 6)
o     Long Subject Attachment Checking Bypass (for Outlook 2000)
o     Attachment with no filename vulnerability test
o     Long Filename vulnerability test
o     Popup Object Exploit vulnerability test
o     Double File extension vulerability test

После подтверждения ваш папка «Входящие» в Microsoft Outlook  будет выглядеть следующим образом.

Одно письмо — один тест.

А теперь начнется самое интересное — нужно открыть сообщения и прочитать описание теста.  Тесты не наносят вред системе, их задача показать работу уязвимостей.

Например, тест «VBS attachment vulnerability test » содержит следующий комментарий:

If this email contains a .vbs attachment, then your mail server has just accepted and sent you a potentially dangerous email! This means it is relying on desktop level security to protect you. You should now try to run the attachment.

что означает, если Вы смогли открыть и запустить приложенный VBS файл, то это явная дырка в безопасности вашей почтовой системе и нужно принимать какие-то меры.

🙂 Forefront Protection 2010 for Exchange Server прошел все эти проверки и вырезал все файлы. В принципе мне этого было достаточно, чтобы успокоиться.

А у вас все в порядке с защитой вашей почтовой системы?  Проверьте и напишите в комментариях, обсудим.

Еще раз публикую ссылку на тест: Онлайн тест почтовой системы на вирусы

p.s. мои коллеги сказали, что спецы компании Microsoft знали про этот тест и специально все подстроили 🙂 Но меня это мало беспокоит, т.к. на протяжении нескольких месяцев я вижу, что FPE свою работу делает очень хорошо и это главное.

Теперь осталось победить проблему с обновлениями для CCR кластера и дождаться выхода средства для группового управления настройками FPE , которого очень не хватает.

Похожие посты:

  • Alexx

    Полезная штука, спасибо за инфу!

  • Fanta

    Линк на тест не рабочий 🙁

  • Stanislav Buldakov

    http://www.msexchange.org/articles_tutorials/exchange-server-2007/security-message-hygiene/using-microsoft-forefront-server-security-management-console-part2.html — вот здесь не про центролизованное ли управление пишут?

    ты когда rss починишь? =)

  • http://www.exchangerus.ru Pavel Nagaev

    Ссылка вот такая: http://www.gfi.com/emailsecuritytest/

    Сейчас буду разбираться почему не сработало. Стас, РСС вроде почЕнил.

    Стас, это именно она, но это консоль от старого форефронта, а для нового пока не сделали, но сделают конечно.

  • AndreyKA

    Тоже использую FF2010 for Ex несколько месяцев и в ус не дую. Тест показал, что полет нормальный. Бывали конечно единичные случаи, что резало нужные письма. Но и с этим разобрались…

  • http://postmaster.ge/blog Arman Obosyan

    о! спасибо! полезный тест.
    На Exchange Labs (live@edu) все тесты кроме одно прошли,
    Long filename vulnerability test пробежал
     
    На антиспам системе от Barracuda Networks Spam and Virus Firewall
    Были провалены сразу несколько тестов, я в шоке, анализирую…..
    Отпишу о рузультате
     

  • http://www.exchangerus.ru Pavel Nagaev

    Арман, письма пусть проходят, главное — чтобы аттачи были вырезаны.

  • http://www.exchangerus.ru Pavel Nagaev

    Кстати, обнаружил еще с десяток писем от GFI в Junk, но все аттачи из них вырезаны и эксплойты не прокрались.

  • http://postmaster.ge/blog Arman Obosyan

    вот вот я про атачи! и писмьма пустого содержания без ответ и привета, друагая половина зарезалась прям на Barracud-е и даже не прошла до меня.

  • Shade

    Спасибо за линк!
    Тоже пробрался Long filename vulnerability test
    То есть все письмо полностью и аттачь типа nicepicture                                   .
    Правда запускаться не запускается — расширения у файла нет — система спрашивает чем открыть….
    Насколько это страшно и что делать ?=)

  • http://www.exchangerus.ru Pavel Nagaev

    Гы гы гы. А Вы откройте ноутпадом и посмотрите, что у него внутри. Не бойтесь, это безопасно.

  • Shade

    хехе ) сразу чтото не подумал в открыть блокнотом =)
    FILE QUARANTINED
    Все, я счаслив и спокоен =)
    ЗЫ: Недавно у товарища вскрыли почту и разослали по почте линк на некоторый подозрительный файл. Ни 2 самых популярных отечественных антивируса, ни Microsoft Security Essentials ничего в файле не нашли.
    Но при попытке отправить вирус анитвирусным компаниям FPE тут же отрапортовал об успешном обнаружении и удалении вируса =)

  • http://blogs.technet.com/securityrus Alexey Goldbergs

    Касаемо централизованного управления, во второй половине этого (2010) календарного года выйдут два инструмента:
    1. Service Pack для текущей Forefront Server Security Management Console с поддержкой текущих версий Forefront Protection for Exchange Server (FPE) и Forefront Protection for SharePoint (FPSP);
    2. Forefront Server Security Script Kit на базе PowerShell так же с поддержкой актуальных версий серверных продуктов Forefront.

  • http://www.exchangerus.ru Pavel Nagaev

    Это хорошие новости.

  • User

    Странно, а мне на почтовый ящик почему-то вообще ни какие письма не приходят от GFI (даже подписка), хотя с других доменов все ходит нормально. Я даже отключал все проверки на спам и вирусы, все равно пусто 🙁