Всё о о Microsoft Exchange Server и электронной почте.

Онлайн проверка защиты почтовой системы и Forefront Protection 2010 for Exchange Server

Forefront Protection 2010 for Exchange ServerСколько я себя помню,  для защиты входящей почты от вирусов в нашей компании использовался  самый известный в нашей стране продукт, версия под Linux :-).  Сейчас необходимость в этом отпала, т.к. был установлен Forefront Protection 2010 for Exchange Server на все почтовые серверы.  Во время процесса миграции работали оба продукта, но после окончания внедрения FPE мне нужно было убедиться в том, что он действительно фильтрует сообщения, зараженные вирусами и вредоносным кодом. Конечно я проверял это и раньше, анализируя логи и отчеты, проводя тестовую рассылку зараженных файлов и аттачей, просматривая карантин, но нужно было что-то глобальное.

Те, кто давно занимаются электронной почтой, наверняка знают компанию GFI и ее продукты, но об этом отдельный разговор.  У них есть одна очень ценная штука — онлайн тест почтовой системы на вирусы,  нужно просто зайти на сайт и ввести свой адрес электронной почты.  После этого Вы получите e-mail для подтверждения следующих тестов:

o     VBS file vulnerability test
o     CLSID extension vulnerability test
o     MIME header vulnerability test
o     ActiveX vulnerability test
o     Malformed file extension vulnerability test (for Outlook 2002 — XP)
o     CLSID extension vulnerability test (for Outlook 2002 — XP)
o     GFI’s Access exploit vulnerability test
o     Object Codebase vulnerability test
o     Iframe remote vulnerability test
o     Eicar anti-virus test
o     Fragmented Message test
o     Long Subject Attachment Checking Bypass (for Outlook Express 6)
o     Long Subject Attachment Checking Bypass (for Outlook 2000)
o     Attachment with no filename vulnerability test
o     Long Filename vulnerability test
o     Popup Object Exploit vulnerability test
o     Double File extension vulerability test

После подтверждения ваш папка «Входящие» в Microsoft Outlook  будет выглядеть следующим образом.

Одно письмо — один тест.

А теперь начнется самое интересное — нужно открыть сообщения и прочитать описание теста.  Тесты не наносят вред системе, их задача показать работу уязвимостей.

Например, тест «VBS attachment vulnerability test » содержит следующий комментарий:

If this email contains a .vbs attachment, then your mail server has just accepted and sent you a potentially dangerous email! This means it is relying on desktop level security to protect you. You should now try to run the attachment.

что означает, если Вы смогли открыть и запустить приложенный VBS файл, то это явная дырка в безопасности вашей почтовой системе и нужно принимать какие-то меры.

🙂 Forefront Protection 2010 for Exchange Server прошел все эти проверки и вырезал все файлы. В принципе мне этого было достаточно, чтобы успокоиться.

А у вас все в порядке с защитой вашей почтовой системы?  Проверьте и напишите в комментариях, обсудим.

Еще раз публикую ссылку на тест: Онлайн тест почтовой системы на вирусы

p.s. мои коллеги сказали, что спецы компании Microsoft знали про этот тест и специально все подстроили 🙂 Но меня это мало беспокоит, т.к. на протяжении нескольких месяцев я вижу, что FPE свою работу делает очень хорошо и это главное.

Теперь осталось победить проблему с обновлениями для CCR кластера и дождаться выхода средства для группового управления настройками FPE , которого очень не хватает.

Машинист паровоза «TMG 2010» Артем Синицын отправляется в свой первый рейс 24 февраля

Ура, очень важное и интересное событие намечается 24 февраля!

Единственный в России MVP по Forefront и известный эксперт по безопасности — Артем Синицын поведет паровоз «Forefront TMG 2010» в свое первое путешествие по уникальному маршруту. Маршрут был составлен по древним картам лучших следопытов. Более детальную информацию о маршруте и расписании можно узнать в блоге Артем

Паровоз Артема Синицына Forefront TMG 2010

Отправление поезда ожидается 24 февраля с вокзала УЦ “Advanced Training». Количество мест ограничено. Во время путешествия Вас ждет много интересного, необычные рассказы очевидцев об отражении нападений индейцев и злобных карликов, мифы и легенды о вечной борьбе между железными и не железными стенами.

Удачи Вам в путешествии!

А те, кто доедет на поезде до конца, смогут услышать качественный запил Slipknot «Before I Forget» в исполнении машиниста поезда.

Онлайн встреча «Разговоры об ИТ» № 81 пройдет сегодня, в среду 20 января с 21:00 до 23:00(MSK)

imageДо праздников, да и сразу после них я занимался настройкой антивируса Microsoft Forefront Protection 2010 for Exchange Server на своих серверах.  Это задача совсем не сложная, но применительно к моей системе, некоторые моменты все же вызвали у меня сложности. Поэтому давайте я расскажу о том, что же такое Forefront Protection 2010 for Exchange Server и с какими сложностями я столкнулся. Я буду говорить именно о защите от вирусов, а часть борьбы со спамом затрону очень вскользь.

Мне будет очень приятно, если вы поделитесь своим опытом внедрения FF или других антивирусов.

Для участия необходимо зайти по ссылке(внимание, ссылка изменилась!!!)

Вход на «Разговоры об ИТ»

(начнет работать за 30 мин до встречи)

Для участия нужна гарнитура(наушники+микрофон), Интернет и клиент Live Meeting 2007(15Mb). Желательно использовать USB гарнитуру.

************************************************************************************************
Запись встречи
VIDEO(RAR):Разговоры об ИТ. Выпуск №81. «Обзор Forefront Protection 2010 for Exchange». Павел Нагаев В этом видео я делаю краткий обзор возможностей FPE, как антивируса и рассказываю о проблемах, появившихся во время внедрения. 10.07 MB Скачано 616 раз

************************************************************************************************

Вебкаст “Работа Forefront TMG с двумя интернет-каналами” пройдет сегодня, с 21:00 до 23:00 в рамках встреч Forefront Ninjutsu Sono San у Артема Синицына

Встречи Forefront Ninjutsu у Артема Синицына набирают обороты и сегодня пройдет очередной показ TMG на тему «Работа Forefront TMG с двумя интернет-каналами», собственно то, о чем так долго просили большевики.   Узнать подробности о встрече и зарегистрироваться можно по ссылке.

ВНИМАНИЕ!!!! Встреча переносится на пятницу на то же время. Все подробности позже в блоге у Артема!!!!

Предложение для улучшения ForeFront — Динамические белые списки

 

Сегодня Саша Станкевич попросил опубликовать пост для того, чтобы собрать фидбек от российского сообщества о добавлении новых функций в ForeFront или Exchange для борьбы со спамом.  Этот пост разметили еще Олег и Илья. Надеюсь что в комментариях мы соберем много отзывов, они будут отправлены в Микрософт разработчикам и нас услышат. Пока речь идет о добавлении функции грейлист в продукты Микрософт и динамических белых списков о которых Саша написал ниже. 

Сашин пост без изменений:

Как-то давно я предложил одну идею, направленную на борьбу со Spam’ом. Я рассказал о ней Паше Нагаеву, Олегу Крылову и другим ребятам, занимающимся системами обмена сообщений. Они выслушали меня, подискутировали, согласились, что идея имеет рационально зерно и… И на этом, можно сказать, всё и остановилось 🙂 .

Но меня, всё время, никак не оставляло то, что идея не имеет практической реализации. На TechEd 2008 в Барселоне я познакомился (а точнее меня познакомил Паша Нагаев) с Александром Николаевым. Александр уже давно живёт в Америке и является Product Manager’ом ForeFront’а. Так вот, как это обычно и бывает, я хотел связаться с Александром, дабы обсудить с ним мою идею, но всё время откладывал это в долгий ящик. Но случилось неожиданное – Александр посетил наши IT-посиделки и это дало мне тот самый толчок, которого мне так не хватало! Мало того – в кои-то веки я лично пишу об этом в блоге, хоть и не своём 🙂 .

Ну что ж, достаточно интриги и буду ближе к делу. Моя идея состоит в формировании белых списков, но вся прелесть в том, что эти списки динамические! В общих чертах, как я предлагаю этого достичь:

1. Например, в Outlook’е пользователь добавляет в список надёжных отправителей домен «microsoft.com»:

clip_image002

 

2. Принимающий сервер запрашивает SPF-запись данного домена: v=spf1 mx include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com ip4:131.107.115.212 ip4:131.107.115.215 ip4:131.107.115.214 ip4:205.248.106.64 ip4:205.248.106.30 ip4:205.248.106.32 ~all

3. В белый список заносятся все адреса из данной SPF-записи.

Причём, за сроком жизни данных адресов в белом списке будет отвечать логика DNS’а. То есть, когда срок жизни данной записи истечёт, она будет повторно запрошена, а из белого списка будут удалены или добавлены те адреса, которые были удалены или добавлены в SPF-запись.

Таким образом, мы избавляемся от рутинной работы по слежению за адресами отправляющих серверов тех отправителей, которым мы доверяем – они сами формируют наш белый список!

Выигрыш от данного механизма я вижу в следующем:

1. При использовании GreyListing’а мы можем совместить мощь данной технологии по отшибу Spam’а и убрать её главный минус – задержки в доставке.

2. Какой бы ни была технология определения Spam’а, она никогда не сможет на 100% определить является письмо легитимным или нет. Таким образом, мы можем потерять письмо от доверенного отправителя. Но если сервер такого отправителя будет у нас в белом списке, то такой потери не произойдёт.

3. Ну и наконец, дать ещё больший стимул для использования Sender-ID, то есть тех самых SPF-записей 🙂 .

В общем говоря, я связался с Александром по данному вопросу, вчера мы его обсудили голосом и моя идея ему приглянулась 🙂 . Но дабы сделать решение о её реализации ему необходимо собрать обратную связь от сообщества о её потенциальном применении. С этой целью я и пишу данный (крайне редкий) пост – как вы думаете, на сколько лично вам был бы полезен или даже необходим этот функционал? Если тема вызовет у вас большой интерес, можем более подробно её обсудить на одной из наших встреч «Разговоры об IT» 😉 …

P. S. Так же в разговоре Александр упомянул, что они полностью не отказались от идеи GreyListing’а 🙂 .

 

 

Вот что я думаю:

Идея с одной стороны хороша, но она основывается на технологии Sender-ID. Бонус в том, что  IP адреса  собираются сразу в список, а не обрабатываются динамически. Т.е проверка осуществляется на локальном компьютере, а не запросом в Интернет. Но с этим с этим возникают новые проблемы:

1. Нарушается актуальность списков. SPF может измениться и как это отслеживать?

2. При больших объемах сообщений списки будут очень большими, проверка будет очень долгой и ресурсов будет тратится на это много.

Преимущество от использования будет только в скорости обработки входящих сообщений и уменьшение задержек грейлиста. На эффективности распознавания спама это никак не скажется.

Мне кажется эта технология должна быть частью реализации грейлиста.

Опять же, зарегистрирую я на себя домен spamsender.ru, пропишу SPF и буду рассылать спам. Эта технология не поможет.

В каждой технологии есть плюсы и минусы, но Микрософту эту мысль “скормить” нужно, т.к. она действительно может быть полезна или они воспользуются ей, как частью какой-то антиспам технологии.

Саше по любому спасибо за пост.

Комментарии по вчерашней встрече c Александром Николаевым о Microsoft Forefront Protection 2010 for Exchange Server

 

image       Вчера произошло неординарное событие. Мы как обычно, в среду, планировали провести встречу и поговорить о RBAC в Microsoft Exchange Server 2010, но тема встречи внезапно изменилась.

        Мне были нужны материалы для подготовки к Платформе и я обратился к Александру Николаеву, Product Manager по ForeFront for Exchange.  Мы с ним познакомились на TechEd в Барселоне и время от времени обмениваемся новостями. Александр любезно согласился немного рассказать о будущей версии Forefront Protection 2010 for Exchange Server. Поскольку договорились об этом за полтора часа до встречи, то времени на подготовку красивых слайдов не было, но зато была очень интересная беседа. Хочется сделать несколько комментариев, а полную запись встречи Вы можете прослушать ниже по ссылкам.

Итак:

1. Greylist в новом Forefront Protection 2010 не будет и Microsoft не смотрит в сторону использования этой технологии в своих продуктов, т.к. нет просьб от ИТ сообщества о необходимости этого функционала. Интересную и очень очевидную мысль сказал Олег Крылов:”Greylist — это технология для малого, ну может среднего бизнеса, но никак не энтерпрайз уровня”. Я призадумался и …, а Олег то прав. Продукты Микрософт рассчитаны на как раз уровень крупного предприятия, поэтому greylist это не решение для энтерпрайза, ведь один из существенных недостатков технологии greylist — длительные временные задержки при доставке сообщений, что недопустимо в большой компании.

2. Микрософт отказывается от технологии SmartScreen и в Forefront Protection 2010 будут использованы технологии по борьбе со спамом от компании CLOUDMARK. Использоваться будут лишь некоторые механизмы, которые Микрософт считает наиболее эффективными.

3. В сентябре Virus Bulletin проводил очередное тестирование антиспамовых фильтров. Forefront Protection 2010 for Exchange Server отловил 99.77% спама. Это очень хороший результат, ведь это еще не релиз. Диаграмма сравнения с другими продуктами выглядит так.

 

image

 

4. В Forefront Protection 2010 for Exchange будет применена технология backscatter для борьбы со спамом в NDR. О механизмах работы можно прочитать по ссылке. Это очень здорово, т.к. из-за этой проблемы администраторы отключают NDR в своей организации или запрещают прием NDR извне.

5.  Forefront Protection 2010 for Exchange Server будет работать и на Microsoft Exchange Server 2007.

6. Движки Sophos, CA, и AhnLab больше использоваться не будут.

На встрече было еще много чего интересного, запись можно прослушать ниже. Я надеюсь, что это была не последняя встреча и Александр нам расскажет более подробно о механизмах работы Forefront Protection 2010 for Exchange Server.

Если у вас есть вопросы по спам технологиям, по Forefront, то оставляйте комментарии к этому посту, пишите мне на pnagaev на Яндексе или напрямую Александру на alexni на exchange.microsoft.com.

Про новый Forefront Protection 2010 for Exchange Server можно прочитать по ссылке.

Скачать можно по ссылке AUDIO:Разговоры об ИТ. Выпуск №66. «ForeFront Protection 2010 for Exchange server». Александр Николаев 18.74 MB Скачано 853 раз

Или прослушать в онлайне.   [podcast]http://www.exchangerus.ru/Files/audio/IT-Talks-N66_ForeFront2010-ANikolaevMSFT-ExchangeRUS.mp3[/podcast]