|
Интеграция с Dr.Web vxCube |
|
В этом разделе •Общие принципы интеграции с Dr.Web vxCube Компонент Dr.Web MailD может быть подключен к серверу электронной почты в качестве внешнего фильтра проверки сообщений электронной почты и интегрирован с сервисом Dr.Web vxCube для проверки почтовых вложений. Dr.Web vxCube — это веб-сервис, который анализирует потенциально вредоносные файлы и формирует подробный отчет об их поведении в заданных условиях. Для анализа Dr.Web vxCube использует техники аппаратной виртуализации. Это позволяет Dr.Web vxCube работать быстро и оставаться невидимым для анализируемого файла. В Dr.Web vxCube используются передовые методы обнаружения вредоносных файлов, что позволяет выявлять новейшие угрозы, сведения о которых могут отсутствовать в вирусных базах и которые способны избежать обнаружения другими методами анализа. Общие принципы интеграции с Dr.Web vxCube При использовании Dr.Web vxCube компонент Dr.Web MailD отправляет почтовые вложения на анализ в Dr.Web vxCube с помощью его API. Dr.Web vxCube проверяет каждое вложение, выносит вердикт о статусе файла (чистый, подозрительный или опасный) и передает отчет о проверке Dr.Web MailD. В зависимости от используемого режима проверки отчет используется для обработки анализируемого почтового сообщения Lua-скриптом или направляется на почту системному администратору. Для использования Dr.Web vxCube в качестве инструмента проверки необходима действующая лицензия на Dr.Web vxCube. Интеграция Dr.Web MailD с Dr.Web vxCube может осуществляться в одном из двух режимов: SMTP или BCC. Интерфейсы Milter, Spamd, Rspamd для подключения к почтовому серверу в этих режимах не задействуются. Режим SMTP предназначен для активной фильтрации почтового трафика и позволяет настроить правила, регулирующие действия, которые будут применены к проверенным почтовым сообщениям. Режим SMTP поддерживается почтовым сервером Postfix. В режиме SMTP интеграция с Dr.Web vxCube возможна, но не обязательна. Если Dr.Web vxCube не задействован, проверка выполняется компонентом Dr.Web MailD. Принцип работы 1.Для отправки почтового сообщения клиент подключается к доступному извне сокету почтового сервера (MTA). 2.MTA сохраняет полученное сообщение в очередь писем, ожидающих проверки, сообщает пользователю статус операции сохранения и направляет почтовое сообщение на проверку в компонент Dr.Web MailD. 3.Для организации сообщений Dr.Web MailD использует служебный компонент Dr.Web Mail Quarantine, который сохраняет сообщения на жесткий диск, а их метаданные — в базу данных SQLite. 4.Dr.Web MailD осуществляет проверку сообщения с помощью настроенных Lua-скриптов. Проверка может осуществляться за счет возможностей компонента Dr.Web MailD или с помощью Dr.Web vxCube. В случае интеграции с Dr.Web vxCube в зависимости от заданной процедуры обработки компонент Dr.Web MailD может направить Dr.Web vxCube либо все сообщение целиком для дальнейшего извлечения вложений на стороне Dr.Web vxCube, либо извлечь вложения типов файлов, заданных конфигурацией компонента, самостоятельно и направить их Dr.Web vxCube. После получения вложений в результате любого способа их обработки Dr.Web vxCube выполняет анализ каждого полученного файла на наличие вредоносного кода, после чего выносит вердикт о статусе безопасности вложения и передает его Dr.Web MailD. 5.Dr.Web MailD использует Lua-скрипт, содержащий процедуру обработки сообщений (hook), для определения действия («пропустить», «отклонить», «вернуть ошибку отправителю» и т. п.), которое следует применить к сообщению. Для случая «пропустить» в рамках процедуры проверки сообщение может также подвергнуться таким изменениям, как добавление заголовка или его модификация. Если во вложении была обнаружена угроза, вложение будет запаковано в архив. 6.Dr.Web MailD возвращает сообщение в очередь сообщений MTA. Сообщение направляется на сокет MTA, который служит для получения только прошедших проверку сообщений и должен быть недоступен извне. 7.MTA сохраняет полученное сообщение в очередь писем, прошедших проверку, сообщает Dr.Web MailD статус операции сохранения и предпринимает попытку доставить сообщение адресату. В случае успеха этой операции сообщение удаляется из очереди MTA, в случае неудачи попытка повторяется через некоторый промежуток времени. Настройка параметров MTA Типовой пример настроек для MTA Postfix для подключения Dr.Web MailD в качестве внешнего фильтра сообщений электронной почты в режиме SMTP приведен в разделе Интеграция с MTA в качестве фильтра. Настройка параметров Dr.Web MailD Для интеграции Dr.Web MailD с сервером электронной почты в режиме SMTP, а также интеграции Dr.Web MailD с Dr.Web vxCube необходимо проверить и при необходимости изменить значения ряда параметров, находящихся в конфигурационном файле в секции настроек Dr.Web MailD (секция [MailD]) и секции настроек Dr.Web ConfigD (секция [Root]). Все основные параметры Dr.Web MailD, регулирующие его сопряжение с MTA в режиме SMTP, имеют префикс Smtp в своем имени. Для работы Dr.Web в режиме SMTP без интеграции с Dr.Web vxCube необходимо задать значения следующих параметров в секции [MailD]: •SmtpSocket — сокет, который будет использован Dr.Web MailD для получения проверяемых сообщений от MTA. Допускается использование UNIX-сокета или сетевого сокета. •SmtpSenderRelay — сокет MTA, который будет использован Dr.Web MailD для отправки прошедших проверку сообщений. Допускается использование UNIX-сокета или сетевого сокета. При необходимости вы также можете настроить дополнительные параметры. Параметры, связанные с режимом SMTP, имеют префикс Smtp. Правила обработки почтовых сообщений, проверяемых компонентом Dr.Web MailD в режиме SMTP, определяются значением параметра SmtpHook. Вы можете использовать скрипт, являющийся значением этого параметра по умолчанию, или изменить его. Подробнее об обработке сообщений с помощью Lua-скриптов см. Обработка сообщений на Lua. Для работы Dr.Web в режиме SMTP с интеграцией с Dr.Web vxCube в дополнение к указанным выше параметрам необходимо также задать значения следующих параметров в секции [Root]: •UseVxcube=Yes — использовать Dr.Web vxCube при проверке почтовых вложений в режиме внешнего фильтра, подключенного к MTA. •VxcubeApiAddress — доменное имя (FQDN) или IP-адрес узла, на котором находится API-сервер Dr.Web vxCube. •VxcubeApiKey — API-ключ Dr.Web vxCube. При необходимости вы также можете настроить дополнительные параметры. Параметры, связанные с интеграцией Dr.Web vxCube, имеют префикс Vxcube. Режим BCC предназначен для пассивного мониторинга за безопасностью почтового трафика и не предусматривает активную защиту адресатов от получения потенциально вредоносных сообщений. Режим BCC поддерживается всеми MTA, поддерживающими отправку скрытых копий (blind carbon copy, BCC). Режим предназначен исключительно для интеграции с Dr.Web vxCube. В этом режиме проверка сообщений (и, соответственно, функциональность фильтра) обеспечивается только за счет Dr.Web vxCube. Принцип работы 1.Для отправки почтового сообщения клиент подключается к доступному извне сокету MTA. 2.MTA создает скрытую копию письма и отправляет исходное письмо адресату, а копию — на указанный в конфигурации Dr.Web MailD внутренний почтовый адрес с уникальным доменом. 3.Локальный DNS-сервер в соответствии с заданной системным администратором записью MX направляет копию сообщения на IP-адрес, соответствующий недоступному извне слушающему сокету Dr.Web MailD. 4.Для организации очередей сообщений, ожидающих и прошедших проверку, Dr.Web MailD использует служебный компонент Dr.Web Mail Quarantine, который сохраняет сообщения на жесткий диск, а их метаданные — в базу данных SQLite. 5.В соответствии с заданной конфигурацией Dr.Web MailD вычленяет из сообщения некоторые типы файлов вложений и направляет их на анализ в Dr.Web vxCube. 6.Dr.Web vxCube выполняет анализ каждого полученного файла на наличие вредоносного кода, после чего выносит вердикт о статусе безопасности вложения и отправляет Dr.Web MailD отчет о проверке каждого файла вложения. 7.Dr.Web MailD агрегирует отчеты о всех вложениях одного сообщения в единый отчет. 8.Если хотя бы один из вложенных файлов получил вердикт «подозрительный» или «опасный», Dr.Web MailD направляет единый отчет на заданный в конфигурации Dr.Web MailD почтовый адрес системного администратора. Настройка параметров MTA Для обеспечения взаимодействия между MTA и Dr.Web MailD в режиме BCC требуется настроить в конфигурации сервера электронной почты доставку скрытых копий почтовых сообщений на почтовый адрес с уникальным доменом. После внесения изменений в настройки MTA следует перезапустить его. Для направления скрытой копии письма в Dr.Web MailD необходимо настроить на локальном DNS-сервере MX-запись для домена, которому принадлежит заданный на MTA почтовый адрес. Запись должна указывать на слушающий сокет Dr.Web MailD (параметр BccSocket секции [MailD] объединенного конфигурационного файла). Настройка параметров Dr.Web MailD Для интеграции Dr.Web MailD с сервером электронной почты в режиме BCC, а также интеграции Dr.Web MailD с Dr.Web vxCube необходимо проверить и при необходимости изменить значения ряда параметров, находящихся в конфигурационном файле, в секции настроек Dr.Web MailD (секция [MailD]) и секции настроек Dr.Web ConfigD (секция [Root]). Все основные параметры Dr.Web MailD, регулирующие его сопряжение с MTA в режиме BCC, имеют префикс Bcc в своем имени. Необходимо задать значения следующих параметров: •В секции [Root]: ▫UseVxcube=Yes — использовать Dr.Web vxCube при проверке почтовых вложений в режиме внешнего фильтра, подключенного к MTA. ▫VxcubeApiAddress — доменное имя (FQDN) или IP-адрес узла, на котором находится API-сервер Dr.Web vxCube. ▫VxcubeApiKey — API-ключ Dr.Web vxCube. •В секции [MailD]: ▫BccSocket — сокет, который будет использован Dr.Web MailD для получения проверяемых сообщений от MTA. Допускается использование UNIX-сокета или сетевого сокета. ▫BccReporterAddress — адрес, с которого будут отправляться отчеты Dr.Web MailD по итогам проверки вложений почтовых сообщений. ▫BccReporterPassword — пароль от почтового ящика, с которого будут отправляться отчеты Dr.Web MailD по итогам проверки вложений почтовых сообщений. ▫BccReportRecipientAddress — адрес, на который будут отправляться отчеты Dr.Web MailD по итогам проверки вложений почтовых сообщений. ▫BccSmtpServer — адрес MTA, служащего для отправки почтовых сообщений. Допускается использование домена, IP-адреса или UNIX-сокета. При необходимости вы также можете настроить дополнительные параметры. Параметры, связанные с режимом BCC, имеют префикс Bcc; связанные с интеграцией Dr.Web vxCube — префикс Vxcube. |