Принципы работы

Компонент может осуществлять защиту электронной почты тремя способами:

1.Подключение к серверу электронной почты в качестве внешнего фильтра сообщений с использованием любого из расширений: Milter, Spamd, Rspamd, поддерживаемого сервером (Sendmail, Postfix, Exim и т. п.), или в режиме SMTP (Postfix).

2.Подключение к серверу электронной почты для проверки почтовых вложений при интеграции с веб-сервисом Dr.Web vxCube в режиме BCC (при использовании любого МТА, поддерживающего отправку скрытой копии письма).

3.Организация прокси, выполняющего проверку сообщений электронной почты, передаваемых по протоколу SMTP, POP3 или IMAP4, прозрачно для серверов электронной почты. Для организации данного способа проверки используются компоненты SpIDer Gate и Dr.Web Firewall для Linux. В силу того, что эти компоненты работают только в среде GNU/Linux, этот способ доступен только для этого семейства операционных систем.

Проверенные сообщения электронной почты обрабатываются в соответствии с правилами, заданными в настройках компонента. Для каждого из режимов взаимодействия с серверами электронной почты может быть определена своя собственная система правил обработки сообщений. В случае использования механизма прокси (т. е. когда проверяются сообщения электронной почты, полученные непосредственно по протоколу SMTP, POP3, IMAP), компонент использует правила обработки, определенные в настройках компонента Dr.Web Firewall для Linux.

Для проверки URL, содержащихся в сообщениях электронной почты, используются те же автоматически обновляемые базы категорий веб-ресурсов, которые используются компонентом SpIDer Gate. Для обращения к облачному сервису Dr.Web Cloud используется компонент Dr.Web CloudD (использование облачного сервиса задается в основных настройках Dr.Web для почтовых серверов UNIX, и при необходимости может быть отключено). Для проверки передаваемых данных Dr.Web MailD использует агента сетевой проверки данных Dr.Web Network Checker, который, в свою очередь, инициирует их проверку сканирующим ядром Dr.Web Scanning Engine.

Проверка почтовых вложений на наличие вредоносного кода может выполняться непосредственно компонентом Dr.Web MailD, либо сервисом Dr.Web vxCube, если задействована интеграция с ним.

Обработка сообщений электронной почты, поступивших на проверку от MTA через интерфейсы Milter, Spamd, Rspamd (в режиме фильтра) или в режиме SMTP, производится путем вызова специальной процедуры обработки (hook), написанной на языке Lua. Именно в ходе работы этой процедуры, по результатам анализа всей доступной информации о сообщении (отправитель, получатель, внутренняя структура, значения заголовков, балльная оценка спама), принимается решение об отклонении или пропуске сообщения. Для интерфейса Milter процедура обработки возвращает действие («пропустить», «отклонить», «вернуть ошибку отправителю» и т. п.), которое MTA следует применить к сообщению. Для случая «пропустить» в рамках процедуры проверки сообщение может также подвергнуться таким изменениям, как добавление заголовков или их модификация, помещение вредоносных частей сообщения в архив, защищенный паролем («перепаковка»). Для интерфейсов Spamd и Rspamd, не предполагающих модификацию проверяемого сообщения, в MTA возвращается вердикт в виде присвоенной сообщению «оценки спама» и порога для признания его спамом (для отклонения сообщения электронной почты со стороны MTA оценка должна превышать порог). Кроме оценки, в MTA возвращается также текстовый вердикт (report или action, в зависимости от протокола), который может быть проанализирован в настройках MTA.

Гибкость языка Lua и большой набор сведений о сообщении, доступных из процедуры обработки, позволяют реализовать не только типовые проверки сообщений на спам с получением балловой оценки от Dr.Web Anti-Spam, поиск вложенных угроз или вредоносных URL, но и реализовать проверку произвольных условий с выработкой необходимых вердиктов для обработки проверенного сообщения сервером электронной почты. Описание процедур проверки и примеры процедур см. в разделе Обработка сообщений на Lua.

Для анализа сообщений на наличие признаков спама Dr.Web MailD использует специальный компонент Dr.Web Anti-Spam.