Основные функции Dr.Web для почтовых серверов UNIX

1.Поиск и обезвреживание угроз. Производится поиск как непосредственно вредоносных программ всех возможных типов (различных вирусов, включая вирусы, инфицирующие почтовые файлы и загрузочные записи дисков, а также троянских программ, почтовых червей и т. п.), так и нежелательных программ (рекламных программ, программ-шуток, программ автоматического дозвона). Подробнее о видах угроз см. Приложение А. Виды компьютерных угроз.

Для обнаружения угроз используются:

сигнатурный анализ. Метод проверки, позволяющий обнаружить уже известные угрозы, информация о которых содержится в вирусных базах;

эвристический анализ. Набор методов проверки, позволяющих обнаруживать угрозы, которые еще неизвестны;

облачные технологии обнаружения угроз. Производится обращение к сервису Dr.Web Cloud, собирающему свежую информацию об актуальных угрозах, рассылаемую различными антивирусными продуктами Dr.Web.

Эвристический анализатор может ложно реагировать на программное обеспечение, не являющегося вредоносным. Поэтому объекты, содержащие обнаруженные им угрозы, получают специальный статус «подозрительные». Рекомендуется помещать такие файлы в карантин, а также передавать на анализ в антивирусную лабораторию «Доктор Веб». Подробнее о методах обезвреживания угроз см. Приложение Б. Устранение компьютерных угроз.

При проверке файловой системы по запросу пользователя имеется возможность как полной проверки всех объектов файловой системы, доступных пользователю, так и выборочной проверки только указанных объектов (отдельных каталогов или файлов, соответствующих указанным критериям). Кроме того, доступна возможность отдельной проверки загрузочных записей томов и исполняемых файлов, из которых запущены процессы, активные в системе в данный момент. В последнем случае при обнаружении угрозы выполняется не только обезвреживание вредоносного исполняемого файла, но и принудительное завершение работы всех процессов, запущенных из него. В системах, реализующих мандатную модель доступа к файлами с набором различных уровней доступа, сканирование файлов, недоступных на текущем уровне доступа, может производиться в специальном режиме автономной копии.

Все объекты с угрозами, обнаруженные в файловой системе, регистрируются в постоянно хранимом реестре угроз, за исключением тех угроз, которые были обнаружены в режиме автономной копии.

Утилита управления из командной строки Dr.Web Ctl, входящая в состав Dr.Web для почтовых серверов UNIX, позволяет также выполнять проверку на наличие угроз файловых систем удаленных узлов сети, предоставляющих удаленный терминальный доступ через SSH или Telnet.

Вы можете использовать удаленное сканирование только для обнаружения вредоносных или подозрительных файлов на удаленном узле. Для устранения обнаруженных угроз на удаленном узле необходимо воспользоваться средствами управления, предоставляемыми непосредственно этим узлом. Например, на роутерах и прочих «умных» устройствах вы можете воспользоваться механизмом обновления прошивки, а на вычислительных машинах — подключитесь к ним (в том числе в удаленном терминальном режиме) и произведите соответствующие операции в их файловой системе (удаление или перемещение файлов и т. п.) или запустите антивирусное программное обеспечение (ПО), установленное на них.

2.Проверка сообщений электронной почты. Dr.Web для почтовых серверов UNIX поддерживает различные режимы проверки сообщений электронной почты.

Режим внешнего фильтра, подключенного к серверу электронной почты (MTA). Dr.Web для почтовых серверов UNIX может быть интегрирован с любым сервером электронной почты, поддерживающим интерфейсы подключения внешних фильтров Milter, Spamd и Rspamd. В режиме фильтра все сообщения, поступающие на сервер, по инициативе MTA передаются Dr.Web для почтовых серверов UNIX через интерфейс сопряжения для проверки. В зависимости от возможностей интерфейса, работающий в качестве фильтра Dr.Web для почтовых серверов UNIX может:

сообщить серверу результаты проверки сообщения. В этом случае сервер электронной почты должен самостоятельно обработать сообщение в соответствии с полученными результатами (отклонить его прием или передачу, добавить заголовки или модифицировать содержимое сообщения, если результат проверки содержит информацию о наличии угроз);

отдать серверу электронной почты команду пропустить или отклонить сообщение;

модифицировать сообщение, добавив к нему заголовки или удалив из него выявленное вредоносное или нежелательное содержимое. Вырезанное содержимое прикрепляется к сообщению в виде архива, защищенного паролем. Пароль для распаковки защищенного архива получатель сообщения может запросить у администратора системы электронной почты. При необходимости, хотя это и не рекомендуется, администратор может настроить использование архивов, не защищенных паролем.

Передача команд серверу электронной почты или возврат модифицированного сообщения поддерживаются только интерфейсом Milter. Интерфейсы Spamd и Rspamd не позволяют Dr.Web для почтовых серверов UNIX отправлять серверу команды и возвращать измененное сообщение электронной почты. Серверу будет возвращен один из двух вердиктов: «сообщение является спамом» или «сообщение не является спамом». Все действия по обработке такого сообщения (например, добавление или модификация заголовков, отклонение сообщения, передача его получателю и т. п.) должны быть определены в настройках на стороне MTA.

Для возврата в MTA причины, по которой сообщение отвергнуто, а также, возможно, действия, которое MTA следует применить к сообщению электронной почты, используются текстовые переменные (report для Spamd и action для Rspamd). Переменные возвращаются Lua-процедурой обработки сообщений и могут быть обработаны в MTA (например, ACL для Exim).

Режим SMTP-прокси, выполняющего проверку проходящего SMTP-трафика с его дальнейшей передачей на один или несколько целевых MTA/MDA. По сути, этот режим аналогичен предыдущему: Dr.Web для почтовых серверов UNIX подключается (через Milter, Spamd или Rspamd) к MTA (такому, например, как Postfix), который настроен на передачу сообщений электронной почты на другие MTA (например, выполняя маршрутизацию сообщений, направленных в различные домены и т. п.).

Режим прозрачного прокси протоколов электронной почты. В этом режиме Dr.Web для почтовых серверов UNIX (при помощи компонента SpIDer Gate) реализует функции прокси-сервера, встроенного в канал обмена данными между MTA и/или MUA прозрачно для обменивающихся сторон и проверяющего проходящие сообщения при их получении и оправке. Поддерживается прозрачное встраивание в основные протоколы электронной почты: SMTP, POP3, IMAP. В зависимости от возможностей протокола, Dr.Web для почтовых серверов UNIX в этом режиме может передать сообщение получающей стороне (в неизменном виде или после модификации, добавив заголовки или перепаковав сообщение) или заблокировать его передачу (в том числе вернув отправившей или получающей стороне сообщение об ошибке протокола).

Режим прозрачного прокси доступен только для ОС семейства GNU/Linux.

 

Так как Dr.Web для почтовых серверов UNIX не является полноценным сервером электронной почты, для его работы в режиме прокси необходимо также наличие сервера электронной почты (MTA), установленного на том же узле, на котором работает Dr.Web для почтовых серверов UNIX.

Dr.Web для почтовых серверов UNIX, в зависимости от комплектности и настроек, выполняет следующие проверки сообщений электронной почты:

выявление вредоносных вложений, содержащих угрозы;

поиск ссылок на вредоносные веб-сайты или веб-сайты, отнесенные к нежелательным категориям;

выявление признаков фишинга и спама (с использованием технологии DKIM и автоматически обновляемой базы правил спам-фильтрации, а также с помощью механизма проверки наличия адреса отправителя в черных списках DNSxL);

соответствие критериям безопасности, заданным администратором почтовой системы самостоятельно (проверка тела и заголовков сообщений при помощи регулярных выражений).

Для проверки ссылок на нежелательные веб-сайты, которые могут присутствовать в сообщениях электронной почты, используется автоматически обновляемая база данных категорий веб-ресурсов, поставляемая вместе с Dr.Web для почтовых серверов UNIX. Также производится обращение к сервису Dr.Web Cloud для проверки наличия информации, не отмечен ли веб-ресурс, ссылка на который встретилась в почтовом сообщении, как вредоносный другими антивирусными продуктами Dr.Web.

В Dr.Web для почтовых серверов UNIX, начиная с версии 11.0, существенно уменьшен перечень возможных действий, которые могут быть применены к почтовому сообщению.

Начиная с версии 11.0, Dr.Web для почтовых серверов UNIX выполняет только следующие действия с почтовыми сообщениями:

проверка сообщений на соответствие критериям, заданным администратором, и на наличие признаков спама (в том числе путем проверки домена отправителя в черных списках DNSxL, при соответствующей настройке);

поиск ссылок на вредоносные веб-сайты и веб-сайты из нежелательных категорий;

выявления вредоносных вложений.

Если протокол, по которому сообщение было получено на проверку, а также сторона, передавшая сообщение (MTA/MDA или MUA) поддерживают модификацию переданных на проверку сообщений, то помимо стандартных действий «Пропустить» и «Отклонить» Dr.Web для почтовых серверов UNIX может выполнить перепаковку сообщения на основании одного из предопределенных шаблонов перепаковки (в процессе перепаковки все угрозы перемещаются в прикрепляемый к сообщению защищенный архив, а в тело почтового сообщения добавляется уведомление о наличии в нем угроз и/или нежелательного содержимого). Кроме того, поддерживается базовый функционал по добавлению и модификации указанных заголовков почтового сообщения.

Все прочие действия (например, отправка уведомлений администратору, безвозвратное удаление или переименование вложенных файлов), если они необходимы, следует реализовывать силами защищаемого почтового сервера (MTA/MDA), подключив к нему, при необходимости, набор специфических подключаемых модулей-фильтров от сторонних разработчиков, предназначенных для подобной обработки.

 

В зависимости от поставки, компонент Dr.Web Anti-Spam может отсутствовать в составе Dr.Web для почтовых серверов UNIX. В этом случае спам-проверка сообщений не производится.

3.Надежная изоляция инфицированных или подозрительных объектов, обнаруженных в файловой системе сервера, в специальном хранилище — карантине, чтобы они не могли нанести ущерба системе. При перемещении объектов в карантин они специальным образом переименовываются и могут быть восстановлены в исходное место (в случае необходимости) только по команде пользователя.

Угрозы, обнаруженные компонентом Dr.Web MailD в сообщениях электронной почты, не перемещаются в карантин на сервере, а отправляются пользователю-получателю в измененном письме. При этом они запаковываются в архив, защищенный паролем. Доступ к содержимому архива пользователь может получить, только указав пароль, полученный от администратора Dr.Web для почтовых серверов UNIX.

4.Автоматическое обновление антивирусного ядра, содержимого вирусных баз, базы категорий веб-ресурсов и базы правил спам-фильтрации почтовых сообщений для поддержания высокого уровня надежности защиты от вредоносных программ.

5.Сбор статистики проверок и вирусных инцидентов; ведение журнала обнаруженных угроз. Отправка уведомлений об обнаруженных угрозах по SNMP внешним системам мониторинга и серверу централизованной защиты, если Dr.Web для почтовых серверов UNIX работает в режиме централизованной защиты, а также облачному сервису Dr.Web Cloud.

6.Обеспечение работы под управлением сервера централизованной защиты (такого как Dr.Web Enterprise Server или в рамках сервиса Dr.Web AV-Desk) для применения на сервере единых политик безопасности, принятых в некоторой сети, в состав которой он входит. Это может быть как сеть некоторого предприятия (корпоративная сеть) или частная сеть VPN, так и сеть, организованная провайдером каких-либо услуг, например доступа к интернету.