Принципы работы

На главную  Назад  Вперед

Компонент может осуществлять защиту электронной почты двумя способами:

1.Подключение к почтовому серверу (Sendmail, Postfix, Exim и т.п.) в качестве внешнего фильтра сообщений (с использованием любого из расширений: Milter, Spamd, Rspamd, поддерживаемого почтовым сервером).

2.Организация прокси, выполняющего проверку сообщений электронной почты, передаваемых по протоколу SMTP, POP3 или IMAP4, прозрачно для почтового сервера. Для организации данного способа проверки используются компоненты SpIDer Gate и Dr.Web Firewall для Linux. В силу того, что эти компоненты работают только в среде GNU/Linux, этот способ доступен только для этого семейства операционных систем.

Проверенные письма обрабатываются в соответствии с правилами, заданными в настройках компонента. Для каждого из интерфейсов, используемого для взаимодействия с почтовыми серверами, может быть определена своя собственная система правил обработки писем. В случае использования механизма прокси, компонент использует правила обработки, определенные в настройках компонента Dr.Web Firewall для Linux.

В зависимости от условий (характеристик письма, сработавших правил и протокола, по которому письмо попало в компонент на проверку), компонент может выполнить с письмом следующие действия:

Действие

Описание

Пропустить
(Pass)

Письмо будет доставлено получателю. При этом к нему будут применены все действия по добавлению и изменению заголовков, а также по перепаковке, если таковые были заданы в правилах, сработавших для данного письма.

Аргументы: Нет.

Особенности реализации действия:

Действие может быть применено для всех способов подключения к MTA, а также для встраивания через механизм прокси в любой почтовый протокол.

Отклонить
(Reject)

Письмо не будет принято у отправителя (для POP3/IMAP – от почтового сервера) и не будет передано получателю.

Особенности реализации действия:

Подключение к MTA в качестве фильтра:

Для интерфейсов Spamd и Rspamd MTA возвращается вердикт "письмо является спамом". Реальное действие с письмом зависит от настроек защищаемого MTA. Необязательный параметр действия <description>, если указан, будет использован как значение заголовка 'Message', добавленного MTA к письму после сообщения результатов проверки (позволяет косвенно вернуть в MTA причину отклонения письма).

Встраивание в почтовые протоколы через механизм прокси:

Для случая протоколов IMAP и POP3 вернуть получателю письма, т.е. MUA, ошибку протокола.

Для случая SMTP – возврат отправителю кода 541.

Временная ошибка
(Tempfail)

Письмо не будет принято у отправителя (для POP3/IMAP – от почтового сервера) и не будет передано получателю.

Особенности реализации действия:

Подключение к MTA в качестве фильтра:

Для интерфейсов Spamd и Rspamd MTA возвращается вердикт "письмо является спамом". Реальное действие с письмом зависит от настроек защищаемого MTA. Необязательный параметр действия <description>, если указан, будет использован как значение заголовка 'Message', добавленного MTA к письму после сообщения результатов проверки (позволяет косвенно вернуть в MTA причину отклонения письма).

Встраивание в почтовые протоколы через механизм прокси:

Для случая протоколов IMAP и POP3 вернуть получателю письма, т.е. MUA, ошибку протокола.

Для случая SMTP – возврат отправителю кода 451.

Отбросить
(Discard)

Письмо не будет принято у отправителя (для POP3/IMAP – от почтового сервера) и не будет передано получателю.

Особенности реализации действия:

Подключение к MTA в качестве фильтра:

Для интерфейсов Spamd и Rspamd MTA возвращается вердикт "письмо является спамом". Реальное действие с письмом зависит от настроек защищаемого MTA.

Встраивание в почтовые протоколы через механизм прокси:

Для случая протоколов IMAP и POP3 вернуть получателю письма, т.е. MUA, ошибку протокола.

Для случая SMTP – прием письма у отправителя с подтверждением OK, и удалением вместо передачи получателю.

Заблокировать
(Block)

Синоним для действия «Отклонить» (Reject). Используется для совместимости.

Перепаковать
(Repack)

Письмо будет доставлено получателю в измененном виде: в него будет добавлено уведомление о наличии угроз, а сами угрозы будут помещены в архив, прикрепленный к созданному письму. В зависимости от настроек, этот архив может быть защищен паролем.

Если угрозы содержались в заголовках или текстовой части письма, а не в его вложениях (в том числе если письмо признано спамом или в целом не соответствует политикам безопасности, заданным администратором в правилах), то в архив будет помещено все исходное письмо целиком.

Имеются следующие предопределенные шаблоны перепаковки:

1.Сообщение признано спамом (в архив помещается исходное письмо);

2.Наличие в сообщении одной или более угроз (в архив помещаются файлы с угрозами);

3.Наличие в сообщении одного или более вредоносных/нежелательных URL (в архив помещается исходное письмо или части, содержащие URL);

4.Нарушение сообщением политик безопасности, указанных администратором (в архив помещается исходное письмо или нежелательные части).

Действие будет применено к письму, если в правилах встретилась финальная резолюция Pass (или не встретилось Reject, Block, Tempfail, Discard).

Особенности реализации действия:

Подключение к MTA в качестве фильтра:

Для интерфейсов Spamd и Rspamd не поддерживается (невозможно вернуть серверу измененное письмо).

Добавить заголовок
(Add Header)

Добавить к письму указанный заголовок.

Действие будет применено к письму, если в правилах встретилась финальная резолюция Pass (или не встретилось Reject, Block, Tempfail, Discard).

Особенности реализации действия:

Подключение к MTA в качестве фильтра:

Для интерфейсов Spamd и Rspamd не поддерживается (невозможно вернуть серверу измененное письмо).

Изменить заголовок
(Change Header)

Изменить в письме значение указанного заголовка.

Действие будет применено к письму, если в правилах встретилась финальная резолюция Pass (или не встретилось Reject, Block, Tempfail, Discard).

Особенности реализации действия:

Подключение к MTA в качестве фильтра:

Для интерфейсов Spamd и Rspamd не поддерживается (невозможно вернуть серверу измененное письмо).

Подробнее с заданием указанных действий в правилах вы можете ознакомиться в разделе «Правила проверки трафика» в Приложении Г Руководства администратора.

Если для взаимодействия Dr.Web MailD с MTA используется интерфейс Spamd или Rspamd, то единственное действие, которое может совершить Dr.Web MailD в рамках этого взаимодействия – сообщить MTA, является ли письмо чистым или оно классифицировано как спам. То есть при нарушении письмом любого ограничения, установленного в правилах, или при наличии в письме любой угрозы, в MTA передается вердикт «Сообщение является спамом». Все действия по обработке письма (например, добавить заголовки, отвергнуть письмо, передать его получателю и т.п.) должны быть определены в настройках на стороне MTA. Также в этом случае Dr.Web MailD не имеет возможность вернуть в MTA модифицированное письмо, следовательно, действие типа REPACK («перепаковать» письмо, удалив вредоносные вложения и вставив в него сообщение о наличии угроз) также невозможно. Для возврата в MTA причины отклонения письма используйте действие REJECT <description>. Указанный параметр <description> будет использован как значение заголовка 'Message', добавленного MTA к письму после сообщения результатов проверки.

Схема работы компонента показана на рисунке ниже.

Рисунок 1. Схема работы компонента

На приведенном рисунке использованы следующие обозначения:

 

– программный комплекс Dr.Web для UNIX в целом и внешние по отношению к нему программные продукты Dr.Web, не входящие непосредственно в его состав.

 

– внешние по отношению к Dr.Web для UNIX программы и программные комплексы, с которыми он интегрируется.

 

– компоненты, образующие ядро продукта Dr.Web для UNIX. Остальные компоненты продукта используют ядро как сервис, осуществляющий непосредственную антивирусную проверку.

 

– сервисные компоненты, решающие конкретные задачи в рамках антивирусной защиты (проверку объектов файловой системы, обновление вирусных баз, общая координация работы и т.д.).

 

– компоненты, предоставляющие пользователю интерфейс для управления работой Dr.Web для UNIX.

 

– карантин (система каталогов файловой системы, хранящих изолированные файлы с угрозами).

Компоненты, обозначенные пунктирной границей, могут отсутствовать, в зависимости от поставки или сценария использования продукта.

Заштрихованными овалами на схеме обозначены места, в которые Dr.Web MailD может быть встроен через механизм прозрачного прокси c использованием компонента SpIDer Gate.

Компонент Dr.Web ASE, подключаемый к Dr.Web MailD, используется для анализа сообщений на наличие признаков спама. Анализ сообщений на наличие признаков спама производится с использованием антиспам-решения VadeRetro, разработанного компанией VadeSecure. Анализ сообщений производится автономно, без обращения к внешним источникам информации о спаме. Также данное решение обеспечивает высокую скорость обработки писем и постоянное улучшение качества анализа сообщений благодаря динамическому обновлению базы правил спам-классификации сообщений (обновление производится автоматически, посредством компонента обновления Dr.Web Updater).

Обратите внимание, что компонент Dr.Web ASE выполняет нормализацию баллов, начисляемых почтовым сообщениям антиспам-библиотекой VadeRetro, преобразовывая их в число от нуля до единицы (процентная шкала). Примерная таблица соответствия баллов VadeRetro и оценки (процентов) Dr.Web ASE приведена ниже.

Баллы VadeRetro

Проценты Dr.Web ASE

0 или менее

0.00

0 – 10

0.00 – 0.19

10 – 50

0.19 – 0.63

50 – 100

0.63 – 0.80

100 – 150

0.80 – 0.86

150 – 200

0.86 – 0.90

200 – 300

0.90 – 0.93

300 – 400

0.93 – 0.95

400 – 500

0.93 – 0.96

500 и более

0.96 – 1.00

Компонент проверки сообщений электронной почты на наличие признаков спама Dr.Web ASE может отсутствовать в составе продукта, в зависимости от поставки. В этом случае проверка писем на наличие признаков спама не производится.