Email-шлюзы Cisco IronPort С- и Х-серий — обзор технологий

Программно-аппаратная платформа

Для создания Email-шлюзов Cisco IronPort используются мощные аппаратные платформы и специализированная высокопроизводительная операционная система AsyncOS в сочетании со специализированным прикладным ПО.

Благодаря этому производительность шлюзов IronPort в десятки раз превышает производительность почтовых шлюзов на традиционных UNIX-системах и открытых MTA (Sendmail, Qmail, Postfix и т.д.).

Технологии защиты от спама

Превентивный слой защиты от спама

В превентивном слое применяется технология фильтров по репутации (IronPort Reputation Filters™).

По этой технологии IP-адрес отправителя сверяется с базой данных SenderBase™, которая анализируется его по множеству факторов, после чего письму присваивается интегральный показатель репутации отправителя SBRS. Если данный IP-адрес числится в базе данных SenderBase™ как часто и много рассылающий спам, присвоенный показатель будет соответствовать весьма низкой репутации, и письмо будет скорее всего отвергнуто без скачивания, если же IP-адрес числится как "добропорядочный", письмо будет считаться “чистым” и пропущено с минимальной проверкой. "Сомнительные" письма будут приниматься, но подвергаться особо строгой проверке в следующем, "реактивном" слое защиты от спама. Показатели репутации отправителя являются вероятностными, что даёт отснованных на них системах значительно большую гибкость и точность, чем системам на основе простых “чёрных” и “белых” списков.

Согласно документации производителя, на этом этапе отсеивается более 80% нежелательных писем. По опыту нашей компании при внедрении Email-шлюзов у клиентов этот показатель оказался даже выше заявленного производителем, и составил около 98% всех нежелательных писем.

Система превентивной защиты позволяет резко снизить нагрузку на канал доступа в Интернет, поскольку при проверке отправителя по базе данных SenderBase™ скачиваются только заголовки сообщений. Если сообщение признаётся спамерским, его получение блокируется, и скачивания тела письма не происходит.

Реактивный слой защиты от спама

Все сообщения, прошедшие превентивный слой защиты и скачанные на шлюз, передаются системе IronPort Anti-Spam™.

Система IronPort Anti-Spam™ использует технологию глубокого контекстного анализа сообщений (Context Adaptive Scanning Engine™, CASE) для оценки построения и содержимого каждого письма. По результатам анализа сообщения, в зависимости от наличия у него признаков спама, ему присваивается определённый показатель CASE (показатель подозрительности письма). При обнаружении в тексте письма ссылок на любые веб-адреса, они также проверяются в базе web-репутаций SenderBase™.

Система IronPort Anti-Spam™ анализирует не только содержимое письма, но и особенности его составления, распознавая все способы обхода антиспам-фильтров. Приложенные к письму изображения распознаются и анализируются на содержание спама.

После проведения всестороннего анализа сообщения, учитывая как показатель CASE, так и ранее выставленный показатель репутации и другие факторы, в отношении письма принимается решение о его отсеивании или, наоборот, о доставке письма адресату внутри компании.

Настраиваемые политики фильтров по репутации отправителя

В зависимости от установленной с помощью базы SenderBase™ репутации отправителя сообщения, к нему могут быть применены различные настраиваемые политики безопасности. Например, отправителю с низкой репутацией может быть разрешено присылать не более десяти писем в час без вложений, и к этим письмам будет применяться максимально строгая проверка системой контекстного анализа сообщений и антивирусной защитой. Отправители с высокой репутацией получат большие привилегии: до 1000 адресатов в час, письма с вложениями любых типов и размеров, шифрование TLS и проч. Если администратор считает необходимым настройку политик, отличных от заданных по умолчанию, он может произвести их изменение через простой веб-интерфейс.

Гибкий контроль потока “серой” почты

Email-шлюзы Cisco IronPort обладают широкими возможностями по контролю за потоком почты. Большинство аналогичных коммерческих систем позволяют контролировать лишь число подключений от одного узла в час. Спамеры легко обходят это ограничение, отправляя по несколько сообщений за одно подключение или одно сообщение множеству адресатов. В Email-шлюзах IronPort используется гораздо более гибкая система ограничений, позволяющая контролировать для каждого узла число получаемых от него сообщений в час, т.е., чем больше отправитель похож на спамера, тем медленнее от него будет приниматься почта.

Эта возможность позволяет шлюзу легко справляться с большим потоком сообщений от “серых” отправителей, которые не были ни отброшены системой репутационной фильтрации как явные спамеры, ни идентифицированы как легальные пользователи. Благодаря этой технологии требующие значительных затрат ресурсов шлюза фильтры содержимого не будут перегружаться чрезмерным числом писем.

Подоменная политика обработки возвратов (bounces)

ПО транспорта электронной почты IronPort MTA также способно менять свою политику в отношении возвратов сообщений (bounces) в зависимости от того, от какого домена поступил возврат. Зачастую при атаках спамеров используется большое число несуществующих Email-адресов, что приводит к приходу огромного числа возвратов сообщений на сервер, который не отправлял эти сообщения, и необходимости ручного вмешательства администратора электронной почты.

В IronPort MTA для подозрительных доменов можно настроить автоматическую очистку таких возвратов сообщений. Эта возможность позволяет Email-шлюзу IronPort действовать в качестве “амортизатора” для сервера групповой работы (MS Exchange и др.) и избавляет от необходимости ручной очистки очереди сообщений администратором в случае вирусных атак.

Защиты от атак возвратами сообщений (bounce attack) и проверка возвратов

Возвраты сообщений (bounces) всё чаще становятся проблемой для администраторов почтовых систем. При спамерских атаках часто рассылаются письма с поддельным Email-адресом и вложенным вирусом, после чего ответ о невозможности доставки приходит на этот Email-адрес. Уникальная односторонняя технология IronPort Bounce Verification™ позволяет надёжно распознавать bounce-ответы о сообщениях, которые не отправлялись со шлюза. Для этого в адрес отправителя каждого исходящего сообщения добавляется цифровая подпись, например, адрес support@myserver.com будет изменён на адрес вида pvrs=support=3125EA2FE@myserver.com. При получении bounce-ответов наличие правильной подписи позволяет Email-шлюзу отличать поддельные сообщения от легальных.

Гарантированная доступность для входящих соединений

Большую угрозу для почтовых шлюзов представляет возможный отказ в обслуживании (DoS) ввиду чрезмерного числа SMTP-подключений. Особенно серьёзной эта опасность стала с появлением вирусных эпидемий, например, эпидемий таких интернет-червей, как MyDoom или SoBig. У классических систем электронной почты, способных поддерживать лишь несколько сотен одновременных SMTP-подключений, в таких условиях быстро заканчиваются доступные ресурсы и наступает отказ системы.

Внедрённая на уровне операционной системы AsyncOS™ уникальная модель безстековой поточности (Stackless Threads™) позволяет одному устройству поддерживать до 10 000 одновременных SMTP-подключений, что многократно превышает возможности почтовых шлюзов, основанных на классических UNIX-системах и практически исключает вероятность отказа в обслуживании.

Защита от перебора базы данных пользователей (Directory Harvest Attack Prevention, DHAP)

Чтобы избежать использования злоумышленниками автоматических сообщений о недоставке (NDR) для перебора базы данных пользователей используется специальная технология защиты (Directory Harvest Attack Prevention, DHAP). Эта технология заключается в отслеживании числа писем на несуществующие адреса, полученных от каждого отправителя. Если это число превышает определённый, регулируемый администратором порог, отправитель считается злоумышленником, и вся почта от него блокируется без отправки сообщений NDR. Этот порог может регулироваться в зависимости от репутации отправителя, позволяя адресам с высокой репутацией иметь более высокий порог DHAP, т.е. отправлять больше писем на несуществующие адреса без опасности быть причисленным к злоумышленникам.

Технологии защиты от вирусов

Комплексная система антивирусной защиты

Система антивирусной защиты Email-шлюзов Cisco IronPort также имеет двуслойную структуру: первый слой представлен превентивной технологией Virus Outbreak Filters™, а второй использует классический сигнатурный анализ.

Первый слой антивирусной защиты: превентивная антивирусная технология Virus Outbreak Filters™ и проблема задержки появления сигнатур

Даже у самых лучших производителей классических антивирусов подготовка сигнатур для обнаружения нового вируса занимает от 6 до 48 часов. За это время вирусная эпидемия охватывает тысячи компьютеров, поражая даже сети предприятий, защищённых современными классическими антивирусами. 

Для решения этой проблемы компания Cisco IronPort разработала технологию полуавтоматического упреждающего создания правил ранней фильтрации по наблюдаемым аномалиям мирового почтового трафика.

Такой глобальный подход стал возможен благодаря сбору информации о более 25% мирового интернет-трафика системой SenderBase™. Технический центр Cisco IronPort Treat Operations Center (TOC) базы данных SenderBase™ обнаруживает различные аномалии мирового почтового трафика, например, массовое появление новых IP, отправляющих большие объёмы почты (и ранее не известных как почтовые серверы) со схожими или подозрительными вложениями, увеличение объёма сообщений с определённым размером, типом или именем вложения, и многие другие параметры.

После утверждения правила техническими специалистами TOC, оно автоматически рассылается на все шлюзы IronPort, после чего вся подозрительная почта с возможными новыми вирусами автоматически попадает в карантин, а системному администратору отправляется уведомление о возможной вирусной эпидемии.

Технология Virus Outbreak Filters™ функционирует уже более трёх лет, и достигла невиданных ранее показателей, защищая пользователей от новых вирусных эпидемий в среднем за 16 часов до появления сигнатур классических антивирусов.

Второй слой антивирусной защиты: классический сигнатурный анализ двумя лучшими антивирусами

Второй слой антивирусной защиты состоит из двух классических антивирусных программ, (Sophos и McAfee), комплексное использование которых позволяет достигать выдающихся показателей распознания как давно известных, так и новых вирусов.

Технологии обработки и доставки почты

Независимые очереди для каждого домена и проверка состояний домена

Разработанное для операционной системы AsyncOS™ прикладное ПО транспорта электронной почты IronPort MTA использует уникальную технологию независимых очередей. Для каждого домена поддерживается не только отдельная очередь сообщений, но и проверяется его доступность для доставки почты.

Так решается одна из общих проблем классических MTA, которые в таких случаях оказываются парализованы попытками доставки огромного числа писем недоступному домену.

Защита от перегрузки домена-получателя и эффективная доставка сообщений

ПО транспорта электронной почты MTA IronPort группирует все предназначенные одному домену сообщения, открывает множество подключений к нему и доставляет по несколько сообщений в каждом подключении. Традиционные системы транспорта электронной почты открывают новые подключения для каждого из сообщений, что повышает нагрузку как на передающую, так и на принимающую систему.

В ПО MTA IronPort также используется алгоритм “Good Neighbor”, благодаря которому при открытии новых подключений замеряется общая скорость всех подключений к каждому домену. Если скорость передачи сообщений домену перестаёт расти, создание новых подключений к домену прекращается, чтобы избежать его перегрузки и возможного внесения адреса шлюза в черный список.

Свой DNS-кэш на каждом шлюзе

Каждый Email-шлюз IronPort имеет свой DNS-кэш, что значительно повышает его производительность. Также этот кэш хранит адреса всех MX домена-получателя и распределяет подключения по разным MX согласно их приоритетам.

Технология идентификации домена отправителя DomainKeys Identified Mail

В технологии DomainKeys Identified Mail (DKIM) объединены несколько способов борьбы со спамом и фишингом и повышения качества идентификации и классификации легитимных сообщений. Вместо IP-адреса отправителя в письмо добавляется цифровая подпись, заверяющая домен организации-отправителя. На стороне получателя подпись автоматически подвергается проверке, после чего проверяется репутация домена-отправителя. Для передачи открытых ключей шифрования используется существующая система доменных имён (DNS). Эта технология повышает вероятность доставки писем пользователей по назначению и резко снижает вероятность их ошибочного отсеивания как нежелательных.

Аутентификация в службах каталогов и маскировка домена

Email-шлюзы IronPort включают высокопроизводительный клиент LDAP, благодаря которому адреса входящих сообщений могут проверятся в любой службе каталогов, например в MS AD или Lotus Notes. Сверка адресов со службой каталогов может происходить как до скачивания письма на шлюз (в ходе сверки писем с базой SenderBase по скачанным заголовкам), так и после него, причём лишь в последнем случае будет отправляться автоматический ответ NDR – сообщение о недоставке. Также поддерживается маскировка домена отправителя для защиты сведений о доменной структуре корпоративной сети.

Технология виртуальных шлюзов (Virtual Gateway™) – защита репутации исходящих IP-адресов и разведение типов почты по разным IP

IP-адреса, используемые для рассылки электронной почты, имеют репутацию в интернете, на основании которой почтовые серверы принимают решение о приёме или блокировке писем с этих адресов. Технология Virtual Gateway^TM позволяет рассылать различные типы электронной почты с разных IP-адресов, например, выделить разные исходящие IP для коммерческой, корпоративной, и личной почты сотрудников.

Если один из исходящих IP-адресов будет заблокирован провайдером, сообщения будут беспрепятственно доставляться с других IP-адресов, поскольку блокировка целых подсетей в настоящее время практически не используется.

Эта возможность может быть весьма полезна провайдерам электронной почты, позволяя выделить каждому из клиентов отдельный исходящий IP-адрес (поддерживаются до 256 IP-адресов). Блокировка любого из исходящих IP-адресов не повлияет на рассылку почты других клиентов.

Для отправки сообщений на каждом виртуальном шлюзе создаются отдельные очереди для каждого домена. Если один из виртуальных шлюзов будет заблокирован каким-либо крупным доменом-получателем (напр., hotmail.com), доставка почты с других виртуальных доменов не будет нарушена.

Кроме того, технология виртуальных доменов может использоваться для приоритизации почты, позволяя установить различные приоритеты для корпоративной почты и массовых рассылок уведомлений клиентам в специализированном Email-шлюзе Cisco IronPort C360D.

Шифрование взаимодействия между шлюзами.

Пересылка писем в открытом, незашифрованном виде значительно облегчает их перехват потенциальными злоумышленниками. Устройства IronPort С-серии поддерживают защищённую передачу сообщений между почтовыми шлюзами с помощью технологий SSL/TLS, делая перехват сообщений на этом этапе практически невозможным.

Скоростная обработка электронной почты

Благодаря используемому в AsyncOS™ специализированному i/o-based планировщику задач, ПО транспорта электронной почты (MTA) обрабатывает почтовые сообщения в 10-20 раз быстрее традиционных систем и достигает высоких показателей скорости обработки почты, достигающих 500 000 сообщений в час.