Электронная почта всё ещё является основным средством обмена информацией как между сотрудниками компании, так и с внешними клиентами. Но у популярности есть и другая, не очень приятная сторона — вирусы и спам, мешающие работе и ставящие под удар безопасность системы. Проблема не нова, уже разработаны сотни решений: аппаратных и программных, коммерческих и распространяемых под свободными лицензиями. Выбор конкретного продукта зависит от особенностей организации, подготовки IT-персонала и возможностей по финансированию.
Свободные решения традиционно считаются более сложными в настройке и требуют некоторого опыта. Частично это так: чтобы напугать новичка, достаточно прочитать инструкцию по конфигурирования Postfix, SpamAssassin и сопутсвующих наработок. Но всегда найдётся проект, разработчики которого предлогают уже готовые настройки, упрощающие внедрение. Одним из таких решений является Scrollout F1, возможности которого и рассмотрим под катом. (много картинок)
По определению Scrollout F1 представляет собой преднастроенный и автоматически конфигурируемый почтовый шлюз с защитой от вирусов и спама, который предназначен для использования в сетях Linux и Windows, распростроняется по лицензии GNU GPL v2.
По сути, продукт представляет собой графический интерфейс, написанный на PHP, и скрипты оболочки с преднастройками к множеству открытых продуктов -Postfix, getmail4, Razor, SpamAssassin, Pyzor, FuzzyOCR (спам в картинках), ClamAV, OpenSSL, MailGraph, RRDTool, iptables и другие. Основой всего является Linux (официально поддерживаемый Debian и Ubuntu). Исходя из этого следует рассматривать представляемые возможности. Вот только некоторые из них:
— антивирусная и антиспам-проверка исходящей и входящей почты;
— проверка сообщений по данным белых и чёрных списков провайдеров (рейтинги RBL), блокировка спам-изображений;
— геофильтрация по IP отправителя, сервера, URL в сообщении и домену верхнего уровня (TLD);
— поддержка TLS;
— проверка входящей почты с помощью DKIM и подпись исходящих сообщений;
— DLP для документов MS Word, Excel, PowerPoint, PDF и изображений;
— возможность создания адресов-ловушек для определения спама, лёгкое обучение спам-фильтра;
— резервное копирование почты на специальный адрес;
— и многое другое.
Некоторые функции, обеспечиваемые Scrollout F1, даже не указаны на сайте, о них узнаешь в процессе изучения скриптов. Например, правила iptables устанавливают лимит подключений к 22-му и 465-му портам, но готовы преднастройки и для других, достаточно снять комментарии.
Пара слов о функции Lite DLP, позволяющей не допустить утечку важных документов. Полноценной DLP её не называют сами разработчики, поэтому требовать от неё много не нужно. Работает она по следующему принципу. Создаются общая SMB-папка (средствами Windows или Samba), доступ к которой получают руководители отделов компании, и учётная запись для Scrollout F1. В этой папке будут автоматически созданы два подкаталога: lock и unlock. Сервер Scrollout F1 анализирует все документы, содержащие текст (MS Office, PDF и т.д.) и помещённые в lock, и, если находит в сообщении копию одного из них, передача письма будет автоматически блокирована. Все архивы распаковываются, файлы для анализа конвертируются в текстовый.
Чувствительность DLP выставляется в настройках и позволяет перехватывать документ, разбитый на несколько частей. Для блокировки файлов, которые не могут быть определены фильтром содержания и редко изменяются (например, изображения, аудио, видео), используется MD5. Соответственно белый список и разблокировка документов создаются копированием файла в unlock. Нареканий функции Lite DLP не вызывает, гораздо сложнее приучить персонал копировать данные в папку, кроме того, нужно обеспечить большой контроль общего ресурса.
Разработчики никак не позиционируют Scrollout F1. Но, очевидно, она вполне подойдёт для организаций, имеющих несколько почтовых доменов, работающих под управлением старых почтовых серверов, которые нет необходимости или возможности обновлять, а нужно усилить защиту как самого сервера, так и электронной почты.
Web-интерфейс не локализован, но особой необходимости в этом нет. Настройки минимальны и не требуют особых пояснений для человека, ранее сталкивавшегося с почтовыми сервисами.
Установка Scrollout F1 возможна двумя способами: на чистое «железо» с помощью подготовленного ISO (на базе Debian, только 32-битная версия) или на «чистый» Debian/Ubuntu. Минимальные системные требования: CPU x86/AMD64, 384 Мб ОЗУ и 3 Гб на жёстком диске достаточны для относительного не большего трафика 100 пользователей. Реальные требования следует подбирать исходя из планируемого трафика, но рекомендаций разработчики не дают.
Установка на Debian/Ubuntu сложностью не отличается. Необходимо скачать архив и запустить скрипт:
$ cd /tmp
$ wget http://sourceforge.net/projects/scrollout/files/update/scrolloutf1.tar/download -O scrolloutf1.tar
$ tar -xvf scrolloutf1.tar
$ chmod 755 /tmp/scrolloutf1/www/bin/*
$ sudo /tmp/scrolloutf1/www/bin/install.sh
В процессе работы скрипт загрузит ряд пакетов из репозитариев, файлы Scrollout F1 будут скопированы в /var/www, на них будут установлены корректные права доступа, произведена начальная настройка сервисов.
Проще создать виртуальную машину и загрузиться с ISO-образа, в процессе настройки указать IP-адрес с возможностью выхода в интернет.
Web-интерфейс управления Scrollout F1
Для регистрации переходим по адресу:
host-ip. Реквизиты для входа «спрятаны» в стандартном .htpasswd, и по умолчанию это Admin и пароль 123456. После регистрации его следует сразу же изменить, перейдя во вкладку Secure -> Password или воспользоваться htpasswd.После регистрации попадаем в начальное окно Scurity (Secure -> Levels), в котором необходимо выбрать уровень работы компонентов системы: от агрессивного (зелёный сектор) до разрешающего (Permissive, красный сектор).
Основные настройки расположены в пяти меню, назначение которых понятно из названия: Connect, Route, Secure, Collect и Monitor. Некоторые из них имеют подменю. Первоначально необходимо изменить сетевые установки системы, для этого переходим в Connect, где указываем имя узла, локальный IP, IP шлюза и DNS сервера, а также DNS-суффикс.
Теперь перестраиваем шлюз, чтобы SMTP-трафик шёл через сервер Scrollout F1 и перенаправлялся на внутренние почтовые сервера.
Обслуживаемые почтовые домены добавляются во вкладке Route.
Нередко бизнес-партнёры находятся только в определённых странах, поэтому часть спама, пришедшую из других регионов, можно отсеять по стране происхождения. По умолчанию Scrollout F1 не производит геоанализ и пропускает всю почту. Нужные настройки расположены в меню Secure -> Countries.
Почтовый ящик, в который будут собираться спам и легальные сообщения (белый список), прописывается в поле Mailbox в Collect — SPAM & LEGIT. Для доступа необходимо указать IMAP-сервер и учётные данные, также следует указать название папки для спама и нормальных писем. Теперь скидывая в них соответствующие сообщения, можно обучать фильтры. В поле Spam Traps прописываются адреса-ловушки (без названия домена); все сообщения присланные сюда, будут всегда помечаться как спам.
Про Lite DLP подробно писал eafanasov в своей статье
Собственно, это все настройки. Кроме этого, реализованы просмотр журнала событий (доступен фильтр) и графики загруженности, визуально показывающие количество отправленных, полученных, отброшенных сообщений, спама и вирусов.
Знакомство с Scrollout F1 показывает, что это простое и доступное решение, позволяющее защитить внутренние почтовые серверы и блокировать нежелательную почту. При этом продукт не требует особых навыков администрирования.
