Почта под контролем

Николай Прокофьев

Установка сервера

Базовые настройки М-сервера

Блокировка опасных приложений

Автоматическая подпись сообщений

 

Программное обеспечение. Аппаратное обеспечение

 

Самым уязвимым местом информационной системы любой организации является электронная почта. Основной причиной сложившегося положения дел является доступность любого почтового ящика для каждого, кто человека имеет доступ к сети Интернет. В данном случае под доступностью мы понимаем возможность отправления сообщения владельцу почтового ящика. А вот что ему могут прислать — вопрос открытый. Кроме того, по причине наивысшего приоритета почтовой службы среди прочих сервисов Интернета, исходящее почтовое сообщение достигает своего получателя за считанные секунды. С одной стороны, это несомненное преимущество, а с другой — открытый канал, которые можно использовать в целях передачи закрытой информации за пределы компании. Конечно, всегда есть возможность вообще отключить услугу электронной почты для сотрудников компании, однако в абсолютном большинстве случаев такой выход неприемлем.

Выходом из сложившегося положения является программный пакет MailMarshal производства компании Marshal Software (http://www.mailmarshal.com). Этот пакет выполняет функции промежуточного фильтра между вашим почтовым сервером и сетью Интернет. В результате абсолютно все входящие и исходящие отправления обрабатываются в соответствии с некоторым набором правил, устанавливаемых администратором системы. Однако будем последовательны и пройдем по всем этапам установки и настройки этой весьма полезной системы.

Установка сервера

Во всех документах в качестве минимальных аппаратных требований заявляется Pentium 166 с 64 Мбайт оперативной и 1 Гбайт дисковой памяти. Проверить сие утверждение не представилось возможным по причине отсутствия в нашем распоряжении такого оборудования. Тем не менее мы склонны верить этому заявлению, поскольку системные требования данного программного обеспечения оказались на удивление низкими. Например, мы построили нашу систему на базе процессора Intel Pentium III 800 (MB ASUS TUSL-2C, процессор Intel Pentium III 800 EB, 512 Мбайт оперативной и 70 Гбайт дисковой памяти, а также две сетевые карты) и ожидали достаточно высокой загрузки системы (210 пользователей с суточным почтовым трафиком до 1 Гбайт). Однако уровень загрузки сервера в пиках не превышал 5%, что дало нам возможность использовать его для решения ряда дополнительных задач.

После установки сервера необходимо провести ряд изменений в конфигурацию почтовой службы (рис. 1). При этом может возникнуть необходимость вносить изменения не только на локальный почтовый сервер, но и в учетные записи вашего домена у провайдера. Прежде всего давайте займемся настройкой сервера MailMarshal (в дальнейшем мы будем называть его M-сервером, в отличие от P-сервера корпоративной электронной почты). Первое, что нам необходимо сделать, это указать тип локального домена, входящую и исходящую почту которого будет обрабатывать M-сервер. Обратите внимание, что в качестве IP-адреса relay-сервера необходимо указать адрес корпоративного почтового сервера (рис. 2).

На данном этапе мы получаем возможность «подменить» существующий почтовый Р-сервер М-сервером. Для этого нам необходимо установить на М-сервер IP-адрес Р-сервера (разумеется, предварительно выключив последний из сети). В результате вся входящая почта будет приниматься М-сервером и ожидать момента подключения Р-сервера. Но не будем торопиться с этим, а немного подумаем. Во-первых, если на Р-сервере сохранится IP-адрес «большого» Интернета, то он сможет отправлять сообщения получателям напрямую, минуя М-сервер. Это нехорошо, поскольку сводит на нет все наши усилия. Поэтому мы произвели небольшую перекоммутацию нашей сети для устранения любой возможности прохождения почтового отправления в обход М-сервера.

Суть проделанных изменений отражена на рис. 3. Теперь ни при каких условиях исходящее почтовое сообщение не пройдет мимо М-сервера. Таким образом, с подключением Р-сервера мы завершаем процедуры аппаратной реконфигурации и приступаем к процедурам настройки непосредственно М-сервера.

В начало В начало

Базовые настройки М-сервера

Немедленно после установки нам становятся доступны правила обработки входящей и исходящей почты, любезно подготовленные разработчиками. Не стоит торопиться с активацией всех этих правил, поскольку это может парализовать работу почтовой системы. В данном разделе мы рассмотрим ряд крайне полезных правил, которые стоит активировать после незначительной доработки.

В начало В начало

Блокировка опасных приложений

Електронная почта является рассадником вирусной заразы. Поэтому первое, о чем стоит задуматься администратору почтовой системы, так это об ограничении типа почтовых вложений, допускаемых во входящей почте1. Например, выполнимые файлы или файлы, написанные на одном из скриптовых языков, несут в себе повышенную угрозу. Естественно, любой продвинутый системный администратор посоветует установить на почтовый сервер один из множества антивирусов. Это так — без антивируса нам жизни нет. Тут же возникает второй вопрос: если на сервере есть антивирус, то зачем огород городить и заниматься анализом вложений? Резон тут определенный есть — особенно с учетом огромной скорости мутаций вирусов и необходимости уже ежедневного обновления антивирусов. Мы провели простой эксперимент: была написана программа (Inprise Delphi 6), которая при запуске получала список пользователей домена и отправляла его на удаленный почтовый ящик. После чего это программа была отправлена по почте. В результате два антивируса (Norton Antivirus и AVP), по очереди проверив это отправление, не нашли в нем ничего опасного и пропустили его до получателя. Увы и ах! Список учетных записей похищен — какая досада. Даже и не досада — это уже почти катастрофа.

Именно по этой причине стоит запретить пересылку исполнимых файлов по электронной почте в адреса вашей компании. Самым приятным является то, что MailMarshal подходит к этой проблеме весьма вдумчиво: в случае если кто-либо попытается прислать запрещенный файл, упакованный одним из архиваторов, то его постигнет разочарование — все архивированные вложения разворачиваются перед началом проверки. В качестве теста мы безуспешно пробовали переслать исполнимый файл, архивированный по методу «бутерброда» (последовательно ZIP Ф ARJ Ф RAR Ф LZH с количеством периодов 10; рис. 4).

В начало В начало

Автоматическая подпись сообщений

Ето правило позволяет автоматически добавлять к тексту входящего или исходящего сообщения некоторый текст (например, подпись, удостоверяющую тот факт, что данное отправление было послано через почтовую систему вашей компании). На фоне массовой подделки сообщений электронной почты вы дадите своим получателям хоть какую-то возможность удостовериться в подлинности вашего сообщения.

К сожалению, в рамках данной статьи мы не в состоянии рассмотреть все возможности этого весьма полезного пакета. Однако в самое ближайшее время мы еще неоднократно вернемся к описанию данного продукта, уделив особое внимание программированию собственных правил обработки сообщений.

КомпьютерПресс 5'2002