Kerio Mail Server: укрепление позиций
Caller ID и SPF (Sender Policy Framework)
Спамовый рейтинг и байесов фильтр
Почтовый сервер Kerio Mail Server (KMS) версии 6 от компании Kerio Technologies продолжает укреплять свои позиции на рынке высоких технологий. Безусловно, этому способствует постоянное внимание разработчиков к своему детищу. Если о революционных изменениях в KMS говорить не приходится, то усовершенствования, направленные на повышение стабильности работы и удобства пользования, а также на увеличение количества предоставляемых возможностей, производятся постоянно.
ПО коллективного пользования
Компания Kerio продолжает развивать свои серверные продукты с тем, чтобы прочно занять на рынке нишу малого и среднего бизнеса (small-to-midsized business, SMB). Создание программного обеспечения коллективного пользования (groupware) для малых и средних компаний в настоящее время весьма актуально, ведь один из основных продуктов этой категории — MS Exchange Server — становится все более «тяжелым» не только в плане стоимости, но и в техническом обслуживании и по требованиям к аппаратным ресурсам. С легкой руки компании Microsoft ПО коллективного пользования развивается на основе почтовых серверов, и KMS не является исключением. Однако это не только чисто почтовый сервер, но и groupware-решение. Это означает, что на сервере в дополнение к личным почтовым папкам пользователей хранятся контакты, календарь, задания, заметки и папки общего пользования. Для совместной работы пользователей KMS использует следующие средства:
- интеграция с Windows Active Directory (AD) и Apple Open Directory (OD) — KMS извлекает список пользователей почтового домена из базы данных контроллера домена, как и MS Exchange Server. Таким образом, администратору не надо следить за двумя (или более) списками пользователей — достаточно вести список в AD или OD. Другие возможные источники данных о пользователях для почтовых доменов — локальная база поч-тового сервера и домен Windows NT. При этом каждый почтовый домен (а их может быть несколько на почтовом сервере) может содержать список пользователей из разных источников;
Настройка двойной антивирусной защиты
- надстройка для MS Outlook — Kerio Outlook Connector — превращает MS Outlook в полноценный клиент почтового сервера KMS, доступный для коллективного использования. После установки данной надстройки на клиентскую рабочую станцию в Outlook появляется еще один профиль — Kerio Mail Server. С это-го момента возможна полноценная работа каждого клиента как с личными папками на почтовом сервере, так и с групповыми (корпоративными) данными;
- MS Entourage — почтовый клиент MS Office 2004 for Mac, который для взаимодействия с почтовым сервером KMS может применять протоколы POP3 и IMAP, а также интерфейс WebDAV для организации совместной работы пользователей Mac OS X с разделяемыми данными;
- WebMail — средство доступа к данным, хранящимся на сервере, с помощью протокола HTTP. Таким образом, имея только web-браузер, клиенты могут работать с личными и корпоративными данными из любой точки Интернета, если, конечно, политика безопасности компании это допускает. В настоящий момент KMS поддерживает Internet Explorer версий 6 и 7, FireFox версий 1.5 и 2, Safari 1.3 и 2. Кроме того, почтовый сервер KMS предоставляет еще один вариант web-доступа, оптимизированный для КПК (PDA);
- протокол ActiveSync — позволяет синхронизировать все серверные данные с мобильными устройствами напрямую, минуя настольные системы. В такой синхронизации могут участвовать мобильные устройства, на которых реализован протокол ActiveSync, например устройства на ОС Windows Mobile (начиная с версии 2002), смартфоны Nokia E-серии на ОС Symbian с соответствующим клиентом от Nokia, КПК Treo на Palm OS, коммуникаторы SonyEricsson M600, P990 на ОС Symbian UIC 3.0 с клиентом RoadSync от компании DataViz.
Почтовый сервер как таковой
Если рассматривать KMS только как почтовый сервер, то, пожалуй, самыми интересными и востребованными его функциями являются средства борьбы со спамом. Для этого в KMS реализовано несколько различных технологий, которые, работая вместе или последовательно, дают прекрасный результат. Рассмотрим методы борьбы со спамом, начиная с самого, на наш взгляд, эффективного.
Спам-репеллент
Технология спам-репеллент (spam repellent) очень эффективна, если почтовый сервер используется как почтовый шлюз, то есть сервер принимает почту от всех желающих отправить ее в домен непосредственно, а не через посредника-ретранслятора. Назначение этой технологии состоит в том, чтобы пресекать попытки спамовых автоматов отправить почту. Работает это следующим образом.
Настройка спам-репеллента
Сервер-отправитель пытается установить соединение с сервером-получателем (в нашем случае сервер-получатель — это KMS) путем посылки запроса на установление соединения по протоколу SMTP. Получатель такого запроса должен в пределах разумного интервала времени ответить, что готов вступить в контакт для приема почты. Временной интервал определяется загруженностью почтового сервера, а также загруженностью и пропускной способностью каналов связи. «Нормальный» сервер будет ждать ответ столько, сколько определено стандартом на протокол SMTP. А вот спамовый автомат, скорее всего, ждать не будет и после сравнительно короткой паузы откажется от попытки отправить почту на сервер. Количество отсекаемых таким образом соединений зависит от величины таймаута. Разработчики Kerio рекомендуют устанавливать максимум 30 с, но, как показывает практика, компромиссным является значение в 60 с, так как при этом учитываются и необходимость в подавлении спама, и затраты администратора на сопровождение. Однако не все «нормальные» серверы выдерживают столь большой таймаут — такие серверы необходимо внести в список исключений, к которым задержка не применяется. Собственно, в этом и состоит дополнительная настройка технологии спам-репеллент, но, затратив на нее определенное время, можно добиться очень неплохих результатов.
Caller ID и SPF (Sender Policy Framework)
Сравнительно новые технологии Caller ID и SPF практически идентичны и различаются лишь тем, что первая разработана компанией Microsoft, а вторая — открытым сообществом. Принцип их работы состоит в следующем. В DNS-зоне каждого домена указывается список IP-адресов серверов, которые имеют право отправлять почту от имени этого домена. Далее сервер-получатель в каждом письме сверяет домен отправителя с вышеозначенным списком и делает вывод: принять данное письмо или отклонить. Такой проверке способствует и та особенность нынешних почтовых серверов, что они отклоняют почту от доменов, которые вообще не существуют. Таким образом, в идеале технологии Caller ID и SPF являются достаточно действенным способом борьбы со спамом, по крайней мере до того момента, пока спамеры не придумают что-нибудь новое. Кроме борьбы со спамом, эти технологии помогают владельцам доменных имен оградить свое доброе имя от спамеров, использующих имена доменов в своих корыстных целях.
Спамовый рейтинг и байесов фильтр
Антиспамовый модуль KMS анализирует каждое письмо и пытается найти в нем признаки спама, исходя из заранее заданных критериев. В соответствии с количеством признаков, указывающих на спам, письму присваивается некоторый числовой рейтинг в интервале от 0 до 10. Большее значение указывает на большую вероятность того, что письмо является спамом. Далее администратором настраивается два порога рейтинга:
- если рейтинг письма превышает первый из них, то письмо удаляется;
- если рейтинг письма превышает второй из них, то письмо просто помечается в заголовке как спам.
Байесов, или самообучающийся, фильтр относит каждое письмо к спаму или к не спаму в зависимости от некоторых критериев. Спамовые, по мнению KMS, письма помещаются в папку «Хлам» (junk) вместо папки «Входящие». Далее пользователь может перемещать письма из хлама во входящие или наоборот, а байесов фильтр корректирует свои критерии в соответствии с предпочтениями пользователя. Таким образом происходит обуче-ние фильтра.
Действие технологии спам-репеллент: время ожидания ответа
активными соединениями
Черные списки
Черные списки — это располагающиеся на серверах в Интернете базы данных IP-адресов, с которых были замечены спамерские рассылки. Почтовый сервер пользуется ими для проверки каждого конкретного IP-адреса отправителя письма. Если адрес содержится в черном списке, то письмо отвергается. Все очень просто и понятно, но… так было давно. А сейчас?
Сказать, что эти базы быстро устаревают, — значит не сказать ничего. Спамеры переходят на новые IP-адреса гораздо быстрее, чем информация появляется в черных списках. Мало того что списки составляются с опозданием и в принципе не могут опередить спамеров — они настолько устаревают, что содержащиеся в них адреса уже давно принадлежат не спамерам, а добропорядочным людям. В результате сервер отвергает письма, приходящие от «нормальных» отправителей. Можно сказать, что технология черных списков себя изжила.
Резюмируя все вышесказанное по поводу возможностей почтового сервера KMS в борьбе со спамом, можно уверенно заявить, что в нем есть почти все для успешной работы в окружении спама. Говоря «почти все», мы выражаем надежду, что в KMS будет реализована еще технология серых списков, причем до того, как она потеряет свою актуальность.
Антивирусная защита
Почтовый сервер не может быть полноценным, если в нем нет средств антивирусной защиты. Вообще возможны два варианта ее реализации: встроенный антивирусный сканер и внешний «подцепляемый» (plug-in) сканер. Каждый подход имеет свои преимущества и недостатки. Встроенный сканер не требует усилий по установке и настройке совместной работы с почтовым сервером, но антивирусные алгоритмы и база данных ограничены только этой «моделью». Внешний сканер в общем случае обеспечивает большее разнообразие алгоритмов и баз и свободу их выбора. Но внешний сканер необходимо устанавливать, настраивать на совместную работу и следить за обновлением его антивирусных данных.
В почтовом сервере KMS реализованы оба подхода. Одновременно проверять весь почтовый трафик могут два антивируса: один из них — встроенный модуль McAfee, а другой — внешний из предопределенного списка. Компания Kerio отмечает в своей документации, что такой подход позволяет подстраховаться в случае, если «лекарство» одного из разработчиков опаздывает во время эпидемии нового вируса. База встроенного сканера McAfee обновляется по умолчанию каждые шесть часов.
Администрирование
Сильной стороной KMS является администрирование (управление) сервера. Для этого предназначена административная консоль, которая управляет сервером по сети. Следует отметить, что KMS и его административная консоль могут выполняться на различных операционных системах: Windows (от 2000 до Vista, как серверные, так и настольные редакции), Linux, Mac OS X. При этом ОС, под управлением которой запускается административная консоль, никоим образом не зависит от того, в какой системе запущен управляемый сервер. На самом сервере предусмотрено задание списка IP-адресов, с которых разрешается подключение административной консоли. Учитывая тот факт, что каждая служба (SMTP, POP3, IMAP и т.д.) тоже снабжена списком разрешенных IP-адресов, можно говорить о том, что KMS является сам для себя и брандмауэром. Собственно, если терминальным клиентам не нужно подключаться к компьютеру, на котором запущен KMS, то дополнительный брандмауэр не нужен.
Администрирование реализовано довольно логично и наглядно. Этому в большой мере способствует наличие хорошей документации, в том числе учебника для начинающего администратора по сопровождению почтового сервера.
Заключение
Мы рассмотрели основные особенности мощного почтового сервера Kerio Mail Server, в том числе такие его возможности, которых нет в аналогичных продуктах или реализация которых заслуживает всяческих похвал и выделяет его среди других достойных конкурентов.