Антивирусная проверка электронной почты
Заголовки и тело электронного сообщения
«Белый порошок» в конверте электронного письма
Защита от вирусов, распространяющихся по почте
Антивирусы для почтовых серверов
Вместе с лавинообразным ростом популярности Интернета повсеместно распространилась электронная почта, представляющая собой один из наиболее важных сервисов Всемирной сети.
лектронной почтой пользуются не только сотрудники компаний, но и практически все владельцы компьютеров с модемом. Распространению электронной почты в немалой степени способствуют низкая стоимость подключения к Интернету и доступные цены модемов и самих компьютеров. Однако главное, конечно, в том, что только электронная почта может удовлетворить современные потребности в удобном, недорогом и быстром средстве обмена информацией по всему миру. Подавляющее большинство деловых документов и личных писем передается именно через электронную, а не через обычную почту. Электронная почта выступает также в качестве средства рассылки рекламной и другой информации, такой как электронные газеты и бюллетени. Однако слепо доверяя электронной почте, вы рискуете заразить свой компьютер вирусом, пострадать от Интернет-червя, троянской или иной вредоносной программы. Последствия этого могут быть весьма серьезны — от потери всех или некоторых файлов до утечки конфиденциальной информации. Заразив ваш компьютер вирусом или установив на него червя или трояна, злоумышленник сможет полностью захватить управление компьютером. При этом ему не составит особого труда отправлять от вашего имени электронные сообщения или выполнять какие-либо другие нежелательные для вас действия.
Электронная почта и вирусы
тобы уберечь себя от опасности, прежде всего следует ознакомиться с основными принципами работы электронной почты и причинами, по которым она становится уязвимой к действиям злоумышленников. Только в этом случае борьба с вторжением в компьютер будет действительно эффективной.
Заголовки и тело электронного сообщения
Отправляя обычное письмо, вы пишете или печатаете его текст на бумаге, затем вкладываете его в конверт, пишете адрес получателя и отправителя. В таком виде письмо можно бросить в почтовый ящик, после чего оно рано или поздно дойдет до адресата.
Чтобы подготовить электронное письмо, вам потребуется специальная почтовая программа, такая как Microsoft Outlook Express, The Bat! или Netscape Messenger. На рис. 1 мы показали окно создания электронного письма программы Microsoft Outlook Express.
В поле To (Кому — в русской версии программы) указывается электронный адрес получателя, который состоит из полей идентификатора и доменного имени, разделенных символом @. По своему назначению электронный адрес эквивалентен адресу получателя, написанному на конверте обычного письма. Чтобы получатель сразу понял, о чем ваше письмо, нужно заполнить поле Subject (Тема), кратко описав в нем содержание письма.
Эти и некоторые другие поля образуют так называемый заголовок электронного сообщения. Что же касается самого текста письма, то оно набирается в нижней части окна (см. рис. 1) и составляет тело сообщения.
Файлы вложений
Продолжая аналогию с обычным письмом, отправляемым в бумажном конверте, заметим, что кроме листка с текстом сообщения можно вложить в такой конверт различные предметы небольшого размера: марки, фотокарточки, билеты и т.п. Что же касается электронного письма, то вместе с ним могут передаваться любые файлы, которые называются присоединенными, или файлами вложений (attachment file). К примеру, вместе с сообщением, показанным на рис. 1, мы передаем файл с именем drweb_sert_12.01.2002.zip. Именно файлы вложений и таят в себе угрозу для компьютера — через них может проникнуть вирус, червь, троянская или другая вредоносная программа.
Пересылка электронной почты
Подготовив электронное письмо, вы можете отправить его по назначению при помощи почтовой программы, подключив предварительно свой компьютер к Интернету. В процессе пересылки электронной почты участвуют два сервера: сервер передачи почты SMTP и сервер входящих сообщений POP3 (рис. 2).
Вначале почтовая программа отправителя посылает сообщение на сервер SMTP, работающий по простому протоколу передачи почты (Simple Mail Transfer Protocol, SMTP). Этот сервер находится, как правило, на площадке провайдера отправителя.
Далее сервер SMTP пересылает сообщение на сервер POP3, располагающийся у провайдера получателя. В зависимости от ряда обстоятельств этот процесс может занимать секунды, минуты или даже часы, хотя обычно между серверами SMTP и POP3 сообщения передаются очень быстро.
Все сообщения, поступающие в адрес получателя, складываются в электронный почтовый ящик, расположенный на дисках сервера POP3. Когда получатель желает забрать свою почту, он подключается с помощью почтовой программы к серверу POP3, после чего программа переписывает все новые сообщения на локальный диск компьютера получателя.
«Белый порошок» в конверте электронного письма
Безусловно, все знают о попытках террористов распространить сибирскую язву по почте. Вирусы этого страшного заболевания пересылались в виде белого порошка, насыпанного в конверты. Аналогичным образом вирусы распространяются через электронную почту.
Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены электронным «белым порошком».
К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для «здоровья» компьютера. В чем опасность файлов вложений? В качестве такого файла вам могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *xls, и т.п.), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, вы можете инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем! В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов и иных вредоносных программ на ваш компьютер — дело времени.
Возможны и другие попытки проникновения на компьютер через электронную почту. Вам, например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое черное дело.
Защита от вирусов, распространяющихся по почте
омимо чисто административных мер, рассказ о которых выходит за рамки этой статьи, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).
Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.
Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению или проникновению троянских программ.
Антивирусы для почтовых серверов
онимая актуальность проблемы распространения вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовые серверы, не допуская передачи сообщений с зараженными файлами вложений. Существует и другое решение — подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.
Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления антивирусной базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов — к ним будут приходить сообщения, уже очищенные от вирусов.
Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом вложений, защищенный почтовый сервер SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение (рис. 3).
Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса (рис. 4).
Несмотря на постоянно растущую популярность платформы Microsoft Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Не вступая в полемику по поводу сравнения надежности работы серверов Microsoft Windows и Linux (это в немалой степени зависит от квалификации системного администратора), укажем на основное преимущество Linux — очень низкую стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты.
Среди других преимуществ Linux и подобных ОС, способствующих росту популярности в качестве платформы для создания серверов Интернета, — открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.
Doctor Web для UNIX-систем
Для защиты почтовых серверов, работающих под управлением ОС Linux, FreeBSD и Solaris, с успехом можно использовать известную антивирусную программу Doctor Web Игоря Данилова (подробную информацию об этом можно найти на сайте http://www.dials.ru/). В комплект антивируса входят программа-демон DrWebD и программа-сканер DrWeb, а также решения для интеграции с почтовыми системами: CommuniGate Pro, Sendmail, QMail, Exim, Postfix. Скоро появятся компоненты и для интеграции с файловыми серверами Samba.
Демон DrWebD снабжен открытым документированным интерфейсом и может использоваться практически во всех схемах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Открытые исходные тексты некоторых компонентов интеграции позволяют проводить аудит, модифицировать интерфейсные компоненты для более полного удовлетворения требованиям разработчика. Кроме того, эти исходные тексты могут служить примером для написания собственных компонентов интеграции. В процессе своей работы демон DrWebD автоматически проверяет все сообщения электронной почты, проходящие через сервер. При этом проверяются файлы вложений (даже упакованные), а также все объекты OLE, встроенные в документы.
При обнаружении вирусов в почтовом сообщении тело вируса изымается и перемещается в зону «карантина», после чего получателю сообщения и администратору сервера посылается извещение. Таким образом, пользователи Sendmail будут надежно защищены от вредоносных программ, распространяющихся через электронную почту. Аналогичный механизм взаимодействия предусмотрен и для других почтовых серверов.
Doctor Web автоматически загружает через Интернет обновления антивирусных баз данных, что необходимо для надежной антивирусной защиты.
Помимо антивирусной проверки демон может выполнять фильтрацию сообщений по содержимому различных полей заголовков, что может быть использовано для защиты от несанкционированной рассылки сообщений — спама.
Одним из несомненных достоинств программы является высокая производительность работы демона DrWebD и сканера DrWeb, достигнутая благодаря использованию совершенных алгоритмов. Это имеет особое значение в том случае, если сервер обладает малой вычислительной мощностью. Заметим, что демон, почтовый фильтр и почтовый сервер могут работать на разных компьютерах, что позволяет при необходимости балансировать нагрузку на серверы и сетевые интерфейсы.
Что же касается сканера DrWeb, то он обладает всеми возможностями других сканеров семейства DrWeb32 и запускается из командной строки.
«Антивирус Касперского» для Sendmail/Qmail/Postfix/Exim
Программа «Антивирус Касперского (AVP) для Sendmail/Qmail/Postfix» была создана специально для защиты почтовых систем Sendmail, Qmail, Exim и Postfix (подробную информацию об этой программе можно найти на сайте http://www.kaspersky.ru/). Выполняя в реальном времени или по требованию пользователей централизованную фильтрацию всех сообщений, проходящих через почтовый сервер, эта программа удаляет вирусы из электронной почты до того, как они достигнут адресата.
При обнаружении вирусов в файле вложения программа удаляет его и пересылает само сообщение, а также предупреждение об обнаружении вируса на заранее заданный адрес. Это позволяет администратору определять источник распространения вирусов или других вредоносных программ. В программе реализована функция «карантин» для зараженных и подозрительных объектов. «Антивирус Касперского» может проверять не только вложенные файлы, но и встроенные в документы объекты OLE, упакованные архивы файлов всех основных форматов, а также содержимое вложенных почтовых сообщений любого уровня вложенности.
Среди других достоинств программы заслуживают упоминания возможность проверки личных и публичных папок, автоматическое обновление антивирусных баз данных через Интернет, изменение списка защищаемых ящиков без перезагрузки сервера, встроенная система рассылки предупреждений о случаях вирусных атак, а также удобная система управления, обновления и конфигурирования программы.
КомпьютерПресс 2'2002