Dr.Web для почтовых серверов Unix

Dr.Web для почтовых серверов Unix — комплексное модульное решение для обработки и фильтрации входящего и исходящего трафика на почтовых серверах под Unix-системами (Linux/FreeBSD/Solaris(x86). В зависимости от подключенного набора плагинов программный комплекс может осуществлять фильтрацию почты от вирусов и спама. Dr.Web для почтовых серверов Unix — это целый комплекс по информационной защите почтовых систем предприятия. В зависимости от набора подключенных плагинов Dr.Web для почтовых серверов Unix способен: осуществлять проверку и фильтрацию почтовых сообщений от вирусов и спама. При этом производится проверка как самого письма, так и всех его компонентов, вне зависимости от уровня вложенности; применять белые и черные списки для фильтрации; разбирать почтовое сообщение и анализировать все его компоненты; корректно обрабатывать большинство известных типов архивов, в том числе многотомные и самораспаковывающиеся (SFX); уведомлять как получателей, так и других лиц о результатах проверки при помощи шаблонов, описанных в системе, что позволяет получать информацию в максимально удобном виде; вести статистику, учитывающую все аспекты работы системы; защищать работу собственных модулей от сбоев; лечить или удалять вирусы и любые вредоносные объекты.

Широкий спектр поддерживаемых ОС и почтовых систем Dr.Web для почтовых серверов Unix совместим с дистрибутивами Linux (версии glibc 2.2 и выше), FreeBSD версий 4.x и выше, Solaris 10 (только для платформы Intel). Dr.Web для почтовых серверов Unix предоставляет возможность работы с фильтрами для широкого спектра почтовых систем: CommuniGate Pro, Courier MTA, Exim, Postfix, QMail, Sendmail, ZMailer. Модульная структура Dr.Web для почтовых серверов Unix также позволяет использовать продукт с почтовыми системами, отличными от вышеперечисленных. Все функции взаимодействия с почтовыми системами сосредоточены в отдельных модулях, которые могут быть легко заменены. Пользователь сам может написать необходимый ему модуль и после этого использовать Dr.Web для почтовых серверов Unix со своей почтовой системой. Более того, Dr.Web для почтовых серверов Unix может быть установлен до почтовой системы – т.е. он может сам принимать весь почтовый трафик, анализировать его и передавать дальше по назначению. Возможность подключения неограниченного количества плагинов Dr.Web для почтовых серверов Unix позволяет неограниченно наращивать функциональность решения для защиты почтовых серверов, причем любой написанный плагин работает сразу со всеми поддерживаемыми MTA. Открытость решения Dr.Web для почтовых серверов Unix построен на основе открытой для независимых разработчиков системе подключаемых модулей. Любой пользователь, имеющий необходимую квалификацию, может реализовать необходимую ему функциональность в виде плагина, используя поставляемый в составе комплекса SDK. Гибкость настроек и удобство администрирования Dr.Web для почтовых серверов Unix содержит в себе гибкую систему настроек, позволяющую выполнить практически любой возможный набор правил, что выгодно отличает его от других имеющихся систем. Системный администратор может настраивать данные правила напрямую, через конфигурационные правила. Масштабируемость программы Продукт способен удовлетворить запросы как небольшой компании, имеющей один почтовый сервер, так и безграничные потребности по сканированию почтового трафика поставщиков телематических услуг, прежде всего благодаря способности обрабатывать гигантские массивы информации в режиме реального времени, надежности работы и гибкости настроек. Высокая производительность и стабильность работы Благодаря заложенной функции многопоточной проверки, Dr.Web для почтовых серверов Unix способен обрабатывать одновременно большой объем почтовых сообщений. Благодаря проработанной модульной структуре, выведение антивируса из строя (в том числе, путем атаки) становится практически невозможным. Нетребовательность Dr.Web для почтовых серверов Unix к системным ресурсам позволяет ему идеально функционировать на почтовых серверах практически любой конфигурации. Уникальные технологии! Dr.Web для почтовых серверов Unix использует для своей работы уникальные технологии фильтрации спама, которые позволяют полностью отказаться от черных списков, что делает невозможным компрометацию компаний через злонамеренное внесение их в такие списки. Dr.Web для почтовых серверов Unix может изменять свое поведение в зависимости от конверта обрабатываемого письма или обнаруженных блокирующих объектов. Dr.Web – это не только антивирус! Dr.Web определяет, лечит или удаляет любые вредоносные объекты, в том числе почтовых и сетевых червей, файловые вирусы, троянские программы, бестелесные и стелс-вирусы, полиморфные вирусы, макро-вирусы и вирусы, поражающие документы MS Office, скрипт-вирусы, шпионское ПО (spyware), программы-похитители паролей, клавиатурных шпионов, программы-дозвонщики, рекламное ПО (adware), потенциально опасное ПО, хакерские утилиты, программы-люки, программы-шутки. Не имеющая аналогов технология детектирования неизвестных вирусов Origins Tracing™ — уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web, дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение .Origin. Корректная проверка архивов и упакованных файлов Dr.Web поддерживает проверку большинства существующих форматов упакованных файлов и архивов с любой степенью вложенности, в том числе, проверку многотомных и самораспаковывающихся архивов. Dr.Web может работать более чем с 1000 видов различных архивов и упаковщиков, некоторые из которых не известны ни одной другой антивирусной программе. Самые частые обновления Обновления вирусной базы Dr.Web выпускаются по мере добавления новых вирусных записей – до нескольких раз в час. «Горячие» обновления выпускаются по мере появления и анализа новых вирусов. Глобальная сеть вирусного мониторинга дает возможность оперативно получать новые образцы вирусов из всех регионов мира. Обновления поступают к пользователям с нескольких серверов, находящихся в разных точках земного шара. В Dr.Web – самая компактная вирусная база Это позволяет быстрее сканировать файлы, экономит время пользователя и ресурсы компьютера, позволяет производить обновления молниеносно. Всего одна запись в вирусной базе Dr.Web позволяет определять десятки, а иногда и тысячи подобных вирусов.

Dr.Web для почтовых серверов Unix представляет собой группу совместно работающих программных модулей. Круг задач, решаемых комплексом, определяется набором подключаемых к нему плагинов – библиотек, отвечающих за непосредственную обработку сообщений.

Обработка почтовых сообщений модулями почтового демона происходит по следующему алгоритму: поступающие сообщения принимаются модулем Receiver, который передает их модулю Checker (исполняемый файл drweb-maild), отвечающему за проверку почтовых сообщений. Модуль Checker по очереди вызывает плагины, которые проводят всесторонний анализ сообщений.

Письма, успешно прошедшие проверку плагинами почтового демона, отсылаются почтовой системе модулем Sender. В процессе работы модули почтового демона могут создавать различные отчеты о результатах проверки сообщений. Эти отчеты формируются модулем notifier (исполняемый файл drweb-notifier) и могут рассылаться отправителям писем, их получателям и администратору системы. Обработка писем почтовым демоном может гибко регулироваться с помощью правил.

Одной из полезнейших возможностей программы являются правила, записываемые в конфигурационном файле почтового демона. Они позволяют гибко варьировать параметры работы почтового демона в зависимости от содержания обрабатываемых почтовых сообщений. В текущей версии почтового демона, правила можно настраивать на адреса отправителя и получателя почтового сообщения, а также на вредоносные объекты, найденные в сообщениях.

Receiver

Компонент Receiver отвечает за получение почты, либо напрямую от почтовых систем, либо по протоколам SMTP/LMTP, и последующую их передачу компоненту drweb-maild. В зависимости от используемых почтовых систем и протоколов функции компонента Receiver выполняют разные модули (drweb-receiver, drweb-milter, drweb-cgp-receiver и т.д.), причем поддерживается одновременная работа нескольких модулей компонента Receiver, что позволяет получать и обрабатывать почту сразу из нескольких источников. Некоторые модули компонента Receiver поддерживают возможность модификации/отправления полученных сообщений, принимая результаты проверки писем от компонента drweb-maild. Например, такой возможностью обладает модуль drweb-milter, что позволяет ему возвращать почтовой системе SendMail результат проверки писем до окончания smtp сессии.

drweb-maild

Основной компонент системы обработки почты. Модуль drweb-maild производит mime-разбор сообщений, передает письма на обработку плагинам и, кроме того, отвечает за хранение писем в базе данных. Обработка писем производится плагинами, подключаемыми к модулю drweb-maild. Плагины могут запускаться и выгружаться пользователями в произвольные моменты времени, без остановки модуля drweb-maild. Обработка писем плагинами осуществляется в порядке, определяемом пользователем системы. Плагины распределяются по двум очередям – BeforeQueueFilters и AfterQueueFilters.

Сразу после получения, письма обрабатываются плагинами из очереди BeforeQueueFilters, после чего, если очередь AfterQueueFilters пуста, результаты обработки письма возвращаются компоненту Receiver. Если же в очереди AfterQueueFilters указаны какие-либо плагины, то письмо, после обработки плагинами из очереди BeforeQueueFilters поступает в базу данных, а затем отправляется во внутреннюю очередь модуля drweb-maild, при этом компоненту Receiver возвращается код успешной проверки письма. Затем письмо проверяется плагинами из очереди AfterQueueFilters.

Результаты проверки отправляются, либо компоненту Receiver (если существует такая возможность, например, еще не истек таймаут на ожидание результата проверки), либо компоненту Sender. Через компонент Sender также отправляются все письма сгенерированные плагинами. Некоторым плагинам для работы необходима поддержка базы данных, такие плагины не могут быть помещены в очередь BeforeQueueFilters.

drweb-notifier

Модуль отвечает за создание всех отчетов, формируемых в процессе работы комплекса. Дополнительно установленные плагины могут добавлять свои собственные типы уведомлений. Запрос на отправку отчетов могут отправлять как плагины (например, при обнаружении вируса), так и другие компоненты системы. Например, модуль drweb-maild может посылать запрос на создание общего отчета со статистикой работы всех подключенных плагинов, а компонент Sender может посылать запрос на формирование отчета DSN о невозможности отправить письмо. Реализована поддержка формирования отчетов как в текстовом, так и в html-формате.

Sender

Компонент отвечает за отправление писем, либо напрямую в различные почтовые системы, либо по протоколам SMTP/LMTP. В зависимости от используемых почтовых систем и протоколов, функции компонента Sender выполняют разные модули (drweb-Sender, drweb-cgp-Sender и т.д.). Компонент Sender может получать запросы на отправление писем от компонентов drweb-maild, drweb-notifier и drweb-monitor.

drweb-agent

Обеспечивает возможность работы системы обработки почты как в автономном режиме, так и в режиме интеграции с программным комплексом Dr.Web Enterprise Suite. Все компоненты системы (кроме drweb-monitor) получают свои конфигурационные данные через модуль drweb-agent, поэтому он должен запускаться перед другими компонентами. Так же, модуль drweb-agent отвечает за проверку лицензии и сбор статистической информации о работе компонентов системы: имена найденных блокируемых объектов, общий объем проверенной информации и т.д.

drweb-monitor

Вспомогательный компонент, запускающий и останавливающий модули системы в заданном порядке, а также контролирующий их работу. В случае сбоя в работе какого-либо модуля системы, drweb-monitor осуществляет его перезапуск, а также, (если это задано настройками) уведомление об этом администратора системы.

На текущий момент реализованы следующий плагины:

Drweb

Drweb — плагин антивирусной проверки почты средствами антивирусного движка Dr.Web. Проверка осуществляется модулем drwebd, необходимым для работы данного плагина. Сообщения передаются модулю drwebd на проверку уже разобранными на части, поэтому поддержка mime-разбора в движке или модуле drwebd не требуется. Плагин обладает высокой производительностью и качеством сканирования файлов и приложений при минимальном времени отклика и малых затратах системных ресурсов.

Стабильность работы
Благодаря модульной структуре системы и наличию специального модуля, ответственного за поддержание работоспособного состояния, обеспечивается постоянная работа плагина. Выведение из строя плагина практически невозможно.

Высокая скорость отклика
Технология многопоточной проверки обеспечивает высокую скорость отклика системы. Проверка файлов производится на лету, не дожидаясь обработки ранее принятых файлов, что дает возможность конечными пользователями получать корреспонденцию практически мгновенно!

Карантин
Обнаруженные с помощью плагина инфицированные и подозрительные файлы могут перемещаться в карантин. Благодаря этому возможна дополнительная обработка этих файлов, в том числе извлечение необходимой информации, лечение или удаление.

Удобство управления
Наличие гибких конфигурационных файлов позволяет настроить параметры работы плагина в удобном для пользователя режиме. Любые действия, проведенные плагином, отражаются в журналах системы, что позволяет анализировать поведение системы и выявлять узкие места. Удобная система оповещения администратора позволяет максимально быстро предпринимать необходимые действия.

Открытость решения
Благодаря открытой архитектуре системы MailD пользователь имеет возможность самостоятельно реализовать дополнительный функционал, использующий возможности плагина Drweb с помощью открытого SDK и подробной документации по работе с ним.

headersfilter

headersfilter — предназначен для фильтрации почтовых сообщений по их заголовкам. Плагин может проверять не только само сообщение, но и вложенные сообщения, если они имеются. С помощью данного плагина пользователь может самостоятельно добавлять правила обработки почтовой корреспонденции. При задании правил фильтрации можно использовать регулярные выражения. Плагин обладает высокой гибкостью настроек, которые позволяют реализовывать любое количество правил. Плагин практически не создает нагрузки на систему и выполняет все действия за минимальное время.

Удобство использования
Возможность использования регулярных выражений позволяет настроить систему как на пропуск, так и на фильтрацию поступающих почтовых сообщений. В связи с тем, что количество правил неограниченно, система может быть настроена так, как это нужно пользователю. Благодаря тому, что модуль может отрабатывать до остальных модулей системы, пользователь может получать корреспонденцию, получение которой было бы невозможным в ином случае.

Удобство управления
Возможность использования регулярных выражений позволяет настроить параметры фильтрации сообщений так, как это удобно пользователю. Удобная система оповещения администратора безопасности позволяет максимально быстро предпринимать необходимые действия.

Открытость использования
Благодаря открытой архитектуре системы MailD пользователь имеет возможность самостоятельно реализовать дополнительный функционал, использующий возможности плагина headersfilter благодаря наличию в составе системы открытого SDK и подробной документации по работе с ним.

Стабильность работы
Благодаря модульной структуре системы и наличию специального модуля, ответственного за поддержание работоспособного состояния обеспечивается постоянная работа плагина headersfilter. Выведение из строя плагина на длительный срок является практически невозможным.

Высокая скорость отклика
Благодаря минимальной нагрузке на систему и высокой скорости работы обеспечивается высокая скорость отклика системы, что дает возможность обрабатывать принятые сообщения практически мгновенно, а, значит, конечные пользователи получат свою корреспонденцию сразу, как только она попадет на почтовый сервер.

vaderetro

Vaderetro — плагин, осуществляющий спам-фильтрацию почты через свою собственную библиотеку (Vade Retro). Эта библиотека динамически обновляется, обеспечивая постоянное повышение качества фильтрации. Высокая продуктивность фильтрации сочетается с низким потреблением системных ресурсов и использование антиспама Dr.Web не требует модернизации оборудования.

В зависимости от результатов анализа, каждому письму обработанному библиотекой VadeRetro дается оценка – целое число в диапазоне от -10000 до +10000, чем меньше величина оценки, тем больше вероятность, что письмо не является спамом. Пороговое значение задается в параметре SpamThreshold конфигурационного файла плагина (если оценка данная сообщению равна значению параметра SpamThreshold, либо больше его, то письмо классифицируется как спам).

Закончив анализ письма, библиотека VadeRetro может добавить в него (в зависимости от настроек плагина) следующие заголовки:

• X-Drweb-SpamScore: n. n — оценка, данная письму библиотекой VadeRetro.
• X-Drweb-SpamState: b. b — yes для спама и писем с вирусами и no для не спама и уведомлений о невозможности доставки.
• X-Drweb-SpamState-Num: s. s — результаты классификации письма библиотекой VadeRetro. s может принимать четыре значения: 0, 1, 2 и 3. 0 - письмо не спам, 1 – письмо является спамом, 2 - письмо содержит вирус, 3 – сообщение является уведомлением о невозможности доставки письма. Этот заголовок добавляется только в том случае, если для параметра ddXDrwebSpamStateNumHeader конфигурационного файла плагина vaderetro установлено значение yes.
• X-Drweb-SpamVersion: version. version - версия библиотеки VadeRetro. Этот заголовок добавляется только в том случае, если для параметра AddVersionHeader конфигурационного файла плагина vaderetro установлено значение yes.

Кроме того, в начало поля «Тема:» писем, классифицированных плагином vaderetro как спам, либо как вирусы, плагин может добавлять следующие заголовки:

• X-IS-SPAM, значение YES/NO
• X-SPAM-SCORE, оценка данная письму библиотекой VadeRetro
• X-SPAM-AGENT, версия библиотеки VadeRetro
• X-SPAM-DETAILS, подробное описание спама, возвращенное библиотекой VadeRetro
• X-SPAM-STATE, текущее состояние письма.

Это происходит только в том случае, если для параметра SubjectPrefix установлено значение отличное от пустой строки.

Технологии антиспам-фильтрации

Технологии антиспам-фильтра Dr.Web состоят из нескольких тысяч правил, которые условно можно разбить на несколько групп.

Эвристический анализ
Чрезвычайно сложная, высокоинтеллектуальная технология эмпирического анализа всех частей сообщения: поля заголовка, тела сообщения и т.д. Анализируется не только само сообщение, но и содержание вложения к нему, если таковое имеется. Эвристический анализатор постоянно совершенствуется, к нему постоянно добавляются новые правила.

Фильтрация противодействия
Фильтрация противодействия – одна из наиболее передовых и эффективных технологий антиспама Dr.Web. Состоит в распознавании уловок, используемых спамерами для обхода антиспам-фильтров.

Анализ на основе HTML-сигнатур
Сообщения, в состав которых входит HTML-код, сравниваются с образцами библиотеки HTML-сигнатур антиспама. Такое сравнение, в сочетании с имеющимися данными о размерах изображений, обычно применяемыми спамерами, защищает пользователей от спам-сообщений с HTML-кодом, в которые часто включаются онлайн-изображения.

Семантический анализ
В ходе этого анализа производится сравнение слов и выражений сообщения со словами и идиомами, типичными для спама. Сравнение производится по специальному словарю, причем анализу подвергаются как видимые, так и скрытые для человеческого глаза специальными техническими уловками слова, выражения и символы.

Анти-скамминг технология
Скамминг-сообщения (а также фарминг-сообщения – один из видов скамминга) – пожалуй, самая опасная разновидность спам-сообщений, к числу которых относятся т.н. «нигерийские письма», сообщения о выигрышах в лотерею, казино, поддельные письма банков и кредитных учреждений. Для их фильтрации в антиспаме Dr.Web применяется специальный модуль.

Фильтрация технического спама
Так называемые bounce-сообщения возникают как реакция на вирусы, или как проявление вирусной активности – например, в результате действия саморассылающего письма почтового червя, или в виде сообщения о недоставке письма – и не менее нежелательны, чем спам. Специальный модуль антиспама определяет такие сообщения как нежелательные.

Виды лицензий

• Aдресная лицензия – любое число адресов больше 5.
• Посерверная лицензия – для проверки неограниченного объема корреспонденции на одном сервере, с числом защищаемых адресов не более 3 000.

Также продукт доступен в составе экономичных комплектов Dr.Web для малого и среднего бизнеса.

Лицензирование SDK
SDK распространяется бесплатно в составе продукта. Сторонние разработчики могут свободно разрабатывать и распространять плагины на основе SDK на некоммерческих условиях. Для коммерческого распространения необходимо пройти процесс сертификации.

Лицензируемые компоненты

• Dr.Web Daemon – антивирусный демон, обрабатывающий запросы на проверку и лечение данных.
• Набор антивирусных фильтров для почтовых систем Sendmail, Qmail, Postfix, Communigate Pro, Exim, Courier MTA, ZMailer.
• Базовая часть программного комплекса, утилиты мониторинга работы и взаимодействия с внешними системами.
• Утилита автоматического обновления.
• Консольный сканер Dr.Web для Unix.
• SDK для разработки дополнительных плагинов.

Варианты лицензий

Dr.Web для почтовых серверов Unix Антивирус + Антиспам Лицензия обеспечивает проверку почтовой корреспонденции на вирусы и спам.

Антивирус Dr.Web для почтовых серверов Unix Лицензия обеспечивает проверку почтовой корреспонденции на вирусы.

Антиспам Dr.Web для почтовых серверов Unix Лицензия обеспечивает проверку почтовой корреспонденции на спам.