Общие принципы функционирования антивирусных почтовых шлюзов достаточно просты и базируются на общих правилах обработки сообщений электронной почты - RFC 821 (базовый протокол SMTP), 822 (синтаксис сообщений почты Интернета), 1869 (расширенный протокол SMTP), 1870 (технология SIZE Extension), 1652 (технология 8-bit-MIMEtransport Extension) и др. Обычная (незащищенная) модель доставки сообщений электронной почты показана на рис. 1. Здесь основными субъектами взаимодействия являются: SMTP-сервер отправителя сообщения, DNS-сервер, SMTP-сервер получателя сообщения и, разумеется, почтовые клиенты пользователей.

SMTP-сервер отправителя сообщения запрашивает у DNS-сервера запись типа MX (серверу-отправителю необходимо знать IP-адрес почтового сервера для домена, указанного в адресе получателя) и, получив ответ на свой запрос, устанавливает соединение по 25 TCP-порту (стандартный порт SMTP) с целью передачи данных. Адресат получает электронное сообщение со своего сервера с помощью почтового клиента по протоколу POP3. Абсолютно аналогично схема работает при передаче почтовых сообщений в обратном направлении. Очевидно, что данные при обмене между SMTP-серверами никакому вирусному контролю не подвергаются, а значит, высока вероятность того, что деструктивный программный код будет доставлен на целевую систему, где может нанести серьезный урон информационной безопасности. Конечно, на компьютерах пользователей может быть установлено клиентское антивирусное программное обеспечение, в какой-то мере гарантирующее защиту от проникновения деструктивного кода. Однако проблема централизованного контроля почтового трафика в масштабах всего сообщества пользователей данного сервера (домена) не решается. Рис. 2 иллюстрирует иную ситуацию: в схему встраивается антивирусный почтовый шлюз.

В таком случае процесс доставки несколько видоизменяется. Антивирусный шлюз устанавливается таким образом, чтобы извне он выглядел как обычный SMTP-сервер (шлюз открывает стандартный 25 TCP-порт, корректно обрабатывает команды прикладного протокола, а главное - запись типа MX системы DNS указывает теперь на него). Таким образом, входящая почта домена первоначально попадает в антивирусный шлюз, где происходит соответствующий контроль. При положительном результате проверки сообщение передается на собственно почтовый сервер, откуда доставляется корреспондентам. Аналогичный контроль можно предусмотреть и для исходящих сообщений: в качестве SMTP-сервера в почтовых клиентах пользователей указывается антивирусный шлюз, который после проверки электронных писем занимается их дальнейшей доставкой (может пересылать письма на указанный SMTP-сервер либо самостоятельно взаимодействовать со службой DNS). Следует отметить, что связка <антивирусный шлюз + почтовый сервер> не обязательно должна состоять из двух аппаратных платформ, как это показано на рис. 2. Зачастую оба компонента устанавливаются на одну машину, при этом антивирусный почтовый шлюз занимает 25 порт, а SMTP-серверу назначается TCP-порт, отличный от 25 (как правило, из диапазона верхних непривилегированных портов).

Существует еще один вариант решения проблемы централизованной антивирусной проверки почтовой корреспонденции - так называемая технология CVP. Спецификация CVP (Content Vectoring Protocol) - разработка и сфера интересов компании CheckPoint, производителя такого известного продукта безопасности, как межсетевой экран FireWall-1. Как видно из расшифровки аббревиатуры, спецификация подразумевает перенаправление данных для контроля на вход стороннего продукта (так называемого CVP-сервера). Технология CVP выходит за рамки данной статьи - она, как правило, выделяется в отдельное направление, поскольку требует грамотного сопряжения и настройки нескольких сложных программных продуктов.

Для корпоративных сетей со средним числом пользователей наиболее подходящей является процедура встраивания в информационную инфраструктуру антивирусных шлюзов.

Современный антивирусный почтовый шлюз - это сложный программный комплекс обеспечения информационной безопасности. Для повышения эффективности его работы производители реализуют оригинальные решения и технологии, а также уделяют внимание смежным задачам, таким как защита от нежелательной электронной почты (спама), контент-анализ почтовой корреспонденции, балансировка нагрузки корпоративной системы электронной почты и др. Попытаемся оценить функциональные возможности некоторых продуктов наиболее известных производителей.

Network Associates Technology Inc.
Программный продукт McAfeeR WebShield SMTP.

WebShield SMTP - программный комплекс контроля электронно-почтовой корреспонденции, снискавший большую популярность среди корпоративных пользователей в силу наличия ряда интересных особенностей. Процедура инсталляции шлюза позволяет провести оперативный контроль схемы установки. Консоль управления интуитивно понятна и удобна в использовании.

Отличительной особенностью продукта McAfee является компонент Alert Manager, отвечающий за уведомление администратора безопасности о ряде событий, которые могут произойти в процессе функционирования системы. Система уведомлений WebShield SMTP является самой гибкой среди аналогичных программных продуктов.

Еще одной интересной особенностью комплекса является наличие средства оперативного реагирования на нестандартные события в сфере вирусной безопасности электронной почты - модуля Outbreak Manager.

Этот компонент отвечает за применение дополнительных мер защиты в случае возникновения особых ситуаций, таких как появление большого числа одинаковых вирусов, одинаковых вложений в сообщения в течение заданного временного интервала и некоторых иных ситуаций, свидетельствующих о возникновении, например, вирусной эпидемии или выполнении целенаправленной атаки злоумышленником. В качестве дополнительных защитных мер автоматически предпринимаются различные действия от уведомления администратора безопасности и немедленного обновления баз вирусных сигнатур до отказа от приема всей входящей почты и остановки службы антивирусного контроля.

В целом программный продукт McAfeeR WebShield SMTP является мощным корпоративным комплексом контроля почтового трафика и достаточно широко распространен во всех регионах мира.

Symantec Corporation. Программный продукт Symantec AntiVirus for SMTP Gateways.

Компания Symantec уже давно известна на рынке антивирусного программного обеспечения.
Продукт компании Symantec предоставляет интерфейс управления через обычный браузер, что позволяет выполнять настройку и мониторинг комплекса из любой точки сети при условии наличия доступа по протоколу HTTP к компьютеру с установленным шлюзом и знания пароля администратора безопасности (пароль, а также порт доступа к управляющему интерфейсу могут быть легко изменены).

Для обнаружения ранее неизвестных элементов деструктивного программного кода используется технология Bloodhound, применение которой значительно увеличивает вероятность обнаружения неизвестных вирусов (т. е. таких элементов деструктивного программного кода, сигнатур которых нет в вирусной базе).

Имеется встроенный модуль защиты от нежелательной электронной почты (спама), выполненный по многоуровневому принципу: эвристический контроль, сопоставление с <черными списками> (в том числе с динамическими, обновляемыми в масштабе реального времени). Имеется возможность блокировки сообщений при нарушении установленных правил, определяющих размер письма.

Оригинальная технология сканирующего ядра NAVEX позволяет динамически обновлять вирусные базы без приостановки службы антивирусного контроля. За регулярные автоматические обновления баз отвечает специальный модуль LiveUpdate, позволяющий постоянно поддерживать антивирусный комплекс в актуальном состоянии.

Для анализа состояния программного комплекса, статистики работы почтовой системы, расследования инцидентов и иных подобных задач успешно применяется встроенная служба генерации отчетов, позволяющая выдавать как общую, так и детализированную информацию.

Система уведомления администратора предоставляет возможность отправки сообщения по электронной почте в случае обнаружения вируса в проверенном сообщении. Для предоставления возможности отложенного анализа инцидента с вирусной безопасностью может быть задействован карантин-сервер, на который копируются сообщения, классифицированные как содержащие элементы деструктивного программного кода. С целью исключения перехода шлюза в состояние - прием и пересылка почты от любого отправителя (что немедленно и с радостью будет использовано спамерами) - имеются соответствующие настройки.

В целом продукт компании Symantec представляет собой надежный и устойчивый программный комплекс, не обремененный множеством дополнительных функций, эффективно решающий свою основную задачу - защиту почтового трафика от вирусов.

Trend Micro Inc. Программный продукт InterScan VirusWall.

InterScan VirusWall компании Trend Micro - по-своему необычный программный продукт. Он отличается высокой универсальностью: помимо вирусного контроля сообщений электронной почты по протоколу SMTP, InterScan VirusWall способен выполнять действия по анализу трафика на наличие в нем деструктивного программного кода в качестве антивирусного FTP- и HTTP-шлюза. В случае работы с данными протокола HTTP продукт компании Trend Micro требует обязательного наличия дополнительного HTTP-прокси-сервера, а для контроля FTP может использоваться как совместно с соответствующим посредником прикладного уровня, так и без него - автономно.

На этапе инсталляции имеется возможность выбора варианта установки продукта InterScan VirusWall: как шлюза либо как сервера, поддерживающего спецификацию CVP.

Управление работой шлюза может осуществляться как с помощью локальной консоли (на основе стандартного GUI Windows), так и удаленно, с использованием браузера - посредством взаимодействия через протокол HTTP. Оба интерфейса одинаковы по своим функциональным возможностям.

Подсистемы обеспечения работы антивирусного комплекса - стандартные для данного класса продуктов. Модуль автоматических обновлений позволяет настроить требуемую частоту актуализации баз вирусных сигнатур и выполнять загрузку обновлений с учетом особых настроек сети. Имеется карантин. Компонент протоколирования событий обеспечивает запись информации в специальный журнал и выдачу ее в структурированном и упорядоченном виде.

Имеются механизмы предотвращения . Для скрытия факта нахождения в защищаемой сети антивирусного шлюза применяются запрещение проставления дополнительного поля Received в служебный заголовок SMTP-сообщения и изменение стандартного баннера-приглашения, выдаваемого при установлении сессии Telnet.

Программа настройки позволяет задать ограничения по размеру сообщения отдельно для входящего и исходящего трафика. Кроме того, могут быть установлены особые правила обработки писем, содержащих вложения с макросами Microsoft Office. Еще одна интересная особенность - возможность противодействия попыткам обмана пользователей путем отправки им файлов-вложений с названиями типа , к чему нередко прибегают злоумышленники, пытаясь замаскировать действительное назначение вложения.
Встроенных механизмов анализа содержания электронной почты и защиты от спама нет, но их отсутствие легко восполняется путем подключения соответствующего модуля, носящего название eManager. Функциональные возможности спам-фильтра и средства анализа, входящих в этот модуль, весьма обширны и способствуют повышению эффективности системы безопасности электронной почты.

InterScan VirusWall от компании Trend Micro Inc. можно назвать наиболее универсальным продуктом в силу наличия возможности контроля как SMTP, так и FTP- и HTTP-трафика. Кроме того, привлекательной является возможность наращивания функциональности этого антивирусного шлюза.

***

Рассмотренные программные комплексы сами по себе не являются панацеей от всех бед. Остается в силе одно из основных требований к построению надежной системы безопасности - ее целостность. Это требование в полной мере может быть реализовано только при условии комплексного подхода к решению задачи защиты информации, а именно - использованию группы технологий для прикрытия всех возможных каналов воздействия случайных или преднамеренных угроз: централизованный антивирусный контроль, межсетевое экранирование, контент-анализ, обнаружение вторжений, резервное копирование, контроль доступа, аудит событий, мониторинг активности, контроль и анализ защищенности, физическая защита.