Kaspersky secure mail gateway

3.2 Исходящая почта

Для отправки почты будем использовать sendmail [].

  1. во FreeBSD sendmail установлен по умолчанию
  2. для авторизации на промежуточном MTA нужен
    The Cyrus SASL []

    • проверить наличие SASL в sendmail можно так :
      # sendmail -d0.1 -bv root | grep SASL
      
    • если SASL отсутствует :
      • устанавливаем SASL
        # cd /usr/ports/security/cyrus-sasl2
        # make all install clean
        
      • в /etc/make.conf добавим строки
        SENDMAIL_CFLAGS=-I/usr/local/include -DSASL=2
        SENDMAIL_LDFLAGS=-L/usr/local/lib
        SENDMAIL_LDADD=-lsasl2
        
      • пересобираем sendmail c SASL
        # cd /usr/src/lib/libsm
        # make clean && make obj && make depend && make
        # cd /usr/src/lib/libsmutil
        # make clean && make obj && make depend && make
        # cd /usr/src/usr.sbin/sendmail
        # make clean && make obj && make depend && make && make install
        
  3. Поскольку DNS провайдера без дозвона естественным образом не доступен,
    в настройках sendmail блокируем попытки обращения к DNS

    • В /etc/hosts заносим IP промежуточного MTA — smtp.yandex.ru
      (IP можно узнать с помощью ping) ;
    • Создаём файл /etc/mail/service.switch :
         hosts files
      

      т.е. говорим sendmail использовать только информацию из файла
      /etc/hosts при разрешении имён во время доставки почты.

  4. помещаем пароли к промежуточному MTA в файл /etc/mail/authinfo:
    AuthInfo:smtp.yandex.ru  "U:iam" "P:mypsswd"  "M:LOGIN"
    

    создаём файл паролей :

    makemap hash /etc/mail/authinfo.db < /etc/mail/authinf
    

    ( /etc/mail/authinfo можно удалить )

  5. создаём файл /etc/mail/local-host-names
    ( здесь он не используется но sendmail хочет чтобы этот файл был )

  6. создаём файл /etc/mail/freebsd.mc :
    VERSIONID(`FreeBSD:20/01/2004')
    OSTYPE(freebsd4)
    DOMAIN(generic)
    FEATURE(local_lmtp)
    FEATURE(nocanonify)
    FEATURE(accept_unresolvable_domains)
    FEATURE(accept_unqualified_senders)
    FEATURE(`authinfo')
    define(`SMART_HOST', `smtp.yandex.ru')
    define(`confBIND_OPTS', `-DNSRCH -DEFNAMES')
    define(`confSERVICE_SWITCH_FILE',`/etc/mail/service.switch')
    define(`confSMTP_MAILER', `smtp8')
    define(`confTO_IDENT', `0')
    define(`confTO_QUEUEWARN', `5h')
    define(`confTO_QUEUERETURN', `1d')
    define(`confCON_EXPENSIVE', `True')
    define(`SMTP_MAILER_FLAGS', `e')
    MAILER(local)
    MAILER(smtp)
    

    т.е. говорим sendmail что :

    • в системе есть локальный агент доставки (LMTP)
    • не использовать DNS
    • почтовый шлюз — smtp.yandex.ru
    • запрещаем доставлять почту немедленно для т.н. дорогостоящих (expensive)
      агентов доставки. Локальная почта будет доставляться немедленно, а внешняя
      будет устанавливаться в очередь.
    • использовать 8-битовое кодирование символов
    • устанавливаем тайм-аут предупреждения о невозможности доставки — 6 часов,
      и возврат сообщения при невозможности его отправки по истечении 1 дня.
    • при подключении к другим MTA использовать авторизацию

    создаём файл настроек sendmail :
    m4 /usr/share/sendmail/cf/m4/cf.m4 freebsd.mc > sendmail.cf

  7. для автоматического запуска sendmail в /etc/rc.conf добавить

    sendmail_enable="YES"
    sendmail_flags="-bd"
    

перезапускаем sendmail :

killall sendmail
/usr/sbin/sendmail -bd

Основные возможности Kaspersky Secure Mail Gateway

  • Проверять входящие и исходящие почтовые сообщения на наличие спама, фишинга и вредоносного программного обеспечения. Чтобы своевременно реагировать на новые угрозы, компоненты защиты Kaspersky Secure Mail Gateway используют информацию из Kaspersky Security Network.
  • Обнаруживать зараженные почтовые сообщения и лечить зараженные вложения.
  • Выполнять фильтрацию сообщений, содержащих ссылки на вредоносные объекты.
  • Обнаруживать и блокировать массовые рассылки (в том числе маркетинговые рассылки).
  • Сохранять резервные копии сообщений в резервном хранилище по результатам их обработки модулями Антивирус, Антиспам, Анти-Фишинг и контентной фильтрации.
  • Сохранять сообщения из резервного хранилища в файл и пересылать сообщения получателям.
  • Обрабатывать почтовые сообщения согласно правилам, заданным для групп отправителей и получателей.
  • Выполнять контентную фильтрацию почтовых сообщений по имени, размеру и типу вложений (Kaspersky Secure Mail Gateway позволяет определять истинный формат и тип вложения, независимо от его расширения).
  • В правилах фильтрации почтовых сообщений указывать пользователей и группы пользователей из Microsoft Active Directory и generic LDAP для возможности осуществлять маршрутизацию сообщений по именам пользователям и группам пользователей.
  • Уведомлять отправителя, получателей и администратора об обнаружении сообщений, содержащих зараженные, подозрительные, защищенные паролем и недоступные для проверки объекты.
  • Обновлять базы Антивируса, Анти-Спама и Анти-Фишинга с серверов обновлений Лаборатории Касперского и пользовательских ресурсов (http- и ftp-серверов) по расписанию и по требованию.
  • Получать статистику работы программы по протоколу SNMP, а также настраивать программу на отправку SNMP-ловушек при наступлении определенных событий.
  • Настраивать параметры и управлять работой программы через веб-интерфейс.
  • Отправлять и получать сообщения по защищенному каналу TLS/SSL.
  • Осуществлять проверку подлинности отправителей сообщений с помощью технологий SPF, DKIM и DMARC.
  • Подписывать исходящие сообщения электронной почты с помощью технологии DKIM.
  • Добавлять примечания к исходящим и входящим сообщениям.
  • Добавлять предупреждения о небезопасном вложении к входящим сообщениям.
  • Получать информацию о пользователях из разных доменов и предоставлять пользователям доступ к персональному резервному хранилищу в случае использования нескольких LDAP-серверов.
  • Добавлять, изменять или удалять информацию о доменах (в том числе локальных доменах организации) и адресах электронной почты, настраивать параметры Kaspersky Secure Mail Gateway для этих доменов и адресов электронной почты, маршрутизацию электронной почты.
  • Настраивать режимы TLS-шифрования сообщений для ситуаций, когда Kaspersky Secure Mail Gateway принимает сообщения от другого сервера (действует как Сервер) или пересылает сообщения на другой сервер (действует как Клиент), а также настраивать параметры TLS для отдельных доменов.
  • Осуществлять мониторинг состояния почтового трафика и использования ресурсов системы, просматривать списки последних обнаруженных угроз в веб-интерфейсе программы.
  • Осуществлять мониторинг работоспособности программы через Kaspersky Security Center.
  • Просматривать журнал событий программы и загружать его на жесткий диск.
  • Обновлять систему через веб-интерфейс Kaspersky Secure Mail Gateway.
  • Осуществлять быструю настройку MTA с помощью мастера быстрой настройки.
  • Добавлять, изменять и удалять DKIM- и TLS-ключи шифрования.
  • Создавать и просматривать отчеты о результатах проверки сообщений электронной почты.

Аппаратные и программные требования

Образ виртуальной машины может быть развернут на следующих гипервизорах:

  • VMware ESXi 6.5 Update 3.
  • VMware ESXi 6.7 Update 3.
  • Microsoft Hyper-V Server 2012 R2.
  • сетевой адаптер E1000;
  • объем свободного места на диске – не менее 100 ГБ;
  • не менее 4 ГБ оперативной памяти;
  • 1 четырехъядерный процессор.

Для работы веб-интерфейса на компьютере должен быть установлен один из следующих браузеров:

  • Mozilla Firefox версии 70 и выше.
  • Internet Explorer версии 11 и выше.
  • Google Chrome версии 78 и выше.

Масштабируемость виртуальной машины

Для увеличения пропускной способности мы рекомендуем увеличить ресурсы виртуальной машины или развернуть несколько образов виртуальных машин, распределив поток сообщений электронной почты между ними, создав соответствующую запись на DNS-сервере, или с помощью служб балансировки сетевой нагрузки.

3.1 Входящая почта

  1. все пользователи email регистрируются на node2.home.net
  2. забирать почту из internet будем при помощи fetchmail []
    • устанавливаем fetchmail
      # cd /usr/ports/mail/fetchmail
      # make all install clean
      
    • в /etc/fetchmail.cf добавить список ящиков в internet
      и их локальных владельцев :

      poll pop.ukrpost.net proto POP3
       interface tun0/0.0.0.0/0.0.0.0
       user "moo" with pass "mOOmOO" is "boo" here
      

      вся почта moo@ukrpost.net переписывается в ящик локального
      пользователя boo

    • chmod 600 /etc/fetchmail.cf
      чтобы никто кроме root не мог прочитать пароли от ящиков

  3. отдавать почту c node2.home.net пользователям LAN будем
    при помощи popd [] ;

    • устанавливаем popd :
      # cd /usr/ports/mail/popd
      # make all install clean
      
    • для автоматического запуска popd
      в /usr/local/etc/rc.d
      поместим скрипт popd.sh :

      #!/bin/sh
      /usr/local/libexec/popd
      
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector