Ideco NGFW
Скачать PDF
v7.9
v7.9
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Системные требования
    • Подготовка к установке
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Подключение к провайдеру
      • Подключение по Ethernet
      • Подключение по PPPoE
      • Подключение по PPTP (VPN)
      • Подключение по L2TP (VPN)
      • Подключение по 3G, 4G (LTE)
      • Одновременное подключение к нескольким провайдерам
    • Управление пользователями
      • Дерево пользователей
      • Управление учетными записями пользователей
      • Настройка учетных записей пользователей
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Импорт пользователей
        • Авторизация пользователей
          • Скрипты автоматической авторизации/разавторизации
      • Пользователи терминального сервера
      • Wi-Fi сети
    • Типы авторизации
      • Авторизация по IP-адресу
      • Авторизация по PPPoE
      • Авторизация по PPTP
      • Веб-авторизация
      • Single Sign-On аутентификация через Active Directory
      • Авторизация через Ideco Agent
    • Публикация ресурсов
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка почтового релея для публикации сервера в локальной сети
      • Портмаппинг (проброс портов, DNAT)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Доступ из внешней сети без NAT
      • Доступ до внешних ресурсов без авторизации
    • Мониторинг
      • Пересылка системных сообщений
      • SNMP
      • Интеграция с Zabbix
    • Правила доступа
      • Файрвол
      • Контроль приложений
        • Описание протоколов
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Администраторы
        • Удаленный доступ по SSH
      • Пользовательские квоты
      • Защита от bruteforce-атак
    • Сервисы
      • Маршрутизация
      • Обнаружение устройств
      • Профили выхода в Интернет
      • Прокси
        • Подключение к внешним ICAP-сервисам
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси-сервером
      • Почтовый сервер
        • Подготовка к настройке почтового сервера
        • Настройка почтового сервера
        • Настройка почтовых клиентов
        • Web-почта
        • Переадресация почты (почтовые алиасы)
        • Дополнительные возможности и антиспам
        • Настройка почтового релея
        • Fetchmail
        • Рекомендации по защите сервера
        • Схема фильтрации почтового трафика
      • Обратный прокси
        • Протестированные CMS
        • Web Application Firewall
      • DNS
      • DHCP
      • Туннельные протоколы VPN
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение пользователей
            • Подключение устройств
          • OpenVPN
          • PPTP VPN
          • Подключение Keenetic по SSTP
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM с использованием OpenVPN
          • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение пользователей (client-to-site)
          • IPSec IKEv2
            • Скрипт автоматического создания пользовательских подключений по IPSec IKEv2
          • SSTP
            • Скрипт автоматического создания пользовательских подключений по SSTP
            • Подключение Wi-Fi роутеров Keenetic
          • L2TP/IPSec
            • Скрипт автоматического создания пользовательских подключений по L2TP/IPSec
          • PPTP
          • Особенности маршрутизации и организации доступа
          • Веб-кабинет пользователя
          • Инструкция по запуску PowerShell-скриптов
            • Инструкция по созданию подключения в Windows 7
      • Дополнительно
    • Отчеты
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Обслуживание сервера
      • Обновление сервера
      • Удаленный доступ для управления сервером
      • Регистрация сервера
      • Резервное копирование и восстановление данных
      • Режим удаленного помощника
  • Популярные рецепты
    • Популярные рецепты
      • Проверка настроек фильтрации с помощью security.ideco.ru
      • Что делать если ваш IP попал в черные списки DNSBL
      • Настройка программы Proxifier для прямых подключений к прокси-серверу
      • Установка доверенного SSL сертификата на сервер
      • Доступ в удаленные сети через роутер в локальной сети
      • Перенос данных и настроек на другой сервер
      • Выбор аппаратной платформы для Ideco UTM
      • Восстановление пароля администратора
        • Для версий 6.0 - 7.6
      • Особенности подключения через ADSL-модем
      • Использование ics_tune.sh
      • Блокировка популярных ресурсов
      • Что делать если не работает Интернет
  • Changelog
    • Версия Ideco UTM 7.Х.Х
Powered by GitBook
On this page
  • Почтовые правила для ограничения почты
  • Глобальные списки доступа (черный/белый)
  • Антиспам Касперского
  • Антивирусы для почтового трафика
  • DKIM-подпись
  • Проверка настроек почтового сервера

Was this helpful?

  1. Настройка
  2. Сервисы
  3. Почтовый сервер

Дополнительные возможности и антиспам

PreviousПереадресация почты (почтовые алиасы)NextНастройка почтового релея

Last updated 3 years ago

Was this helpful?

Почтовые правила для ограничения почты

Перейдя в раздел Сервисы -> Почтовый сервер -> Правила -> Правила, заданные вручную, вы увидите интерфейс написания регулярных выражений (regexp) почтового сервера (в нашем случае postfix).

Для работы с почтовыми правилами необходимо знать, что такое регулярные выражения:

Регуля́рные выраже́ния (англ. regular expressions, regexp) — формальный язык поиска и осуществления манипуляций с подстроками в тексте, основанный на использовании метасимволов. По сути, это строка-образец (англ. pattern, по-русски её часто называют «шаблоном», «маской»), состоящая из символов и метасимволов и задающая правило поиска.

В нашем случае, при помощи регулярных выражений мы находим в письмах интересующие нас слова или символы, после чего разрешаем или запрещаем такую почту.

В Ideco UTM мы предоставляем интерфейс для написания регулярных выражений с парой простейших примеров. Составление регулярных выражений - это обязанность администратора. Техническая поддержка не консультирует пользователей по этим вопросам.

Regexp можно написать:

  1. По адресу отправителя.

  2. По адресу получателя.

  3. По заголовку письма.

  4. По тексту письма.

Однако, фактически regexp стоит писать только с использованием латинских символов и цифр, поскольку используется кодировка ASCII, поэтому почтовые правила будут эффективны только в ограничении доменов и почтовых адресов. В качестве контент-фильтрации по ключевым словам из кириллических символов они будут неэффективны.

Глобальные списки доступа (черный/белый)

В составе Ideco UTM действует ряд антиспам-фильтров на разных стадиях обработки входящих писем по протоколу SMTP:

  • Предварительный Высокоэффективный фильтр postscreen. Работает на стадии создания подключения к нашему почтовому серверу другими почтовыми серверами из интернета.

    На этой стадии ведутся проверки удаленных серверов на их присутствие в списках DNSBL и фильтруются подключения, нарушающие протокол SMTP (быстрая посылка команд, неверные команды и т.д.).

  • Фильтры и проверки на соблюдение прокола SMTP почтового сервера postfix (проверка адреса отправителя и получателя, правильность заголовков письма и того, как представился удаленный почтовый сервер).

  • Почтовые фильтры (мильтры), такие как грейлистинг, антиспам Касперского, DKIM-сервер.

В совокупности перечисленные методы борьбы со спамом осуществляют надежное и эффективное исключение нежелательных писем из переписки ваших клиентов. Но могут возникать и ложные срабатывания, когда легитимное письмо (отправитель или сервер отправителя) были приняты нашим сервером за спам. Мы делаем упор на минимизацию возможности ложных срабатываний в нашем почтовом сервере в ущерб проникновению особо тонких спам-техник, поэтому большого количества ложных срабатываний ожидать не стоит.

Но все же, если такое случится, мы предусмотрели возможность исключения адресов или серверов клиентов из всех вышеперечисленных спам-фильтров. Для этого занесите IP-адрес почтового сервера отправителя (как правило на него указывает MX-запись домена отправителя) или доменное имя отправителя в белый список в разделе Сервисы -> Почтовый сервер -> Правила -> Белый список. На фрагменте ниже показан пример добавления адресов отправителей в белый список. На них не будут действовать проверки на спам, поэтому заносите в этот список только отправителей, которым вы действительно доверяете.

Помимо единого белого списка для почтового сервера и связанных с ним антиспам служб, есть возможность настраивать черный список для почты.Оба списка для контроля доступа находятся в разделе Сервисы -> Почтовый сервер -> Правила.Таким образом можно контролировать списки доступа (ACL) для почтового сервера, приоритетно разрешая прием от определенных источников почты, или блокировать входящие письма от других источников.

Источниками в обоих списках доступа могут выступать:

  • IP-адрес сервера отправителя. Это адрес того SMTP-сервера, который непосредственно отправляет письмо на UTM из Интернет по SMTP. Как правило, MX-запись домена указывает на этот хост. В случае с почтовыми распределенными сетями (CDN), IP-адрес SMTP-сервера меняется каждый раз при отправке нового письма, даже если адрес отправителя остался прежним. Пример почтовых CDN: gmail.com, accountprotection.microsoft.com.

  • Домен отправителя письма. Например: yandex.ru, gmail.com, mail.ru.

  • Почтовый адрес (ящик) отправителя. Например admin@ideco.ru, hr@pinguem.ru.

Возможности указывать IP-сети и диапазоны IP-адресов нет. Маски (*.domain.ru) и домены первого уровня (.ru) не поддерживаются. Почтовый адрес указывать не рекомендуется, так как в анализе писем по протоколу SMTP он находится на одной из верхних стадий, легко подделывается удаленной стороной и, в целом, эксперты не рекомендуют принимать решение о блокировке/разрешении почтовой транзакции по почтовому адресу отправителя. Рекомендуется оперировать IP-адресами почтовых клиентов или их доменами.

На фрагментах ниже показан пример добавления адресов отправителей в белый и черный списки. На источники в белом списке не будут действовать проверки на спам, поэтому заносите в этот список только отправителей, которым вы действительно доверяете. Обратите внимание, что в черный список внесен домен, отправитель из которого приоритетно разрешен в белом списке. В таком случае почта на UTM будет приходить только от этого отправителя, а от остальных отправителей в этом домене - блокироваться. Для сохранения изменений в каждом из списков нужно нажать кнопку Сохранить. Изменения вступают в силу сразу, не требуя перезапуска почтовой службы.

При занесении одинаковых источников в белый и черный списки (два одинаковых IP или почтовых адреса), белый список имеет приоритет над черным списком, и письма от источника будут разрешены и приняты почтовым сервером.

При занесении пересекающихся источников в оба списка корреляции между источниками не происходит. Приоритет будет отдан сначала IP-адресам, затем ящикам и затем доменам. Т.е. если запрещен IP-адрес почтового сервера и разрешен домен, который он обслуживает, то письма от него будут блокироваться (блокировка по IP-адресу имеет приоритет). Обратный пример: Разрешен IP-адрес, но запрещен домен. Письма блокируются, просто на более поздней стадии, при проверке почтового домена. Другой пример: в белый список внесен домен, в черный внесен ящик из этого домена. Письма с ящика будут заблокированы. Обратный пример: письма от ящика, занесенного в белый список, будут разрешены даже если домен, которому принадлежит ящик, занесен в черный список.

Антиспам Касперского

На вкладке активируется и запускается "Антиспам Касперского". Единственный коммерческий антиспам в составе нашего продукта. Активируется ключом, который можно получить в отделе продаж нашей компании вместе с лицензией на антиспам. Базы обновляются несколько раз в день. Детальная настройка антиспама не предусмотрена. Модуль предварительно сконфигурирован нашими специалистами для оптимальной работы с почтовым сервером и для большинства типичных конфигураций почтового сервера. Если почтовый сервер работает в режиме SMTP-релея, то вся входящая транзитная корреспонденция так же проверяется модулем.

Антивирусы для почтового трафика

В составе сервера доступны два антивируса:

  • Некоммерческий open-source антивирус Clamav. Базы обновляются несколько раз в день.

  • Антивирус Касперского, предоставляемый на коммерческой основе. Приобрести лицензию на его использование можно в отделе продаж нашей компании. Базы также обновляются несколько раз в день.

Оба антивируса проверяют входящую корреспонденцию как в обычном режиме работы почтового сервера, так и в режиме SMTP-релея.

DKIM-подпись

Настраивается в разделе Сервисы -> Почтовый сервер -> Безопасность -> DKIM-подпись. Подписывает исходящую с сервера корреспонденцию уникальной для вашего почтового домена подписью так, что другие почтовые серверы в Интернет могут убедиться, что ваша почта легитимна и заслуживает доверия. Для функционирования технологии вам потребуется создать TXT запись для вашего домена у держателя зоны со значением, которое сформирует для вашего почтового домена наш сервер. TXT записи будут сформированы для основного почтового домена, настроенного на UTM, и дополнительных почтовых доменов (если указаны). Сервер также проверит, правильно ли была указана запись для вашей зоны и резолвится ли она в Интернет.

Объем TXT-записи достаточно велик и многие регистраторы/держатели зон испытывают сложности с предоставлением интерфейса клиентам для указания TXT-записей длиннее 256 символов. Зачастую они предоставляют возможность указания TXT-записей длиной до 256 символов согласно стандарту RFC1035. Но другой стандарт, RFC4408, предполагает объединение строк в случаях, когда нужно использовать длинные TXT-записи при настройки SPF и DKIM. Оперируйте этой информацией в диалоге с держателем вашей доменной зоны. Как правило, держатели зон находят способ создания длинных TXT записей.

Проверка настроек почтового сервера

При правильной настройке почтовый сервер на Ideco UTM должен получить 10 баллов из 10.

Рекомендуем ориентироваться на руководство по regexp: .

Схема обработки писем в почтовом сервере представлена в статье . Обратите внимание, что Черный и Белый списки срабатывают после нескольких предварительных этапов фильтрации.

Рекомендуется проверить корректность всех настроек DNS и почтового сервера с помощью сервиса:

http://www.postfix.org/regexp_table.5.html
Схема фильтрации почтового трафика
mail-tester.com