5. august 2009 10.25 E-MAIL

Dlhodobé skúsenosti s MIMEsweeper od Clearswift

K rozhodnutiu použiť MIMEsweeper (bývalý názov Mailsweeper) prišlo s rozmachom používania komunikácie pomocou elektronickej pošty. Jasne sme videli nástup všetkých možných hrozieb, ktoré ako nosič používajú práve e-mail.

V danej dobe boli na vrchole práve vírusy a podobná háveď, ktorá bola akýmsi tréningom pre dnešnú "popularitu" viac maskovaných záškodníkov, ktorí sa už nesnažia poškodiť svojho hostiteľa a prešli na parazitovanie so záujmom čo najdlhšie sa na ňom udržať.

Medzi ďalšie veľké hrozby patrí notoricky známy spam a vo firemnom prostredí sa k týmto technickým opatreniam pridávajú aj ďalšie potreby. Príkladom je nevyhnutná kontrola a analýza prichádzajúcich príloh. Dôvody k nej sú rôzne, môžete ich označiť ako "big brother" ale omnoho častejšie sú to technicky zamerané záležitosti. Nie je súčasťou tohto článku venovať sa motivácii ku "strojovej" kontrola obsahu - naviac je toto slovné spojenie laicky chápané v paranoicky obmedzenom priestore a dovysvetľovanie ďalšich okolností je nesmierne vyčerpávajúce a pre laika ťažko vnímateľné.

Medzi primitívne spôsoby ochrany vnútornej siete patrí množstvo riešení nad existujúce poštové systémy obvykle postavené nad linuxovými záležitosťami typu "exim", "sendmail" atď. Spočiatku sa zameriavali hlavne na antivírusovú kontrolu. Neskoršie skúsenosti ukázali, že je výhodné blokovať niektoré nebezpečné typy príloh (.exe, .com, skripty atď.). Najjednoduchšie riešenia proste zisťovali príponu súborov a podľa toho sa rozhodli o zablokovaní (či dokonca odrezaní prílohy). Keďže ide o široko používané systémy, tak sa samozrejme rozšírila jednoduchá obchádzka a v mailoch používateľov sa vyskytuje veta "premenuj na .exe" :-)

Akonáhle používateľský mainstream pochopil výhody e-mailu, tak sa rozšírilo do nebývalej miery preposielanie. Dnes je "FW" synonymum pre ručnú distribúciu - niekto mi poslal mail s prílohou (mp3, pps, avi, ...) a ja som to ďalej preposlal ľudom z môjho adresára.

Preto niektoré firmy stratili po problémoch s lavínami takýchto mailov trpezlivosť a ku spustiteľným popridávali aj prípony takýchto multimediálnych príloh.

Problémom detekcie podľa prípony je to, že to nie je detekcia. Ak premenujem príponu, súbor sa vnútri nemení a domnelá detekcia zlyháva. Musí nastúpiť analýza obsahu. A tým sa vraciame ku kontrole obsahu. Spočíva v analytických algoritmoch.

Práve systémy typu MIMEsweeper sú založené na analýze. Rozoberú mail a preskúmajú ho na základe charakteristík jednotlivých typov "mime" v ich vnútri. Typicky totiž každý zo skúmaných typov súborov je možné kvalifikovať "čo to je" aj bez prípony. Vnútri má totiž štruktúru, ktorej zmena či zamaskovanie by poškodilo súbor (typický problém: nejde mi spustiť príloha!).

Nasadili sme teda z dôvodov antivírusovej a antispamovej ochrany komplexnejší systém a voľba padla na MIMEsweeper. Dodnes som jednoznačným zástancom presne tohto riešenia. Prináša dostatočnú až vysokú schopnosť ochrany.

MIMEsweeper je software, ktorý po nainštalovaní robí "vrátnika" medzi firmou a internetom. Je pomerne široko konfigurovateľný a dokážete riadiť jeho rozhodovanie pomocou stromu pravidiel a tie aplikovať za žiadaných podmienok.

Pre administrátora prináša webové rozhranie na rutinnú operátorskú obsluhu a na konfiguráciu používa MMC konzolu. Operátorská webová konzola je kvalitne vypracovaná a je z nej možné sledovať obsah karantén či stav servera.

Logika je asi táto: stanovíte si základné pravidlá na základe potrieb firmy. Preskúmate ich možnosti aplikovania a pokúsite sa definovať typy karantén, nastaviť parametre kontroly (scenáre). Popritom samozrejme bežné "poštárske" nastavenia (routing a pod.). Administrátor systému obvykle zasahuje pri potrebe zmien správania systému.

Potom zistíte aké sú potreby pre operátorskú obsluhu systému. Operátori musia v systéme pracovať v podstate nepretržite resp. na základe vonkajších podnetov.

MIMEsweeper pracuje tak, že pravidlami v scenároch môžeme "nežiadúce" e-maily zadržovať v karanténach. Tie opäť môžem široko konfigurovať. Napríklad po zaradení do karantény (môžem mať naraz niekoľko karantén podľa charakteru) sa môžu vygenerovať súvisejúce aktivity - napríklad e-mailová notifikácia postihnutému používateľovi.

Keďže charakter niektorých príloh môže vykazovať "nežiadúce" znaky - napríklad video reklamnej kampane - ale systém nemá AI, tak iba ho technicky označí za "multimédia" a zasunie do karantény. Preto sa oplatí aby systém o tom používateľa informoval a ponúkol mu riešenie (kontakt na operátora).

Celú logiku fungovania systému sme vypracovali ešte v začiatkoch používania a dodnes funguje prakticky bez zmien - tie spočívali v postupných upgrade a raste celého softwaru (pôvodná operátorská konzola bola v MMC, neskôr webová). Kým v prvých rokoch sme pôsobili do značnej miery exoticky, dnes majú identické systémy prakticky všetky dôležité firmy. Keďže miera prispôsobiteľnosti je široká, každá z firiem zvolila svoju vlastnú cestu a tak sa identický software môže prejavovať v každom prípade inak.

Mám odskúšanú rolu administrátora (vrátane návrhu celkovej koncepcie systému), operátora (nepríjemnejšia časť) a aj používateľa (hehe). Získal som kompletný prehľad v celej problematike kontroly prechádzajúcej elektronickej pošty a bez váhania odhaľujem všetky trendy. Či už v správaní používateľov, spamových lavín a pod.

Pokiaľ dnes budujete väčšiu firmu a snažíte sa poskytovať solídne prostredie pre elektronickú komunikáciu, nezabudnite, že systémy ako MIMEsweeper sú už nevyhnutnosť. :)

Informácie o systéme MIMEsweeper.

PS: toto nie je "komerčný" článok. Píšem o ňom pretože ma to napadlo a pretože jeho kvality poznám.

Pokiaľ sa ti zdá, že tento článok by sa hodil do výberu zaujímavých stránok, tak ho sme.sk pošli do vybrali.sme.sk

Komentáre k obsahu príspevku:

Chcete napísať nesúhlasný komentár? Prosím, zvážte nasledovné: je šanca, aby niekto zmenil Váš názor alebo chcete iba trvať na svojom? V prvom prípade sú Vaše slová vítané.

Chcete urážať? Nepíšte sem urážky a invektívy. Každý, kto na týchto stránkach publikuje je automaticky (doplňte vhodný výraz). Takže už to všetci vopred vieme, čo si myslíte a preto sa neopakujte.

  1. [1] dusoft, 5. august 2009 12.07

    tak hod nejake anonymizovane statistiky lavin :-)

  2. A tvoj názor?





Podmienky pre Váš komentár: Tlačidlo na odoslanie stlačte 1x, v texte nenadávajte, nevkladajte linky za účelom SEO, nepropagujte, Váš text musí mať zmysel, neporušujete vlastnícke práva majiteľa tejto stránky, ste pravidelný čitateľ tejto stránky, komentujete príspevok (nie erupcie Slnka) a nemýlite si komentáre s kvákacími fórami a chatom. Používajte formátovanie TEXTILE najmä na odkazy! Rozumiete tomuto poučeniu? áno, nie alebo Týmto sa pošle komentár?

Testovanie IntenseDebate

Áno, mám dva systémy pre komentáre. Tento je experimentálny, kedykoľvek sa môžem rozhodnúť, že ho odstránim. Systém je moderovaný, ak sa chcete vyhnúť schvaľovaniu, spravte si na IntenseDebate konto, potom sa komentáre objavujú okamžite. Nevyžadujte odomňa schvaľovanie komentárov, urobím to, keď budem mať na to čas, kľudne aj o niekoľko týždňov. Prepáčte, mám tu dva systémy pre komentáre a tento tu mám len kvôli otestovaniu.

 Roman

Roman čítal

Spravodaj

rony čítal

  • Apple právě představil Magic Trackpad 15.04 Zařízení podporuje všechna současná vícedotyková gesta, současně také nabízí fyzické tlačítko – stejně jako u notebooků lze celé tělo Trackpadu stisknout. A nebo můžete jen „tapnout“, pokud nechcete klikat.
  • Jak přidat aplikace do Exposé 10.02 Funkce Exposé je praktická možnost zobrazení aktivních oken a přepínání mezi nimi. Novinkou v poslední verzi Mac OS X pak je tzv. aplikační Exposé, které dokáže zobrazit pouze okna jedné aplikace. Víte však, jak v tomto režimu přidat do náhledu také okna jiné aplikace?
môj najnov‰í obrázok
Je~ko


kde to ste?

príspevky

média

Späť na obsah