Mimesweeper фирмы Integralis обезвреживает “почтовые бомбы”

 

Заметки из лаборатории

 

Почтовый маршрутизатор-посредник Mimesweeper фирмы Integralis (Киркленд. шт. Вашингтон) “затыкает” сразу две “бреши”, беспокоящие любого администратора информационных систем, заботящегося о безопасности сети: он может одновременно “вылавливать” вирусы из файлов, присоединенных к почтовым сообщениям, до их доставки и ограничивать трафик для определенных пользователей или целых доменов в Internet.

 

Однако исследование, проведенное в Тестовом центре PC Week Labs, показало, что выпущенная в феврале версия 2.0b страдает неполными возможностями уведомления, а подпрограммы конфигурирования неоправданно сложны.

 

Поскольку Mimesweeper не имеет никаких собственных возможностей по обнаружению вирусов, эффективность сканирования полностью зависит от пакета антивирусной защиты настольного ПК, применяемого в качестве механизма фильтрации. Продукт поставляется с оценочной копией антивирусного ПО F-Prot фирмы Command Software Systems с ограниченными функциями; кроме того, в пакет встроена поддержка мощного пакета инструментальных антивирусных средств Dr. Solomon for DOS фирмы S&S Software International.

Панель управления Mimesweeper позволяет администраторам узнать, какие почтовые сообщения были отправлены

в "карантин" и почему

 

Мы использовали Mimesweeper в сочетании с программой Dr. Solomon, поскольку прилагаемая версия F-Prot не умеет находить недавно появившиеся гнусные вирусные макрокоманды Word.

 

Цена продукта Mimesweeper 2.0b варьируется от $999 за лицензию на 25 пользователей до $7000 за лицензию на 1000 пользователей; программа может работать под Windows NT Workstation и NT Server.

 

Сейчас продукт поддерживает как почтовые серверы cc:Mail корпорации Lotus Development, так и серверы на базе протокола Internet POP (Post Office Protocol). Версия 2.1, которая будет поддерживать также пакет Mail корпорации Microsoft, должна появиться в ближайшее время.

 

Закрыть двери

 

Для борьбы с возможным заражением вирусами через файлы, присоединенные к почтовым сообщениям, администраторы информационных систем обычно используют программы антивирусного сканирования настольной системы, проверяя электронную почту на локальном уровне. Однако этот подход требует наличия нескольких копий антивирусной программы и, что более важно, предполагает бдительность индивидуальных пользователей. Работая на почтовом сервере, Mimesweeper свободен от этих недостатков.

 

В наших тестах с помощью Mimesweeper мы сканировали почтовые сообщения, приходящие из Internet на сервер POP3. Сначала мы указали программу Mimesweeper в качестве SMTP-маршрутизатора для каждого клиента, а затем подключили ее к тестовому почтовому серверу, на котором работала программа SendMail фирмы MetaInfo вместе с сервером POP3 для Windows NT, выступавшем в роли SMTP-маршрутизатора с серверным ПО POP3.

 

Проклятая конфигурация

 

Хотя мы использовали весьма незамысловатую тестовую конфигурацию, подпрограммы установки и конфигурирования Mimesweeper неоправданно усложнили нашу работу.

 

В качестве примера небрежного написания программы инсталляции можно привести тот факт, что по умолчанию в программе установки задан каталог инсталляции, соответствующий установке программы обратно на дисковод CD-ROM.

 

Более того, если администратору нужно отредактировать какие-либо конфигурационные файлы, он должен делать это с помощью программы Notepad  -  тяжелая работа, которая еще дополнительно осложняется плохой печатной документацией, не содержащей необходимых инструкций.

 

Неудачи преследовали нас: мы не смогли просмотреть некоторые файлы оперативной справки. Задать желаемую конфигурацию Mimesweeper нам удалось только после обращения за помощью к персоналу технической поддержки фирмы Integralis.

 

Наконец  -  в открытом море

 

Однако, когда мы преодолели все эти препятствия, Mimesweeper начал успешно выполнять работу по антивирусному сканированию файлов, присоединенных к почтовым сообщениям. (Опять-таки, эффективность этого процесса зависит от установленного у вас антивирусного пакета.)

 

В наших тестах с использованием пакета Dr. Solomon for DOS происходило следующее: если Mimesweeper обнаруживал зараженное сообщение, он помещал его в специальный “карантинный” каталог. Кроме того, о перехвате зараженного сообщения уведомляются администраторы из заранее заданного списка; однако нам бы хотелось иметь возможность, например, включать в такие сообщения причину перехвата сообщения. По сообщению фирмы Integralis, в новой версии будет предусмотрена возможность автоматического извещения отправителя сообщения и администратора об обнаружении вируса.

 

Просмотреть список всех “изолированных” сообщений можно также с помощью панели управления Mimesweeper.

 

К сожалению, выяснить подробности об изолированном сообщении оказалось непросто: единственный способ узнать отправителя, адресата и содержание сообщения  -  это вручную пролистать файлы регистрации.

 

Опустить подъемный мост

 

В дополнение к антивирусной защите Mimesweeper может также предохранять сеть от других проблем, связанных с электронной почтой, например от ошибок системы защиты данных.

 

Хотя в документации весьма туманно говорится о принципах работы, Mimesweeper может ограничивать почтовый трафик для определенных пользователей или целых доменов в Internet. Это весьма полезно, если компания хочет запретить своим работникам получать электронную почту от нанимателей, ищущих новые таланты, или сообщать секреты компании ее конкурентам.

 

Однако аналогично другим функциям Mimesweeper, конфигурирование функций авторизации  -  весьма трудоемкий процесс. Вместо прямолинейного диалогового подхода мы столкнулись с необходимостью вручную вводить каждое “запрещенное” имя пользователя или домена в Internet (т. е. company.com) в отдельный конфигурационный файл, предназначенный только для задания параметров авторизации.

 

К счастью, конфигурационный файл содержит некоторые полезные примеры, а пакет поддерживает символы обобщения имен, так что мы могли легко запретить получение и (или) доставку почты для целых иерархических групп доменов.

 

Хотелось бы иметь более динамичный инструмент для конфигурирования, который позволял бы быстро добавлять адреса (возможно, даже с использованием полученного сообщения в качестве шаблона), не редактируя конфигурационный файл вручную.

 

После задания конфигурации Mimesweeper проверял адресные заголовки всех входящих и исходящих файлов. Если адрес выступает в списке авторизации как запрещенный, то Mimesweeper записывает его в файл предупреждений с пометкой “адрес пользователя заблокирован”, а перехваченное сообщение отправляет в “карантин”. Программа также позволяет содержать список рассылки для уведомления администраторов о нарушениях авторизации.

 

Как раз в точку

 

По словам официальных представителей фирмы Integralis, в версии Mimesweeper 2.0d будут улучшены возможности уведомления о нарушениях авторизации: информация из адресных заголовков сообщений будет использоваться для автоматического уведомления отправителей о перехвате почты из-за неавторизованного адреса.

 

Компания также сообщила, что помимо анализа адресов сообщений и антивирусного сканирования в будущих версиях Mimesweeper будет предусмотрена возможность использования содержимого сообщений в качестве критерия для защитного блокирования. В настоящее время Integralis совместно с несколькими неназванными компаниями, занимающимися технологией поиска, разрабатывает методики сканирования сообщений на наличие документов, помеченных как конфиденциальные, или непристойных выражений; передача таких сообщений будет блокироваться.

 

С фирмой Integralis можно связаться по телефону: (206) 889-4724; адрес узла Web: http://www.integralis.com.

 

Мэтт Крамер, Джим Рапоза

 

КАК ВЫ СКАЗАЛИ?

 

Помимо анализа адресов сообщений и антивирусного сканирования в будущих версиях Mimesweeper будет предусмотрена возможность использования содержимого сообщений в качестве критерия для защитного блокирования

 

Я ТАК НЕ ДУМАЮ

 

В качестве примера небрежного написания программы инсталляции Mimesweeper можно привести тот факт, что по умолчанию в программе установки задан каталог инсталляции, соответствующий установке программы обратно на дисковод CD-ROM

 

СКОРО ПОЯВЯТСЯ НОВЫЕ ПРОДУКТЫ

 

Скоро Integralis столкнется с конкурентами в рыночной нише продуктов защиты электронной почты, занимаемой сейчас ее пакетом Mimesweeper. Конкурирующий разработчик антивирусного ПО Trend Micro Devices (Купертино, шт. Калифорния) объявил о подготовке своего собственного ПО для сканирования почтовых сообщений.

 

Этот пакет называется E-Mail VirusWall; он также использует SMTP-сервер-посредник для наблюдения за потоком сообщений и сканирования файлов перед их доставкой.

 

Цена продукта E-Mail VirusWall составляет $700 за лицензию на 50 пользователей и $10 000 за лицензию на неограниченное число пользователей; в апреле планируется выпуск версии для платформ Solaris фирмы SunSoft и Windows NT.

 

М. К., Д. Р.