8.9. Защита почтового трафика

Раздел Защита почтового трафика позволяет настроить проверку транзитного почтового трафика на предмет наличия в нем спам-сообщений. Поддерживается работа с почтовыми протоколами POP3(S) и SMTP(S). Защита почтового трафика требует наличия соответствующего модуля в лицензии UserGate.

Как правило, необходимо защищать почтовый трафик, входящий из интернета на внутренние почтовые серверы компании, и, в некоторых случаях, защищать исходящий почтовый трафик от серверов или пользовательских компьютеров.

Для защиты почтового трафика, приходящего из интернета на внутренние почтовые серверы, необходимо:

Наименование

Описание

Шаг 1. Опубликовать почтовый сервер в сеть Интернет.

Смотрите раздел Правила DNAT. Рекомендуется создать отдельные правила DNAT для SMTP и POP3 протоколов, а не публиковать оба протокола в одном правиле. Обязательно укажите в качестве сервиса протокол SMTP, а не TCP.

Шаг 2. Включить поддержку сервисов SMTP(S) и POP3(S) в зоне, подключенной к сети Интернет.

Смотрите раздел Настройка зон.

Шаг 3. Создать правила защиты почтового трафика.

Создать необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе.

Для защиты почтового трафика в случаях, когда не требуется публиковать почтовый сервер, действия сводятся к следующим шагам:

Наименование

Описание

Шаг 1. Создать правила защиты почтового трафика.

Создать необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе.

Для настройки правил фильтрации почтового трафика необходимо нажать на кнопку Добавить в разделе Политики безопасности --> Защита почтового трафика и заполнить поля правила.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Если не создано ни одного правила, то почтовый трафик не проверяется.

Примечание

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Действие, применяемое к почтовому трафику при совпадении всех условий правила:

  • Пропустить - пропускает трафик без изменений.

  • Маркировать - маркирует почтовые сообщения специальным тэгом в теме письма или дополнительном поле.

  • Блокировать с ошибкой - блокирует письмо, при этом сообщает об ошибке доставки письма серверу SMTP для SMTP(S)-трафика или клиенту POP3 для POP3(S)-трафика.

  • Блокировать без ошибки - блокирует письмо без уведомления о блокировке.

Проверка

Метод проверки почтового трафика:

  • Проверка антиспамом UserGate - проверяет почтовый трафик на наличие спама.

  • DNSBL проверка - антиспам-проверка с помощью технологии DNSBL. Применима только к SMTP-трафику. При проверке почтового трафика с помощью DNSBL IP-адрес SMTP-сервера отправителя спама блокируется на этапе создания SMTP-соединения, что позволяет существенно разгрузить другие методы проверки почты на спам.

Заголовок

Поле, куда помещать тег маркировки.

Маркировка

Текст тега, который маркирует письмо.

Источник

Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Назначение

IP-адреса, GeoIP или списки URL (хостов) назначения трафика.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Пользователи

Пользователи или группы пользователей, к которым применяется данное правило.

Сервис

Почтовый протокол (POP3 или SMTP), к которому будет применено данное правило.

Envelop from

Почтовый адрес отправителя письма, указанный в поле Envelop from. Только для протокола SMTP.

Envelop to

Почтовый адрес адресата письма, указанный в поле Envelop to. Только для протокола SMTP.

Рекомендуемые настройки защиты от спама следующие.

Для протокола SMTP(S):

  • Первое правило в списке - блокировка с помощью DNSBL. Рекомендуется оставить списки Envelop from/Envelop to пустыми. В этом случае DNSBL будет отбрасывать подключения SMTP-серверов, замеченных в распространении спама, еще на этапе коннекта. При наличии email адресатов в этих списках система будет вынуждена принимать сообщения целиком для анализа этих полей, что увеличит нагрузку на сервер и ухудшит производительность проверки почтового трафика.

  • Второе правило - маркировка писем с помощью антиспама UserGate. Здесь можно использовать любые исключения, в том числе и по Envelop from/Envelop to.

Для протокола POP3(S):

  • Действие - Маркировать.

  • Проверка - Антиспам UserGate.