facebook LinkedIN LinkedIN - follow
Virtualizace IT , ITSM (ITIL) - Řízení IT , Cloud a virtualizace IT

Filtrování pošty jako služba

aneb Uvolněte ruce administrátorům



DataGuardO spamu a filtrování pošty už toho bylo řečeno poměrně dost a jejich nutnost je nezpochybnitelná. Základní metody ochrany jsou také již obecně známé. Pojďme se nyní více podívat na srovnání tradiční in-house ochrany a nově se nabízející cloud ochrany.


Dnes běžně používaná metoda je postavena na provozování systému filtrování na vlastním hardwaru. Hardware může být dedikovaný s předinstalovaným proprietárním operačním systémem a výrobcem dodanou aplikací – tzv. appliance. Uživatel si vlastně pořídí black box s právy na použití modulů podle licence. Další často používanou variantou je instalace filtrační aplikace na již používaný stroj, obvykle na cílový poštovní server nebo na SMTP proxy. V tomto případě je potřeba dbát na kompatibilitu jednotlivých komponent, a zejména na bezpečnost. Mám tím na mysli zabezpečení před pokusy o kompromitaci systému, DOS, využívání slabých míst zabezpečení atd. Uvedená problematika je obvykle řešena upgradem aplikace. Aby bylo možné dosáhnout co nejlepšího výsledku při filtraci, tedy maxima odstraněných spamů při minimálním výskytu označení legitimních e-mailů, tzv. false positive, je celý proces doručení poštovní zprávy podroben zkoumání z různých hledisek. Nejprve je prověřeno, odkud je spojení navazováno a zda se nejedná o známý server. Zde jsou použity jednak vlastní black & white listy, RBL z různých zdrojů, u sofistikovanějších systémů pak reputační skóre. Dále je zkoumána shoda spojení s metodami DKIM, případně SPF, tedy zda mail přichází ze zdroje, z něhož přicházet má. Na samotné zprávě je podrobena analýze nejprve hlavička – odkud zpráva přišla, od koho a komu je určena, záznamy průchodů jednotlivými servery a podobně. U hlaviček se sleduje správnost použití s ohledem na RFC.

Tělo zprávy, její obsah, je testováno statistickými metodami a vyhodnocuje se například, na základě předchozí komunikace, zda pro daného uživatele je tato zpráva spamem, či nikoliv. Samotná analýza textu je výpočetně náročná operace a výrobci se snaží testům odlehčit databázemi vzorků spamu. Databáze je potřeba pravidelně aktualizovat. Moderní filtrační aplikace umožňují při nejasném výsledku „konzultaci" se serverem výrobce, který obsahuje nejnovější vzorky spamu. V takovém případě je vytvořen hash zprávy a jejich hlaviček a tato hodnota, nikoliv původní data, je porovnána s daty serveru. Získaná hodnota ovlivní rozhodnutí o zařazení zprávy do jedné z kategorií spam, podezření na spam nebo čistá. Zprávy, u nichž je podezření na spam, mohou být uloženy do karantény, kde je uživatel má možnost zkontrolovat, případně si špatně zařazený e-mail vyzvednout a dále s ním pracovat jako s běžnou zprávou. Karanténa je zpravidla samostatné úložiště zpráv umístěné v rámci aplikace. Variantou je doručení takových zpráv po označení uživateli nebo do samostatné schránky, kterou spravuje administrátor.

V rámci kontrol je nezbytné zprávy testovat také na přítomnost malwaru, který je eliminován, aby se nedostal do schránek koncových uživatelů. Administrátor se stará o filtraci pošty od instalace vybraného řešení přes začlenění do „poštovní cesty" až po každodenní kontrolu logů, statistik a provozních parametrů. Administrátor svou činností a znalostmi přímo ovlivňuje kvalitu filtrace pošty

DKIM (domain keys identified mail, RFC 4871)

Forma elektronického podpisu zprávy realizovaného přidáním hlavičky DKIM-Signature. Podpis realizuje odesílající server. Klíč k ověření je obsažen v DNS záznamu organizace.

SPF (sender policy framework, RFC 4408)

SPF využívá záznam v DNS k definování mail serverů, které jsou pověřeny k odesílání pošty organizace.

Appliance

Počítač dodaný společně s proprietárním operačním systémem a předinstalovanou aplikací. Je obvyklé, že uživatel nemá práva přístupu k operačnímu systému ani k nižším funkcím aplikace.

Hash

Převod libovolného množství vstupních dat (libovolně dlouhá zpráva či soubor) na posloupnost bitů s definovanou délkou. Zde se používá k vytvoření jedinečného otisku zprávy.

RBL/Reputace

Realtime Black List či novější Reputační služby klasifikují odesílající servery, případně IP adresy či subnety podle množství odeslaného spamu či malwaru. Tyto mechanismy umožňují pružnou reakci na náhlé změny u sledovaného subjektu. Bohužel často poskytují chybné informace.

SLA (service level agreement)

Smlouva mezi poskytovatelem služby a jejím odběratelem. Zpravidla definuje přesná pravidla a upravuje vzájemný vztah mezi účastníky.

DOS (denial of service)

Zahlcení serveru tolika požadavky, že začne další odmítat, případně dojde k pádu služby nebo systému. Za DOS lze tedy považovat také masivní spam útok.

Ochrana před spamem v cloudu

Z výše uvedeného vyplývá, že účinná ochrana před spamem vyžaduje znalosti a čas. Klíčová role kvalitního administrátora pro tradiční řešení filtrování pošty je myslím jasná. Je také zřejmé, že se jedná o činnost odčerpávající čas kvalifikovaného pracovníka na řešení něčeho tak otravného, jako je nevyžádaná pošta. Navíc ještě před doručením spamu na perimetr organizace spam konzumuje kapacitu připojení k internetu. Odčerpává jej na přenos něčeho, co bude vzápětí zahozeno. Slušný správce ještě navíc pošle zpět informaci o nedoručení například kvůli chybě v adrese.

Jako řešení této situace se proto nabízí nevyžádanou poštu do organizace vůbec nedoručovat. To je možné právě díky přenesení filtrace pošty na server poskytovatele služby. Z vaší serverovny tak může zmizet jedna hučící krabice a svého schopného člověka můžete pověřit novými projekty. Základní nastavení, tedy od jakého skóre je zpráva považována za nevyžádanou, kdy má být doručena do karantény a kdy již zahozena, je připraveno. Správci stačí změnou MX záznamu v DNS přesměrovat příchozí poštu na farmu poskytovatele. Následně lze na stejnou farmu adres omezit příjem na portu SMTP. Tímto opatřením přestane být poštovní systém vystavován útokům zvenčí a během několika dní klesne zátěž na lince.

Pokud jste dočetli až sem, máte za sebou podrobný popis implementace filtrování pošty jako služby. V běžném životě budete chtít pravděpodobně pro jistotu nastavit výjimky z filtrace například pro obchodní partnery, což lze zařídit například přes webový formulář. Do služby procesu filtrování mohou být navíc na straně poskytovatele zapojeny moduly různých dodavatelů. To firma v rámci vlastního IT jen těžko dosáhne. Výsledný verdikt o zprávě je potom vynesen na základě porovnání výstupů různých modulů, případně dalších vlastních metod zkoumání zprávy. Moduly bývají pravidelně podrobovány testu spolehlivosti a podle toho se do procesu zapojují nebo se mění jejich váha. Provoz služby v několika geograficky oddělených farmách je monitorován lidskou obsluhou, která je schopna řešit jak požadavky zákazníků v rámci SLA, tak anomálie v provozu.

I přesto vyvolává představa použití služby na filtrování pošty u mnoha majitelů firem i u některých administrátorů obavy ze ztráty soukromí. Tvrdím, že obava je také jediné podstatné mínus. Stačí si uvědomit, jakým způsobem mail cestuje. Autor odešle zprávu na svůj SMTP server. Ten může být firemní, veřejný, komunitní. Už zde ztrácíte nad pohybem zprávy kontrolu. Tento první SMTP server se může pokusit zprávu doručit přímo na server podle MX záznamu domény, může ji však předat i dál, například k vlastnímu ISP. Iluze důvěrnosti v otevřeném veřejném prostoru je klišé. Chcete-li zachovat soukromí, použijte šifrování, které jediné zajistí, že obsah zprávy nebude přečten nikým jiným než adresátem. Filtrace pošty pomocí cloudu uvolňuje administrátorům ruce, výrazně šetří jejich čas, eliminuje náklady spojené s provozem vlastního hardwaru a navíc umožňuje nasazení do jakéhokoliv prostředí.

Aleš Pikora
Autor je ředitelem divize DataGuard společnosti PCS.

 

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.