A propos de Kaspersky Secure Mail Gateway

La solution Kaspersky Secure Mail Gateway (ci-après, « KSMG ») permet de déployer une passerelle de messagerie sous la forme d’un cluster capable de monter en puissance en fonction du volume de trafic à traiter et de l’intégrer dans l’infrastructure de messagerie en place de l’organisation.

La solution se décline en deux versions :

• Fichier ISO avec un système d'exploitation, un serveur de messagerie et une application antivirus Kaspersky préinstallés. Des informations détaillées sur l’application dans cette option de livraison sont fournies dans ce document.
• Paquet d’installation de l’application RPM ou DEB. Pour plus de détails, consultez l'aide de KSMG pour ce type de livraison.

KSMG protège les emails entrants et sortants contre les objets malveillants, le courrier indésirable ainsi que le phishing et procède à un filtrage du contenu des messages.

KSMG vous permet de :

• Réaliser la recherche de virus dans les messages :
  • Rechercher la présence éventuelle de virus et d'applications malveillantes, de macros (par exemple, fichiers Microsoft Office avec macros), objets chiffrés, archives (y compris identifier les types de fichiers au sein des archives et des objets composés).
  • Exploiter les informations du Kaspersky Security Network afin d'accélérer la réaction face aux nouvelles menaces.

    Infrastructure de services dans le cloud qui donne accès à la base de données de Kaspersky sur la réputation des fichiers, des ressources Internet et des applications. L'utilisation des données de Kaspersky Security Network assure une vitesse de réaction plus élevée des applications de Kaspersky face aux menaces, augmente l'efficacité de fonctionnement de certains modules de la protection et réduit la possibilité de faux positifs.

  • Configurer l'intégration avec Kaspersky Private Security Network (ci-après, KPSN) pour les organisations où l'accès Internet est limité par des règles et des stratégies internes.

    Solution qui permet aux utilisateurs des applications antivirus de Kaspersky d'accéder aux données de Kaspersky Security Network sans envoyer leurs données aux serveurs de Kaspersky Security Network de Kaspersky.

  • Configurer l'intégration avec Kaspersky Anti Targeted Attack Platform (ci-après, KATA) pour la détection de menaces comme les attaques du « jour zéro », les attaques ciblées et les attaques ciblées advanced persistent threats (APT).

    Solution destinée à la protection de l'infrastructure informatique d'une organisation et la détection opportune de menaces telles que les attaques "0jour", les attaques ciblées et les attaques ciblées complexes advanced persistent threats (ci-après "APT").

• Soumettre les messages au module Anti-spam :
  • Rechercher la présence éventuelle de spam, de spam potentiel, de diffusions massives (y compris via le recours à la technologie d'identification de faux domaines et d'analyse de la réputation des adresses IP).
  • Détecter les messages avec usurpation Unicode. En cas de la détection d'une usurpation Unicode, le message est considéré comme du courrier indésirable. L'application ajoute le tag unicode_spoof à l'en-tête du message X-KSMG-AntiSpam-Method.

    Type d'attaque qui repose sur la falsification des données transmises. Le spoofing peut viser à obtenir des privilèges étendus et repose sur le contournement du mécanisme de vérification en générant une requête similaire à la requête réelle. Une des versions de cette substitution consiste à forger une en-tête HTTP pour obtenir l'accès au contenu masqué.

    L'objectif d'une attaque de spoofing peut également être de tromper l'utilisateur. L'exemple classique de ce type d'attaque est la substitution de l'adresse de l'expéditeur dans les emails.

  • Ajouter aux messages les en-têtes KH X-MS-Exchange-Organization-SCL contenant l'estimation SCL d'après les résultats de l'analyse contre les spams.

    Le Spam Confidence Level est un tag particulier utilisé par les serveurs de messagerie Microsoft Exchange pour déterminer la probabilité qu'un message soit un message indésirable. La valeur de l'estimation SCL peut être comprise entre 0 (faible probabilité de courrier indésirable) et 9 (le message est très probablement un message indésirable). La valeur de l'estimation SCL du message peut être modifiée par l'application Kaspersky Secure Mail Gateway en fonction des résultats de l'analyse du message.

  • Placer les messages dans la quarantaine de l'Anti-Spam, gérer la quarantaine de l'Anti-Spam dans l'interface Internet.
• Soumettre les messages au module Anti-Phishing.
• Rechercher la présence éventuelle dans les messages de liens malveillants ou publicitaires ainsi que de liens renvoyant à des applications légitimes.
• Activer le filtrage de contenu des messages :
  • selon la taille du message ;
  • selon le nom de la pièce jointe ;
  • par type de pièce jointe.

    KSMG vous permet de déterminer le véritable format et le type d'une pièce jointe, quelle que soit son extension, y compris à l'intérieur des archives et des objets composés.

  • au sujet du message ;
  • par objet de message ;
  • par expéditeur ;
  • par destinataire ;
  • par le destinataire d'une copie du message ;
  • par les en-têtes de niveau supérieur de la structure MIME du message.
• Vous pouvez définir des actions sur les en-têtes de message lorsqu'une règle de traitement de message, une expression de filtrage de contenu est déclenchée ou lorsqu'une erreur de filtrage de contenu se produit.
• Vous pouvez configurer l'envoi d'une copie cachée d'un message à une adresse spécifique lorsqu'une règle de traitement est déclenchée.
• Authentifier les expéditeurs des messages à l'aide des technologies SPF, DKIM et DMARC.

  Analyse définissant la stratégie et les actions à effectuer sur les messages d'après les résultats des authentifications SPF et DKIM des expéditeurs.

  Vérification de la signature numérique des messages.

  Comparaison des adresses IP des expéditeurs du message à la liste des sources de messages possibles composée par l'administrateur du serveur de messagerie.

• Configurer l'intégration avec Active Directory pour obtenir des informations sur les utilisateurs du domaine.
• Obtenir des informations sur les événements survenus pendant le fonctionnement de l'application :
  • Enregistrer les événements de traitement du trafic de messagerie et les événements de l'application dans le journal avec la possibilité de filtrer pour faciliter la recherche d'événements.
  • Exporter les événements au format CSV.
• Publier les événements se produisant pendant le fonctionnement de l'application dans le système SIEM, utilisé par l'organisation, via le protocole Syslog. Les informations sur chaque événement de l'application sont transmises en tant que message syslog distinct au format CEF.

  Le système SIEM (Security Information and Event Management) est une solution de gestion des informations et des événements dans le système de la sécurité de l'organisation.

• Définir des paramètres et gérer le fonctionnement de l'application via l'interface Internet.
  • Surveiller l'état du trafic de la messagerie et de l'utilisation des ressources du système, consulter la liste des dernières menaces détectées dans l'interface Internet de l'application.
  • Créer des comptes utilisateurs et limitez l'accès des utilisateurs aux fonctions de l'application à l'aide d'un système basé sur les rôles.
  • Configurer l'authentification à l'aide de la technologie d'accès unique.
  • Créer un cluster pour faire évoluer la solution (à la fois horizontalement et verticalement), avec la possibilité de gérer de manière centralisée l'ensemble des serveurs du cluster au moyen de l'interface Internet de l'application.
  • Administrer la Sauvegarde :
    • Enregistrer dans la Sauvegarde les messages originaux vérifiés et traités par l'application.
    • Enregistrer les messages de la Sauvegarde vers un fichier.
    • Transférer les messages aux destinataires.
    • Recevoir des informations sur les utilisateurs de différents domaines et proposer aux utilisateurs d'accéder à une Sauvegarde personnalisée.
    • Configurez la diffusion de la synthèse de la Sauvegarde personnelle des utilisateurs.
  • Créer des listes d'adresses autorisées et refusées afin d'affiner la réaction du système de messagerie face aux messages en provenance de certaines adresses.
  • Mettre à jour les bases de l'application depuis les serveurs de mises à jour de Kaspersky et les ressources utilisateurs, sur programmation ou à la demande.
  • Configurer les notifications par email :
    • Prévenir l'expéditeur et les destinataires en cas de détection d'objets dans les messages.
    • Envoyez des notifications aux utilisateurs sur les événements de l'application.
  • Ajouter des notes aux messages entrants et sortants, ainsi que des avertissements sur le caractère dangereux d'un message entrant.
  • Créer et consulter les rapports sur les résultats du traitement des messages et des événements lors du fonctionnement du système.
  • Traiter les messages électroniques selon les règles définies pour des groupes d'expéditeurs et de destinataires.
  • Ajouter, modifier ou supprimer des informations relatives aux domaines (dont les domaines locaux de l'organisation) et aux adresses email, configurer les paramètres de Kaspersky Secure Mail Gateway pour ces domaines et adresses de messagerie ainsi que le routage des emails.
  • Configurer les paramètres du MTA.

    Mail Transfer Agent est un agent qui transfère les messages entre les serveurs de messagerie.

  • Mettre à jour, modifier et supprimer les clés de chiffrement DKIM et TLS ;
  • Recevoir les statistiques de fonctionnement de l'application via le protocole SNMP, activer et désactiver l'envoi d'interruptions SNMP.

    Notification relative aux événements survenus pendant le fonctionnement de l'application et envoyées par l'agent SNMP.

KSMG est distribué sous le format d'une image ISO de machine virtuelle destinée au déploiement sur un hyperviseur VMware ESXi, Microsoft Hyper-V, Microsoft Windows Server avec le rôle Hyper-V installé ou RED Virtualization.

Suite au déploiement de l'image, une machine virtuelle est créée sur laquelle sont préinstallés les éléments suivants : le système d'exploitation Rocky Linux 9.3, le serveur de messagerie et l'application KSMG. Une fois le déploiement terminé, vous pouvez configurer la machine virtuelle à l'aide de l'Assistant de configuration initiale.