關於 Kaspersky Secure Mail Gateway

Kaspersky Secure Mail Gateway（以下簡稱“KSMG”）可讓您將郵件閘道佈署為叢集系統，它可隨著處理的流量而擴展，並將其整合在您所在組織的現有郵件基礎架構中。KSMG 保護傳入和傳出電子郵件不受惡意物件、垃圾郵件和釣魚內容的侵害，並對電子郵件執行內容過濾。

該解決方案以兩種分發類型提供：

帶有預先安裝作業系統、郵件伺服器和卡巴斯基病毒防護應用程式的虛擬機 ISO 映像。本文件提供了有關此分發類型的詳細資訊。
RPM 或 DEB 安裝套件。KSMG 說明中提供了此分發類型的詳細資訊。

如何確定您的組織中安裝了哪種分發類型

您可以在以下 KSMG 虛擬機 ISO 映像之間進行選擇：

基於 Rocky Linux 9.4。Rocky Linux 9.4 包含在 KSMG 映像中。
基於經過認證的 redos-MUROM-7.3- * -Everything-x86_64-DVD1.iso 映像中的 RED OS 7.3 作業系統，其中”*“代表版本20240923.0或更高版本。我們建議從版本 20241221.0 的映像安裝作業系統。
RED OS 作業係統不包含在 KSMG 分發套件中，必須單獨購買。

KSMG 允許您：

對郵件進行防毒掃描：
- 檢查郵件是否有病毒和惡意軟體、巨集（例如，包含巨集的 Microsoft® Office 檔案）、加密物件、壓縮檔案（包括識別壓縮檔案和符合物件内的檔案類型）。
- 使用來自卡巴斯基安全網路的資訊以確保更快回應新威脅。
  一個雲端服務基礎架構，提供對 Kaspersky 線上知識庫的存取，知識庫包含檔案、網頁資源和軟體的信譽資訊。利用卡巴斯基安全網路中的資料，可確保 Kaspersky 應用程式更快速地針對威脅作出回應，提升某些防護元件的效能，並降低誤報的可能性。
- 為內部規則和政策限制存取網際網路的組織配置與卡巴斯基私有安全網路（以下也簡稱為 KPSN）的整合。
  該解決方案允許 Kaspersky 病毒防護應用程式使用者存取卡巴斯基安全網路的資料而無需把自己的資訊傳送給卡巴斯基安全網路伺服器。
- 配置與Kaspersky Anti Targeted Attack Platform（KATA）的整合，以便偵測零日攻擊、定向攻擊和複雜定向攻擊（也稱為進階可持續威脅 APT）等威脅。
  防護企業 IT 基礎架構和定期偵測諸如零日攻擊、目標攻擊和被譽為進階持續威脅（也叫APT）的複雜目標攻擊的解決方案。
對郵件進行垃圾郵件防護掃描：
- 檢查郵件是否有垃圾郵件、疑似垃圾郵件、群體發送郵件（包括欺騙網域識別和 IP 位址信譽檢查）。
- 偵測包含 Unicode 欺騙的郵件。如果在郵件中偵測到 Unicode 欺騙，則該郵件被視為垃圾郵件。應用程式將 unicode_spoof 標籤新增到 X-KSMG-AntiSpam-Method 郵件標頭。
  一種根據傳輸資料偽造（欺騙）的攻擊。欺騙的目的可能是獲得更高權限，主要的方式是透過產生與真實請求相似的請求來繞過身分驗證機制。欺騙的一個變種是偽造 HTTP 標頭以存取隱藏內容。
  
  欺騙的目的也可能是欺騙使用者。這種攻擊的一個典型範例是在電子郵件中偽造寄件者的地址。
- 根據掃描結果向郵件新增 X-MS-Exchange-Organization-SCL X 標頭。該標頭包含 SCL 評級。
  垃圾郵件可信度是 Microsoft Exchange 郵件伺服器使用的一種特殊標記，用於衡量郵件為垃圾郵件的可能性。SCL 分級從 0（垃圾郵件的最小概率）到 9（郵件最有可能是垃圾郵件）不等。根據郵件掃描結果，Kaspersky Secure Mail Gateway 可以改變郵件的 SCL 評級。
- 將郵件放置到垃圾郵件防護隔離區，並透過網頁介面管理垃圾郵件防護隔離區。
對郵件進行釣魚防護掃描。
掃描郵件以檢查是否有惡意或者廣告連結，以及與合法軟體相關的連結。
檢查圖片中的 QR 碼連結是否用於網路釣魚、惡意軟體、廣告，或是否與合法軟體有關。
進行郵件的内容篩選：
- 按郵件大小
- 按郵件 MIME 部分大小
- 按附件名稱
- 依附件類型
  KSMG 可讓您確定附件的真實格式和類型，無論其副檔名為何，包括內部檔案和複合物件。
- 按郵件主旨
- 按郵件本文
- 按寄件者
- 按收件者
- 按郵件副本收件者
- 按郵件的 MIME 結構的頂級標頭
設定觸發郵件處理規則或內容篩選表達式或發生內容篩選錯誤時要對郵件標頭執行的操作。
將 BCC 郵件設定為在觸發處理規則時傳送到特定地址。
使用SPF、DKIM、DMARC和寄件者網域對齊技術進行郵件寄件者驗證。
檢查 SMTP 工作階段中指定的郵件寄件者網域（MAIL FROM 指令的值）和郵件中指定的郵件寄件者網域（寄件者 MIME 標頭的值）是否相符。

根據 SPF 和 DKIM 郵件寄件者身分驗證結果確定對郵件所採取的政策和操作的驗證。

驗證郵件的數位簽章。

將郵件寄件者的 IP 位址與郵件伺服器管理員已建立的可能的郵件來源清單進行比較。
設定與 Active Directory® 的整合以獲取網域使用者的資訊。
獲取應用程式事件訊息：
- 記錄郵件流量處理事件和應用程式執行期間發生的應用程式事件。可以篩選記錄以方便地搜尋事件。
- 以 CSV 格式匯出事件。
* 透過 Syslog 協定將應用程式事件發佈到您的組織中使用的 SIEM 系統。關於每個應用程式事件的資訊作為單獨的 Syslog 郵件以 CEF 格式轉發。
SIEM 系統（安全資訊和事件管理）是管理組織安全系統中的資訊和事件的解決方案。
記錄變更的應用程式設定的值並在 Web 介面中的稽核事件日誌中檢視變更。
變更記錄也可以儲存為標準格式或 CEF 格式的syslog 訊息。
允許透過 Web 介面配置和管理應用程式。
- 監控電子郵件流量狀態和系統資源使用情況，在應用程式的 Web 介面中檢視最近偵測到的威脅清單。
- 使用基於角色的系統建立使用者帳戶並限定使用者對應用程式功能的存取。
- 使用單點登入 (SSO) 技術配置身分驗證。
- 使用應用程式網頁介面建立叢集，以透過集中管理叢集中的所有伺服器來擴展解決方案（横向或者垂直）。
- 管理備份：
  - 將應用程式掃描和處理的原始郵件儲存在備份區中。
  - 儲存備份中的郵件至檔案。
  - 轉寄郵件給收件者。
  - 接收來自不同網域的使用者資訊並授予使用者對自訂備份的存取權限。
  - 授予使用者存取群組郵箱備份的權限。
  - 配置個人備份摘要傳送。
- 建立位址白名單和位址黑名單，可讓您微調郵件系統中來自某些位址的郵件回應方式。
- 按計畫和按需求更新來自卡巴斯基更新伺服器和自訂來源的應用程式資料庫。
  更新功能（包括病毒防護簽章更新和程式碼庫更新）以及 KSN 功能可能無法在美國境內的應用程式中使用。
- 設定電子郵件通知：
  - 掃描郵件時傳送有關應用程式模組產生的事件的通知。
  - 向使用者傳送有關應用程式事件的通知。
- 向傳出和傳入郵件新增電子郵件免責聲明，並新增郵件可能不安全的警告。
- 產生和檢視郵件處理結果和應用程式事件報告。
- 根據針對寄件者和收件者分組設定的規則來處理電子郵件。
- 新增、修改或删除有關網域（包括組織的本機網域）和電子郵件地址的資訊，針對此類網域和電子郵件地址編輯 Kaspersky Secure Mail Gateway 設定，設定電子郵件路由。
- 設定 MTA。
  郵件傳輸代理可處理郵件在郵件伺服器之間的傳送。
- 新增、修改和删除 DKIM 和 TLS 加密金鑰。
- 透過 SNMP 協定接收應用程式操作統計資訊，並啟用或停用 SNMP 陷阱轉發。
  SNMP 代理傳送的一種應用程式事件通知。