Obecné nastavení ochrany

Kaspersky Secure Mail Gateway chrání příchozí a odchozí poštovní přenosy organizace. Můžete nakonfigurovat následující nastavení ochrany:

• Ochrana modulem Anti-Virus
• Kontrola odkazů.
• Ochrana modulem Anti-Spam
• Ochrana modulem Anti-Phishing
• Filtrování obsahu zpráv
• Ověřování odesílatele e-mailu

Obecné nastavení ochrany se použije při kontrole všech zpráv. Akce, které se mají provést u zpráv po kontrole, a další nastavení můžete konfigurovat pomocí pravidel zpracování zpráv.

Ochrana modulem Anti-Virus

Kaspersky Secure Mail Gateway chrání zprávy před viry: vyhledává v e-mailových zprávách viry a další hrozby a dezinfikuje infikované objekty pomocí aktuální (nejnovější) verze databází modulu Anti-Virus.

Viry a další hrozby ve zprávách při kontrole vyhledává modul Anti-Virus. Tento modul kontroluje tělo zprávy a všechny přiložené soubory v jakémkoli formátu (přílohy) pomocí svých databází. Modul Anti-Virus zjišťuje a blokuje e-mailové přílohy, které jsou určeny omezenému počtu příjemců a jsou součástmi cílených útoků, jejichž cílem je zneužít slabých míst softwaru.

Můžete nakonfigurovat následující nastavení modulu Anti-Virus:

• Heuristická analýza

  Technologie určená ke zjišťování hrozeb, které nelze zjistit pomocí aktuální verze databází aplikace společnosti Kaspersky. Zjišťuje soubory, které mohou být infikovány neznámým virem nebo novou variantou známého viru.

• Maximální doba kontroly zpráv
• Maximální hloubka kontroly archivu
• Výjimky z kontroly u určitých legitimních programů, které mohou být použity hackery.

Na základě výsledků kontroly přiřadí Anti-Virus zprávě příslušný stav:

• Nezjištěné znamená, že zpráva není infikována.
• Infikované znamená, že zpráva je infikována; buď ji nelze dezinfikovat, nebo nedošlo k pokusu o dezinfekci.
• Dezinfikováno znamená, že zpráva byla dezinfikována.
• Šifrované znamená, že zprávu nelze zkontrolovat, protože je šifrovaná.
• Chyba znamená, že při kontrole zprávy došlo k chybě.
• Chyba databází znamená, že zprávu nelze zpracovat kvůli chybě při použití databází aplikace.
• Hrozba neoprávněného vniknutí znamená, že pomocí příslušného objektu mohou hackeři napadnout síť LAN.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.
• Pravděpodobně infikováno znamená, že objekt obsahuje znaky malwaru.

Modul Anti-Virus je standardně povolen. Pokud potřebujete, můžete jej zakázat nebo můžete u jakéhokoli pravidla zakázat kontrolu tímto modulem.

Kontrola odkazů

Aplikace Kaspersky Secure Mail Gateway kontroluje, zda odkazy v těle zprávy nejsou škodlivé, reklamní nebo nesouvisejí s legitimními programy, které mohou poškodit počítač.

Můžete upravit následující nastavení kontroly odkazů:

• Maximální doba kontroly zpráv.
• Výjimky z kontroly.

  Můžete zakázat zjišťování reklamních odkazů a odkazů souvisejících s určitými legitimními programy.

Na základě výsledků kontroly odkazů aplikace přiřadí zprávě jeden z následujících stavů:

• Chyba databází znamená, že zprávu nelze zkontrolovat, kvůli chybě databáze aplikace.
• Nezjištěné znamená, že zpráva neobsahuje žádné odkazy, které by bylo možno zjistit v souladu s nastavením aplikace.
• Chyba znamená, že kontrola vrátila chybu.
• Zjištěné znamená, že zpráva obsahuje škodlivé odkazy, reklamní odkazy nebo odkazy související s legitimními programy.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.

Ochrana modulem Anti-Spam

Kaspersky Secure Mail Gateway filtruje zprávy procházející poštovním serverem a odstraňuje nevyžádanou poštu (spam).

U zpráv vyhledává spam modul Anti-Spam. Tento modul u každé zprávy vyhledává znaky spamu. Nejdříve modul Anti-Spam kontroluje atributy první zprávy, jako je adresa odesílatele a příjemce, velikost a záhlavní (včetně polí Od a Komu). Poté analyzuje obsah zprávy (včetně záhlaví Předmět) a přiložené soubory.

Pokud je ve zprávě zjištěn spam nebo pravděpodobný spam, je zprávě přiřazen určitý stav v závislosti na skóre spamu. Hodnocení pravděpodobnosti, že je zpráva spam, je celé číslo od 0 do 100, které je součtem bodů udělených zprávě vždy, kdy je při jejím zpracování aktivován modul Anti-Spam. Hodnocení spamu bere v úvahu výsledky kontroly SPF a filtrování reputace zpráv.

Když je povolen modul Anti-Spam, je automaticky povolena ochrana před útoky BEC. Tato ochrana pomáhá rozpoznat falešné zprávy od hackerů, kteří se snaží ohrozit bezpečnost obchodní korespondence.

Můžete nakonfigurovat následující nastavení modulu Anti-Spam:

• Služba Moebius.

  Služba okamžité aktualizace databází modulu Anti-Spam, která umožňuje instalovat zásadní aktualizace v reálném čase.

  Služba Moebius porovná aktuální databázi součásti Anti-Spam používanou aplikací s databází na serveru Moebius a určí rozdíl. Chybějící položky jsou poté odeslány do řídicího uzlu přes HTTPS. Aby byla velikost přenášených dat přiměřená a server Moebius mohl normálně fungovat, musí být databáze modulu Anti-Spam aktualizovány pravidelně.

• Ochrana proti falšování služby Active Directory.

  Typ útoku založený na falšování (spoofingu) přenášených dat. Spoofing může být zaměřen na získání vyšších oprávnění, především obcházením ověřovacího mechanismu generováním požadavku podobného autentickému požadavku. Jednou z variant spoofingu je falšování HTTP hlavičky pro získání přístupu ke skrytému obsahu.

  Cílem spoofingu může být také oklamání uživatele. Klasickým příkladem takového útoku je falšování adresy odesílatele v emailech.

  Modul Anti-Spam pomáhá předcházet spoofingovým útokům, při kterých hackeři používají falešné jméno (Display Name) v hlavičce zprávy From a doména, ze které byla zpráva odeslána, neodpovídá doméně konkrétní organizace. Můžete označit jednu skupinu Active Directory obsahující až 10 000 uživatelů, kteří budou chráněni proti spoofingu.

• Kontrolovat reputaci IP adres a domén.

  Tato možnost vám umožňuje kontrolovat data relace SMTP na základě záznamů o blokovaných IP adresách a doménách v databázích modulu Anti-Spam.

• Karanténa modulu Anti-Spam.

  Umístění zálohy, kde jsou dočasně uchovávány zprávy, pokud jim modul Anti-Spam nedokáže po kontrole přiřadit konečný stav.

  Karanténa modulu Anti-Spam je k dispozici, pouze pokud je povolena účast ve službě KSN.

  Po umístění zprávy do karantény modulu Anti-Spam aplikace kontaktuje servery KSN za účelem další kontroly zprávy. Cloudová služba KSN zlepšuje přesnost zjišťování spamu, protože databáze KSN obsahují aktuálnější informace než databáze modulu Anti-Spam používané aplikací.

• Maximální doba kontroly zpráv.
• Maximální doba uchování zprávy v karanténě modulu Anti-Spam
• Maximální počet zpráv v karanténě modulu Anti-Spam.
• Maximální velikost karantény modulu Anti-Spam.

Na základě výsledků kontroly modulem Anti-Spam přiřadí tento modul zprávě jeden z následujících stavů:

• Nezjištěné znamená, že zpráva neobsahuje spam.
• Spam znamená, že je zpráva s určitostí diagnostikovaná jako spam.
• Pravděpodobný spam znamená, že zpráva je pravděpodobně spam.
• Hromadná zpráva znamená, že zpráva patří k hromadné e-mailové kampani.
• Chyba znamená, že kontrola vrátila chybu.
• Chyba databází znamená, že zprávu nelze zkontrolovat, kvůli chybě databáze aplikace.
• Formální zpráva znamená, že aplikace zprávu považuje za automaticky generované upozornění (například automatické odpovědi uživatelů nebo upozornění na překročení velikosti schránky).
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.
• Důvěryhodné znamená, že zpráva byla přijata od odesílatele, jehož doména je v seznamu povolených domén v databázích modulu Anti-Spam a zpráva prošla ověřením odesílatele DMARC.

Na základě výsledků kontroly se do zprávy přidá záhlaví X X-MS-Exchange-Organization-SCL. Toto záhlaví obsahuje hodnocení SCL.

Standardně je modul Anti-Spam povolen. Pokud potřebujete, můžete jej zakázat nebo můžete u jakéhokoli pravidla zakázat kontrolu tímto modulem.

Ochrana modulem Anti-Phishing

Kaspersky Secure Mail Gateway filtruje zprávy procházející poštovním serverem a odstraňuje phishing.

U zpráv vyhledává phishing modul Anti-Phishing. Modul Anti-Phishing analyzuje obsah zprávy (včetně záhlaví Předmět) a přiložené soubory.

Můžete nakonfigurovat maximální dobu trvání kontroly součástí Anti-Phishing.

Na základě výsledků kontroly přiřadí Anti-Phishing zprávě příslušný stav:

• Nezjištěné znamená, že zpráva neobsahuje phishingové adresy URL, obrázky či text, kterým by hackeři mohli z uživatelů vylákat důvěrné údaje, ani odkazy na weby s malwarem.
• Phishing znamená, že bylo zjištěno, že zpráva obsahuje obrázky nebo text, jimiž by hackeři mohli z uživatelů vylákat důvěrné údaje.
• Phishingový odkaz znamená, že bylo zjištěno, že obsahuje odkaz na web s malwarem.
• Chyba znamená, že kontrola vrátila chybu.
• Chyba databází znamená, že zprávu nelze zkontrolovat, kvůli chybě databáze aplikace.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.

Modul Anti-Phishing je standardně povolen. Pokud potřebujete, můžete jej zakázat nebo můžete u jakéhokoli pravidla zakázat kontrolu tímto modulem.

Filtrování obsahu zpráv

Kaspersky Secure Mail Gateway může provádět filtrování obsahu zpráv procházejících poštovním serverem. Můžete omezit přenosy zpráv s konkrétními parametry poštovními serverem.

Můžete nakonfigurovat následující nastavení filtrování obsahu:

• Maximální doba kontroly zpráv
• Maximální hloubka kontroly archivu

Jako výsledek filtrování obsahu přiřadí řídicí modul kontroly zpráv logikou kontroly zprávám jeden z následujících stavů filtrování obsahu:

• Nezjištěné znamená, že u zprávy nebylo nalezeno žádné porušení omezení zadaných v nastavení filtrování obsahu.
• Zakázaný název souboru znamená, že zpráva obsahuje přílohu se zakázaným názvem.
• Zakázaný formát souboru znamená, že zpráva obsahuje přílohu se zakázaným formátem souboru.
• Překročena velikost znamená, že zpráva překračuje maximální povolenou velikost.
• Chyba databází znamená, že zprávu nelze zkontrolovat, kvůli chybě databáze aplikace.
• Chyba znamená, že kontrola zprávy vrátila chybu.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.

Standardně je filtrování obsahu zpráv povoleno. V případě potřeby můžete filtrování obsahu zakázat v obecném nastavení ochrany nebo pro konkrétní pravidlo.

Ověřování odesílatele e-mailu

Ověřování odesílatele e-mailu má poskytnout další ochranu vaší podnikové poštovní infrastruktury před spamem a phishingem.

Kaspersky Secure Mail Gateway používá následující technologie ověřování odesílatele e-mailu:

• Ověřování pomocí SPF (Sender Policy Framework).
• Ověřování DKIM (DomainKeys Identified Mail).
• Ověřování DMARC (Domain-based Message Authentication, Reporting and Conformance).

Ověření odesílatele e-mailu pomocí SPF – porovnání IP adres odesílatelů e-mailu se seznamem možných zdrojů zpráv vytvořeným správcem poštovního serveru.

Kaspersky Secure Mail Gateway přijímá seznamy možných zdrojů zpráv ze serveru DNS.

Ověřování zpráv pomocí SPF povolte, pokud Kaspersky Secure Mail Gateway přijímá zprávy přímo z internetu. Ověřování zpráv pomocí SPF zakažte, pokud Kaspersky Secure Mail Gateway přijímá zprávy ze zprostředkovatelského interního serveru.

Ověření odesílatele e-mailu pomocí DKIM – ověření digitálního podpisu přidávaného ke zprávám.

Ke zprávám se přidává digitální podpis spojený s názvem domény organizace. Kaspersky Secure Mail Gateway tento digitální podpis ověřuje.

Ověření odesílatele e-mailu pomocí DMARC – ověření, které určí zásady a akce provedené u zpráv na základě ověřování odesílatele e-mailu metodou SPF a DKIM.

K provedení ověřování DMARC musí být povoleno ověřování SPF a DKIM. Pokud je zakázáno ověřování SPF nebo DKIM, bude zakázáno také ověřování DMARC.

Poté, co zpráva projde ověřením pomocí SPF a DKIM, program ověří, zda doména obsahující adresu odesílatele v poli Od e-mailové zprávy odpovídá identifikátorům SPF a DKIM.

Aby bylo možno povolit ověřování odesílatele e-mailu pomocí SPF, DKIM a DMARC, musíte aplikaci Kaspersky Secure Mail Gateway povolit připojování k serveru DNS. Pokud je připojení k serveru DNS zakázáno, ověřování odesílatele e-mailu pomocí SPF, DKIM a DMARC je zakázáno.

Na základě výsledků ověření odesílatele e-mailu je zprávě přiřazen jeden z následujících stavů:

• Nezjištěné znamená, že ve zprávě nebyla zjištěna porušení ověření.
• Chyba znamená, že během ověřování došlo k chybě.
• Ověření se nezdařilo znamená, že ověření nešlo provést.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.
• Bylo zjištěno porušení znamená, že minimálně u jednoho ověřování bylo zjištěno porušení.
• Nebylo zjištěno porušení znamená, že nebyla zjištěna porušení ověření.

Standardně jsou kontroly za účelem ověření odesílatele e-mailu povoleny. V případě potřeby můžete ověřování odesílatele e-mailu zakázat v obecném nastavení ochrany nebo pro konkrétní pravidlo.

Aby mohl vzdálený poštovní server provádět ověřování odesílatele e-mailu u odchozích zpráv (když je odesílatelem zprávy Kaspersky Secure Mail Gateway), musíte přidat záznamy SPF a DMARC do nastavení vašeho serveru DNS.