Kaspersky lab SMTP-Gateway 5.5 for Linux, SMTP-Gateway 5.0 for Unix User Manual
ЛАБОРАТОРИЯ КАСПЕРСКОГО
Kaspersky® SMTP-Gateway 5.5 для
Linux/Unix
РУКОВОДСТВО АДМИНИСТРАТОРА
KASPERSKY® SMTP-GATEWAY 5.5 ДЛЯ LINUX/UNIX
Руководство
администратора
© ЗАО "Лаборатория Касперского"
Тел., факс: +7 (095) 797-87-00
http://www.kaspersky.ru
Дата редакции: июль 2005
Содержание
ГЛАВА 1. KASPERSKY® SMTP-GATEWAY 5.5 ДЛЯ LINUX/UNIX............................ 6
1.1. Что нового в версии 5.5 ...................................................................................... 7
1.2. Политика лицензирования................................................................................. 8
1.3. Аппаратные и программные требования к системе ....................................... 9
1.4. Комплект поставки............................................................................................. 10
1.4.1. Лицензионное соглашение........................................................................ 10
1.4.2. Регистрационная карточка........................................................................ 11
1.5. Сервис для зарегистрированных пользователей......................................... 11
1.6. Принятые обозначения..................................................................................... 12
ГЛАВА 2. СОСТАВ И ТИПИЧНЫЕ СХЕМЫ РАЗВЕРТЫВАНИЯ
ПРИЛОЖЕНИЯ......................................................................................................... 14
2.1. Архитектура и состав приложения.................................................................. 14
2.2. Схема работы приложения.............................................................................. 16
2.3. Типичные схемы развертывания.................................................................... 18
2.3.1. Установка приложения по периметру организации............................... 18
2.3.2. Установка приложения внутри почтовой системы................................. 21
ГЛАВА 3. УСТАНОВКА ПРИЛОЖЕНИЯ.................................................................... 23
3.1. Установка приложения на сервер под управлением Linux.......................... 23
3.2. Установка приложения на сервер под управлением FreeBSD или
OpenBSD........................................................................................................... 25
3.3. Процесс установки ............................................................................................ 25
3.4. Настройка приложения..................................................................................... 27
3.5. Уcтановка webmin-модуля для управления Kaspersky SMTP-Gateway..... 29
ГЛАВА 4. РАБОТА С ПРИЛОЖЕНИЕМ..................................................................... 31
4.1. Обновление антивирусных баз ....................................................................... 31
4.1.1. Автоматическое обновление антивирусных баз.................................... 33
4.1.2. Разовое обновление антивирусных баз.................................................. 34
4.1.3. Создание сетевого каталога для хранения и копирования
антивирусных баз........................................................................................ 35
4.2. Антивирусная защита почтового трафика ..................................................... 35
4 Kaspersky
4.2.1. Формирование групп адресатов............................................................... 36
4.2.2. Общий алгоритм обработки почтовых сообщений................................ 39
4.2.3. Основные задачи........................................................................................ 40
4.2.3.1. Доставка почтовых сообщений без изменений............................... 41
4.2.3.2. Доставка только незараженных и вылеченных почтовых
сообщений ............................................................................................. 42
4.2.3.3. Удаление вложенных зараженных объектов................................... 43
4.2.3.4. Замена зараженных вложенных объектов сообщениями,
сформированными по шаблону ......................................................... 44
4.2.4. Дополнительные задачи............................................................................ 45
4.2.4.1. Блокирование доставки адресатам сообщений.............................. 45
4.2.4.2. Доставка зараженных сообщений ..................................................... 46
4.2.4.3. Доставка уведомлений отправителю, администратору,
получателям.......................................................................................... 47
4.2.4.4. Дополнительная фильтрация объектов по имени и типу .............. 48
4.2.4.5. Резервное копирование (карантин, резервное хранилище).......... 49
4.2.4.6. Настройка автоматической архивации принятой и
отправленной почты............................................................................. 51
4.3. Защита от хакерских атак и нежелательной почты...................................... 52
4.4. Управление лицензионными ключами ........................................................... 53
4.4.1. Просмотр информации о лицензионном ключе..................................... 54
4.4.2. Продление лицензии.................................................................................. 55
4.4.3. Удаление лицензионного ключа............................................................... 57
®
SMTP-Gateway 5.5 для Linux/Unix
ГЛАВА 5. ДОПОЛНИТЕЛЬНАЯ НАСТРОЙКА .......................................................... 58
5.1. Настройка параметров антивирусной защиты почтового трафика............ 58
5.1.1. Режим проверки и лечения сообщений................................................... 58
5.1.2. Использование технологии iChecker™.................................................... 59
5.2. Настройка тайм-аутов приложения ................................................................ 59
5.3. Настройка ограничений приложения.............................................................. 61
5.4. Настройка интерфейсов приема соединений............................................... 62
5.5. Настройка таблицы маршрутизации .............................................................. 63
5.6. Проверка конфигурационного файла............................................................. 64
5.7. Проверка синтаксиса шаблонов уведомлений ............................................. 65
5.8. Работа с резервным хранилищем и карантином.......................................... 66
5.9. Управление рабочей очередью приложения ................................................ 68
5.10. Управление работой приложения................................................................. 71
Содержание 5
5.11. Контроль работы приложения....................................................................... 72
5.12. Локализация отображаемого формата даты и времени ........................... 73
5.13. Параметры формирования отчета приложения......................................... 73
5.14. Дополнительные информационные поля в сообщениях .......................... 76
ГЛАВА 6. ПРОВЕРКА КОРРЕКТНОСТИ РАБОТЫ ПРИЛОЖЕНИЯ..................... 78
6.1. Тестирование с помощью программы Telnet ................................................ 78
6.2. Тестирование с помощью EICAR.................................................................... 80
ГЛАВА 7. УДАЛЕНИЕ ПРИЛОЖЕНИЯ ...................................................................... 82
ГЛАВА 8. ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ.......................................................... 84
ПРИЛОЖЕНИЕ A. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ О ПРИЛОЖЕНИИ ........... 91
A.1. Расположение файлов приложения по каталогам....................................... 91
A.2. Конфигурационный файл Kaspersky SMTP-Gateway .................................. 96
A.3. Использование внешних конфигурационных файлов............................... 114
A.4. Сигналы управления компонентом smtpgw ................................................ 116
A.5. Управляющие файлы..................................................................................... 117
A.6. Статистика приложения ................................................................................. 117
A.7. Ключи командной строки компонента smtpgw ............................................ 124
A.8. Коды возврата компонента smtpgw..............................................................126
A.9. Ключи командной строки компонента licensemanager...............................127
A.10. Коды возврата компонента licensemanager .............................................. 128
A.11. Ключи командной строки компонента keepup2date ................................. 128
A.12. Коды возврата компонента keepup2date ................................................... 130
A.13. Формат сообщений о проверке синтаксиса шаблонов............................ 130
A.14. Коды возврата утилиты kltlv......................................................................... 132
A.15. Ключи командной строки утилиты klmailq ................................................. 133
A.16. Ключи командной строки утилиты klmaila ................................................. 134
A.17. Коды возврата утилит klmaila, klmailq ........................................................ 135
A.18. Формат сообщений об антивирусной проверке........................................ 135
A.19. Сообщения о действиях над письмами..................................................... 137
ПРИЛОЖЕНИЕ B. ЗАО "ЛАБОРАТОРИЯ КАСПЕРСКОГО" ................................ 140
B.1. Другие разработки Лаборатории Касперского ............................................ 141
B.2. Наши координаты ........................................................................................... 146
ГЛАВА 1. KASPERSKY® SMTP-
GATEWAY 5.5 ДЛЯ
LINUX/UNIX
Kaspersky® SMTP-Gateway для Linux/Unix (далее Kaspersky SMTP-
Gateway, приложение) предназначен для антивирусной обработки SMTPтрафика. Приложение является полноценным почтовым маршрутизатором
(в соответствии с интернет-стандартами IETF RFC), работающим под
управлением операционных систем Linux, FreeBSD или OpenBSD.
Приложение позволяет:
• производить антивирусную проверку почтовых сообщений, включая
вложенные объекты и тела почтовых сообщений;
• выявлять зараженные, подозрительные, поврежденные и
защищенные паролем вложенные файлы
сообщений;
• выполнять антивирусную обработку (в т. ч. лечение) зараженных
объектов почтовых сообщений, обнаруженных в результате
проверки;
• организовывать дополнительную фильтрацию потока почтовых
сообщений по именам и MIME-типам вложенных файлов и
применять к отфильтрованным объектам отдельные правила
обработки;
• вести архивы всех принятых и / или отправленных приложением
почтовых сообщений, если этого требуют правила внутренней
безопасности организации;
• использовать технологию DNS black lists (RBL) для фильтрации
нежелательной корреспонденции;
• формировать "белые" и "черные" списки адресатов, применяемые
при обработке почтового трафика;
• вводить ограничения на SMTP-cоединения, что позволяет
противостоять хакерским атакам и использованию приложения в
качестве открытого почтового маршрутизатора для
несанкционированных рассылок;
и тела почтовых
Общие сведения о программе 7
• ограничивать нагрузки на сервер при помощи соответствующей
настройки приложения и параметров SMTP–протокола;
• уведомлять отправителей и получателей почтовых сообщений, а
также администратора о сообщениях, содержащих зараженные,
подозрительные или поврежденные объекты;
• помещать в карантинный каталог и резервное хранилище
сообщения, содержащие зараженные, подозрительные и
поврежденные объекты, а также объекты, защищенные паролем;
• обновлять антивирусные базы. Ресурсом для обновления баз
являются сервера обновлений Лаборатории Касперского.
Антивирусные базы используются для обнаружения и лечения
зараженных объектов. На основе записей, содержащихся в них,
каждый объект во время проверки анализируется на присутствие
вирусов: содержание объекта сравнивается с кодом, характерным
для того или иного вируса.
Необходимо помнить, что каждый день появляются новые
вирусы, поэтому для поддержания антивирусной защиты
в актуальном состоянии мы рекомендуем обновлять
антивирусные базы каждый час.
• производить настройку и управление Kaspersky SMTP-Gateway как
локально (стандартными средствами операционной системы с
помощью параметров командной строки, сигналов, путем создания
специальных управляющих файлов и модификацией
конфигурационного файла приложения),
интерфейс программы Webmin;
• производить мониторинг состояния антивирусной защиты,
просматривать статистику и журнал работы приложения.
так и удаленно через веб-
1.1. Что нового в версии 5.5
В версию 5.5 Kaspersky SMTP-Gateway по сравнению с предыдущей
версией 5.0 добавлены следующие дополнительные возможности:
• Определение правил доступа и маршрутизации не только на основе
масок доменов, но и на основе масок адресов получателей.
• Подключение внешних файлов к основному конфигурационному
файлу.
• По желанию администратора в почтовое сообщение может быть
добавлена справочная информация о
статусе проверки, версии
8 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
антивирусного приложения, дате обновления антивирусных баз,
использованных при проверке, в виде служебного поля.
• По желанию администратора в обработанные почтовые сообщения
может добавляться текст (disclaimer), сформированный по шаблону,
определяемому администратором. Сообщение может быть
различным для отдельных групп адресатов.
• Управление рабочей очередью приложения (просмотр очереди,
удаление сообщений из очереди, проверка и отправка
определенного сообщения вне общей очереди).
• Управление сообщениями, помещенными на карантин, в резервное
хранилище и в архивы принятых и отправленных сообщений
(просмотр атрибутов, удаление сообщений, отправка изолированных
сообщений исходным получателям).
• Ограничение размера рабочей очереди приложения.
• Поддержка технологии DNS Black List, собственный клиент сервиса
DNS.
• Мониторинг состояния приложения (watсhdog-процесс).
Проверка правильности синтаксиса конфигурационного файла
•
приложения и шаблонов уведомлений.
1.2. Политика лицензирования
Политика лицензирования Kaspersky SMTP-Gateway предполагает систему
ограничений на использование продукта по следующим критериям:
• количеству защищаемых пользователей;
• объему обрабатываемого суточного почтового трафика (MБ / сутки).
Каждый тип лицензирования также ограничивается по времени (как
правило, это один-два года со дня приобретения продукта).
Вы можете приобрести лицензию по какому-либо одному типу ограничения
(например, по суточному объему почтового трафика).
Существуют некоторые особенности настройки приложения исходя из типа
приобретенной лицензии на его использование. Так, при ограничении по
количеству защищаемых пользователей вам необходимо сформировать
список адресов (доменов), на которые будет распространяться
антивирусная защита. В случае достижения критического объема почтового
трафика или исчерпания лимита защищаемых пользователей
администратору будет выслано соответствующее уведомление.
Общие сведения о программе 9
1.3. Аппаратные и программные
требования к системе
Для работы Kaspersky SMTP-Gateway необходимо соответствие системы
следующим требованиям:
• Процессор класса Intel Pentium (рекомендуется Pentium III или
Pentium 4).
• Объем свободной оперативной памяти не менее 128 МБ.
• Свободное место на диске не менее 100 MБ – для установки
приложения.
Обратите внимание, что требуемый размер свободного
дискового пространства не включает в себя объем
рабочей очереди приложения, резервного хранилища,
карантина и архивов входящей и исходящей почты. Если
политика безопасности вашей организации предполагает
использование данных архивов, вам необходимо
соответственно проиндексировать объем требуемого
свободного дискового пространства.
• Свободное место в файловой системе /tmp –
• Одна из следующих операционных систем:
• Red Hat Enterprise Linux Advanced Server 3.
• Red Hat Linux 9.0.
• Fedora Core 3.
• SuSE Linux Enterprise Server 9.0.
• SuSE Linux Professional 9.2.
• Debian GNU/Linux 3.0r3.
• Mandrakelinux 10.1.
• FreeBSD 4.10, 5.3.
• OpenBSD 3.6.
• Интерпретатор языка Perl версии 5.0 или выше (www.perl.org
утилита which – для установки приложения.
• Программа Webmin (www.webmin.com
планируется удаленное администрирование приложения.
) версии 1.070 или выше, если
не менее 500 MБ.
),
10 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
1.4. Комплект поставки
Программный продукт вы можете приобрести у наших дистрибьюторов
(коробочный вариант), а также в одном из интернет-магазинов (например,
www.kaspersky.ru
Если вы приобретаете продукт в коробке, то в комплект поставки
программного продукта входят:
• запечатанный конверт с установочным компакт-диском, на котором
записаны файлы программного продукта;
• руководство администратора;
• лицензионный ключ, включенный в состав дистрибутива или
записанный на специальную дискету;
• регистрационная карточка (с указанием серийного
• лицензионное соглашение.
Перед тем как распечатать конверт с компакт-диском, внимательно
ознакомьтесь с лицензионным соглашением.
При покупке продукта в интернет-магазине вы копируете продукт с вебсайта, в дистрибутив которого помимо самого продукта включено также
данное руководство. Лицензионный ключ либо включен в дистрибутив, либо
отправляется вам по электронной почте по факту оплаты.
, раздел Электронный магазин).
номера продукта);
1.4.1. Лицензионное соглашение
Лицензионное соглашение – это юридическое соглашение между вами и
ЗАО "Лаборатория Касперского", в котором указано, на каких условиях вы
можете пользоваться приобретенным вами программным продуктом.
Внимательно прочитайте лицензионное соглашение!
Если вы не согласны с условиями лицензионного соглашения, вы можете
вернуть коробку с программным продуктом дистрибьютору, у которого она
была приобретена, и получить назад сумму, уплаченную за подписку. При
этом конверт с установочным компакт-диском должен оставаться
запечатанным.
Общие сведения о программе 11
Открывая запечатанный пакет с установочным компакт-диском или
устанавливая продукт на компьютер, вы тем самым принимаете все
условия лицензионного соглашения.
1.4.2. Регистрационная карточка
Пожалуйста, заполните отрывной корешок регистрационной карточки, по
возможности наиболее полно указав свои координаты: фамилию, имя,
отчество (полностью), телефон, адрес электронной почты (если она есть), и
отправьте ее дистрибьютору, у которого вы приобрели программный
продукт.
Если впоследствии у вас изменится почтовый/электронный адрес или
телефон, пожалуйста, сообщите об этом в организацию, куда
отправлен корешок регистрационной карточки.
Регистрационная карточка является документом, на основании которого вы
приобретаете статус зарегистрированного пользователя нашей компании.
Это дает вам право на техническую поддержку в течение срока подписки.
Кроме того, зарегистрированным пользователям, подписавшимся на
рассылку новостей ЗАО "Лаборатория Касперского", высылается
информация о выходе новых программных продуктов.
был
1.5. Сервис для
зарегистрированных
пользователей
ЗАО "Лаборатория Касперского" предлагает своим легальным
пользователям большой комплекс услуг, позволяющих увеличить
эффективность использования Kaspersky SMTP-Gateway .
После приобретения лицензии, вы становитесь зарегистрированным
пользователем программы и в течение срока действия лицензии получаете
следующие услуги:
• предоставление новых версий данного программного продукта;
• консультации по вопросам, связанным с установкой, настройкой и
эксплуатацией данного программного продукта, оказываемые по
телефону и электронной почте;
• оповещение о выходе новых программных продуктов Лаборатории
Касперского и о новых вирусах, появляющихся в мире (данная услуга
12 Kaspersky
предоставляется пользователям, подписавшимся на рассылку
новостей ЗАО "Лаборатория Касперского").
Консультации по вопросам функционирования и использования
операционных систем, а также работы различных технологий не
проводятся.
®
SMTP-Gateway 5.5 для Linux/Unix
1.6. Принятые обозначения
Текст документации выделяется различными элементами оформления в
зависимости от его смыслового назначения. В расположенной ниже
таблице приведены используемые условные обозначения.
Оформление Смысловое назначение
Жирный шрифт
Примечание.
Внимание!
Чтобы выполнить
действие,
1. Шаг 1.
2. …
Задача, пример
Решение
[ключ] – назначение ключа.
Названия меню, пунктов меню, окон,
элементов диалоговых окон и т. п.
Дополнительная информация,
примечания.
Информация, на которую следует
обратить особое внимание.
Описание последовательности
выполняемых пользователем шагов и
возможных действий.
Постановка задачи, примера для
реализации возможностей
программного продукта.
Реализация поставленной задачи.
Ключи командной строки.
Общие сведения о программе 13
Оформление Смысловое назначение
Текст информационных
сообщений и командной
строки
Текст конфигурационных файлов,
информационных сообщений
программы и командной строки.
ГЛАВА 2. СОСТАВ И
ТИПИЧНЫЕ СХЕМЫ
РАЗВЕРТЫВАНИЯ
ПРИЛОЖЕНИЯ
Для того чтобы корректно настроить и эффективно использовать
приложение, важно знать его состав и внутренние алгоритмы работы. Это
также является важным при развертывании приложения в рамках уже
сформированной почтовой системы организации. В данной главе будут
подробно рассмотрены состав приложения, его архитектура, механизм
работы, а также типичные схемы развертывания.
2.1. Архитектура и состав
приложения
Прежде чем приступить к изучению функциональных возможностей
приложения, рассмотрим его внутреннюю архитектуру.
Kaspersky SMTP-Gateway представляет собой полноценный почтовый агент
(MTA – Mail Transfer Agent), способный принимать поток почтовых
сообщений и выполнять его маршрутизацию, осуществляя при этом
проверку почты на вирусы.
Kaspersky SMTP-Gateway реализует набор команд SMTP-протокола (RFC
2821), формат почтового сообщения (RFC 2822), MIME-формат (RFC 2045-
2049, 2231, 2646) и набор требований к почтовому маршрутизатору (RFC
1123). Приложение
спамом, в частности использует правила контроля доступа SMTP-клиентов
(для предотвращения использования приложения в качестве открытого
маршрутизатора (open relay). Также Kaspersky SMTP-Gateway
поддерживает следующие расширения SMTP-протокола:
• Pipelining – для ускорения работы с серверами, поддерживающими
этот режим работы (RFC 2920).
• 8-bit MIME Transport – для работы с национальными кодировками
(RFC 1652).
соответствует рекомендациям RFC 2505 по борьбе со
Состав и типичные схемы развертывания приложения 15
• Enhanced Error Codes – для дополнительных возможностей
диагностики протокола (RFC 2034).
• DSN (Delivery Status Notifications) – для уменьшения нагрузки на
канал и более точной диагностики (RFC 1891, 3461-3464).
• SMTP Message Size – для увеличения скорости передачи и
ограничения нагрузки (RFC 1870).
Тексты упомянутых документов RFC можно найти в
интернете по адресу http://www.ietf.org.
Приложение включает в себя следующие компоненты:
• smtpgw – основной компонент, представляющий собой полноценный
почтовый маршрутизатор со встроенной антивирусной защитой;
• licensemanager – компонент, предназначенный для работы с
лицензионными ключами (установки, удаления, просмотра
статистической информации);
• keepup2date – компонент, обеспечивающий обновление
антивирусных баз путем их скачивания с серверов обновлений
Лаборатории Касперского или из локального каталога;
• webmin-модуль для удаленного администрирования приложения при
помощи веб-интерфейса (устанавливается опционально). Компонент
позволяет настраивать и организовывать обновления антивирусных
баз, просматривать статистическую информацию, задавать действия
над объектами в зависимости от их статуса, контролировать
результаты работы приложения.
Компонент
smtpgw (см. рис. 1) в свою очередь состоит из модулей Receiver
(модуль приема входящего трафика), Sender (модуль для рассылки
прошедших антивирусную обработку сообщений) и AV–модуля,
реализующего антивирусную проверку и обработку.
Рисунок 1. Общая структура приложения Kaspersky SMTP-Gateway
16 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
2.2. Схема работы приложения
Предусмотрен следующий алгоритм работы приложения (см. рис. 2):
1. Почтовый трафик поступает почтовому агенту по SMTP-протоколу.
Почтовая система передает всю поступившую почту модулю
Receiver.
Рисунок 2. Структура Kaspersky SMTP-Gateway
2. Модуль Receiver производит первичную проверку сообщения по
следующим критериям:
• наличие IP-адреса отправителя в масках запрета и/или
разрешения;
• соответствие ограничениям доступа, заданным для SMTP-
соединений (см. п. 4.3 на стр. 52)
• соответствие размера письма (а также самой почтовой
сессии в целом и общего количества писем в ней)
установленным при настройке приложения ограничениям;
• соответствие числа открытых сессий (как общего
количества, так и с одного IP-адреса) заданному при
настройке приложения.
В случае если сообщение удовлетворяет требованиям первичной
проверки, оно помещается в рабочую очередь сообщений,
обрабатываемых AV-модулем.
3. Извлеченное из рабочей очереди сообщение разбирается на
отдельные объекты, направляемые на проверку AV-модулю.
4. AV-модуль выполняет проверку
лечение зараженного объекта.
и, если данная опция включена,
Состав и типичные схемы развертывания приложения 17
5. Cогласно статусам, присвоенным объектам сообщения в
результате антивирусной проверки, над сообщением выполняются
дополнительные действия (блокировка доставки письма, удаление
зараженных объектов, замена зараженных объектов вылеченными,
сохранение сообщения в карантине и т.д.)
6. Если в качестве действия над сообщением указано сохранение в
резервном хранилище или в карантине, то после проверки,
одновременно с
перемещением сообщения в исходящую рабочую
очередь, его копия сохраняется в карантине или в резервном
хранилище (в зависимости от статуса).
Сохранение копии сообщения в резервном хранилище
или карантине не блокирует доставку оригинального
сообщения адресату. Необходимо задать
дополнительное действие, блокирующее доставку
сообщения, если вы не хотите, чтобы сообщение
доставлялось адресату.
7. Модуль Sender извлекает письмо из очереди готовых к отправке
сообщений и передает его по SMTP-протоколу следующему
почтовому агенту, который выполняет доставку почтового
потока
локальным пользователям или осуществляет маршрутизацию на
другие почтовые сервера.
8. Если предполагается ведение архива всего объема исходящего
почтового трафика, то после доставки сообщения его копия
автоматически помещается в архив отправленных сообщений
(см. рис. 3).
Рисунок 3. Ведение архива принятой / отправленной почты
18 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
2.3. Типичные схемы
развертывания
В зависимости от исходной архитектуры почтового сервера возможны
следующие варианты развертывания Kaspersky SMTP-Gateway:
• Установка приложения по периметру организации на один сервер с
почтовой системой (рекомендуется для почтовых систем Sendmail,
Postfix и Exim).
• Установка приложения по периметру организации на выделенный
сервер в качестве антивирусного фильтра (рекомендуется для
почтовых систем Sendmail, Postfix и Exim).
• Установка приложения внутри существующей почтовой системы
организации на один сервер с ней.
• Установка приложения внутри существующей почтовой системы
организации на выделенный сервер в качестве антивирусного
фильтра.
Рассмотрим все эти варианты подробнее и выделим преимущества,
характерные для каждого из них.
Приложение, являясь почтовым маршрутизатором, не включает в
себя агента локальной доставки (MDA – Mail Delivery Agent).
Поэтому при реализации любой из схем развертывания
обязательно наличие почтовой системы (систем),
осуществляющей доставку почтовых сообщений локальным
пользователям в защищаемых доменах организации!
2.3.1. Установка приложения по
периметру организации
Основным преимуществом при установке приложения по периметру
организации является высокая скорость работы всей системы в целом за
счет минимизации количества циклов передачи почтовых сообщений.
При реализации подобной схемы развертывания существующий почтовый
сервер организации не соединен с сетью интернет, что обеспечивает
дополнительную степень защиты данных. При этом возможна организация
демилитаризованных зон (DMZ).
Состав и типичные схемы развертывания приложения 19
При установке приложения и почтовой системы на один сервер
предусмотрен следующий алгоритм их совместной работы:
1. Kaspersky SMTP-Gateway настраивается на порт 25 для
приема входящего почтового трафика на всех IP-адресах,
сопоставленных с MX-записями защищаемого домена.
2. Приложение осуществляет антивирусную проверку и
обработку почтового потока, после чего передает на другой
порт (например, 1025) обработанные сообщения почтовой
системе
организации.
Необходимо настроить ограничения для MТA
(Mail Transfer Agent), принимающего почту от Kaspersky
SMTP-Gateway на порт 1025, так, чтобы принимать
почтовые сообщения только от Kaspersky SMTPGateway. В противном случае будет существовать
возможность обхода защиты путем непосредственного
соединения из внешней сети на порт 1025.
3. Почтовая система, работающая на локальном интерфейсе,
осуществляет локальную доставку сообщений пользователям.
При установке приложения и почтовой системы на один сервер
необходимо:
• Настроить приложение для приема почты на порт 25 на всех сетевых
интерфейсах сервера. Для этого в конфигурационном файле в
секции [smtpgw.network] задайте значение:
ListenOn=0.0.0.0:25
• В таблице маршрутизации задать передачу всех проверенных
сообщений почтовой системе на порт 1025. Для этого в
конфигурационном
файле приложения в секции [smtpgw.forward]
задайте значение:
ForwardRoute=*@company.com [host:1025]
где: *@company.com
– маска адресов получателей;
host – имя сервера почтовой системы организации.
• Настроить существующую почтовую систему для приема сообщений
от приложения на порт 1025. Тем самым обеспечивается прием
входящих почтовых сообщений и их доставка локальным
пользователям в защищаемых доменах организации.
• Определить передачу всех сообщений, принятых почтовой системой,
приложению на порт 25. Тем самым обеспечивается антивирусная
20 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
проверка исходящих почтовых сообщений от локальных
пользователей.
• Задать список всех локальных доменов организации в качестве
значения параметра ProtectedDomains секции [smtpgw.network]
(могут быть использованы специальные символы "*" и "?"). Почта для
них будет проверяться.
Настройка приложения для данной схемы развертывания
реализуется по умолчанию в процессе установки приложения.
Алгоритм работы приложения при установке на выделенный сервер
аналогичен алгоритму работы при установке на одном сервере с почтовой
системой
, однако настройка данной схемы будет иной. При реализации
данной схемы IP-адрес сервера, на который будет производиться установка
приложения, должен содержаться в MX-записях защищаемого домена.
При установке приложения на выделенный сервер необходимо:
• Настроить приложение для приема почты на порт 25 на всех сетевых
интерфейсах сервера. Для этого в конфигурационном файле в
секции [smtpgw.network] задайте значение:
ListenOn=0.0.0.0:25
• В таблице маршрутизации задать передачу всех проверенных
сообщений почтовой системе на порт 25. Для этого в
конфигурационном файле приложения в секции [smtpgw.forward]
задайте значение:
ForwardRoute=*@company.com [host:25]
где: *@company.com – маска адресов получателей;
host – имя сервера почтовой системы организации.
• Задать список всех локальных доменов организации в качестве
значения параметра ProtectedDomains секции [smtpgw.network]
(могут быть использованы специальные символы "*" и "?"). Почта для
них будет проверяться.
Данный вариант схемы развертывания является наиболее
удобным, особенно, если установка Kaspersky SMTP-Gateway
производится одновременно с развертыванием сети и почтовой
системы организации.
Состав и типичные схемы развертывания приложения 21
2.3.2. Установка приложения внутри
почтовой системы
При установке приложения внутри почтовой системы преимуществом
является то, что отсутствует возможность получения из внешней сети
данных об установленном на сервере приложении и его параметрах. Кроме
того, при установке приложения внутри почтовой системы на выделенный
сервер существует возможность распределения нагрузки на несколько
серверов, производящих антивирусную проверку.
При установке приложения и почтовой
предусмотрен следующий алгоритм их совместной работы:
1. Создаются две копии почтовой системы, одна из которых
устанавливается на порт 25 и ведет прием почтового потока на
всех интерфейсах.
2. Почтовая система передает всю входящую почту по
локальному интерфейсу на другой порт (например, 1025) для
антивирусной проверки приложением.
3. Приложение производит антивирусную проверку, после чего
пересылает обработанный почтовый трафик второй копии
почтовой системы, производящей прием почты на порт,
отличающийся от вышеупомянутых (например, 1026).
4. Вторая копия почтовой системы осуществляет доставку почты
локальным адресатам.
системы на один сервер
Подобная схема развертывания рекомендована для
пользователей, которые уверены в надежности установленной на
их сервере почтовой системы. Установка приложения не повлияет
на стабильность работы почтовой системы.
При установке приложения на выделенный сервер алгоритм работы
системы аналогичен рассмотренному выше. Кроме того, данный вариант
допускает запуск нескольких копий приложения
таком случае нагрузка по проведению антивирусной проверки почтового
трафика может быть равномерно распределена между ними.
При использовании данной схемы развертывания приложения необходимо
задать список всех локальных доменов в качестве значения параметра
ProtectedDomains секции [smtpgw.network] (могут быть использованы
специальные символы "*" и "?"). Почта для них будет проверяться.
на разных серверах. В
22 Kaspersky
При развертывании Kaspersky SMTP-Gateway возможно
потребуется настройка работающих внутри организации почтовых
клиентов, для того чтобы все исходящие почтовые сообщения
направлялись приложению, которое после антивирусной проверки
доставит почту во внешнюю сеть.
Если в организации установлены межсетевые экраны или
организованы DMZ, необходимо обеспечить доступ почтовых
клиентов и серверов внешней и внутренней сети к установленному
приложению для соединения с ним и маршрутизации почтового
трафика.
®
SMTP-Gateway 5.5 для Linux/Unix
ГЛАВА 3. УСТАНОВКА
ПРИЛОЖЕНИЯ
Прежде чем приступить к установке Kaspersky SMTP-Gateway, необходимо:
• Убедиться, что система соответствует аппаратным и программным
требованиям (см. п. 1.3 на стр. 9).
• Настроить интернет-соединение (дистрибутив приложения не
содержит антивирусные базы; прежде чем начать работу с
приложением необходимо скопировать базы с серверов обновлений
Лаборатории Касперского).
• Войти в систему под пользователем root или
имеющим права привилегированного пользователя.
3.1. Установка приложения на
сервер под управлением Linux
Для серверов, работающих под управлением операционной системы Linux,
приложение Kaspersky SMTP-Gateway распространяется в трех вариантах
установки, в зависимости от дистрибутива операционной системы Linux.
Для дистрибутивов Linux Red Hat и Linux SuSE предусмотрена установка
приложения из rpm-пакета.
любым другим,
Для запуска установки Kaspersky SMTP-Gateway из rpm-пакета в
командной строке введите:
# rpm –i smtpgw-linux-<номер_версии>.i386.rpm
Если для установки вы использовали rpm-пакет, после
копирования файлов дистрибутива на сервер вам необходимо
самостоятельно запустить скрипт postinstall.pl, выполняющий
настройку приложения после установки. Скрипт postinstall.pl
устанавливается по умолчанию в каталог
/opt/kav/5.5/smtpgw/setup/.
Для дистрибутива Linux Debian установка осуществляется с помощью debпакета приложения.
24 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
Для запуска установки Kaspersky SMTP-Gateway из deb-пакета в
командной строке введите:
# dpkg –i smtpgw-linux-<номер_версии>.deb
После запуска команды дальнейший процесс установки будет выполнен
автоматически.
Также вы можете воспользоваться универсальным дистрибутивом, единым
для всех OC Linux. Этот вариант может быть задействован в случае, если
соответствующий дистрибутив Linux не поддерживает rpm или debформаты, либо, если администратор по каким
-либо причинам не желает (не
может) использовать соответствующий менеджер пакетов.
Универсальный дистрибутив Kaspersky SMTP-Gateway поставляется в виде
архива (tar.gz).
Для запуска установки Kaspersky SMTP-Gateway из
универсального дистрибутива выполните следующие действия:
1. Скопируйте архив дистрибутива в каталог файловой системы
сервера.
2. Распакуйте архив командой:
# tar xzvf smtpgw-linux-<номер_версии>.tar.gz
В результате из архива будут извлечены инсталлятор и дерево
файлов дистрибутива приложения.
3. Запустите инсталляционный скрипт:
# cd <каталог_дистрибутива>
# ./install.sh
После запуска команды дальнейший процесс установки будет выполнен
автоматически.
Имеются особенности установки приложения для дистрибутивов
Mandrakelinux. Возможно вам придется выполнить дополнительные
действия для обеспечения работы приложения на таких системах
(подробнее см. Глава 8 на стр. 84).
Установка приложения 25
3.2. Установка приложения на
сервер под управлением
FreeBSD или OpenBSD
Для серверов, работающих под управлением операционной системы
FreeBSD или OpenBSD, дистрибутив Kaspersky SMTP-Gateway
поставляется в pkg-пакете.
Для запуска установки Kaspersky SMTP-Gateway из pkg-пакета в
командной строке в зависимости от версии дистрибутива
введите:
# pkg_add smtpgw-freebsd-4.x-<номер_версии>.tgz
или:
# pkg_add smtpgw-freebsd-5.x-<номер_версии>.tgz
или:
# pkg_add smtpgw-openbsd-3.6--<номер_версии>.tgz
После запуска команды дальнейший процесс установки будет выполнен
автоматически.
3.3. Процесс установки
По ряду причин процесс установки может завершиться с ошибкой.
В этом случае убедитесь, что ваш компьютер соответствует
аппаратным и программным требованиям (см. п. 1.3 на стр. 9), и
вход в систему выполнен с правами пользователя root.
Установка приложения на сервер включает в себя следующие шаги:
Шаг 1. Подготовка системы к установке
На данном этапе происходит создание системной группы и пользователя
(по умолчанию создается группа kavusers и пользователь kavuser). В
дальнейшем при старте приложение будет использовать именно этого
пользователя (не root). Это необходимо для обеспечения дополнительной
безопасности.
26 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
Шаг 2. Копирование файлов в рабочие директории на
сервере
На этом этапе файлы приложения копируются в рабочие директории на
сервере. Подробное описание каталогов, в которые производится
установка, см. в п. A.1 на стр. 91.
Если для установки вы использовали rpm-пакет, то для
выполнения последующих шагов запустите скрипт
postinstall.pl (устанавливается по умолчанию в каталог
/opt/kav/5.5/smtpgw/setup/).
Шаг 3. Постинсталляционная настройка
Постинсталляционная настройка включает в себя следующие этапы:
• Настройка компонента smtpgw (см. п. 3.4 на стр. 27).
• Установка и регистрация лицензионного ключа.
Если лицензионный ключ на момент установки временно отсутствует
(например, приложение приобретено через интернет, и
лицензионный ключ еще не доставлен по электронной почте), можно
установить его непосредственно перед началом использования
приложения (подробнее об этом см. п. 4.4 на стр. 53). Обратите
внимание, что если лицензионный ключ не установлен, обновление
антивирусных баз и запуск компонента smtpgw в рамках процесса
установки не выполняется. В этом случае необходимо выполнить эти
действия самостоятельно после установки ключа.
• Настройка компонента keepup2date.
• Установка (обновление) антивирусных баз.
Необходимо установить антивирусные базы перед началом
использования приложения. Процедура поиска и лечения
вирусов основывается на записях антивирусных баз,
содержащих описание всех известных на настоящий момент
вирусов и способов лечения зараженных ими объектов. Без
антивирусных баз проверка и обработка почтовых сообщений
невозможна!
• Установка модуля Webmin.
Модуль удаленного управления будет установлен только
условии, что программа Webmin расположена в стандартном
каталоге. После установки модуля будут даны соответствующие
рекомендации по настройке его совместной работы с приложением.
при
Установка приложения 27
• Запуск компонента smtpgw.
В случае если Kaspersky SMTP-Gateway не начал свою работу,
проверьте правильность заданных вами в процессе конфигурации
параметров (обратите внимание на выбор порта для приема
потока почтовых сообщений). Также вы можете просмотреть
журнал отчета о работе приложения.
Если все описанные выше шаги выполнены корректно, по завершении
установки приложения на консоль сервера будет выведено
соответствующее сообщение.
3.4. Настройка приложения
Сразу по завершении копирования файлов дистрибутива на сервер
выполняется настройка системы. В зависимости от менеджера пакета этап
конфигурации будет запущен автоматически либо (в случае, если
менеджер пакета не допускает использование интерактивных скриптов, как,
например, rpm) от администратора потребуются некоторые
дополнительные действия. Все настройки сохраняются в файле
smtpgw.conf, устанавливающемся по умолчанию в каталог
/etc/kav/5.5/smtpgw/.
Для запуска процесса настройки приложения при использовании
rpm-пакета в командной строке введите:
# /opt/kav/5.5/smtpgw/setup/postinstall.pl
Процесс настройки приложения включает в себя:
• Задание администратором имени сервера, которое будет
использовано для идентификации приложения в командах SMTPпротокола, при формировании DSN и уведомлений (параметр
Hostname секции [smtpgw.network]). В качестве значения данного
параметра задайте полное доменное имя сервера.
• Задание имени домена, используемого для:
• формирования адреса Postmaster (параметр Postmaster
секции [smtpgw.network]);
• обратного адреса уведомлений (параметр
NotifyFromAddress секции [smtpgw.policy]);
• адреса администратора (параметр AdminNotifyAddress
секции [smtpgw.policy]);
28 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
• разрешения входящей почты на данный домен (параметр
RelayRule секции [smtpgw.access]).
• Определение интерфейса и порта, на который происходит прием
входящего почтового трафика (параметр ListenOn секции
[smtpgw.network]). Введенное значение должно иметь формат
<x.х.х.x:z>, где:
x.х.х.x – IP адрес;
z – номер порта.
• Идентификацию во внутренней сети (параметр RelayRule
секции
[smtpgw.access]). Это значение используется для определения
правил прохождения и обработки почтового трафика, в частности
для задания отдельных правил проверки почты внутри организации,
запрета на прием почты с определенных доменов и т.д. Введенное
значение должно иметь формат <x.х.х.x> либо
<x.х.х.x/y.y.y.y>, либо <x.х.х.x/y>,где:
.х.x – IP адрес;
x.х
y.y.y.y или y – маска подсети.
• Определение (если требуется) сервера, на который отправляются
все проверенные приложением сообщения (параметр ForwardRoute
секции [smtpgw.forward]). Введенное значение должно иметь
формат <x.х.х.x:z>, где:
x.х.х.x – IP адрес;
z – номер порта.
• Задание имени прокси-сервера (параметр ProxyAddress секции
[updater.options]). Это необходимо, если
компьютер подключается к
интернету через прокси-сервер.
• Внесение изменений в конфигурационный файл приложения.
При успешном завершении всех вышеописанных действий
конфигурационный файл содержит все необходимые для начала работы
приложения параметры.
По окончании установки и настройки системы рекомендуется
проверить правильность определения параметров и корректность
работы Kaspersky SMTP-Gateway. Подробнее об этом см. Глава 6
на стр. 78.
Установка приложения 29
3.5. Уcтановка webmin-модуля для
управления Kaspersky SMTP-
Gateway
Работой Kaspersky SMTP-Gateway можно также управлять удаленно через
веб-браузер, используя программу Webmin.
Webmin – это программа, упрощающая процесс управления Linux/Unixсистемой. Программа использует модульную структуру с возможностью
подключения новых и разработки собственных модулей. Получить
дополнительную информацию о программе и ее установке, а также скачать
документацию и дистрибутив Webmin можно на официальном сайте
программы: www.webmin.com
Если при установке Webmin были использованы настройки по умолчанию,
то доступ к программе можно получить с помощью браузера,
подключившись через протокол HTTP/HTTPS на порт 10000.
.
Для того чтобы установить webmin-модуль управления
Kaspersky SMTP-Gateway необходимо:
1. Получить доступ через веб-браузер к программе Webmin с
правами администратора данной программы.
2. В меню Webmin выбрать закладку Webmin Configuration и
затем раздел Webmin Modules.
3. В разделе Install Module выбрать пункт From Local File и
нажать на кнопку
Рисунок 4. Раздел Install Module
(см. рис 4).
30 Kaspersky
®
SMTP-Gateway 5.5 для Linux/Unix
4. Указать путь к webmin-модулю приложения и нажать кнопку
ОК.
Webmin-модуль представляет собой файл kavsmtpgw.wbm и
устанавливается по умолчанию в каталог /opt/kav/5.5/smtpgw/setup/
(для дистрибутивов Linux) или /usr/local/share/kav/5.5/smtpgw/setup
(для дистрибутивов FreeBSD и OpenBSD).
В случае успешной установки webmin-модуля на экран будет выведено
соответствующее сообщение.
Доступ к настройкам Kaspersky SMTP-Gateway можно получить, перейдя на
закладку Others и затем щелкнув по значку Kaspersky SMTP-Gateway
(см. рис. 5).
Рисунок 5. Значок Kaspersky SMTP-Gateway в закладке Others
Loading...