close

Вход

Забыли?

вход по аккаунту

?

kasp3.0 anti-spamru

код для вставкиСкачать
ЛАБОРАТОРИЯ КАСПЕРСКОГО Kaspersky
®
Anti-Spam 3.0 РУКОВОДСТВО АДМИНИСТРАТОРА
KASPERSKY
®
ANTI - SPAM 3.0 Руководство администратора ЗАО «Лаборатория Касперского» Тел., факс: +7 (495) 797-87-00, +7 (495) 645-79-39 http://www.kaspersky.ru
Дата редакции: май 2007 года Содержание ГЛАВА 1. KASPERSKY
®
ANTI-SPAM 3.0....................................................................6
1.1. Что нового в версии 3.0......................................................................................7
1.2. Лицензионная политика......................................................................................9
1.3. Аппаратные и программные требования к системе.......................................9
1.4. Комплект поставки.............................................................................................10
1.4.1. Лицензионное соглашение........................................................................11
1.4.2. Регистрационная карточка........................................................................11
1.5. Сервис для зарегистрированных пользователей.........................................12
ГЛАВА 2. АРХИТЕКТУРА KASPERSKY ANTI-SPAM И ПРИНЦИПЫ ФИЛЬТРАЦИИ СПАМА............................................................................................13
2.1. Состав продукта................................................................................................13
2.2. Технологии распознавания..............................................................................17
2.2.1. Анализ формальных признаков................................................................17
2.2.2. Контентная фильтрация............................................................................18
2.2.3. Проверки с помощью внешних сервисов................................................19
2.2.4. Технология Urgent Detection System........................................................20
2.3. Результаты распознавания и действия над сообщениями.........................21
2.4. Базы Kaspersky Anti-Spam................................................................................22
2.5. Политики фильтрации......................................................................................22
2.6. Центр управления.............................................................................................23
2.7. Мониторинг.........................................................................................................24
ГЛАВА 3. УСТАНОВКА KASPERSKY ANTI-SPAM...................................................25
3.1. Подготовка к установке.....................................................................................25
3.2. Установка дистрибутива Kaspersky Anti-Spam..............................................26
3.3. Настройка доступа к Центру управления.......................................................27
3.4. Установка ключа................................................................................................28
3.5. Интеграция Kaspersky Anti-Spam c почтовым сервером............................29
3.6. Настройка обновления баз Kaspersky Anti-Spam и использования сервиса UDS.....................................................................................................31
ГЛАВА 4. УПРАВЛЕНИЕ СЕРВЕРОМ ФИЛЬТРАЦИИ СПАМА.............................32
4 Kaspersky® Anti-Spam 3.0 4.1. Запуск и управление компонентами Kaspersky Anti-Spam..........................32
4.2. Центр управления Kaspersky Anti-Spam........................................................33
4.3. Управление политикой фильтрации...............................................................34
4.3.1. Общая политика фильтрации...................................................................35
4.3.2. Управление «белым» и «черным» списками..........................................43
4.3.3. Управление списками используемых сервисов DNSBL........................45
4.3.4. Управление списком защищаемых доменов..........................................47
4.3.5. Управление группами................................................................................49
4.3.6. Управление групповой политикой фильтрации.....................................51
4.3.7. Действия над сообщениями......................................................................53
4.4. Обновление баз Kaspersky Anti-Spam............................................................55
4.4.1. Настройка параметров обновления.........................................................55
4.4.2. Запуск обновления.....................................................................................58
4.5. Настройка сервера фильтрации спама..........................................................59
4.5.1. Общие параметры сервера фильтрации................................................60
4.5.2. Параметры работы мастер-процесса фильтрации...............................61
4.5.3. Параметры работы фильтрующих процессов........................................62
4.5.4. Параметры распознавания спама............................................................64
4.5.5. Настройки клиентских модулей................................................................66
4.5.6. Сообщения об отказе приема письма.....................................................67
4.6. Настройки Центра управления........................................................................69
4.7. Управление ключами........................................................................................70
4.7.1. Просмотр информации о ключе...............................................................71
4.7.2. Установка нового ключа.............................................................................72
4.7.3. Удаление ключа..........................................................................................73
4.8. Мониторинг работы сервера фильтрации.....................................................73
4.8.1. Общие сведения о состоянии продукта..................................................73
4.8.2. Сообщения и отчеты системы мониторинга...........................................79
4.9. Статистика работы Kaspersky Anti-Spam.......................................................80
ГЛАВА 5. УДАЛЕНИЕ KASPERSKY ANTI-SPAM.....................................................82
ГЛАВА 6. ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ..........................................................84
ПРИЛОЖЕНИЕ A. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ О KASPERSKY ANTI-
SPAM..........................................................................................................................88
A.1. Расположение файлов продукта по каталогам............................................88
A.2. Клиентские модули почтовых серверов........................................................89
Содержание 5
A.2.1. Взаимодействие клиентских модулей с сервером фильтрации..........90
A.2.2. Общие параметры клиентских модулей.................................................90
A.2.3. kas-milter клиентский модуль для почтового сервера Sendmail.......92
A.2.4. kas-pipe клиентский модуль для почтовых серверов Postfix, Exim..94
A.2.5. kas-exim клиентский модуль для почтового сервера Exim..............101
A.2.6. kas-qmail клиентский модуль для почтового сервера Qmail...........103
A.2.7. kas-cgpro клиентский модуль для почтового сервера Communigate Pro.......................................................................................105
A.3. Конфигурационные файлы Kaspersky Anti-Spam.......................................107
A.3.1. Основной конфигурационный файл filter.conf......................................107
A.3.2. Конфигурационный файл kas-thttpd.conf..............................................113
A.4. Утилиты Kaspersky Anti-Spam.......................................................................113
A.4.1. kas-htpasswd.............................................................................................114
A.4.2. kas-show-license........................................................................................114
A.4.3. install-key....................................................................................................115
A.4.4. remove-key.................................................................................................116
A.4.5. kas-restart...................................................................................................117
A.4.6. mkprofiles...................................................................................................118
A.4.7. sfmonitoring................................................................................................119
A.4.8. sfupdates....................................................................................................119
A.5. Специальные заголовки модуля фильтрации............................................121
A.6. Настройки сервиса cron.................................................................................124
ПРИЛОЖЕНИЕ B. КАК ПЕРЕСЛАТЬ СПАМ ГРУППЕ СПАМ-АНАЛИТИКОВ....127
ПРИЛОЖЕНИЕ C. ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО»..............................129
C.1. Другие разработки «Лаборатории Касперского»........................................130
C.2. Наши координаты...........................................................................................141
ПРИЛОЖЕНИЕ D. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СТОРОННИХ ПРОИЗВОДИТЕЛЕЙ..............................................................................................144
ГЛАВА 1. KASPERSKY
®
ANTI-
SPAM 3.0 Kaspersky
®
Anti-Spam 3.0 (далее также Kaspersky Anti-Spam, продукт) является программным комплексом, который осуществляет фильтрацию электронной почты с целью защиты пользователей почтовой системы от нежелательных массовых рассылок спама. На основании правил, заданных администратором, Kaspersky Anti-Spam обрабатывает сообщение, а именно: доставляет получателю в неизменном виде, блокирует, генерирует сообщение о невозможности приема письма, добавляет или изменяет заголовок, и выполняет
другие действия, заданные администратором. Каждое почтовое сообщение проверяется на присутствие в нем признаков, характерных для нежелательных массовых рассылок. Во-первых, проверяются различные параметры письма: адреса отправителя и получателя (envelope), размер письма, а также различные заголовки письма (включая заголовки From и To). Кроме того, Kaspersky Anti-Spam выполняет следующие проверки в процессе анализа: проверка адреса
отправителя письма (e-mail и / или IP-адрес) с помощью «черных» и «белых» списков; наличие IP-адреса отправителя в том или ином DNS-based real time black hole list (DNSBL); DNSBL (DNS based black hole list) база данных IP-адресов почтовых серверов, с которых ведется неконтролируемая рассылка. Такие почтовые сервера принимают почту от кого угодно и отправляют ее далее кому угодно. Использование DNSBL дает возможность автоматически запрещать прием почты с подобных серверов. Политика формирования списков различается у различных сервисов. Внимательно ознакомьтесь с политикой сервиса, прежде чем использовать его списки для фильтрации почты. наличие DNS-записи о сервере-отправителе (reverse DNS lookup); проверка IP-адреса отправителя на соответствие списку разрешенных адресов для домена с помощью технологии Sender Policy Framework (SPF); Kaspersky
®
Anti-Spam 3.0 7
проверка с помощью сервиса Spam URI Realtime Blocklists (SURBL) адресов и ссылок на сайты, присутствующих в тексте письма. Во-вторых, используется контентная фильтрация, т. е. анализируется содержание самого письма (включая заголовок Subject) и файлов вложений
1
. При этом применяются лингвистические алгоритмы, основанные на сравнении с письмами-образцами и на поиске характерных терминов (слов и словосочетаний). Также Kaspersky Anti-Spam проводит проверку графических вложений, сравнивая их с сигнатурами известных спам-сообщений. Результаты этого сравнения также учитываются при принятии решения о принадлежности письма к спаму. Над письмами, в которых обнаружены те
или иные признаки нежелательной корреспонденции, выполняются действия, заданные политикой фильтрации (см. п. 2.3 на стр. 21). Настройка политики фильтрации выполняется администратором при помощи Центра управления (см. п. 2.6 на стр. 23). 1.1. Что нового в версии 3.0 Kaspersky Anti-Spam 3.0 сохраняет все преимущества предыдущей версии, а также содержит ряд следующих улучшений и дополнений: 1. Новая версия фильтрующего ядра Спамтест. Новое фильтрующее ядро, входящее в состав Kaspersky Anti-Spam 3.0, обладает следующими свойствами: повышенная производительность и стабильность работы; низкие требования к объему оперативной памяти; низкий уровень трафика, передаваемого через интернет (обновления баз
Kaspersky Anti-Spam). 2. Усовершенствованные методы фильтрации. Практически все методы определения спама, использовавшиеся в предыдущих версиях, были улучшены, в том числе: улучшены алгоритмы разбора HTML-объектов почтовых сообщений (увеличивает эффективность борьбы с 1
Проверяются вложения форматов Plain text, HTML, Microsoft Word, RTF (подробнее см. п. 2.2.2 на стр. 18). 8 Kaspersky® Anti-Spam 3.0 различными трюками спамеров, направленными на обход систем фильтрации); расширена и улучшена система анализа заголовков почтовых сообщений; усовершенствована система анализа графических вложений (GSG); добавлено использование сервисов Sender Policy Framework (SPF) и Spam URL Realtime Blocklists (SURBL); включено использование собственного сервиса Urgent Detection System (UDS), позволяющего получать данные о некоторых видах спам-рассылок в режиме реального времени. 3. Принципиально новый пользовательский интерфейс. Kaspersky Anti-Spam 3.0 использует Центр управления, который позволяет: выполнять настройку продукта: правила фильтрации, действия над сообщениями, параметры производительности и т.д.; управлять ключами на использование продукта: выполнять установку ключей, просматривать сведения о текущем ключе; производить мониторинг работы продукта и просматривать статистические данные. 4. Удобная настройка политик фильтрации. В
версии 3.0 настройка политик фильтрации осуществляется с помощью интуитивно понятного интерфейса Центра управления, что дает следующие преимущества: простота администрирования: удобный интерфейс обеспечивает минимальный набор инструментов, необходимых для администрирования системы, предоставляя при этом широкие возможности для адаптации системы под конкретные условия эксплуатации; отдельные настройки для групп пользователей: для каждой группы имеется возможность независимо включить / отключить использование определенных методов проверки, а также определить действия, выполняемые над сообщениями. Kaspersky
®
Anti-Spam 3.0 9
5. Усовершенствованные средства интеграции и инфраструктуры продукта: переработаны и улучшены модули взаимодействия с такими почтовыми серверами как Sendmail и Communigate Pro; разработана новая система доставки обновлений баз Kaspersky Anti-Spam; все настройки сведены в единый конфигурационный файл, что упрощает настройку и администрирование системы. 1.2. Лицензионная политика Политика лицензирования Kaspersky Anti-Spam 3.0 предполагает систему ограничений на использование продукта по следующим критериям: объем почтового трафика; количество защищаемых почтовых адресов. Указанные ограничения учитываются только для сообщений, адресованных пользователям защищаемых доменов. Список защищаемых доменов, почтовый трафик которых фильтруется продуктом, настраивается при помощи Центра управления (см. п. 4.3.4 на стр. 47). Почта, адресованная пользователям доменов
, не включенных в список, не подвергается фильтрации. Задайте список защищаемых доменов прежде, чем приступить к использованию Kaspersky Anti-Spam. 1.3. Аппаратные и программные требования к системе Для корректной работы Kaspersky Anti-Spam необходимо соответствие системы следующим аппаратным и программным требованиям: Процессор Intel Pentium III с частотой не менее 500 МГц. Объем свободной оперативной памяти не менее 512 MБ. Одна из следующих операционных систем: RedHat Linux 9.0. 10 Kaspersky® Anti-Spam 3.0 Fedora Core 3. RedHat Enterprise Linux Advanced Server 3. SuSe Linux Enterprise Server 9.0. SuSe Linux Professional 9.2. Mandrakelinux version 10.1. Debian GNU/Linux 3.1. FreeBSD 5.4. FreeBSD 6.2. Один из следующих почтовых серверов: Sendmail 8.13.5 с поддержкой Milter API. Postfix 2.2.2. Qmail 1.03. Exim 4.50. Communigate Pro 4.3.7. Установленные утилиты bzip2 и which. Интерпретатор языка Perl. 1.4. Комплект поставки Kaspersky Anti-Spam вы можете приобрести у наших дистрибьюторов (коробочный вариант), а также в одном из интернет-магазинов (например, www.kaspersky.ru
, раздел Электронный магазин). Если вы приобретаете продукт в коробке, то в комплект поставки программного продукта входят: Запечатанный конверт с установочным компакт-диском, на котором записаны файлы программного продукта. Руководство пользователя. Ключ, записанный на специальную дискету. Регистрационная карточка (с указанием серийного номера продукта). Лицензионное cоглашение. Kaspersky
®
Anti-Spam 3.0 11
Перед тем как распечатать конверт с компакт-диском (или с дискетами), внимательно ознакомьтесь с Лицензионным соглашением. При покупке Kaspersky Anti-Spam в интернет-магазине вы копируете продукт с веб-сайта «Лаборатории Касперского», в дистрибутив которого помимо самого продукта включено также данное Руководство. Ключ будет вам отправлен по электронной почте по факту оплаты. 1.4.1. Лицензионное соглашение Лицензионное соглашение это юридическое соглашение между вами и ЗАО «Лаборатория Касперского», в котором указано, на каких условиях вы можете пользоваться приобретенным вами программным продуктом. Внимательно прочитайте Лицензионное соглашение! Если вы не согласны с условиями Лицензионного соглашения, вы можете вернуть коробку с продуктом дистрибьютору, у которого она была приобретена, и получить назад
сумму, уплаченную за продукт. При этом конверт с установочным компакт-диском (или с дискетами) должен оставаться запечатанным. Открывая запечатанный пакет с установочным компакт-диском (или с дискетами), вы тем самым принимаете все условия Лицензионного cоглашения. 1.4.2. Регистрационная карточка Пожалуйста, заполните отрывной корешок регистрационной карточки, по возможности наиболее полно указав свои координаты: фамилию, имя, отчество (полностью), телефон, адрес электронной почты (если она есть), и отправьте ее дистрибьютору, у которого вы приобрели программный продукт. Если впоследствии у вас изменится почтовый / электронный адрес или телефон, пожалуйста, сообщите об этом в организацию, куда
был отправлен отрывной корешок регистрационной карточки. Регистрационная карточка является документом, на основании которого вы приобретаете статус зарегистрированного пользователя нашей компании. Это дает вам право на техническую поддержку в течение срока действия ключа. Кроме того, зарегистрированным пользователям, подписавшимся на рассылку новостей ЗАО «Лаборатория Касперского», высылается информация о выходе новых программных продуктов. 12 Kaspersky® Anti-Spam 3.0 1.5. Сервис для зарегистрированных пользователей ЗАО «Лаборатория Касперского» предлагает своим легальным пользователям большой комплекс услуг, позволяющих увеличить эффективность использования Kaspersky Anti-Spam. Приобретая ключ, вы становитесь зарегистрированным пользователем и в течение срока действия ключа можете получать следующие услуги: предоставление новых версий данного программного продукта; консультации по вопросам, связанным с установкой, настройкой и эксплуатацией данного программного продукта. Получить
консультацию вы можете одним из следующих способов: позвонить по телефону в Службу технической поддержки; создать и отправить запрос на веб-сайте Службы технической поддержки (http://www.kaspersky.ru/ helpdesk
) или из своего персонального кабинета. оповещение о выходе новых программных продуктов «Лаборатории Касперского» и о новых угрозах информационной безопасности, появляющихся в мире (данная услуга предоставляется пользователям, подписавшимся на рассылку новостей ЗАО «Лаборатория Касперского»). Консультации по вопросам функционирования и использования операционных систем, а также работы различных технологий не проводятся. ГЛАВА 2. АРХИТЕКТУРА KASPERSKY ANTI-SPAM И ПРИНЦИПЫ ФИЛЬТРАЦИИ СПАМА Данный раздел содержит описание основных компонентов продукта и принципов фильтрации, а также описание основного инструмента управления и настройки Kaspersky Anti-Spam Центра управления. 2.1. Состав продукта Kaspersky Anti-Spam 3.0 представляет собой систему распознавания и фильтрации спама, работающую в интеграции с почтовым сервером. Kaspersky Anti-Spam 3.0 не является полнофункциональным почтовым сервером, способным принимать почту, пересылать ее или доставлять электронные сообщения в почтовые ящики конечных пользователей. Внутренняя архитектура Kaspersky Anti-Spam представлена на рис. 1. Рисунок 1. Архитектура Kaspersky Anti-Spam 14 Kaspersky® Anti-Spam 3.0 Kaspersky Anti-Spam включает в себя следующие компоненты: Клиентские модули предназначены для интеграции продукта с почтовым сервером. Сервер фильтрации компонент, осуществляющий анализ почтовых сообщений, их классификацию и обработку. В состав сервера фильтрации входит также ряд вспомогательных модулей, обеспечивающих его работу и интеграцию с почтовыми серверами: Модуль фильтрации модуль, выполняющий фильтрацию спама. Модуль лицензирования модуль управления ключами, а также списком защищаемых доменов. Базы Kaspersky Anti-Spam набор данных, используемых сервером фильтрации для классификации сообщений; обновления баз публикуются на серверах «Лаборатории Касперского» каждые двадцать минут. Модуль обновления баз Kaspersky Anti-Spam система, обеспечивающая автоматическую загрузку баз с серверов обновлений и ее установку для использования сервером фильтрации спама. Центр управления веб-интерфейс, с помощью которого администратор системы может осуществлять настройку продукта, а также анализировать его состояние и работоспособность. Система мониторинга система, осуществляющая контроль состояния Kaspersky Anti-Spam и отдельных его компонентов, и сигнализирующая администратору системы о различных неполадках в работе продукта. Клиентские модули предназначены для интеграции Kaspersky Anti-Spam с различными почтовыми серверами. Каждый клиентский модуль учитывает особенности конкретного почтового сервера и выбранного способа интеграции. В поставку Kaspersky Anti-Spam включены клиентские модули для почтовых серверов Sendmail, Postfix, Exim, Qmail и Communigate Pro. Как правило, клиентский модуль устанавливается в качестве фильтра и обеспечивает прием от почтового сервера писем, подлежащих фильтрации, и последующий возврат модифицированных писем. Запуск клиентских модулей осуществляется почтовым сервером. Исключение составляет лишь Sendmail, не выполняющий запуск клиентского модуля. Почтовый сервер может запустить несколько Архитектура Kaspersky Anti-Spam 15
клиентских модулей для параллельной обработки нескольких писем. Подробнее о клиентских модулях и способах их интеграции с почтовыми серверами см. п. A.2 на стр. 89. Независимо от особенностей того или иного клиентского модуля его взаимодействие с сервером фильтрации осуществляется через сетевой или локальный сокет с использованием внутреннего протокола обмена данными. Сервер фильтрации отвечает на
запросы обращающихся к нему клиентов, принимает от них письма для проверки и возвращает им результаты. При использовании стандартной процедуры инсталляции почтовый сервер с интегрированным в нее клиентским модулем и сервер фильтрации устанавливаются на одной и той же машине. Однако существует возможность установить сервер фильтрации Kaspersky Anti-Spam на отдельном сервере: в этом случае клиентские модули, работающие на другом компьютере (сервере), будут обмениваться данными с сервером фильтрации через локальную сеть по протоколу TCP. Работая на выделенном компьютере, сервер фильтрации может обслуживать сразу несколько почтовых серверов при условии, что мощности используемого компьютера достаточно для обработки суммарного почтового трафика. В состав сервера фильтрации входят: Модуль фильтрации
, осуществляющий проверку писем. Модуль лицензирования, проверяющий наличие файла действующего ключа, а также проверяющий cоблюдение ограничений, определенных приобретенным ключом. Демон обработки SPF-запросов. Скрипт автоматической загрузки и компиляции обновлений баз Kaspersky Anti-Spam. Центр управления. Вспомогательные программы и скрипты. Основным компонентом модуля фильтрации является мастер-процесс фильтрации (ap-process-server), выполняющий следующие
функции: отслеживание запросов на соединение с фильтрующим процессом, поступающих от клиентских модулей; запуск новых фильтрующих процессов при отсутствии свободных; контроль статуса запущенных процессов; 16 Kaspersky® Anti-Spam 3.0 завершение дочерних процессов при получении соответствующего сигнала (например, SIGHUP). При значительном объеме почтового трафика количество запущенных фильтрующих процессов может доходить до нескольких десятков. При снижении нагрузки на почтовый сервер свободные фильтрующие процессы прекращают работу. Максимальное и минимальное количество запущенных фильтрующих процессов определяется настройками сервера фильтрации (см. п. A.3.1 на стр. 107). Фильтрующий процесс (ap-mailfilter) при запуске загружает используемые политики фильтрации, а также базы Kaspersky Anti-Spam. После установления соединения с клиентским модулем фильтрующий процесс получает от него заголовки и тело письма, выполняет их анализ и возвращает клиентскому модулю полученные результаты. Если необходимо выполнить проверку отправителя письма на соответствие политике SPF, фильтрующий процесс передает запрос SPF-демону (ap-spfd
), который выполняет необходимые запросы к DNS-серверу и возвращает фильтрующему процессу результаты проверки. Анализ письма и применение к нему правил, определенных политиками фильтрации, производится только при наличии действующего ключа. Все проверки, связанные с лицензированием, осуществляются модулем лицензирования (kas-license) по запросу от фильтрующего процесса. Закончив обработку письма, фильтрующий процесс не прекращает работу
, а ждет поступления нового запроса. Выполнение фильтрующего процесса завершается после того, как он обработал максимальное для одного процесса количество писем (обычно 300) или долгое время находится в состоянии ожидания. Скрипт автоматической загрузки обновлений (sfupdates) запускается по расписанию (с помощью сервиса cron) и обеспечивает загрузку последней версии баз Kaspersky Anti-Spam с серверов обновлений, сборку рабочей версии базы и установку ее для использования сервером фильтрации. Центр управления представляет собой веб-интерфейс, с помощью которого администратор системы осуществляет настройку продукта и политик фильтрации спама. Система мониторинга осуществляет контроль за состоянием компонентов Kaspersky Anti-Spam и сигнализирует администратору системы о возникающих в работе сервера фильтрации и других компонентов программного продукта неполадках. Архитектура Kaspersky Anti-Spam 17
Обработка почтового трафика выполняется Kaspersky Anti-Spam 3.0 согласно следующему алгоритму: 1. Клиентский модуль продукта интегрируется с установленным почтовым сервером. 2. Почтовый сервер передает сообщения клиентскому модулю для дальнейшей проверки сервером фильтрации. 3. Сервер фильтрации производит проверку писем на наличие в них признаков спама и, в зависимости от полученного результата, производит модификацию писем согласно указанным правилам. 4. Обработанные почтовые сообщения возвращаются клиентским модулем почтовому серверу для дальнейшей доставки. 2.2. Технологии распознавания Kaspersky Anti-Spam предоставляет мощный инструментарий для обнаружения спама в потоке электронной почты. В данном разделе приводится краткий обзор реализованных в продукте технологий обнаружения спама. 2.2.1. Анализ формальных признаков Этот метод использует набор правил, основанных на проверке наличия определенных заголовков в письме и сравнении их с наборами заголовков, характерных для спам-сообщений. Помимо анализа заголовков при обнаружении спама учитывается структура электронного сообщения, его размер, наличие вложений и другие сходные признаки. Метод также обеспечивает анализ данных, передаваемых отправителем в процессе SMTP-сессии
. В частности анализируется следующая информация: IP-адрес сервера, с которого получено письмо, и принадлежность его к «белому» или «черному» спискам отправителей; IP-адрес промежуточных серверов пересылки, полученных из заголовков Received; почтовые адреса отправителя и получателей, переданные в командах SMTP-сессии; принадлежность почтовых адресов отправителя и получателей к «белому» или
«черному» спискам адресов; соответствие адресов, переданных в SMTP-сессии, набору адресов, указанных в заголовках письма, а также ряд других проверок. 18 Kaspersky® Anti-Spam 3.0 2.2.2. Контентная фильтрация Контентная фильтрация используется Kaspersky Anti-Spam при анализе содержимого почтовых сообщений. При этом с использованием технологий искусственного интеллекта анализируется содержание самого письма (включая заголовок Subject), а также вложений (прикрепленных файлов) в следующих форматах: текстовый: plain text (ASCII, не multibyte); HTML (2.0, 3.0, 3.2, 4.0, XHTML 1.0); Microsoft Word (версии 6.0, 95/97/2000/XP); RTF. Задача фильтрации спама состоит в том, чтобы снизить количество нежелательной корреспонденции в почтовых ящиках пользователей. Стопроцентное обнаружение нежелательной корреспонденции не может быть гарантировано в частности и потому, что слишком жесткие критерии неизбежно привели бы к отфильтровыванию части полезной корреспонденции. Для обнаружения спам-писем используются три группы методов: Сравнение текста сообщения с семантическими образами различных категорий (на основе поиска в теле письма ключевых терминов (слов и словосочетаний) и их последующего вероятностного анализа). Этот метод обеспечивает эвристический поиск характерных фраз и оборотов в тексте. Нечеткое сравнение анализируемого сообщения с набором
сообщений-образцов путем сопоставления их cигнатур. Этот метод позволяет выявлять модифицированные спам-сообщения. Анализ графических вложений. Все данные, используемые Kaspersky Anti-Spam для контентной фильтрации, рубрикатор (иерархический список категорий), образцы писем, характерные термины и т. п. хранятся в базах Kaspersky Anti-
Spam. Архитектура Kaspersky Anti-Spam 19
Группа спам-аналитиков «Лаборатории Касперского» ведет постоянную работу по пополнению и совершенствованию баз Kaspersky Anti-Spam, поэтому рекомендуется регулярно обновлять базы (см. п. 4.4 на стр. 55). Также вы можете пересылать в «Лабораторию Касперского» образцы спам-
сообщений, которые не были распознаны Kaspersky Anti-Spam, а также образцы писем, которые были ошибочно классифицированы как спам. Ваши данные помогут нам совершенствовать
базы Kaspersky Anti-Spam и оперативно реагировать на новые виды рассылок спама. Подробнее о пересылке образцов писем см. Приложение B на стр. 127. 2.2.3. Проверки с помощью внешних сервисов Помимо анализа текста и заголовков письма Kaspersky Anti-Spam позволяет выполнить ряд следующих проверок с помощью внешних сетевых сервисов: проверка наличия IP-адреса отправителя письма в DNS (reverse DNS lookup); проверка наличия IP-адреса отправителя в одном или нескольких сервисах DNSBL (DNS-based black hole list); проверка отправителя письма на предмет соответствия его адреса политике SPF (Sender Police Framework) для домена, с почтового сервера которого отправлено данное письмо; проверка ссылок, содержащихся в почтовом сообщении, на наличие в базе спам-адресов с помощью сервиса SURBL (Spam URL Realtime Blocklists www.surbl.org
); распознавание электронных сообщений с помощью технологии UDS (Urgent Detection System). Все перечисленные выше проверки, за исключением UDS-проверок, основаны на использовании протокола DNS и, как правило, не требуют дополнительных настроек сети. 20 Kaspersky® Anti-Spam 3.0 2.2.4. Технология Urgent Detection System Технология Urgent Detection System представляет собой оригинальную технологию обнаружения рассылок спама, разработанную и поддерживаемую «Лабораторией Касперского». Принципы действия данной технологии следующие: Из анализируемого письма выделяется набор признаков, при помощи которых выполняется идентификация сообщения. В набор признаков может быть включена информация из заголовков, фрагменты текста и другая информация об обрабатываемом письме. Используя полученные
признаки, сервер фильтрации формирует компактный UDS-запрос и пересылает его на один из UDS-серверов «Лаборатории Касперского». Поскольку на внешние серверы не передается никаких данных, позволяющих восстановить адресатов или текст обрабатываемого письма, использование данного метода не несет никакой угрозы безопасности и конфиденциальности ваших данных. На UDS-сервере производится проверка полученного запроса по базе известных спам-рассылок. В случае если запрос соответствует одной из известных рассылок, на сервер фильтрации отправляется сообщение о том, что данное письмо с большой вероятностью является спамом. Данная информация учитывается при присвоении статуса сообщению. Технология UDS позволяет фильтровать известные спам-рассылки, не дожидаясь
обновления баз Kaspersky Anti-
Spam. Взаимодействие сервера фильтрации с UDS-серверами «Лаборатории Касперского» выполняется по проколу UDP, для связи используется порт 7060. Для использования UDS сервер фильтрации должен иметь возможность устанавливать исходящие соединения на данный порт. Информация о доступных UDS-серверах содержится в базах Kaspersky Anti-Spam. Выбор конкретного UDS-сервера, с помощью которого будет производиться анализ писем, производится автоматически на основе анализа времени
ответа доступных UDS-серверов. Архитектура Kaspersky Anti-Spam 21
2.3. Результаты распознавания и действия над сообщениями Результатом анализа является присвоение почтовому сообщению одного из следующих статусов: Spam письмо распознано как спам с высокой степенью достоверности. Probable Spam письмо содержит некоторые признаки спам-
сообщения, однако не может быть однозначно классифицировано как спам. Formal письмо является формальным сообщением, например, уведомлением почтового сервера о доставке или невозможности доставки
почты, или о зараженности письма вирусом. К данной категории относятся сообщения, автоматически рассылаемые почтовыми программами. Такие сообщения, как правило, не считаются спамом. Trusted письмо получено из доверенных источников, например, с внутренних почтовых серверов. Список доверенных источников («белый» список отправителей) создается администратором. Также статус Trusted присваивается сообщениям, адресованным пользователям, для
которых в групповой политике проверка почтовых сообщений на спам отключена. Blacklisted письмо получено с почтового адреса, содержащегося в «черном» списке отправителей. «Черный» список отправителей создается администратором. Not detected письмо не распознано как спам-сообщение. Каждому почтовому сообщению может быть присвоен лишь один из перечисленных статусов. Статус, присвоенный письму в
результате проверки, записывается в специальный заголовок X-Spamtest-Status-
Extended. Подробнее о заголовках, добавляемых к сообщению в результате фильтрации, см. п. A.5 на стр. 121. После распознавания к почтовому сообщению может быть применено одно из следующих действий: принять сообщение; перенаправить сообщение или его копию на другой адрес; поставить текстовую метку в поле
темы сообщения; 22 Kaspersky® Anti-Spam 3.0 добавить специальный заголовок в сообщение; удалить сообщение; отклонить прием сообщения. Администратор системы может определить, какое из перечисленных действий будет выполняться над сообщениями с определенным статусом. Безусловным приоритетом системного администратора при настройке продукта должно быть сохранение всей полезной корреспонденции, поскольку потеря одного важного письма может принести конечному пользователю значительно
больший вред, чем получение десятков несанкционированных писем. Во избежание потери нужной корреспонденции рекомендуется применять к письмам, охарактеризованным по результатам контентного анализа как спам или возможный спам, только мягкие способы обработки. Например, дописывать в поле темы письма текстовую метку [!! SPAM]. 2.4. Базы Kaspersky Anti-Spam Распознавание сообщений, содержащих спам, производится на основании данных регулярно обновляемых баз Kaspersky Anti-Spam. Базы Kaspersky Anti-Spam включают в себя наборы правил, термины и сигнатуры сообщений, используемые в процессе фильтрации. Базы Kaspersky Anti-Spam загружаются с серверов обновлений «Лаборатории Касперского» с помощью модуля обновления. При этом для сокращения объема загружаемой информации, при каждом обращении к серверу система обновлений
выполняет загрузку только обновившихся файлов. Поскольку каждый день появляются новые образцы спам-сообщений, для нормальной работы продукта необходимо постоянно поддерживать базы Kaspersky Anti-Spam в актуальном состоянии. Рекомендуемый период обновления: каждые двадцать минут. Не забудьте обновить базы Kaspersky Anti-Spam сразу после установки продукта на ваш компьютер! 2.5. Политики фильтрации Политики фильтрации применяются Kaspersky Anti-Spam для определения используемых методов распознавания спама, выполняемых над Архитектура Kaspersky Anti-Spam 23
сообщениями действий, а также «черного» и «белого» списков отправителей. Продукт использует двухуровневую систему политик фильтрации, состоящую из общей политики фильтрации и групповых политик фильтрации. Общая политика фильтрации содержит общие для всех групп настройки: методы, применяемые при распознавании сообщений, «черный» и «белый» списки отправителей. Групповые политики, помимо перечисленных настроек, определяют также действия
, выполняемые над сообщениями в зависимости от их статуса. Прежде чем переходить к настройке групповых политик, администратору необходимо создать группы, характеризующиеся списком адресов получателей сообщений. Применение политик продуктом осуществляется согласно следующему правилу: общая политика фильтрации определяет значение настроек по умолчанию для всех групп, в то время как настройки групповых политик могут либо наследовать эти значения, либо переопределять их. Так, например, для группы пользователей, требующих более жесткую фильтрацию почтовых сообщений, могут быть усилены методы распознавания спама и выставлены более жесткие действия. Набор настроек параметров распознавания тесно связан со свойствами баз Kaspersky Anti-Spam и может расширяться и изменяться по мере возникновения новых видов рассылок спама и правил их распознавания. По мере обновления баз Kaspersky Anti-Spam соответствующие настройки будут добавляться в интерфейс Центра управления Kaspersky Anti-Spam. 2.6. Центр управления Центр управления (Control center) представляет собой веб-приложение, позволяющее администратору контролировать работу и настраивать Kaspersky Anti-Spam. Центр управления обеспечивает выполнение следующих задач: мониторинг текущего состояния продукта и его отдельных компонентов; установка ключей и управление списком защищаемых доменов; отображение и экспорт статистики по обработанным сообщениям; управление общей и групповыми политиками фильтрации спама; настройка сервера фильтрации и других компонентов продукта. 24 Kaspersky® Anti-Spam 3.0 2.7. Мониторинг Для контроля состояния сервера фильтрации спама в Kaspersky Anti-Spam входит модуль мониторинга. Информация о состоянии системы выводится в разделе Monitoring Центра управления. Рисунок 2. Раздел Monitoring Центра управления Данный раздел содержит параметры, контролируемые системой мониторинга, а также сообщения модулей продукта, на основе которых вы можете анализировать текущее состояние компонентов Kaspersky Anti-Spam. Также в процессе работы система мониторинга создает уведомления и отчеты. Скрипт мониторинга запускается периодически и, в случае обнаружения неполадок в работе системы, отправляет администратору системы сообщение с данными о выявленных проблемах. Сообщения отправляются однократно в момент обнаружения проблемы, за счет чего выполняется оперативное оповещение о ситуациях, требующих вмешательства администратора. В дальнейшем, если неполадка не будет устранена, система мониторинга будет присылать ежедневные отчеты со сводкой всех выявленных, но не устраненных проблем. Адрес электронной почты, на который система мониторинга будет отправлять сообщения
, настраивается с помощью Центра управления. ГЛАВА 3. УСТАНОВКА KASPERSKY ANTI-SPAM Данный раздел содержит сведения о процессе установки программы, интеграции клиентских модулей с почтовым сервером, а также настройке доступа к основному инструменту управления программой Центру управления. 3.1. Подготовка к установке Прежде чем приступить к установке Kaspersky Anti-Spam: убедитесь, что система соответствует аппаратным и программным требованиям для установки Kaspersky Anti-Spam (см. п. 1.3 на стр. 9); убедитесь, что в вашем распоряжении имеется ключ для продукта Kaspersky Anti-Spam 3.0; убедитесь, что установлены программы bzip2, perl, which; убедитесь, что установленный у вас почтовый сервер функционирует корректно; сохраните резервные копии конфигурационных файлов почтового сервера; зарегистрируйтесь в системе с правами пользователя root. Рекомендуется выполнять инсталляцию продукта в период наименьшей загрузки почтового сервера. Установка Kaspersky Anti-Spam производится в пять этапов: 1. Установка дистрибутива Kaspersky Anti-Spam. 2. Установка ключа. 3. Интеграция клиентских модулей с почтовым сервером. 4. Настройка HTTP-сервера для доступа к Центру управления. 5. Настройка обновления баз Kaspersky Anti-Spam и использования сервиса UDS. В последующих разделах подробно описаны детали каждого из перечисленных этапов. 26 Kaspersky® Anti-Spam 3.0 3.2. Установка дистрибутива Kaspersky Anti-Spam Дистрибутив Kaspersky Anti-Spam 3.0 распространяется в нескольких вариантах: rpm-пакет для большинства дистрибутивов операционной системы Linux (RedHat, SuSe, Mandrake, Fedora и др.); deb-пакет для дистрибутива Debian; tbz-пакеты для разных версий операционной системы FreeBSD. Использование того или иного инсталляционного пакета связано с установленной операционной системой. Для запуска установки Kaspersky Anti-Spam из rpm-пакета в командной строке введите: # rpm i kas-3-<версия дистрибутива>.i386.rpm Для запуска установки
Kaspersky Anti-Spam из deb-пакета в командной строке введите: # dpkg i kas-3-<версия дистрибутива>.i386.deb Для запуска установки Kaspersky Anti-Spam из tbz-пакета в командной строке введите: # pkg_add kas-3-<версия дистрибутива>.tbz В процессе установки выполняются следующие действия: создание пользователя и группы mailflt3, с правами которых будет запускаться Kaspersky Anti-Spam; установка всех программ, входящих в состав Kaspersky Anti-Spam, в каталог /usr/local/ap-mailfilter3; создание и установка скрипта, выполняющего автоматический запуск мастер-процесса фильтрации (ap-process-server), SPF-демона (ap-spfd), модуля лицензирования (kas-license) и HTTP-сервера (kas-thttpd) при загрузке операционной системы; запуск необходимых программ и сервисов; создание сron-задачи пользователя mailflt3 для автоматического запуска скрипта загрузки обновлений баз Kaspersky Anti-Spam, а также скрипта мониторинга работы сервера фильтрации. Установка Kaspersky Anti-Spam 27
Завершив установку сервера фильтрации, установите ключ и выполните интеграцию почтового сервера с Kaspersky Anti-Spam. 3.3. Настройка доступа к Центру управления По завершении процесса установки производится запуск сервиса kas-thttpd, открывающего локальный доступ к Центру управления. По умолчанию использутся следующие настройки Центра управления: адрес: http://127.0.0.1:3080/
. имя пользователя: admin. пароль: admin. Обязательно измените имя пользователя и пароль для доступа к Центру управления после установки Kaspersky Anti-Spam. Использование стандартных значений создает угрозу безопасности вашей системы. Также рекомендуется сменить порт подключения к Центру управления. Имя пользователя и пароль сохраняются в каталоге cgi-скриптов Центра управления /usr/local/ap-mailfilter3/control/www/ в файле .htpasswd. Создание нового пользователя или изменение уже существующего пароля производится с помощью утилиты kas-htpasswd, входящей в состав Kaspersky Anti-Spam. При запуске данной утилиты необходимо указать путь к файлу, содержащему пароли, а также имя создаваемого пользователя или пользователя, чей пароль необходимо изменить: # /usr/local/ap-mailfilter3/bin/kas-htpasswd /usr/local/\ ap-mailfilter3/control/www/.htpasswd <имя пользователя> После ввода указанной команды вам будет предложено ввести пароль для указанного пользователя. Для того чтобы создать новый файл для хранения пароля указанного пользователя, используйте ключ командной строки c: # /usr/local/ap-mailfilter3/bin/kas-htpasswd с \ /usr/local/ap-mailfilter3/control/www/.htpasswd \ <имя пользователя> Изменения пароля вступают в силу сразу же после модификации файла .htpasswd. 28 Kaspersky® Anti-Spam 3.0 Пароли доступа к Центру управления хранятся в файле .htpasswd в зашифрованном виде. Интерфейс и номер порта подключения к Центру управления задаются в конфигурационном файле /usr/local/ap-mailfilter3/etc/kas-thttpd.conf с помощью параметров host и port соответственно. Например, значения: host=0.0.0.0 port=3080 определяют, что Центр управления ожидает подключение на порт 3080 на всех интерфейсах сервера. По умолчанию доступ к Центру управления возможен лишь с сервера, на котором установлен Kaspersky Anti-Spam (параметру host присвоено значение 127.0.0.1). После изменения номера порта выполните перезагрузку конфигурации Центра управления. Для дистрибутивов операционной системы Linux выполните команду: # /etc/init.d/kas3-control-center restart Для операционной системы FreeBSD выполните команду: # /usr/local/etc/rc.d/kas3-control-center.sh restart 3.4. Установка ключа Ключ поставляется вместе с дистрибутивом Kaspersky Anti-Spam. Если по каким-либо причинам в вашем распоряжении нет ключа, обратитесь в Службу технической поддержки «Лаборатории Касперского» (раздел Сервис / Сайт технической поддержки на сайте компании). Для того чтобы установить новый ключ с помощью Центра управления, выполните следующие действия: 1. При помощи веб-браузера подключитесь к Центру управления, набрав в адресной строке http://localhost:3080/. В качестве имени пользователя для подключения укажите admin, в качестве пароля admin. 2. Перейдите на страницу управления ключами License → License Keys. 3. В поле, расположенном в
нижней части страницы в разделе Install a New License Key, укажите путь к файлу ключа или Установка Kaspersky Anti-Spam 29
воспользуйтесь кнопкой Choose для выбора необходимого файла. 4. Нажмите на кнопку Apply. Для того чтобы установить новый ключ локально с помощью командной строки, выполните следующую команду: # /usr/local/ap-mailfilter3/bin/install-key <key> где key путь к файлу, содержащему ключ. Если ключ не установлен или не действителен, Kaspersky Anti-Spam не выполняет фильтрацию почты. Работоспособность почтового сервера при этом не нарушается, почтовый трафик пропускается без проверки. Необходимо также учитывать то, что фильтрация почты осуществляется только для пользователей защищаемых доменов. Не забудьте перед началом использования Kaspersky Anti-Spam заполнить список защищаемых доменов. Подробнее см. п. 4.3.4 на стр. 47. 3.5. Интеграция Kaspersky Anti-Spam c почтовым сервером Интеграция Kaspersky Anti-Spam с почтовым сервером заключается в установке клиентского модуля и внесении соответствующих изменений в конфигурационные файлы. Эти действия выполняются автоматически при помощи универсального скрипта настройки или, если интеграция при помощи универсального скрипта невозможна (например, в случае использования нестрандартной конфигурации почтового сервера), при помощи скриптов настройки конкретного почтового сервера. Подробная информация о
способах интеграции клиентских модулей для каждого из поддерживаемых почтовых серверов и об изменениях, которые вносятся в конфигурационные файлы, приведена в Приложении A.2 на стр. 89. Для выполнения интеграции Kaspersky Anti-Spam с почтовым сервером, установленным на вашем сервере, запустите универсальный скрипт настройки: # /usr/local/ap-mailfilter3/bin/MTA-config.pl 30 Kaspersky® Anti-Spam 3.0 Указанный скрипт определяет тип используемого почтового сервера и вносит необходимые изменения в его конфигурационные файлы. Однако, если ваш почтовый сервер установлен или настроен нестандартно, то скрипт MTA-config.pl может не найти его конфигурационных файлов. В этом случае воспользуйтесь скриптом настройки конкретного почтового сервера: Для интеграции Kaspersky Anti-Spam с почтовым сервером Sendmail выполните следующую команду
от имени пользователя root: # /usr/local/ap-mailfilter3/bin/config-sendmail.pl <path> где path путь к конфигурационному файлу Sendmail. Для интеграции Kaspersky Anti-Spam с почтовым сервером Postfix выполните следующую команду от имени пользователя root: # /usr/local/ap-mailfilter3/bin/config-postfix.pl <path> где path путь к конфигурационному файлу Postfix master.cf. Для интеграции Kaspersky Anti-Spam с почтовым сервером Exim выполните следующую команду от имени пользователя root: # /usr/local/ap-mailfilter3/bin/config-exim.pl <path> где path путь к конфигурационному файлу Exim. Для дистрибутива Debian существует ряд особенностей интеграции Kaspersky Anti-Spam с почтовым сервером Exim. Для корректной интеграции используйте скрипт /usr/local/ap-mailfilter3/bin/config-exim-
debian.pl. Подробнее см. п. A.2.4.2 на стр. 99. Для интеграции Kaspersky Anti-Spam с почтовым сервером Qmail выполните следующую команду от имени пользователя root: # /usr/local/ap-mailfilter3/bin/config-qmail.pl <path> где path путь к каталогу Qmail. Корректная интеграция с почтовым сервером Qmail при помощи скрипта config-qmail.pl возможна только тогда, когда Qmail использует учетную запись qmailq и группу qmail (используется по умолчанию). Интеграция Kaspersky Anti-Spam с почтовым сервером Exim при помощи клиентского модуля kas-exim, а также с почтовым сервером Communigate Pro осуществляется администратором вручную. Установка Kaspersky Anti-Spam 31
Информация об особенностях каждого из клиентских модулей и способах интеграции подробнее описана в п. A.2 на стр. 89. Подробнее об отмене интеграции и восстановлении первоначальных настроек почтовых серверов см. главу 5 на стр. 82. 3.6. Настройка обновления баз Kaspersky Anti-Spam и использования сервиса UDS По умолчанию после установки Kaspersky Anti-Spam обновление баз Kaspersky Anti-Spam и использование сервиса UDS отключено. Для того чтобы разрешить обновление баз и использование UDS запустите скрипт enable-updates.sh: # /usr/local/ap-mailfilter3/bin/enable-updates.sh Restarting as mailflt3 Enabling UDS... uds-rtts finished successfully Enabling automatic updates... Install crontab for user mailflt3 - ok =========================================================== You can adjust automatic updates settings via control center. =========================================================== Automatic updates and UDS are now enabled. Вы также можете воспользоваться интерфейсом Центра управления, для того чтобы включить обновление баз Kaspersky Anti-Spam (см. п. 4.4 на стр. 55) и разрешить использование сервиса UDS (см. п. 4.44.5.4 на стр. 64) Для того
чтобы проверить работоспособность сервиса UDS (то есть проверить доступность UDS серверов) запустите скрипт uds-rtts.sh с параметром a: # usr/local/ap-mailfilter3/bin/uds-rtts.sh a Restarting as mailflt3 uds-rtts: OK, updated 1 records. uds-rtts: uds.kaspersky-labs.com available rtt=4103 uds-rtts finished successfully. ГЛАВА 4. УПРАВЛЕНИЕ СЕРВЕРОМ ФИЛЬТРАЦИИ СПАМА Посредством Kaspersky Anti-Spam вы можете организовать защиту почтового трафика от нежелательных рассылок. Система защиты строится на выполнении задач, в которых сосредоточены основные функциональные возможности программы. Задачи, реализуемые посредством Kaspersky Anti-Spam, можно разделить на три основные группы: Защита почтового трафика от спама. Обновление баз Kaspersky Anti-Spam, используемых для обнаружения спама. Мониторинг работы сервера фильтрации. Каждая группа включает более частные задачи. В этой главе мы подробно рассмотрим наиболее характерные из них, которые администратор может комбинировать и усложнять применительно к потребностям конкретной организации. В данной документации описаны настройка и запуск задач локально из командной строки, а также управление программным продуктом с помощью Центра управления. 4.1. Запуск и управление компонентами Kaspersky Anti-
Spam Запуск основных компонентов сервера фильтрации, к которым относятся мастер-процесс фильтрации (ap-process-server), модуль лицензирования (kas-license) и SPF-демон (ap-spfd), при загрузке операционной системы осуществляется специальным скриптом, название и расположение которого различно для операционных систем Linux и FreeBSD. Для операционной системы Linux используется скрипт kas3, расположенный в каталоге /etc/init.d, а для операционной системы FreeBSD kas3.sh, расположенный в каталоге /usr/local/etc/rc.d. Управление сервером фильтрации спама 33
Указанные скрипты совместно с описанными далее параметрами командной строки могут быть использованы администратором для запуска, останова и перезапуска основных компонентов сервера фильтрации: start выполнить запуск основных компонентов сервера фильтрации; stop завершить работу основных компонентов сервера фильтрации; restart выполнить перезапуск основных компонентов сервера фильтрации; данное действие аналогично последовательному выполнению
действий stop и start. Запуск сервиса kas-thttpd, открывающего доступ к Центру управления Kaspersky Anti-Spam, осуществляется скриптом kas3-control-center (для операционной системы Linux) и скриптом kas3-control-center.sh (для операционной системы FreeBSD). Для того чтобы выполнить запуск, останов или перезапуск сервиса kas-thttpd, используйте скрипт с параметрами командной строки, описанными выше для скрипта kas3. 4.2. Центр управления Kaspersky Anti-Spam Основным средством управления Kaspersky Anti-Spam является Центр управления. Центр управления представляет собой веб-приложение, позволяющее выполнять удаленную настройку параметров работы сервера фильтрации. Данный раздел содержит детальное описание всех элементов интерфейса приложения. В верхней части основного окна располагается набор закладок, используемых для доступа к следующим функциональным разделам Центра управления: Monitoring раздел, содержащий
информацию о состоянии компонентов серевера фильтрации; эта информация может быть использована для выявления возникающих неполадок. Statistics раздел, содержащий статистические отчеты, позволяющие анализировать количество сообщений, обработанных системой. Policies раздел, используемый для настройки параметров политики фильтрации спама. 34 Kaspersky® Anti-Spam 3.0 Рисунок 3. Центр управления Kaspersky Anti-Spam Settings раздел, содержащий настройки параметров сервера фильтрации спама, Центра управления и системы обновления баз Kaspersky Anti-Spam. License раздел, используемый для управления ключами Kaspersky Anti-Spam и регистрации пользователей, авторизованных для администрирования продукта. В левой части основного окна расположено меню, содержащее список страниц текущего раздела. Содержимое меню изменяется в зависимости от выбранного раздела. Кроме
перечисленных средств навигации в верхней части основного окна расположена строка адреса, указывающая путь к текущей странице в иерархии разделов Центра управления. Далее рассматриваются основные задачи, связанные с управлением сервером фильтрации и отдельными его компонентами. 4.3. Управление политикой фильтрации Основной функцией Kaspersky Anti-Spam является обнаружение и фильтрация нежелательных почтовых сообщений. Система управления Управление сервером фильтрации спама 35
предоставляет мощную систему настроек процесса распознавания спама и дальнейшей обработки сообщений. Настройки политики фильтрации сообщений содержатся в разделе Policies Центра управления. Меню раздела Policies включает в себя следующие подразделы: Common настройки параметров общей политики фильтрации. Подраздел включает в себя: Default Rules раздел управления правилами распознавания спама. Black List раздел управления
«черным» списком адресов отправителей, получение почты от которых блокируется. White List раздел управления «белым» списком адресов отправителей, почтовые сообщения от которых не проходят проверку на спам. DNS Black Lists раздел управления списком используемых сервисов DNSBL. Groups настройки групп пользователей, политик распознавания, применяемых к отдельным группам и наборов действий над сообщениями: Group list раздел управления группами пользователей: создание, удаление групп, а также запуск редактора свойств группы. Настройка параметров групповых политик выполняется в редакторе групповой политики. Запуск редактора осуществляется из окна Group list. Ссылка Rebuild All Policies
, расположенная в меню Build, используется для принудительной компиляции политик фильтрации (считыванию и применению конфигурационных настроек). Принудительная компиляция может потребоваться, например, для того чтобы обновить настройки политик фильтрации, если они были некорректно считаны программой. 4.3.1. Общая политика фильтрации Настройки параметров политики фильтрации, общей для всех групп, расположены в разделе Default Rules (см. рис. 4). Для перехода в этот раздел воспользуйтесь ссылкой Default Rules
, расположенной в меню Common раздела Policies. 36 Kaspersky® Anti-Spam 3.0 Рисунок 4. Настройки общей политики фильтрации Настройки правил распознавания спама сгруппированы в разделы по принципу функциональной близости. Основная страница отображает список данных разделов. Набор настроек параметров и функциональных разделов определяется базами Kaspersky Anti-Spam. При обновлении баз набор разделов и настроек может меняться. Помимо названия разделов список разделов содержит следующую информацию: краткое описание раздела; общее количество правил в разделе; количество правил, модифицированных по сравнению с первоначальными установками баз Kaspersky Anti-Spam. Справа от описания каждого из разделов располагается кнопка вызова редактора правил раздела: . Для разделов, правила которых были изменены, данная кнопка выделяется оранжевым цветом. При нажатии на кнопку выполняется переход к странице редактора политики фильтрации. Вызов редактора политики осуществляется также по нажатию на названии функционального раздела. Для отмены внесенных в раздел изменений воспользуйтесь кнопкой . Управление сервером фильтрации спама 37
4.3.1.1. Раздел General Переход к настройке правил раздела General выполняется по нажатию на названии раздела в списке правил общей политики фильтрации (см. рис. 5). Рисунок 5. Раздел правил General общей политики фильтрации Раздел General позволяет настраивать следующие параметры: Detection определяет, выполняется ли распознавание сообщений на наличие спама. Если распознавание отключено, то все сообщения получают статус Trusted (подробнее о статусах см. п. 2.3 на стр. 21). Не рекомендуется отключать распознавание на уровне общей политики. Эта возможность может оказаться полезной при тестировании продукта, а также в ситуациях, когда требуется фильтровать спам только для некоторых групп пользователей. Detection Level определяет степень строгости распознавания спама. Принятие решения о том, является ли сообщение спамом, производится на основании ряда признаков, выявленных в сообщении модулем фильтрации. Данная настройка определяет, как фильтр оценивает данные признаки при присвоении статуса почтовому сообщению. Политика фильтрации предусматривает четыре степени строгости: Minimum, Standard, High, Maximum. Чем 38 Kaspersky® Anti-Spam 3.0 выше степень строгости распознавания, тем меньшее количество признаков приводит к определению почтового сообщения как спам-сообщения. На степенях с меньшей строгостью распознавания тот же набор признаков приведет только к признанию сообщения подозрительным (статус Probable Spam) или почтовое сообщение вообще не будет распознано как спам. Рекомендуется использовать уровень фильтрации Standard. Более высокая степень строгости фильтрации может использоваться в том случае, если Kaspersky Anti-Spam не обнаруживает спам-
сообщения или распознает их как подозрительные (статус Probable Spam). Однако в этом случае повышается вероятность возникновения ложных срабатываний, когда нормальное сообщение распознается как спам. Более низкая степень строгости ведет к уменьшению вероятности возникновения ложных срабатываний, но при этом увеличивается вероятность обхода фильтра спам-сообщениями. Помимо степени строгости на результат фильтрации оказывают влияние также и используемые методы распознавания спама. При наличии случаев ложного срабатывания следует также обратить внимание на методы, используемые при распознавании спама. Assignment of the 'Probable Spam' status включение / отключение назначения статуса Probable Spam. Если параметру присвоено значение Disable, то Kaspersky Anti-Spam не будет назначать статус Probable Spam почтовым сообщениям. DNS & SPF Checks проверка информации об отправителе в DNS и с помощью сервисов, построенных на основе DNS: DNSBL, SPF и т.д. Проверки по DNS и сервисам на базе DNS могут приводить к существенному замедлению времени обработки сообщений
. Отключите этот метод, если его использование приводит к существенному снижению производительности фильтра. Параметр определяет использование DNS-сервисов сервером фильтрации, включение / отключение определенных сервисов выполняется в разделе DNS & SPF Checks (см. п. 4.3.1.2 на стр. 39). Подробнее о настройке применения DNSBL-сервисов см. п. 4.3.3 на стр. 45. SURBL Check использование сервиса SURBL. Управление сервером фильтрации спама 39
Use of White and Black Lists использование «белого» и «черного» списков IP-адресов и адресов электронной почты. Подробнее об использовании «белого» и «черного» списков см. п. 4.3.2 на стр. 43. Кнопка Apply служит для сохранения настроек параметров. После нажатия на кнопку происходит сохранение, компиляция политик фильтрации и перезапуск модуля фильтрации. Таким образом, внесенные изменения немедленно вступают в силу. Кнопка Reset возвращает исходные значения параметров (т.е. производится отмена несохраненных изменений). Кнопка Default возвращает настройки к значениям, установленным по умолчанию для баз Kaspersky Anti-Spam. Также для того чтобы установить значения по умолчанию, можно воспользоваться кнопкой , расположенной напротив названия раздела в списке правил общей политики фильтрации. Для того чтобы вернуться к списку правил общей политики фильтрации, нажмите кнопку Apply (при этом текущие изменения будут сохранены) либо воспользуйтесь ссылкой Default Rules
меню Common (при этом изменения сохранены не будут). 4.3.1.2. Раздел DNS & SPF Checks Раздел DNS & SPF Checks (см. рис. 6) содержит настройки, определяющие внешние сервисы, используемые для распознавания спама. Параметры, расположенные в этом разделе, позволяют включать / отключать использование следующих методов: Use of DNSBL services проверка IP-адреса отправителя по набору сервисов DNSBL. Список сервисов, используемых для проверки, настраиваетcя на странице Policies → Common → DNS Black Lists. Подробнее см. п. 4.3.3 на стр. 45. Check ip addresses in DNS
проверка наличия IP-адреса отправителя в DNS (reverse DNS lookup). Check SPF Records проверка IP-адреса отправителя с помощью технологии SPF. 40 Kaspersky® Anti-Spam 3.0 Рисунок 6. Раздел DNS & SPF Checks. 4.3.1.3. Раздел Headers Checks Раздел Headers Checks (см. рис. 7) позволяет настраивать параметры правил, согласно которым выполняется анализ содержимого заголовков почтовых сообщений. Рисунок 7. Раздел правил Headers Checks общей политики фильтрации Управление сервером фильтрации спама 41
Данный раздел содержит не полный перечень всех правил, используемых Kaspersky Anti-Spam при анализе заголовков почтовых сообщений, а лишь cписок тех правил, применение которых может привести к фильтрации полезной почты, содержащей известные признаки спама. К таким признакам относятся: Undisclosed list of recipients in TO наличие закрытых списков получателей в заголовке TO. Digits mixed with letters in TO or FROM headers (наличие цифр в адресе отправителя или получателя). Программы, используемые для рассылки спама, часто используют в качестве адреса отправителя или получателя, указанного в письме, автоматически сгенерированные адреса, содержащие группы цифр. Если пользователи почтового сервера не используют адреса, содержащие цифры, рекомендуется включить использование данного правила. Address with no domain name (отсутствие доменной части в адресе). При рассылке спама часто
используются неполные адреса (без указания почтового домена), тогда как почтовые программы обычно указывают полный почтовый адрес, включая домен, например user@domain.com. Рекомендуется отключать это правило для адресатов, допускающих отправку почтовых сообщений с неполными адресами. SUBJECT is longer than 250 symbols (длинный текст темы письма). Программы, используемые для рассылки спама, для обхода фильтров часто вставляют в
поле темы сообщения (Subject) длинные (более 250 символов) случайные последовательности символов или слов. Отключите использование этого правила, если в вашей почтовой системе разрешена отправка подобных сообщений. SUBJECT contains lots of white space or dots (текст темы письма содержит множество пробелов или точек). Также часто для обхода почтовых фильтров программы рассылки спама включают в заголовок сообщения длинные группы пробелов или точек. Отключите использование этого правила, если в вашей почтовой системе разрешена отправка подобных сообщений. SUBJECT contains DIGIT ID or Timestamp (like 'Time: 14:30:35') (текст темы письма содержит цифровой идентификатор или метку времени). Метод включения в тему письма цифрового идентификатора или метки времени также часто используется программами автоматической рассылки спама для обхода спам-фильтров. Выпадающий список, расположенный справа от каждого из перечисленных правил, позволяет включать использование правила (значение Enabled) или отключать (значение Disabled). 42 Kaspersky® Anti-Spam 3.0 Окончательное решение о присвоении письму определенного статуса принимается на основании множества различных признаков. Поэтому включение или выключение отдельного правила или группы правил не означает, что обрабатываемые почтовые сообщения будут строго распознаваться как спам или, наоборот, пропускаться сервером фильтрации. Настройка правил позволяет снизить вероятность ошибок при распознавании писем. Перечисленные правила могут быть включены или выключены не только для всех пользователей в общей политике фильтрации, но и для отдельных групп пользователей с помощью групповой политики. 4.3.1.4. Раздел Eastern Encodings Раздел Eastern Encodings (см. рис. 8) позволяет указать, почтовые сообщения на каких языках и в каких кодировках могут пересылаться адресатам вашей почтовой системы и не являются спамом. Рисунок 8. Раздел правил Eastern Encodings общей политики фильтрации В настоящей версии продукта при фильтрации спама контролируется группа восточно-азиатских языков: китайский, корейский, тайский, японский. Если пользователи вашей почтовой системы используют какие-то из перечисленных языков при переписке, выберите для этого языка пункт is allowed из выпадающего списка. Если какие-то языки не используются пользователями вашей почтовой системы, задайте для них значение is treated as suspicious. Управление сервером фильтрации спама 43
4.3.1.5. Раздел Obscene Content Раздел Obscene Content (см. рис. 9) позволяет определить, выполнять ли маркировку сообщений, содержащих нецензурную лексику. Kaspersky Anti-Spam распознает нецензурную лексику русского и английского языков. Рисунок 9. Раздел Obscene Content общей политики фильтрации. Если параметру Message with obscene words and phrases присвоено значение mark in Subject, то все почтовые сообщения, содержащие нецензурную лексику, будут маркироваться меткой [--Obscene--] в теме сообщения. 4.3.2. Управление «белым» и «черным» списками «Белый» список отправителей (White List) используется для того, чтобы указать явно, с каких адресов почту на спам проверять не требуется. В такой список, например, можно включить IP-адреса почтовых серверов, используемых для пересылки почты внутри компании, или адреса внутренних списков рассылки. Сообщения отправителей, содержащихся в «белом» списке, будут получать статус Trusted. «
Черный» список отправителей (Black List) имеет противоположное значение. В этот список администратор сервера фильтрации может внести адреса, используемые спамерами для ведения рассылок. Сообщения, отправитель которых обнаружен в «черном» списке, получают статус Blacklisted. Управление описанными списками идентично. В данном разделе рассматривается пример настройки «белого» списка (см. рис. 10). 44 Kaspersky® Anti-Spam 3.0 Доступ к форме редактирования «белого» списка осуществляется с помощью пункта меню Policies → Common → White List (для «черного» списка Policies → Common → Black List). Список доверенных адресов разделяется на список адресов электронной почты и список IP-адресов. Для ввода адресов служит текстовое поле, расположенное в центральной части страницы. Гиперссылки e-mails | ip addresses используются для выбора типа записей «белого
» списка. Кнопка Apply служит для сохранения введенной информации. Для того чтобы отменить несохраненные изменения, воспользуйтесь кнопкой Reset. Сохраняйте изменения, прежде чем воспользоваться переключателем e-
mails | ip addresses. При переключении все несохраненные изменения теряются. Рисунок 10. Страница настройки «белого» списка Для ввода адресов электронной почты используются следующие форматы: user@domain указывает определенный адрес; @domain указывает все почтовые адреса домена domain. Управление сервером фильтрации спама 45
Также в адресах электронной почты могут быть использованы специальные символы: * (звездочка) строка символов произвольной длины; ? (знак вопроса) один произвольный символ. Например, запись user*@mycompany.com указывает на все адреса, начинающиеся со слова user в почтовом домене mycompany.com. Для записи IP-адресов используется нотация CIDR, допускающая следующие варианты: aaa.bbb.ccc.ddd конкретный IP-адрес, например
, 192.168.0.17; aaa.bbb.ccc.ddd/mm адрес подсети с заданным номером и маской, например 192.168.0.0/16. Адреса в списках могут разделяться пробелами, символом перевода строки, а также запятой и точкой с запятой. 4.3.3. Управление списками используемых сервисов DNSBL Для перехода на страницу управления списками сервисов DNSBL воспользуйтесь ссылкой DNS Black Lists
, расположенной в меню Common раздела Policies (см. рис. 11). Настройка списка используемых сервисов DNSBL относится к общей политике фильтрации. Впоследствии для каждой из групп пользователей существует возможность указать, будут ли использоваться для данной группы результаты проверки с помощью DNSBL-сервисов. При этом список используемых сервисов является общим для всех групп пользователей. В центральной части
страницы расположен список используемых сервисов. Для каждого сервиса DNSBL задается его адрес, по которому выполняется обращение к сервису, а также его рейтинг. Рейтинг сервиса определяет степень доверия администратора сервера фильтрации к данному сервису. При проверке IP-адреса отправителя в DNSBL Kaspersky Anti-Spam отправляет запрос во все перечисленные в этом списке сервисы. После получения результатов производится
суммирование рейтингов сервисов, опознавших заданный IP-адрес, как адрес, с которого ведется несанкционированная рассылка. 46 Kaspersky® Anti-Spam 3.0 Рисунок 11. Страница управления списками сервисов DNSBL Если сумма рейтингов сработавших DNSBL превысит значение 100, то считается, что отправитель находится в «черном» списке и сообщению присваивается статус blackisted, в независимости от результатов проверок при помощи других методов. На некоторых уровнях строгости также могут анализироваться и ситуации, когда сумма рейтингов сервисов, содержащих отправителя сообщения в своих «черных» списках, меньше 100. В этом
случае информация о нахождении отправителя в «черных» списках используется только как дополнительный признак и сообщение признается спамом только при наличии других дополнительных признаков, выявленных другими методами проверки. Возможны следующие операции со списком сервисов DNSBL: Добавление нового сервиса. Изменение рейтинга сервиса. Удаление сервиса. Рассмотрим детальнее выполнение каждой из операций: для того чтобы добавить новый сервис в список, необходимо: 1. указать адрес сервиса в нижней свободной строке списка, отмеченной знаком ; 2. указать рейтинг сервиса; 3. сохранить результат, нажав на кнопку Apply. Управление сервером фильтрации спама 47
для того чтобы изменить рейтинг существующего сервиса DNSBL, необходимо: 1. указать новое значение рейтинга в столбце Rate соответствующего сервиса; 2. сохранить результат, нажав на кнопку Apply. для того чтобы удалить сервис из списка, необходимо: нажать на кнопку , расположенную справа от адресной строки сервиса. К выбору используемых DNSBL следует подходить с осторожностью. Политика формирования списков различается у различных сервисов. Внимательно ознакомьтесь с политикой сервиса, прежде чем использовать его списки для фильтрации почты. 4.3.4. Управление списком защищаемых доменов Список защищаемых доменов содержит имена доменов, для которых выполняется фильтрация спама в потоке входящих сообщений. Для управления списком служит страница, расположенная по адресу Policies → Common → Protected Domains (см. рис. 12). При указании имен защищаемых доменов допустимо использование специальных символов: * (звездочка) любое количество символов, ? (знак вопроса) любой один символ. Например, для того
чтобы включить домен example.com и все его субдомены в список защищаемых доменов, достаточно добавить следующую запись: *example.com Для того чтобы настроить продукт на фильтрацию всей входящей почты, либо оставьте список пустым, либо добавьте в него следующую запись: * Отредактировав список, нажмите на кнопку Apply для подтверждения изменений или Reset для отмены. 48 Kaspersky® Anti-Spam 3.0 Для доменов, включенных в список защищаемых, выполняется контроль соблюдения лицензионных ограничений (например, контроль объема почтового трафика при использовании схемы с ограничением по данному параметру). Рисунок 12. Список защищаемых доменов Внести изменения в список защищаемых доменов можно также локально с помощью командной строки. Исходный список доменов хранится в виде текстового файла protected_domains, расположенного в каталоге /usr/local/ap-mailfilter3/conf. Отредактировав файл, выполните от имени пользователя root следующую команду: # /usr/local/ap-mailfilter3/bin/kas-restart f Во все сообщения, направленные пользователям доменов, которые не входят в список защищенных, Kaspersky Anti-Spam добавляет следующий заголовок: X-SpamTest-Info: Not protected. Подробнее о специальных заголовках см. п. A.5 на стр. 121. Управление сервером фильтрации спама 49
4.3.5. Управление группами Администратор сервера фильтрации может задать различные настройки распознавания спама для различных пользователей. Для этих целей служат групповые политики фильтрации спама. Прежде чем приступить к настройке правил групповой политики требуется определить список почтовых адресов, для которых будет применяться групповая политика. Помимо групп, созданных администратором, продукт также использует группу All, созданную по умолчанию
при установке. Эта группа определяет правила обработки почтовых сообщений, не подпадающих под действия других групп. Группа All является системной и в отличие от других групп не может быть удалена. Для доступа к настройкам групп служит меню Groups, расположенное в левой части окна раздела Policies. Ссылка Group List
открывает страницу, содержащую список всех созданных групп (см. рис. 13). Рисунок 13. Список групп, используемых Kaspersky Anti-Spam Допускаются следующие операции над группами: Редактирование свойств группы. Создание новой группы. Удаление существующей группы. 50 Kaspersky® Anti-Spam 3.0 Изменение порядка просмотра групп. Далее детально рассматривается каждая из перечисленных задач: Для того чтобы открыть редактор свойств группы, нажмите на кнопку , расположенную справа от названия той группы, свойства которой вы хотите изменить. Редактор свойств группы позволяет настроить: общие параметры группы, такие как название группы, комментарии, а также список почтовых адресов, для которых будут выполняться правила, заданные группой; правила распознавания спама; действия над почтовыми сообщениями; «черный» и «белый» списки отправителей. Название и список почтовых адресов группы All недоступны для редактирования, так как данная группа определяет правила обработки всех сообщений, отправители и получатели которых не входят ни в одну из созданных администратором групп. Для того чтобы создать новую группу, выполните следующие действия: 1. Нажмите на кнопку , расположенную над списком групп. 2. В открывшемся окне (см. рис. 14) укажите название группы, комментарии (если необходимо) и список почтовых адресов. Поле Group Id содержит идентификатор группы, назначаемый ей при создании. Этот параметр не может быть изменен. Текст, записанный в поле Comments, будет отображаться в списке групп под названием созданной группы. Для записи
почтовых адресов используется формат, аналогичный формату почтовых адресов в «черном» и «белом» списках отправителей (см. п. 4.3.2 на стр. 43). Для того чтобы удалить существующую группу, нажмите на кнопку , расположенную справа от названия группы. Для того чтобы изменить порядок просмотра групп, нажмите на кнопку , расположенную слева от названия группы. При этом выбранная группа будет перемещена вверх по списку. Управление сервером фильтрации спама 51
При обработке сообщения модуль фильтрации просматривает группы в порядке, определенном в списке групп (от начала списка к концу). При этом сообщение обрабатывается по правилам первой из встретившихся групп, в список которой входит адрес получателя сообщения. Если получатель сообщения не входит ни в одну из групп, то сообщение обрабатывается по правилам группы
All. Рисунок 14. Страница создания новой группы 4.3.6. Управление групповой политикой фильтрации Для каждой из групп, включая группу All, могут быть заданы отдельные настройки параметров распознавания, а также «черный» и «белый» списки отправителей. Таким образом, у администратора есть возможность определить различные правила распознавания для различных групп пользователей. 52 Kaspersky® Anti-Spam 3.0 По умолчанию настройки правил распознавания каждой из групп наследуют значения, установленные в общей политике фильтрации, однако эти значения могут быть переопределены. Переход к настройкам правил распознавания групповой политики фильтрации выполняется по ссылке Rules
меню Group Policy в редакторе свойств группы. Структура правил идентична структуре для общей политики фильтрации (см. п. 4.3.1 на стр. 35). Единственной отличительной особенностью настройки групповой политики является то, что список возможных значений параметров политики содержит значение by default, означающее, что этот параметр наследует значение, определенное в общей политике фильтрации. На рис. 15 представлено окно Rules групповой политики фильтрации. Как видно из рисунка, группа наследует все настройки общей политики (значение by default) за исключением параметра DNS & SPF Сhecks. Использование этого метода отключено. Для задания «черного» и «белого» списков отправителей служат ссылки White List
и Black List
, расположенные в меню Group Policy. Настройка списков для групп аналогично настройкам списков для общей политики фильтрации (см. п. 4.3.1 на стр. 35). Рисунок 15. Страница Rules групповой политики фильтрации Управление сервером фильтрации спама 53
4.3.7. Действия над сообщениями Групповая политика также содержит набор действий по пересылке и модификации сообщений, распознанных модулем фильтрации. Для настройки действий используйте ссылку Actions
, расположенную в меню Group Policy редактора свойств группы. Действие, выполняемое над сообщением, определяется статусом, присвоенным ему в результате обработки модулем фильтрации. Страница Actions (см. рис. 16) содержит форму, которая позволяет определить действие для каждого из возможных статусов сообщения. Для определения действия служит выпадающий список, расположенный непосредственно под заголовком с описанием статуса сообщения. У администратора есть возможность назначить следующие действия: Accept this messagе почтовый сервер принимает сообщение и доставляет его адресату. Send a copy of this message to other recipient(s) почтовый сервер принимает сообщение, доставляет его адресату, а также отправляет копию сообщения на адрес, указанный в поле Send message to. Redirect this message to other recipient(s) почтовый сервер принимает сообщение и пересылает его на почтовый адрес, указанный в поле Send message to. Исходному адресату сообщение не пересылается. Эта возможность может быть использована для пересылки сообщений в почтовый ящик, используемый для хранения архива спама. Reject this message почтовый сервер отклоняет сообщение и посылает отправителю уведомление о невозможности доставки. Если доставка сообщения отклонена для всех получателей, то почтовый сервер отправляет сообщение об отказе
доставки непосредственно в процессе SMTP-сессии (reject message). Если хотя бы для одного из адресатов доставка почтового сообщения разрешена, то отправителю высылается письмо с уведомлением о невозможности доставки сообщения некоторым адресатам (bounce message). Для настройки текста уведомлений служит раздел Settings → Reject Messages (подробнее см. п. 4.5.4 на стр. 64 ). Delete this message почтовый сервер получает сообщение и
удаляет его, не пересылая адресату. При этом отправитель сообщения не получает никаких сообщений о невозможности доставки. Сообщения, получившие статус Not detected (письмо не распознано как спам) или статус Trusted (сообщение получено из доверенных источников 54 Kaspersky® Anti-Spam 3.0 или для адресата в групповой политике отключена проверка почтовых сообщений на спам), всегда пересылаются указанному адресату. Несмотря на то, что продукт непрерывно развивается с целью улучшения качества распознавания спама и снижения количества ложных срабатываний фильтра, полностью исключить возможность возникновения ситуации, когда нормальные сообщения будут распознаны как спам, нельзя. В связи с
этим рекомендуется с осторожностью использовать действия по удалению сообщений. Рисунок 16. Страница Actions групповой политики фильтрации Управление сервером фильтрации спама 55
Кроме действий по пересылке сообщения, администратор может определить действия по модификации сообщения, что может быть полезно как для визуализации результатов распознавания, так и использования с фильтрами почтовых программ пользователей. Kaspersky Anti-Spam позволяет выполнить следующие модификации сообщения: Добавление метки в поле темы почтового сообщения (в начало текста темы). Для задания текста метки служит поле Prepend to the Subject. Добавление к сообщению специального заголовка X-Spamtest-
Header, содержащего заданный администратором текст. Этот заголовок может быть использован в дальнейшем для автоматической обработки сообщений почтовыми программами пользователей. Для задания текста заголовка служит поле Set X-Spamtest-Header. Подробнее о заголовках, добавляемых к почтовому сообщению в результате фильтрации см. п. A.5 на стр. 121. 4.4. Обновление баз Kaspersky Anti-Spam Обновление баз Kaspersky Anti-Spam, используемых для анализа содержимого почтовых сообщений, осуществляется специальным модулем обновления sfupdates. В качестве источника обновлений баз Kaspersky Anti-Spam может быть использован интернет (сервер обновлений «Лаборатории Касперского») или сетевой каталог. Запуск обновления выполняется либо вручную запуском скрипта обновления из командной строки, либо автоматически по расписанию при помощи сервиса cron. 4.4.1. Настройка параметров обновления Для настройки параметров обновления воспользуйтесь страницей Settings → Maintenance → Updater Центра управления (см. рис. 17). 56 Kaspersky® Anti-Spam 3.0 Рисунок 17. Настройки модуля обновления Kaspersky Anti-Spam Секция Updater Settings содержит общие параметры обновления: Run updater automatically интервал между загрузками баз Kaspersky Anti-Spam с серверов обновления. Интервал обновления может быть задан в пределах от 20 минут до 3 часов. Рекомендуется по возможности устанавливать меньший интервал обновления. Более быстрое обновление баз Kaspersky Anti-Spam обеспечивает лучшую скорость реакции сервера фильтрации на вновь появляющиеся рассылки. Рекомендуемое значение периода обновления баз: 20 минут. Значение параметра определяет интервал запуска cron-задачи обновления продукта. При необходимости, настройка cron-задачи Управление сервером фильтрации спама 57
может быть выполнена вручную. Подробнее о ручной настройке см. п. 4.4.2 на стр. 58. Updater log level параметр, определяющий уровень детализации информации, заносимой в лог-файл при обновлении. Возможны cледующие уровни детализации: fatal в протокол записываются только сообщения о критических ошибках; error в протокол записываются сообщения обо всех ошибках (критических и
некритических). warning в протокол записываются предупреждения и сообщения об ошибках; info в протокол помимо предупреждений и сообщений об ошибках записываются сообщения информационного характера (информация о запуске модуля обновления, о результатах обновления и т.д.); activity в протокол записывается вся информация, соответствующая уровню info, а также дополнительно информация о процессе обновления (подключении к серверу обновлений, копировании файлов с сервера и т.д.); debug в протокол записывается вся информация, соответствующая уровню activity, а также cообщения отладочного характера. Network timeout тайм-аут (в секундах) для сетевых операций при обновлении баз Kaspersky Anti-Spam. Рекомендуемое значение: 30. Use passive FTP mode параметр, указывающий, что при соединении с сервером обновлений по протоколу FTP следует использовать пассивный режим соединения (рекомендуется). Секция Updates Server содержит параметры сервера, используемого в качестве источника обновлений: Region название региона пользователя. Значение параметра используется продуктом для выбора наиболее подходящего (территориально) сервера обновления. Updates server URL адрес сервера, ипользуемого для обновления. Этот параметр применяется совместно с
параметрами: Use updates server URL и Use updates server URL only. По умолчанию список серверов, используемых для обновления баз Kaspersky Anti-Spam, определен в файле updcfg.xml, содержащемся в дистрибутиве продукта. При обновлении Kaspersky Anti-Spam автоматически выбирает сервер из этого списка. С помощью настройки Use updates 58 Kaspersky® Anti-Spam 3.0 server URL вы можете указать, что для загрузки обновлений предпочтительно использовать адрес, заданный параметром Updates server URL. Если используется опция Use updates server URL only, то Kaspersky Anti-Spam будет использовать только указанный сервер для обновления баз Kaspersky Anti-Spam, и не будет предпринимать попыток использовать другие адреса. В качестве источника обновлений данный параметр допускает использование: HTTP-сервера. Запись формата: http://<адрес сервера>
; FTP-сервера. Запись формата: ftp://<адрес сервера>; Локального каталога. Запись формата /<путь к каталогу>/. Использование локального каталога в качестве источника обновления позволяет организовать обновление нескольких серверов в большой сети из одного источника. Cекция Proxy Server содержит параметры доступа к прокси-серверу: Proxy address адрес прокси-сервера, используемого для доступа к интернету. Параметр задается в виде: http://url:port, где url и port адрес и порт подключения к прокси-серверу. Если адрес не указан, то его значение берется из переменной окружения http_proxy. User имя пользователя для доступа к прокси-серверу. Password пароль пользователя для доступа к прокси-серверу. Use proxy параметр, указывающий, что для соединения с сервером обновлений необходимо использовать HTTP прокси-сервер. 4.4.2. Запуск обновления Существует два способа запуска обновления баз Kaspersky Anti-Spam: автоматически по расписанию; вручную из командной строки. Рекомендуется настроить автоматическое обновление по расписанию, поскольку это позволит постоянно поддерживать базы Kaspersky Anti-Spam в актуальном состоянии, что обеспечит наиболее эффективную фильтрацию спама. Управление сервером фильтрации спама 59
Для того чтобы запустить обновление вручную, в командной строке введите: # /usr/local/apmailfilter3/bin/sfupdates [ключ] где [ключ] параметр запуска скрипта обновления. Полный список всех параметров скрипта sfupdates см. п. A.4.8 на стр. 119. При запуске скрипта без указания ключей командной строки новые обновления будут скопированы с сервера обновления, будет выполнена проверка их целостности, новые базы будут установлены и будет выполнен перезапуск модуля фильтрации для работы с новыми базами. По умолчанию при установке Kaspersky Anti-Spam выполняется автоматическая настройка сервиса cron на запуск скрипта обновления каждые двадцать минут для пользователя mailflt3. Если по тем или иным причинам требуется вручную настроить задачу запуска скрипта обновления, выполните следующие действия: 1. Запустите редактор файла заданий процесса cron для пользователя mailflt3, используя команду # crontab u mailflt3 e 2. Добавьте в файл заданий, например, следующую строку: */20 * * * * /usr/local/ap-mailfilter3/bin/ \ sfupdates -q Прежде чем настроить автоматический запуск обновления убедитесь, что у пользователя mailflt3 есть права на запись в каталоги: /usr/local/ap-mailfilter3/cfdata и /usr/local/ap-mailfilter3/conf. 4.5. Настройка сервера фильтрации спама Страницы раздела Settings содержат настройки компонентов сервера фильтрации спама. Переход к страницам выполняется по ссылкам, расположенным в меню Anti-Spam Engine: Common
общие параметры сервера фильтрации. Process Server
параметры работы мастер-процесса фильтрации ap-process-server. Filtration Process
параметры работы фильтрующих процессов ap-mailfilter. 60 Kaspersky® Anti-Spam 3.0 Check Options
параметры распознавания спама. MTA Clients
параметры клиентских модулей. Reject Messages
тексты сообщений, высылаемых отправителю при отказе приема почтового сообщения. Параметры работы компонентов сервера фильтрации могут быть также заданы вручную путем редактирования конфигурационного файла filter.conf. Подробнее описание конфигурационного файла filter.conf см. п. A.3.1 на стр. 107. 4.5.1. Общие параметры сервера фильтрации Общие параметры сервера фильтрации расположены на странице Settings → Anti-Spam Engine → Common (см. рис. 18), к ним относятся: Syslog facility категория системного журнала, согласно которой будет производиться запись сообщений компонентов Kaspersky Anti-Spam. По умолчанию запись производится в категорию mail, однако при необходимости администратор сервера фильтрации может производить запись в одну из следующих категорий: mail, user, local0 local7. После изменения параметра Syslog facility настройте демон syslog для записи сообщений указанной категории. Эта настройка выполняется вручную, путем редактирования файла /etc/syslog.conf. Подробнее об этом см. manual pages для syslogd и syslog.conf. Система мониторинга использует системный журнал при отображении сообщений о работе сервера фильтрации и его компонентов. Для определения каталога расположения необходимых файлов используются значения параметров конфигурационного файла /etc/syslog.conf. Verbose level степень детализации информации, записываемой в протокол работы модулей Kaspersky Anti-Spam. В качестве значения этого параметра может быть указано: minimum, low, normal, high, debug, more debug
. При задании значения параметра следует учитывать, что настройки, содержащиеся в конфигурационном файле /etc/syslog.conf могут накладывать дополнительные ограничения на уровень детализации информации в зависимости от категории (syslog facility). В частности, заданный по умолчанию в ОС FreeBSD для категории mail уровень mail.info снижает степень детализации, даже если параметру Verbose level присвоено значение more debug. Управление сервером фильтрации спама 61
Использование степени детализации more debug создает дополнительную нагрузку на сервер и может привести к снижению производительности. Используйте данный уровень только при отладке работы приложения. Рисунок 18. Общие настройки сервера фильтрации После изменения значений общих параметров сервера фильтрации нажмите на кнопку Apply и перезапустите сервер фильтрации, выполнив следующую команду: для дистрибутивов Linux: # /etc/init.d/kas3 restart для операционной системы FreeBSD: # /usr/local/etc/rc.d/kas3.sh restart 4.5.2. Параметры работы мастер-
процесса фильтрации Страница Settings → Anti-Spam Engine → Process Server содержит следующие параметры работы мастер-процесса фильтрации (см. рис. 19): Max. number of filtration processes максимальное число одновременно запущенных фильтрующих процессов. Значение по умолчанию: 10. Number of filtration processes at server start-up число фильтрующих процессов, запускаемых при старте сервера 62 Kaspersky® Anti-Spam 3.0 фильтрации. По умолчанию для этого параметра устанавливается значение 0, что означает, что процессы модуля фильтрации будут запускаться только при поступлении сообщений. Number of spare filtration processes максимальное количество запущенных фильтрующих процессов, находящихся в состоянии ожидания запроса на проверку. Если количество процессов превышает установленный предел, то выполняется принудительное завершение неиспользуемых процессов. Значение по умолчанию: 0
. Рисунок 19. Параметры работы мастер-процесса фильтрации После изменения значений параметров работы мастер-процесса фильтрации нажмите на кнопку Apply и перезапустите сервер фильтрации, выполнив следующую команду: # /etc/init.d/kas3 restart для дистрибутивов Linux; # /usr/local/etc/rc.d/kas3.sh restart для операционной системы FreeBSD. 4.5.3. Параметры работы фильтрующих процессов Страница Settings → Anti-Spam Engine → Filtration Process (см. рис. 20) содержит параметры работы фильтрующих процессов ap-mailfilter: Управление сервером фильтрации спама 63
Max. number of mail messages to be processed максимальное число сообщений, обрабатываемых одним фильтрующим процессом. После обработки заданного числа сообщений фильтрующий процесс завершается, а вместо него запускается новый экземпляр. В зависимости от нагрузки на сервер фильтрации значение этого параметра может быть изменено. Рекомендуемое значение: 300. Max. number of mail messages randomization значение, используемое Kaspersky Anti-Spam при определении максимального количества сообщений, которое может быть
обработано определенным фильтрующим процессом. Для каждого из фильтрующих процессов это число выбирается случайным из диапазона, нижняя граница которого определяется числом Max. Number of mail messages to be processed, а верхняя суммой чисел Max. number of mail messages to be processed и Max. number of mail messages randomization. Таким образом, если значения данных параметров составляют 300 и 30 соответственно, то каждый из фильтрующих процессов будет обрабатывать от 300 до 330 писем. Эта настройка позволяет избежать одновременного завершения и последующего старта большого количества новых фильтрующих процессов в периоды высокой нагрузки на сервер. Max. idle time (in seconds) максимальное количество времени (в секундах), в течение которого фильтрующий процесс может находиться в состоянии ожидания. Если за указанный интервал времени фильтрующий процесс не получил ни одного почтового сообщения для обработки, то он завершает свою работу. Значение по умолчанию: 300. Exit delay (in seconds) максимальное время (в секундах) задержки завершения фильтрующего процесса при получении команды на завершение. По умолчанию параметру присвоено значение 0, что означает, что по получении соответствующей команды, все фильтрующие процессы завершаются сразу после обработки текущего сообщения. 64 Kaspersky® Anti-Spam 3.0 Рисунок 20. Параметры работы фильтрующих процессов 4.5.4. Параметры распознавания спама Страница Settings → Anti-Spam Engine → Сheck Options (см. рис. 21) содержит параметры работы фильтрующих процессов ap-mailfilter: Number of 'Received' headers to be parsed while retrieving ip address (for use in DNSBL checks) параметр, указывающий на необходимость проверки промежуточных серверов с помощью сервиса DNSBL. Обычно при проверке IP-адреса отправителя электронного сообщения используется IP-адрес сервера, с которого сообщение поступило на сервер фильтрации. Однако, если сообщение по пути следования проходит один или несколько промежуточных серверов, оригинальный IP-адрес отправителя оказывается скрыт. Для того чтобы вести проверку IP-адреса не только последнего сервера в цепочке пересылки, но также и промежуточных серверов, укажите с помощью этого параметра количество проверяемых серверов пересылки. Анализ ведется с использованием заголовков Received. Значение 0 означает, что анализ заголовков Received не производится
. Более высокое значение параметра указывает серверу фильтрации о необходимости проверки большего количества промежуточных серверов, что позволяет с одной стороны повысить вероятность распознавания спам-сообщений, пришедших с серверов рассылки спама через несколько промежуточных серверов, но в то же время создает дополнительную нагрузку на сервер фильтрации и может привести к ложному срабатыванию фильтра. Управление сервером фильтрации спама 65
Overall timeout of all DNS requests (in seconds) время ожидания (в секундах) ответа DNS-сервера при проверках, основанных на DNS. Значение по умолчанию: 10. Check MS Word and RTF files параметр, включающий / отключающий режим анализа текста вложений в формате Word Document (doc) и RTF. Рисунок 21. Параметры распознавания спама UDS enabled параметр, включающий / отключающий режим проверки сообщений с помощью сервиса UDS. Эта проверка позволяет оперативно блокировать рассылки спама, не дожидаясь загрузки обновлений баз Kaspersky Anti-Spam. Рекомендуется отключать проверки по UDS только в том случае, если использование данного метода существенно снижает производительность сервера фильтрации или отсутствует возможность обеспечить взаимодействие сервера фильтрации с UDS-серверами «Лаборатории Касперского». Подробнее о сервисе UDS см. п. 2.2.4 на стр. 20. Timeout for receiving response from UDS server (in seconds) тайм-аут на установление соединения между сервером фильтрации и UDS-сервером. Если за указанный временной интервал сервер фильтрации не получает ответ от UDS-сервера, выполняется попытка подключения к другому UDS-серверу «Лаборатории Касперского». 66 Kaspersky® Anti-Spam 3.0 4.5.5. Настройки клиентских модулей Страница Settings → Anti-Spam Engine → MTA Clients (см. рис. 22), содержит настройки клиентских модулей, отвечающих за взаимодействие почтового сервера и сервера фильтрации: Filtering size limit (KB) максимальный размер сообщения (в КБ), обрабатываемого сервером фильтрации. Если размер сообщения превышает заданное значение, то сервер фильтрации не выполняет обработку этого письма. Значение по умолчанию: 500. On filtering error реакция клиентского модуля
при возникновении ошибок взаимодействия с сервером фильтрации. Параметр может принимать следующие значения: accept message в случае возникновения ошибки сообщение пересылается адресату без обработки сервером фильтрации; reject message доставка сообщения, при обработке которого возникла ошибка, не выполняется; generate temporary error доставка сообщения не выполняется, а отправителю высылается извещение о временной ошибке почтового сервера. Как правило, в этом случае почтовый сервер отправителя через некоторое время выполняет повторную попытку отправки сообщения. Default domain имя почтового домена, подставляемое в адрес, в котором не указан почтовый домен. Например, если в качестве домена по умолчанию указан домен mycompany.com, то адрес someuser будет интерпретирован как someuser@mycompany.com. Connection timeout (in seconds)
тайм-аут (в секундах) на установление клиентским модулем соединения с сервером фильтрации. Значение по умолчанию: 40. Data exchange timeout (in seconds) тайм-аут (в секундах) на выполнение сетевых операций чтения-записи при обмене данными между сервером фильтрации и клиентским модулем. Значение по умолчанию: 30. В случае возникновения систематических ошибок в работе сервера фильтрации необходимо обратиться в Службу технической поддержки «Лаборатории Касперского». Координаты Службы технической поддержки указаны в главе 6 на стр. 84. Управление сервером фильтрации спама 67
Рисунок 22. Настройки клиентских модулей 4.5.6. Сообщения об отказе приема письма Если в качестве действия над сообщениями определенного статуса задано действие Reject this message, то сервер фильтрации не будет выполнять пересылку этих сообщений исходным адресатам. При этом отправителю письма высылается сообщение о невозможности доставки почты. Сервер фильтрации использует два вида сообщений. Использование сообщений того или иного вида определяется настройками продукта и результатами распознавания. Первый
вид сообщений Reject message. Данное сообщение передается отправителю непосредственно в процессе SMTP-сессии вместе с кодом ошибки, сообщающей, что письмо не доставлено. Приведенный далее пример SMTP-сессии содержит текст сообщения Reject message: Сервер: 220 mail.mycompamy.com ESMTP Клиент: HELO spamhost.whatever.com Сервер: 250 mail.mycompamy.com Клиент: MAIL FROM: <spamer@whatever.com> Сервер: 250 Ok Клиент: RCPT TO: <someuser@mycompany.com> 68 Kaspersky® Anti-Spam 3.0 Сервер: 250 Ok Клиент: DATA Сервер: 354 End data with <CR><LF>.<CR><LF> Клиент: >>> Клиент: >>> Текст сообщения ... Клиент: >>> Клиент: . Сервер: 550 The message is rejected by spam filtering engine. Клиент: QUIT Сервер: 221 Bye... Сервер фильтрации использует сообщения Reject message лишь тогда, когда по результатам проверки запрещена пересылка письма всем указанным адресатам. Если письмо адресовано нескольким получателям и хотя бы для одного из них допускается пересылка сообщения согласно настройками политик фильтрации, то в
процессе SMTP-сессии сервер сообщит, что письмо принято. Затем отправителю высылается сообщение Bounce message вместе с информацией об адресатах, которым не было доставлено отправленное письмо. Для редактирования текста перечисленных сообщений служит страница Центра управления Settings → Anti-Spam Engine → Reject Messages (см. рис. 23). Управление сервером фильтрации спама 69
Рисунок 23. Страница редактирования сообщений об отказе доставки 4.6. Настройки Центра управления Страница Settings → Maintenаnce → Control Center (см. рис. 24), содержит параметры, используя которые вы можете: указать адрес, на который будут отправляться сообщения системы мониторинга, а также сообщения об ошибках выполнения скриптов с помощью сервиса cron (параметр Send alerts to); включить / отключить мониторинг работы HTTP-сервера kas-thttpd (параметр Monitoring of kas-thttpd daemon); включить / отключить мониторинг работы клиентского модуля kas-milter, используемого для взаимодействия с почтовым сервером Sendmail (параметр Monitoring of kas-milter daemon). Сообщения, создаваемые в процессе мониторинга работы модулей kas-thttpd и kas-milter отображаются на странице Monitoring → Anti-Spam Engine (см. п. 4.8.1.1 на стр. 75). 70 Kaspersky® Anti-Spam 3.0 Рисунок 24. Настройки Центра управления 4.7. Управление ключами Возможность использования Kaspersky Anti-Spam определяется наличием ключа. Ключ входит в поставку продукта и дает вам право использовать приложение со дня приобретения и установки ключа. Без ключа Kaspersky Anti-Spam не работает! Все почтовые сообщения пропускаются без фильтрации. Ключ содержит всю необходимую информацию, связанную с продуктом, которую вы приобрели, такую как: тип ключа, дата окончания действия ключа, информацию о дистрибьюторах и т.д. Помимо прав на использование приложения в течение срока действия ключа вы приобретаете следующие возможности: круглосуточную техническую поддержку; обновление баз Kaspersky Anti-Spam. По окончании срока действия ключа
функциональность приложения сохраняется за исключением возможности обновления баз Kaspersky Anti-
Spam. Вы по-прежнему можете проводить фильтрацию спама, но используя базы, актуальные на дату окончания ключа. Следовательно, Kaspersky Anti-
Spam не сможет эффективно бороться с новыми видами спам-рассылок. Поэтому крайне важно вовремя продлевать срок действия ключа на использование Kaspersky Anti-Spam. Существует также возможность установить резервный ключ, который будет использоваться приложением по истечении срока действия текущего ключа. Управление сервером фильтрации спама 71
Все операции, связанные с управлением установленными ключами могут быть выполнены при помощи Центра управления. 4.7.1. Просмотр информации о ключе Для просмотра информации о ключе и управления ключами служит страница Центра управления License → License Keys (см. рис. 25). В верхней части страницы расположен раздел Active License Information, содержащий следующие сведения: название установленного продукта; тип действующего ключа; срок действия ключа. Рисунок 25. Информация о ключе Kaspersky Anti-Spam Информация, представленная в двух последних строчках, позволяет администратору системы следить за соблюдением условий приобретенного ключа (срок действия, заданные ограничения). 72 Kaspersky® Anti-Spam 3.0 В зависимости от состояния, пиктограмма в левой части строки может иметь следующий вид: условия соблюдаются; продукт работает в условиях, близких к ограничениям, заданным ключом или срок действия ключа истекает в течение двух недель; срок действия ключа завершился или превышено ограничение, заданное условиями ключа (например, объем обработанного почтового трафика). В последних двух случаях строка также содержит поясняющее сообщение. Под информационным блоком находится список установленных ключей Kaspersky Anti-Spam с краткой информацией о каждом из них. 4.7.2. Установка нового ключа Для того чтобы установить новый ключ, администратор может либо воспользоваться Центром управления, либо произвести установку локально с помощью командной строки. Для того чтобы установить новый ключ с помощью Центра управления, выполните следующие действия: 1. Перейдите на страницу управления ключами License → License Keys. 2. В поле, расположенном в нижней части страницы в разделе Install a New License Key
, укажите путь к файлу ключа или воспользуйтесь кнопкой навигации по файловой системе, расположенной справа от поля ввода, для выбора необходимого файла. 3. Нажмите на кнопку Apply. Для того чтобы установить новый ключ локально с помощью командной строки, выполните следующую команду: # /usr/local/ap-mailfilter3/bin/install-key <key> где key путь к файлу, содержащему лицензионный ключ. Если вы
хотите установить новый ключ до истечения срока действия текущего, вы можете добавить его в качестве резервного. Резервный ключ начинает свою работу после истечения срока действия текущего ключа. Срок действия резервного ключа начинает отсчитываться с момента его активации. Можно установить только один резервный ключ. Управление сервером фильтрации спама 73
4.7.3. Удаление ключа Для того чтобы удалить активный и резервный ключи, в командной строке введите: # /usr/local/ap-mailfilter3/bin/remove-key a Для того чтобы удалить резервный ключ, в командной строке введите: # /usr/local/ap-mailfilter3/bin/remove-key r Ключи не могут быть удалены при помощи интерфейса Центра управления. 4.8. Мониторинг работы сервера фильтрации Kaspersky Anti-Spam включает в себя систему мониторинга состояния отдельных компонентов, позволяющую оперативно контролировать работу продукта, а также информировать администратора о возникающих неполадках в работе системы, используя интерфейс Центра управления. 4.8.1. Общие сведения о состоянии продукта Страница, расположенная по адресу Monitoring → General Status, предоставляет администратору системы краткие сведения о Kaspersky Anti-Spam и состоянии его основных компонентов (см. рис. 26). Для каждого из контролируемых компонентов, помимо информации о состоянии, данная страница также может содержать сведения о возникновении каких-либо событий, связанных с компонентом. 74 Kaspersky® Anti-Spam 3.0 Рисунок 26. Общие сведения о состоянии компонентов Kaspersky Anti-Spam Дополнительным средством индикации также являются пиктограммы, расположенные рядом с названием каждого из параметров. Вид пиктограммы свидетельствует о состоянии работы контролируемого компонента: Ошибка: сбой в работе компонента или превышение контролируемым параметром заданного значения. Предупреждение: неполадки в работе компонента, не носящие критичного характера для работы продукта в целом, или достижение контролируемым параметром значения, близкого к заданному ограничению. Нормальное состояние: компонент функционирует корректно или контролируемый параметр содержит допустимое значение. Раздел System Information содержит следующие сведения о сервере, на котором установлен Kaspersky Anti-Spam: Host Name имя cервера. System название, версия и тип архитектуры, используемой операционной системы. Load Average числовой параметр, отражающий степень загруженности сервера. Подробнее об этом параметре см. manual pages для утилит top и uptime. Управление сервером фильтрации спама 75
Раздел Kaspersky Anti-Spam предоставляет сводную информацию о продукте и состоянии ключевых его компонентов. Раздел содержит следующие поля: Product полное название установленного продукта. Version информация о версии и номере сборки используемого модуля фильтрации. Anti-Spam Engine состояние работы сервера фильтрации. Updates состояние баз Kaspersky Anti-Spam и системы обновлений. License состояние модуля лицензирования
. 4.8.1.1. Детальная информация о ядре сервера фильтрации При нажатии на ссылку Anti-Spam Engine
, расположенную в меню Monitoring, выполняется переход на страницу, содержащую детальную информацию о состоянии компонентов сервера фильтрации (см. рис. 27). Рисунок 27. Страница мониторинга состояния ядра сервера фильтрации Раздел Anti-Spam Engine содержит следующие поля: Version версия и номер сборки используемого модуля фильтрации. 76 Kaspersky® Anti-Spam 3.0 ap-process-server состояние мастер-процесса фильтрации. При нормальной работе процесса эта строка также содержит сведения об идентификаторе процесса (pid). ap-mailfilter состояние фильтрующих процессов. При нормальном функционировании эта строка также содержит сведения о числе выполняемых в данный момент процессов. ap-spfd состояние SPF-демона. В случае нормального функционирования демона в поле отображается
число выполняемых фильтрующих процессов. kas-thttpd состояние HTTP-сервера, используемого центром управления. Monitoring & Statistics информация о функционировании скриптов, связанных с мониторингом и обработкой статистики. Кроме того, контролируется наличие cron-задач запуска этих скриптов для пользователя mailflt3. Подробнее см. п. A.6 на стр. 124. Раздел Last Anti-Spam Engine Events содержит протокол сообщений компонентов сервера фильтрации, занесенных в системный журнал (syslog). Сообщения упорядочены по дате в порядке убывания и снабжены пиктограммами, указывающими уровень критичности сообщения. С помощью выпадающего списка View у администратора есть возможность определить категорию сообщений, которые будут отображаться в протоколе. Выпадающий список содержит следующие значения: All messages отображать все возможные сообщения; Notices, Warnings and Errors отображать все сообщения, кроме информационных; Warnings and Errors отображать только сообщения о критичных ошибках и предупреждениях; Errors only отображать только сообщения о критичных ошибках. 4.8.1.2. Детальная информация о модуле обновления Для перехода к странице, содержащей сведения о модуле обновления и состоянии баз Kaspersky Anti-Spam, воспользуйтесь ссылкой Updates
, расположенной в меню Monitoring (см. рис. 28). Управление сервером фильтрации спама 77
Раздел Anti-Spam Updates, расположенный в верхней части страницы, содержит следующие поля: Automatic Updates поле, указывающее, включено ли автоматическое обновление баз Kaspersky Anti-Spam. Подробнее о настройке скрипта обновления баз Kaspersky Anti-Spam см. п. 4.4.1 на стр. 55 и п. A.6 на стр. 124. Anti-Spam Database Id информация об установленных базах Kaspersky Anti-Spam: дата и время публикации баз, а также последних обновлений. Last Update дата и время последнего обновления баз Kaspersky Anti-Spam. Система мониторинга выдает предупреждение, если базы Kaspersky Anti-Spam не обновлялись длительное время. Рисунок 28. Страница мониторинга модуля обновления Раздел Last Updater Events содержит протокол сообщений системы обновления продукта, занесенных в системный журнал (syslog). Сообщения упорядочены по дате в порядке убывания и снабжены пиктограммами, указывающими уровень критичности сообщения. С помощью выпадающего списка View у администратора есть возможность определить категорию сообщений, которые будут отображаться в протоколе. Значения выпадающего списка и их смысл аналогичны значениям
, приведенным в описании страницы мониторинга сервера фильтрации (см. п. 4.8.1.1 на стр. 75). 78 Kaspersky® Anti-Spam 3.0 4.8.1.3. Детальная информация о модуле лицензирования Страница, расположенная по адресу Monitoring → License, предоставляет администратору сведения об используемом ключе, а также содержит протокол сообщений модуля лицензирования (см. рис. 29). Раздел Monitoring → License, расположенный в верхней части страницы, содержит следующие поля: Product название установленного продукта. License тип используемого ключа и данные о лицензионных ограничениях. Рисунок 29. Страница мониторинга работы модуля лицензирования Valid till дата окончания срока действия ключа. Система мониторинга начинает предупреждать администратора об истечении срока действия ключа за месяц до завершения срока. License Daemon состояние сервиса лицензирования. В случае нормального функционирования сервиса это поле также содержит идентификатор процесса (pid). Раздел Last License Daemon Events содержит протокол сообщений модуля лицензирования продукта, занесенных в системный журнал
(syslog). Управление сервером фильтрации спама 79
Сообщения упорядочены по дате в порядке убывания и снабжены пиктограммами, указывающими уровень критичности сообщения. С помощью раскрывающегося списка View у администратора есть возможность определить категорию сообщений, которые будут отображаться в протоколе. Значения выпадающего списка и их смысл аналогичны значениям, приведенным в описании страницы мониторинга сервера фильтрации (см. п. 4.8.1.1 на стр. 75). 4.8.2. Сообщения и отчеты системы мониторинга Кроме средств мониторинга, предоставляемых Центром управления, в Kaspersky Anti-Spam также входит скрипт sfmonitoring, обеспечивающий постоянный контроль за состоянием сервера фильтрации. Запуск этого скрипта производится автоматически с помощью сервиса cron. После запуска sfmonitoring осуществляет проверку состояния сервера фильтрации и, в случае обнаружения неполадок, отправляет о них сведения администратору. Существует два вида сообщений, отправляемых администратору скриптом мониторинга: сообщения о вновь обнаруженных ошибках сообщение об обнаружении неполадки в работе сервера фильтрации, содержащее описание возникшей ситуации. Сообщение об ошибке отправляется однократно. Если проблема не будет решена, то сообщение об ошибке будет также включено в отправляемый ежедневно отчет об известных проблемах. ежедневные отчеты об известных проблемах
список всех ошибок и предупреждений, известных на момент отправки отчета. В отчет включаются как вновь возникшие ошибки, так и обнаруженные ранее, но не устраненные к моменту создания отчета. Этот отчет отправляется один раз в сутки в полночь (согласно настройке часов сервера). Для того чтобы осуществить принудительную отправку отчета, выполните следующую команду от имени пользователя root: # su m mailflt3 -c '/usr/local/ap-mailfilter3/ \ control/bin/sfmonitoring m' для вывода отчета на консоль сервера: # su m mailflt3 -c '/usr/local/ap-mailfilter3/ \ control/bin/sfmonitoring p' 80 Kaspersky® Anti-Spam 3.0 Если Kaspersky Anti-Spam установлен на сервере, работающем под управлением дистрибутива RedHat, то для запуска утилиты sfmonitoring, используйте следующую команду: # su m mailflt3 -c '/usr/local/ap-mailfilter3/ \ control/bin/sfmonitoring -<параметры>'
Сообщения системы мониторинга отправляются на адрес, указанный на странице Settings → Maintenance → Control center (см. п. 4.6 на стр. 69). 4.9. Статистика работы Kaspersky Anti-Spam Для количественного анализа результатов работы продукта Центр управления содержит модуль, отвечающий за сбор статистических данных об обработанных сообщениях и отображение полученных данных средствами интерфейса Центра управления. Сбор статистических данных и их обработку выполняют специальные скрипты, запускаемые с помощью сервиса cron (подробнее об этих скриптах см. п. A.6 на стр. 124). Результаты обработки отображаются
в виде диаграмм на страницах раздела Statistics (см. рис. 30). Каждая из страниц раздела Statistics содержит статистическую информацию за определенный период времени. Ссылки на страницы расположены в меню Period в левой части окна раздела Statistics:
Last Day
статистика обработанных сообщений за последние двадцать четыре часа; Last Week
статистика обработанных сообщений за последние cемь дней; Last Month
статистика обработанных сообщений за последние тридцать дней; Last Year
статистика обработанных сообщений за последние триста шестьдесят пять дней. В верхней части страницы расположена таблица, содержащая суммарную информацию о количестве и размере обработанных сообщений различных типов. Под таблицей располагается график распределения объема обнаруженных сообщений различных типов по времени (согласно выбранному периоду), а также круговая диаграмма, иллюстрирующая процентное соотношение объема сообщений
различных типов. Управление сервером фильтрации спама 81
Рисунок 30. Страница отображения статистических данных На круговой диаграмме объем почтовых сообщений, получивших одинаковый статус по результатам распознавания, представлен сегментом определенного цвета. Для наглядности сегменты, размер которых незначителен по сравнению с другими, объединяются в единый сегмент Other. Ссылки Messages
и Bytes
в левом нижнем углу используются для выбора единиц измерения при отображении статистики по обработанному почтовому трафику сообщения или байты соответственно.
Ссылки Export data
CSV
| Html
, расположенные в правом нижнем углу, используются для экспорта статистических данных в формате CSV (Comma Separated Values) или в виде таблицы HTML. ГЛАВА 5. УДАЛЕНИЕ KASPERSKY ANTI-SPAM Для удаления Kaspersky Anti-Spam требуется наличие прав привилегированного пользователя (root). Если на момент удаления вы не обладаете такими правами, то вам необходимо войти в систему под пользователем root. Процесс удаления самостоятельно остановит работу всех сервисов Kaspersky Anti-Spam! При удалении производится остановка сервисов Kaspersky Anti-Spam, удаление созданных при установке файлов и каталогов. Однако каталоги и файлы, созданные или измененные администратором (конфигурационные файлы, базы Kaspersky Anti-Spam, файл ключа), сохраняются. Также выполняется восстановление параметров работы почтового сервера, использовавшихся до установки Kaspersky Anti-Spam. Если конфигурационный файл почтового сервера был изменен после установки Kaspersky Anti-Spam, то автоматическое восстановление прежних настроек не
будет выполнено и администратору потребуется вручную удалить изменения, внесенные продуктом при установке. Учетная запись пользователя mailflt3 и соответствующая ей группа mailflt3 из соображений безопасности не удаляются. Эти учетные записи могут быть удалены администратором вручную. Запуск процедуры удаления приложения выполняется различными способами в зависимости от используемого менеджера пакетов: если Kaspersky Anti-Spam установлен из rpm-пакета, для запуска процедуры удаления в командной строке введите: # rpm e kas-3-<версия дистрибутива> если Kaspersky Anti-Spam установлен из deb-пакета, для запуска процедуры удаления в командной строке введите:
# dpkg P kas-3 если Kaspersky Anti-Spam установлен из tbz-пакета, для запуска процедуры удаления в командной строке введите: # pkg_delete kas-3-<версия дистрибутива> Приложение A 83
Так как интеграция с почтовым сервером Communigate Pro выполняется вручную, то прежде чем удалить продукт, удалите из конфигурации Communigate Pro настройки, относящиеся к Kaspersky Anti-Spam (см. п. A.2.7 на стр. 105). Если вы хотите вернуть настройки почтового сервера, использовавшиеся до установки Kaspersky Anti-Spam, не удаляя его при этом, воспользуйтесь скриптом MTA-unconfig.pl, расположенным в каталоге /usr/local/ap-
mailfilter3/bin. После запуска этот скрипт восстановит первоначальные параметры работы почтового сервера, использовавшиеся до установки Kaspersky Anti-Spam. Однако упомянутый скрипт не может быть использован для восстановления первоначальной конфигурации почтового сервера если: в конфигурационный файл почтового сервера после установки Kaspersky Anti-Spam были внесены изменения; используется почтовый сервер Exim, а в качестве клиентского модуля kas-exim; используется почтовый сервер Communigate Pro. В описанных ситуациях администратору необходимо вручную удалить изменения, внесенные в конфигурацию почтового сервера. Более подробное описание изменений, вносимых в конфигурацию почтовых серверов при интеграции с Kaspersky Anti-Spam, описаны в
A.2 на стр. 89. ГЛАВА 6. ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ В данной главе рассматриваются наиболее распространенные вопросы пользователей по установке, настройке и работе приложения. Постоянно пополняемая База знаний, содержащая ответы на часто задаваемые вопросы, расположена на сайте «Лаборатории Касперского» по адресу http://support.kaspersky.ru/anti_spam3
. Здесь вы можете найти ответы на вопросы, которые не перечислены ниже. Также вы можете написать запрос в Службу технической поддержки через web-форму HelpDesk (http://www.kaspersky.ru/helpdesk
). Вопрос
: зачем нужен ключ? Может ли приложение работать без него? Без ключа Kaspersky Anti-Spam не работает. Если вы еще не решились на приобретение приложения, мы можем предоставить вам пробный ключ (Trial), который будет работать в течение двух недель или месяца. По истечении данного срока ключ будет заблокирован. Вопрос
: что произойдет, когда истечет срок действия ключа на использование приложения? По истечении срока действия ключа на использование Kaspersky Anti-Spam приложение будет продолжать работу, но использование новых баз Kaspersky Anti-Spam станет невозможным. Приложение по-прежнему будет выполнять фильтрацию почтового трафика, но не будет фильтровать новые виды спама. При возникновении данной ситуации проинформируйте вашего системного администратора
или обратитесь за продлением ключа в компанию, где был приобретен Антивирус Касперского или непосредственно в ЗАО «Лаборатория Касперского». Вопрос
: Зачем нужны регулярные обновления? Спам является острой проблемой для всех пользователей сети, а для компаний он является прямой и явной угрозой бизнесу. По последним данным объем спама в Рунете сейчас составляет 75-80% от всей почты и постоянно появляются новые виды рассылок. Для того чтобы оперативно реагировать на появление новых рассылок и
тем самым блокировать их распространение, необходимо регулярно обновлять базы Kaspersky Anti-Spam, Часто задаваемые вопросы 85
используемые для фильтрации спама. Обновления баз Kaspersky Anti-Spam публикуются на серверах обновлений «Лаборатории Касперского» каждые двадцать минут. Вопрос: Приложение не работает. Что мне делать? Если при использовании приложения возникли проблемы, прежде всего убедитесь, не описан ли метод решения вашей проблемы в данной документации, в частности в этом разделе, или на сайте «Лаборатории
Касперского» в Базе знаний (http://support.kaspersky.ru/anti_spam3
). Если вы не нашли решения вашей проблемы в документации и Базе знаний на веб-сайте, рекомендуем вам обратиться в Службу технической поддержки «Лаборатории Касперского». Для решения срочных проблем позвоните по телефонам, указанным в разделе документации Наши координаты (см. п. C.2 на стр. 141). Поддержка пользователей по телефону осуществляется в круглосуточном режиме на русском, английском, французском и немецком языках. Обратите внимание, что для получения помощи вы должны иметь статус зарегистрированного пользователя и сообщить сотруднику Службы технической поддержки ваш регистрационный номер (при покупке коробочного варианта продукта) либо информацию по вашему заказу (при покупке продукта через интернет). Кроме того, вы можете написать запрос в Службу технической
поддержки (http://www.kaspersky.ru/helpdesk
). При заполнении веб-формы будьте внимательны: укажите точную информацию об используемом продукте «Лаборатории Касперского», регистрационные данные, постарайтесь наиболее полно описать вашу проблему. В обязательных для заполнения полях укажите: Тип запроса. Выберите тематическую категорию, к которой относится ваш запрос. Название продукта «Лаборатории Касперского», который вы используете (например, Kaspersky Anti-Spam 3.0). Текст запроса. Опишите проблему, возникшую при использовании продукта «Лаборатории Касперского». Регистрационную информацию. Укажите тип регистрации: ключ, если вы приобрели коробочный вариант продукта, либо онлайн-заказ при покупке продукта через интернет. В зависимости от выбранного типа регистрации в поле ниже 86 Kaspersky® Anti-Spam 3.0 укажите серийный номер ключа либо номер заказа через интернет. Информацию о серийном номере Kaspersky Anti-Spam представлена на странице License Центра управления (см. п. 4.7.1 на стр. 71). Электронный адрес, по которому специалисты Службы технической поддержки смогут связаться с вами. В следующем окне веб-формы укажите контактную информацию, введите код защиты от автоматической регистрации и
нажмите на кнопку Отправить запрос. Специалисты Службы технической поддержки внимательно изучат вашу проблему и помогут вам как можно скорее. Вопрос
: Как мне проверить, выполняет ли Kaspersky Anti-Spam фильтрацию спам-сообщений? Для проверки фильтрации вы можете использовать специальный шаблон GTUBE (Generic Test for Unsolicited Bulk Email). Проверка фильтрации спама при помощи GTUBE аналогична проверке работы антивирусных программ при помощи тестового вируса EICAR. Создайте почтовое сообщение, содержащее следующую строку (без пробелов и переносов): XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-
EMAIL*C.34X и отправьте его на почтовый адрес, защищенный Kaspersky Anti-
Spam. В результате распознавания почтовому сообщению будет присвоен статус SPAM и над сообщением будем выполнено действие, заданное политикой группы адресата. Вопрос
: При высокой нагрузке на сервер Kaspersky Anti-Spam не выполняет фильтрации спама. Обработанные сообщения содержат заголовок: X-SpamTest-Info: Not processed Одной из наиболее вероятных причин возникновения проблемы является то, что при интенсивной обработке большого объема почтовых сообщений фильтрующие процессы приложения не успевают за заданный период времени выполнить соединение с модулем лицензирования (kas-license) для проверки соответствия запроса обработки условиям ключа. Для устранения проблемы рекомендуется увеличить значения тайм-аутов на подключение и обмен данными с модулем kas-license, заданные параметрами FilterLicenseConnectTimeout и FilterLicenseDataTimeout. Если указанные действия не привели к Часто задаваемые вопросы 87
решению проблемы, обратитесь в службу технической поддержки «Лаборатории Касперского» (см. выше). Вопрос
: Kaspersky Anti-Spam не выполняет фильтрации спама. Обработанные сообщения содержат заголовок: X-SpamTest-Info: No License Причиной проблемы является истечение срока действия ключа, либо отсутствие установленного ключа. Убедитесь, что ключ установлен и срок его действия не истек. Подробнее об управлении ключами см. п. 4.7 на стр. 70. Вопрос
: Kaspersky Anti-Spam не выполняет проверку IP-адресов cтандарта IPv6, полученных из заголовков Received. В Kaspersky Anti-Virus 3.0 не реализована поддержка проверки IP-
адресов стандарта IPv6. Вопрос
: Попытка интеграции с почтовым сервером Exim при помощи скрипта MTA-config.pl не может быть выполнена. На консоль сервера выводится следующее сообщение: Your Exim configuration file /usr/local/etc/exim/configure already contains kas-exim local_scan configuration parameters. If your Exim hasn't been integrated with kas-
exim, remove all local_scan parameters and try again. Данное сообщение свидетельствует о том, что интеграция с почтовым сервером Exim уже выполнена вручную с использованием клиентского модуля kas-exim. При использовании скрипта MTA-config.pl выполняется попытка установки клиентского модуля kas-pipe. Удалите настройки взаимодействия с модулем kas-exim (подробнее об использовании kas-exim см. п. A.2.5 на стр. 101) из конфигурации Exim и повторите попытку интеграции. ПРИЛОЖЕНИЕ A. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ О KASPERSKY ANTI-SPAM A.1. Расположение файлов продукта по каталогам После установки Kaspersky Anti-Spam файлы дистрибутива расположены следующим образом: /usr/local/ap-mailfilter3/ основной каталог, в который производится установка продукта. Включает в себя: bin/ каталог хранения исполняемых файлов и скриптов продукта: cfdata/ каталог хранения баз Kaspersky Anti-Spam и обновлений модулей Kaspersky Anti-Spam. conf/ каталог хранения конфигурационных файлов. Этот каталог включает следующие подкаталоги: def/ каталог, содержащий файлы, необходимые для компиляции политик фильтрации сообщений, включая исходные файлы баз Kaspersky Anti-Spam и файлы, содержащие информацию о политиках фильтрации; data/ каталог хранения бинарных файлов конфигурации; src/ каталог, содержащий промежуточное представление файлов правил фильтрации, используемое при компиляции правил. tmp/ каталог хранения временных файлов, используемых при работе с
конфигурационными данными. control/ каталог хранения файлов Центра управления. Включает в себя следующие подкаталоги: bin/ каталог исполняемых файлов и скриптов Центра управления; Приложение A 89
lib/ каталог хранения файлов библиотек, используемых Центром управления; stat/ файлы данных системы обработки протоколов работы и статистики; tmp/ каталог хранения временных файлов Центра управления; www/ cgi-скрипты и графические файлы, используемые в веб-интерфейсе Центра управления. etc/ каталог, содержащий конфигурационные файлы Kaspersky Anti-Spam; lib/ библиотеки, используемые продуктом при работе; log/ каталог для хранения файлов протокола работы сервера фильтрации, используемых для формирования статистики; run/ рабочий каталог продукта. Этот каталог также служит для хранения pid-файлов запущенных процессов сервера фильтрации; src/ каталог, содержащий исходные тексты модуля kas-exim. A.2. Клиентские модули почтовых серверов В состав Kaspersky Anti-Spam входят следующие клиентские модули, используемые для интеграции продукта с различными почтовыми серверами: kas-milter клиентский модуль для почтового сервера Sendmail; kas-pipe универсальный клиентский модуль; по умолчанию используется для почтовых серверов Postfix и Exim; kas-exim клиентский модуль для почтового сервера Exim (альтернативный вариант); kas-qmail клиентский модуль для почтового сервера Qmail; kas-cgpro клиентский модуль для почтового сервера Communigate Pro. Интеграция продукта с почтовым сервером выполняется на этапе установки Kaspersky Anti-Spam при помощи специальных скриптов конфигурирования. 90 Kaspersky® Anti-Spam 3.0 Данное приложение содержит более детальные сведения о схемах работы клиентских модулей, их конфигурационных файлах и особенностях настройки почтовых серверов. A.2.1. Взаимодействие клиентских модулей с сервером фильтрации Взаимодействие клиентского модуля с сервером фильтрации выполняется согласно следующему алгоритму: 1. Клиентский модуль получает письмо от почтового сервера и посылает запрос на соединение с сервером фильтрации. 2. Мастер-процесс фильтрации выбирает уже запущенный фильтрующий процесс или создает новый и устанавливает соединение между клиентским модулем и данным фильтрующим процессом. 3. По установленному соединению клиентский модуль передает письмо на проверку и получает от фильтрующего процесса результаты обработки письма. 4. В соответствии с полученным результатом клиентский модуль выполняет, если это требуется, модификацию письма и возвращает его почтовому серверу. Взаимодействие между клиентским модулем, мастер-процессом фильтрации и фильтрующим процессом осуществляется с использованием внутреннего протокола через сетевой или локальный сокет. Использование сетевого сокета позволяет размещать сервер фильтрации и почтовый сервер с интегрированным в него клиентским модулем на разных серверах. При этом если объем обрабатываемого почтового трафика позволяет, выделенный сервер фильтрации может обслуживать несколько почтовых серверов. Эта конфигурация требует ручной настройки параметров взаимодействия компонентов Kaspersky Anti-Spam и почтового сервера. A.2.2. Общие параметры клиентских модулей В Kaspersky Anti-Spam версии 3.0 настройки клиентских модулей содержатся в общем конфигурационном файле сервера фильтрации filter.conf, хранящемся в каталоге /usr/local/ap-mailfilter3/etc/. Приложение A 91
Следующие настройки являются общими для всех клиентских модулей: ClientConnectTo адрес сокета взаимодействия с сервером фильтрации. Запись формата tcp:<host>:<port>, где <host> IP-адрес сервера фильтрации, <port> порт соединения, указывает на сетевой сокет, а запись формата unix:<путь_к_файлу>, где <путь_к_файлу> путь к файлу сокета, указывает на локальный сокет. ClientConnectTimeout максимальное время ожидания (в секундах) при установке соединения с сервером фильтрации. ClientDataTimeout максимальное время ожидания (в секундах) при операциях обмена данными с сервером фильтрации. ClientOnError режим обработки ошибочной ситуации (невозможно установить соединение с сервером фильтрации, превышено время ожидания при обмене данными и т. п.). Возможные значения
: reject отклонить прием письма, вернуть код 5xx в процессе SMTP-cессии; tempfail временно отклонить прием письма, вернуть код 4xx в процессе SMTP-cессии (используется по умолчанию); accept принять письмо. При использовании почтового сервера Sendmail действие accept означает принятие сообщения без дальнейшей обработки другими Milter-фильтрами, используемыми почтовым сервером после Kaspersky Anti-Spam. ClientDefaultDomain имя почтового домена, подставляемое в адрес, в котором не указан почтовый домен. Пример: если в качестве домена по умолчанию указан домен mycompany.com, то адрес someuser будет интерпретирован как someuser@mycompany.com. Если данный параметр не задан, то подстановка имени домена не производится (по умолчанию параметр не задан). ClientFilteringSizeLimit максимальный размер
(в килобайтах) письма, которое может быть передано серверу фильтрации. Письма большего размера пропускаются без обработки сервером фильтрации. Значение по умолчанию: 500. ClientMessageStoreMem минимальный размер письма (в килобайтах), при котором используется режим хранения промежуточных данных на диске. Этот режим позволяет контролировать объем используемой оперативной памяти. Если 92 Kaspersky® Anti-Spam 3.0 параметру присвоено значение 0 (значение по умолчанию), то все данные всегда хранятся в оперативной памяти. ClientTempDir путь к каталогу хранения временных файлов. A.2.3. kas-milter клиентский модуль для почтового сервера Sendmail Для интеграции с почтовым сервером Sendmail Kaspersky Anti-Spam использует клиентский модуль kas-milter. Взаимодействие клиентского модуля с почтовым сервером осуществляется посредством библиотеки libmilter. Диаграмма взаимодействия модулей при работе Kaspersky Anti-Spam с Sendmail представлена на рис. 31. Рисунок 31. Схема взаимодействия Kaspersky Anti-Spam с почтовым сервером Sendmail Настройка параметров взаимодействия клиентского модуля и почтового сервера может быть выполнена как с помощью специальных скриптов (см. п. 3.5 на стр. 29), так и вручную. Настройка вручную параметров работы клиентского модуля выполняется путем редактирования конфигурационного файла filter.conf, расположенного в каталоге /usr/local/ap-mailfilter3/etc/. Далее представлен фрагмент этого файла, содержащий настройки клиентского модуля: ClientConnectTo tcp:127.0.0.1:2277 ClientConnectTimeout 10 ClientDataTimeout 30 SendMailAddress unix:/var/run/kas-milter.socket ClientOnError accept ClientFilteringSizeLimit 500 ClientDefaultDomain localhost Помимо параметров, описанных ранее в приложении A.2.2, для модуля kas-milter в файле filter.conf дополнительно задается параметр SendMailAddress, определяющий сокет взаимодействия с Sendmail. Приложение A 93
Для того чтобы настроить Sendmail на взаимодействие с kas-milter добавьте следующие строки в конфигурационный файл sendmail.cf: Xkasfilter,S=local:/var/run/kas-milter.socket, T=C:10s,S:20s, R:30s O InputMailFilters=kasfilter Подробное описание настройки фильтров в sendmail.cf приведено в документации по Sendmail. Как правило при загрузке операционной системы запуск Sendmail осуществляется раньше запуска Kaspersky Anti-Spam, в результате чего Sendmail не может найти сокет взаимодействия и в системный журнал вносится запись: WARNING: Xkas: local socket name <
файл_сокета> missing Это предупреждение не свидетельствует о каких-либо неполадках, так как отсутствующий файл сокета создается клиентским модулем kas-milter после запуска Kaspersky Anti-Spam. Особенности использования клиентского модуля kas-milter с почтовым сервером Sendmail: kas-milter не создает копий сообщения при обработке; из чего следует, что если письмо отправлено нескольким адресатам, принадлежащим к разным группам с отличающимися правилами обработки, то над письмом выполняются действия, определенные в каждой из групп. Пример: Сообщение отправлено на почтовые адреса alice@mycompany.com и bob@mycompany.com. Указанные почтовые адреса принадлежат к группам sales и managers соответственно. По результатам фильтрации почтове сообщение получило статус Spam для группы sales и Not detected для группы managers. По правилам группы sales для сообщений со статусом Spam в тему сообщения добавляется метка [!! SPAM], а в правилах группы managers для сообщений со статусом Not Detected указано действие Accept this message. В результате почтовое сообщение с меткой [!! SPAM] в поле темы письма доставляется обоим адресатам. При этом письмо содержит следующие заголовки: X-Spamtest-Status-Extended: SPAM X-Spamtest-Status-Extended: Not detected X-Spamtest-Group-ID: 00000002 X-Spamtest-Group-ID: 00000001 94 Kaspersky® Anti-Spam 3.0 Что говорит о том, что сообщение было обработано по правилам групп с идентификаторами 1 и 2 (идентификаторы групп sales и managers), и сообщению были присвоены статусы SPAM и Not Detected. Подробнее описание перечисленных заголовков см. п. A.5 на стр. 121. если почтовое сообщение отправлено нескольких адресатам и при этом для некоторых из них доставка сообщения
запрещена (действие reject message), а для некоторых разрешена (действие accept message), то уведомление отправителю о невозможности доставки письма отдельным получателям (bounce message) не высылается; так как для Sendmail нет возможности задать ограничение на количество одновременных соединений на порт 25, то количество запущенных фильтрующих процессов ap-mailfilter напрямую зависит от количества входящих соединений, что может вызвать дополнительную
нагрузку на сервер. A.2.4. kas-pipe клиентский модуль для почтовых серверов Postfix, Exim Модуль kas-pipe является универсальным клиентским модулем Kaspersky Anti-Spam и может быть использован для интеграции с любым из поддерживаемых почтовых серверов. При стандартной установке kas-pipe используется для интеграции с Postfix и Exim. Модуль kas-pipe принимает почту и возвращает ее после фильтрации почтовому серверу, используя протоколы SMTP или LMTP. Запуск модуля kas-pipe выполняется внешним приложением (например, почтовым сервером). Для
передачи почты далее служит сетевой или локальный сокет. Также допускается запуск принимающего приложения с помощью команд fork и exec. Диаграмма взаимодействия модулей при работе Kaspersky Anti-Spam с использованием kas-pipe представлена на рис. 32. Эта схема работы может быть реализована с любым почтовым сервером, поддерживающим либо возможность запуска второй копии с другими настройками, либо доставку по протоколу LMTP, либо доставку всей почты по SMTP заданному почтовому серверу. Приложение A 95
Рисунок 32. Схема использования модуля kas-pipe Настройка параметров взаимодействия клиентского модуля и почтового сервера может быть выполнена как с помощью специальных скриптов (см. п. 3.5 на стр. 29), так и вручную. Настройка вручную параметров работы клиентского модуля выполняется путем редактирования конфигурационного файла filter.conf, расположенного в каталоге /usr/local/ap-mailfilter3/etc/. Далее представлен пример фрагмента этого файла, содержащий настройки клиентского модуля: ClientConnectTo tcp:127.0.0.1:2277 ClientConnectTimeout 10 ClientDataTimeout 30 PipeInProtocol lmtp PipeOutProtocol lmtp PipeOutgoingAddr exec:/usr/sbin/sendmail bs PipeMultipleMessagesAllowed yes ClientDefaultDomain localhost ClientOnError accept ClientFilteringSizeLimit 500 Помимо параметров, описанных ранее в Приложении A.2.2, настройки модуля kas-pipe в файле filter.conf дополнительно содержат параметры
: PipeInProtocol протокол, используемый для получения почтовых сообщений. Возможные значения: smtp, lmtp. PipeOutProtocol протокол, используемый для передачи обработанных сообщений. Возможные значения: smtp, lmtp. PipeHELOGreeting имя домена, используемое модулем kas-pipe в SMTP-сессии при приветствии. Значение по умолчанию: kas30pipe.+ <имя домена сервера>. 96 Kaspersky® Anti-Spam 3.0 PipeOutgoingAddr адрес cокета, используемого для передачи обработанных сообщений. Запись формата tcp:<host>:<port>, где <host> IP-адрес сервера фильтрации, <port> порт соединения, указывает на сетевой сокет, запись формата unix:<путь_к_файлу>, где <путь_к_файлу> путь к файлу сокета, указывает на локальный сокет. Запись формата exec:/<путь к исполняемому файлу программы> <
параметры> указывает на программу, которая будет запущена для передачи почтовых сообщений. PipeOutConnectTimeout=5...600 тайм-аут на установление соединения с сокетом или программой, используемой для передачи обработанных сообщений (задается параметром PipeOutgoingAddr). PipeOutDataTimeout=5...600 тайм-аут на передачу данных через сокет или программу, заданную параметром PipeOutgoingAddr. PipeMultipleMessagesAllowed использование режима создания копий письма в случае, когда результаты фильтрации различны для разных получателей. Возможные значения: yes, no. PipeUseXForward поддержка команды XForward, позволяющей получить IP-адрес сервера, с которого поступило почтовое сообщение (только при работе с Postfix). Возможные значения: yes, no. Pipe8BitHack использование расширения 8BITMIME. Возможные значения: yes, no. Задайте значение yes если ваш почтовый сервер
настроен на поддержку расширения 8BITMIME. PipeBufferedIO использование буферизации при обработке почтовых сообщений. Буферизация позволяет ускорить обработку сообщений, используя дополнительные объемы оперативной памяти. Возможные значения: yes, no. Особенности использования клиентского модуля kas-pipe: Так как почтовое сообщение передается kas-pipe по протоколу SMTP или LMTP, отсутствует возможность (для всех почтовых серверов кроме Postfix) определить IP-адрес сервера, отправившего это сообщение. Все DNS-проверки могут быть выполнены лишь с IP-адресами, находящимися в заголовках Received. При использовании Postfix задайте для параметра PipeUseXForward значение yes для того чтобы kas-pipe получал IP-адрес сервера, с которого пришло почтовое сообщение. Так как kas-pipe интегрируется с почтовым сервером после очереди входящих сообщений, у клиентского модуля нет возможности выполнить действие reject в процессе SMTP-сессии. Если для сообщения задано действие reject this message, то отправителю будет отправлено уведомление о невозможности доставки письма адресату (bounce message). Приложение A 97
A.2.4.1. Настройка Postfix для работы с kas-pipe Данный раздел содержит пример конфигурации kas-pipe и почтового сервера Postfix, в котором реализуется следующая схема работы: kas-pipe работает как контентный фильтр (content_filter); kas-pipe принимает почту, используя сетевой сокет localhost:9026 и сервис kas3scan, заданный вручную в конфигурации Postfix; kas-pipe отдает почту, прошедшую обработку Kaspersky Anti-Spam, по протоколу SMTP на сокет localhost:9025. Cервис kas3scan задает ограничение на количество одновременных соединений и использует опцию smtp_send_xforward_command для передачи модулю kas-pipe IP-адреса сервера, с которого поступило почтовое сообщение. Для реализации описанной схемы работы выполните следующие действия: 1. В конфигурационном файле filter.conf задайте следующие значения параметров: ClientConnectTo tcp:127.0.0.1:2277 PipeMultipleMessagesAllowed yes PipeInProtocol smtp PipeOutProtocol smtp PipeOutgoingAddr tcp:127.0.0.1:9025 PipeUseXForward yes 2. Внесите следующие изменения в конфигурационный файл Postfix (master.cf): smtp inet n - n - - smtpd ### KASPERSKY ANTI-SPAM BEGIN ### -o content_filter=kas3scan:127.0.0.1:9026 ### KASPERSKY ANTI-SPAM END ### pickup fifo n - n 60 1 pickup ### KASPERSKY ANTI-SPAM BEGIN ### -o content_filter=kas3scan:127.0.0.1:9026 ### KASPERSKY ANTI-SPAM END ### 98 Kaspersky® Anti-Spam 3.0 ### KASPERSKY ANTI-SPAM BEGIN ### 127.0.0.1:9026 inet n n n - 20 spawn user=mailflt3 argv=/usr/local/ap-mailfilter3/bin/ kas-pipe 127.0.0.1:9025 inet n - n - 25 smtpd -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions= permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=no -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o receive_override_options= no_address_mappings kas3scan unix - - n - 10 smtp -o smtp_send_xforward_command=yes ### KASPERSKY ANTI-SPAM END ### Для Postfix версии 2.1 и выше возможна настройка kas-pipe в качестве прокси-фильтра (smtpd_proxy_filter). Это позволяет использовать действие reject в процессе SMTP-сессии, что ускорит обработку писем. Однако такая настройка рекомендуется лишь для слабозагруженных почтовых серверов. Для того чтобы настроить kas-pipe в качестве прокси-фильтра, измените первые две строки описанного
выше примера на следующие: smtp inet n - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:9026 Приложение A 99
A.2.4.2. Настройка Exim для работы с kas-pipe Интеграция kas-pipe с почтовым сервером Exim осуществляется путем добавления в конфигурацию Exim нового роутера в начало списка роутеров, а также соответствующего ему транспорта, который используется для запуска kas-pipe. Этот роутер условный, он не срабатывает на почту, отправленную локально по протоколу ESMTP. Проверка почтовых сообщений при использовании клиентского модуля kas-pipe и Exim осуществляется согласно следующей схеме: 1. Exim принимает
входящую почту на порт 25 и помещает ее в очередь. 2. Exim выбирает сообщение из очереди и просматривает список роутеров с целью определения подходящего для выбранного сообщения. Так как роутер, указывающий на kas-pipe расположен первым в списке, то все сообщения отправляются соответствующим транспортом клиентскому модулю kas-pipe. 3. После проверки сообщения kas-pipe возвращает его, выполнив команду exim bs. Почтовое сообщение вновь попадает в очередь Exim, но теперь роутер для модуля kas-pipe не сработает, так как почта отправлена локально. 4. Exim доставляет почтовое сообщение адресату. Для реализации описанной схемы работы выполните следующие действия: 1. В конфигурационном файле filter.conf задайте следующие значения параметров: PipeInProtocol lmtp PipeOutProtocol smtp PipeOutgoingAddr exec:/usr/local/sbin/exim -bs 2. Внесите следующие изменения в конфигурационный файл Exim: Добавьте следующие строки в раздел ROUTERS: begin routers # ROUTER ADDED BY KAS 3.0 INSTALLER kas30router: driver = accept local_parts = passwd;$local_part : lsearch 100 Kaspersky® Anti-Spam 3.0 condition = "${if !eq {$received_protocol} {local-esmtp}{yes}}" transport = kas30transport Добавьте следующие строки в раздел TRANSPORTS: begin transports # TRANSPORT ADDED BY KAS 3.0 INSTALLER kas30transport: driver = lmtp batch_max = 100 command = /usr/local/ap-mailfilter3/bin/kas-pipe return_path_add = false Для дистрибутива Debian интеграция продукта с Exim имеет ряд особенностей в силу того, что конфигурация почтового сервера генерируется специальным скриптом update-exim4.conf из шаблона /etc/exim4/exim4.conf.template или нескольких шаблонов, расположенных в каталоге /etc/exim4/conf.d/. Использование одного или нескольких шаблонов определяется параметром use_split_files конфигурационного файла Exim exim4-update.conf.conf. Результирующая конфигурация хранится в файле /var/lib/exim4/config.autogenerated. Интеграция Kaspersky Anti-Spam с почтовым сервером Exim для дистрибутива Debian может быть выполнена как автоматически с помощью специального скрипта (cм. п. 3.5 на стр. 29), так и вручную. Для того чтобы настроить Exim на работу с модулем kas-pipe, выполните следующее: если для настройки конфигурации Exim используется шаблон exim4.conf.template, то добавьте в соответствующие секции ROUTERS и TRANSPORTS строки, указанные выше. если для
настройки конфигурации Exim используются шаблоны из каталога /etc/exim4/conf.d/, то 1. в каталоге /etc/exim4/conf.d/router/ создайте файл 099_exim4-config_kas30router и добавьте в него следующие строки: kas30router: driver = accept local_parts = passwd;$local_part : lsearch condition = "${if !eq {$received_protocol} {local-esmtp}{yes}}" transport = kas30transport Приложение A 101
2. в каталоге /etc/exim4/conf.d/transport/ создайте файл 30_exim4-config_kas30transport и добавьте в него следующие строки: kas30transport: driver = lmtp batch_max = 100
command = /usr/local/ap-mailfilter3/bin/kas-pipe return_path_add = false После внесения изменений запустите скрипт update-exim4.conf, для того чтобы настроить систему на использование новых параметров. A.2.5. kas-exim клиентский модуль для почтового сервера Exim Модуль kas-exim предназначен для интеграции Kaspersky Anti-Spam с почтовым сервером Exim версии 4.xx c использованием localscan API. Работа через kas-exim является альтернативным решением. При стандартной установке интеграция с Exim осуществляется с использованием клиентского модуля kas-pipe. В отличие от модуля kas-pipe, kas-exim не требует запуска второй копии почтового сервера для передачи сообщений. Применение localscan API требует перекомпиляции Exim, поэтому модуль kas-exim поставляется в исходном коде на языке C и его установка выполняется вручную. Для компиляции почтового сервера Exim с подключением модуля kas-exim выполните следующие действия: 1. Поместите файл kas_exim.c, расположенный в каталоге /usr/local/ap-mailfilter3/src/, в каталог Local дерева исходных файлов Exim. 2. Внесите следующие изменения в файл Makefile, расположенный в каталоге Local: CFLAGS= -I/usr/local/ap-mailfilter3/include EXTRALIBS_EXIM=-L/usr/local/ap-mailfilter3/lib -lspamtest LOCAL_SCAN_SOURCE=Local/kas_exim.c LOCAL_SCAN_HAS_OPTIONS=yes 3. Выполните компиляцию Exim. 102 Kaspersky® Anti-Spam 3.0 Все параметры работы модуля kas-exim задаются в конфигурационном файле Exim, а не в filter.conf. Ниже представлен фрагмент конфигурационного файла Exim, содержащий настройки модуля kas-exim: begin local_scan kas_connect_to = tcp:127.0.0.1:2277 kas_connect_timeout = 40 kas_data_timeout = 30 kas_default_domain = localhost kas_filtering_size_limit = 500 kas_on_error=accept kas_log_level=3 Этот фрагмент содержит следующие параметры: kas_connect_to адрес сокета взаимодействия с сервером фильтрации. Запись формата tcp:<host>:<port>, где <host> IP-адрес сервера фильтрации, <port> порт соединения, указывает на сетевой сокет, запись формата unix:<путь_к_файлу>, где <путь_к_файлу> путь к файлу сокета, указывает на локальный сокет. kas_connect_timeout максимальное время ожидания (в секундах) при установке соединения с сервером фильтрации. kas_data_timeout максимальное время ожидания (в секундах) при операциях обмена данными с сервером фильтрации. kas_default_domain имя почтового домена, подставляемое в адрес, в котором не указан почтовый домен. kas_filtering_size_limit максимальный
размер (в килобайтах) письма, которое может быть передано серверу фильтрации. Письма большего размера пропускаются без обработки сервером фильтрации. kas_on_error режим обработки ошибочной ситуации (невозможно установить соединение с фильтрующим процессом, превышено время ожидания при обмене данными и т. п.). Возможные значения: reject отклонить прием письма, вернуть код 5xx в процессе SMTP-c
ессии; tempfail временно отклонить прием письма, вернуть код 4xx в процессе SMTP-cессии (используется по умолчанию); Приложение A 103
accept принять сообщение. kas_log_level уровень детализации записи в лог-файл. Запись осуществляется в отладочном режиме работы Exim. Особенности использования клиентского модуля kas-exim с почтовым сервером Exim: kas-exim, как и kas-milter, не создает копий сообщения при обработке; из чего следует, что если письмо отправлено нескольким адресатам, принадлежащим к разным группам с отличающимися правилами обработки
, то над письмом выполняются действия, определенные в каждой из групп; если почтовое сообщение отправлено нескольких адресатам и при этом для некоторых из них доставка сообщения запрещена (действие reject message), а для некоторых разрешена (действие accept message), то уведомление отправителю о невозможности доставки письма отдельным получателям (bounce message) не высылается. A.2.6. kas-qmail клиентский модуль для почтового сервера Qmail Клиентский модуль kas-qmail предназначен для интеграции Kaspersky Anti-Spam с почтовым сервером Qmail. При использовании этого модуля обработка почтового трафика осуществляется согласно следующему алгоритму: 1. Модуль qmail-queue почтового сервера Qmail заменяется клиентским модулем kas-qmail, который осуществляет передачу на сервер фильтрации входящей почты для обработки. 2. Обработанный почтовый трафик возвращается модулю kas-qmail и перенаправляется далее модулю qmail-queue. Диаграмма взаимодействия модулей при работе Kaspersky Anti-Spam с использованием kas-qmail представлена на рис. 33. Настройка параметров взаимодействия клиентского модуля и почтового сервера может быть выполнена как с помощью специальных скриптов (см. п. 3.5 на стр. 29), так и вручную. 104 Kaspersky® Anti-Spam 3.0 Рисунок 33. Схема взаимодействия Kaspersky Anti-Spam с почтовым сервером Qmail Настройка вручную параметров работы клиентского модуля выполняется путем редактирования конфигурационного файла filter.conf, расположенного в каталоге /usr/local/ap-mailfilter3/etc/. Ниже представлен фрагмент файла filter.conf, содержащий настройки модуля kas-qmail: ClientConnectTo tcp:127.0.0.1:2277 ClientConnectTimeout 10 ClientDataTimeout 30 QMailOriginalQueue /var/qmail/bin/qmail-queue.kas ClientOnError accept ClientFilteringSizeLimit 500 ClientDefaultDomain localhost Помимо параметров, описанных в Приложении A.2.2, этот файл содержит параметр QMailOriginalQueue, определяющий полный путь к оригинальному модулю qmail-queue. Для того чтобы настроить Qmail на работу с клиентским модулем kas-
qmail, выполните следующие действия: 1. Переименуйте файл оригинального модуля qmail-queue, выполнив следующую команду: # mv /var/qmail/bin/qmail-queue /var/qmail/bin/qmail-queue.kas 2. Установите модуль kas-qmail вместо qmail-queue, выполнив следующие команды: # cp /usr/local/ap-mailfilter3/bin/kas-qmail /var/qmail/bin/qmail-queue # chown qmailq /var/qmail/bin/qmail-queue # chgrp qmail /var/qmail/bin/qmail-queue Приложение A 105
# chmod 04755 /var/qmail/bin/qmail-queue A.2.7. kas-cgpro клиентский модуль для почтового сервера Communigate Pro Клиентский модуль kas-cgpro предназначен для интеграции Kaspersky Anti-Spam с почтовым сервером Communigate Pro. Обработка почтового трафика при этом осуществляется согласно следующему алгоритму: 1. Communigate Pro передает всю принятую почту клиентскому модулю kas-cgpro. 2. Модуль kas-cgpro обрабатывает письма, модифицирует их (в частности помечает каждое сообщение специальным заголовком) и помещает в каталог Submitted; при этом в Communigate Pro возвращается DISCARD. 3. Драйвер PIPE повторно передает письма из каталога Submitted почтовому серверу Communigate Pro, который, в свою очередь, вновь передает сообщение модулю kas-cgpro. 4. Так как модуль kas-cgpro не обрабатывает повторно сообщения, прошедшие фильтрацию (помеченные специальным заголовком), Communigate Pro возвращается OK и письмо доставляется адресату. Интеграция с Communigate Pro может быть выполнена только вручную. Параметры взаимодействия для клиенсткого модуля задаются путем редактирования конфигурационного файла filter.conf, а для Communigate Pro с помощью веб-интерфейса почтового сервера. Далее представлен фрагмент файла filter.conf, содержащий настройки клиентского модуля: ClientConnectTo tcp:127.0.0.1:2277 ClientConnectTimeout 10 ClientDataTimeout 30 CGProSubmittedFolder Submitted CGProMaxThreadCount 50 CGProLoopHeader X-Proceed_240578_by_spamtest CGProAllTransports No ClientFilteringSizeLimit 500 ClientDefaultDomain localhost Помимо параметров, описанных в Приложении A.2.2, при настройке kas-cgpro используются следующие дополнительные параметры:
106 Kaspersky® Anti-Spam 3.0 CGProSubmittedFolder имя каталога, в который помещаются обработанные письма. CGProMaxThreadCount максимальное число одновременно обрабатываемых писем. CGProLoopHeader заголовок, который добавляется в почтовые сообщения, прошедшие обработку. CGProAllTransports разрешает / запрещает обработку почты, поступающей со всех транспортов. Возможные значения: yes обрабатывается вся почта, no обрабатывается почта только с транспорта SMTP (значение по умолчанию
). Для того чтобы настроить Communigate Pro для работы с клиентским модулем kas-cgpro, выполните следующие действия, используя веб-
интерфейс почтового сервера: 1. В меню Settings→General→Helpers добавьте новый content-filter со следующими параметрами (в скобках указаны параметры для Сommunigate Pro версии 5.1 и выше): Use filter (Enable): kas-cgpro Log (Log Level): Problems Path (Program Path): /usr/local/ap-
mailfilter3/bin/kas-cgpro Time-Out: 5 minutes Auto-Restart: 15 seconds 2. В меню Settings→Rules (Settings→Mail→Rules для версий Communigate Pro 5.1 и выше) создайте новое правило, согласно которому будет выполняться проверка на спам всех сообщений, размер которых не превышает 500 KБ: Data: Message Size Operation: less than Parameter: 512000 Action: external filter Parameters: kas-cgpro Особенности использования клиентского модуля kas-cgpro с Communigate Pro: У клиентского модуля kas-cgpro нет возможности в процессе SMTP-сессии отклонить прием почтового сообщения, для которого задано действие reject this message. Вместо этого Communigate Pro высылает отправителю письма извещение о
невозможности доставки почтового сообщения (bounce message). Приложение A 107
Текст сообщения bounce message определяется почтовым сервером, а не значением параметра Bounce message, задаваемым с помощью интерфейса Центра управления (см. п. 4.5.4 на стр. 64). Отправка сообщений системы мониторинга, а также сообщений об ошибках при выполнении скриптов осуществляется сервером фильтрации от имени пользователя mailflt3. Так как по умолчанию Communigate Pro не добавляет в собственную базу учетные записи системных пользователей, вручную создайте в базе пользователей Communigate Pro учетную запись для пользователя mailflt3. При использовании в Communigate Pro опции Drop Root выполняется переключение почтового сервера на использование прав пользователя nobody. Это переключение не выполняется для модуля kas-cgpro, что приводит к потере взаимодействия почтового сервера и клиентского модуля. Для восстановления взаимодействия выполните следующее: 1. В меню Communigate Pro Settings→General→Helpers отключите использование фильтра kas-cgpro, сняв флажок Use Filter. Для обновления конфигурации нажмите на кнопку Update. 2. Вновь добавьте фильтр kas-cgpro. Параметры фильтра указаны выше в описании настройки Communigate Pro для работы с клиентским модулем kas-cgpro. A.3. Конфигурационные файлы Kaspersky Anti-Spam Данный раздел содержит описание конфигурационных файлов Kaspersky Anti-Spam, содержащих настройки работы основных компонентов сервера фильтрации. A.3.1. Основной конфигурационный файл filter.conf Конфигурационный файл /usr/local/ap-mailfilter3/etc/filter.conf содержит настройки параметров работы всех компонентов Kaspersky Anti-Spam за исключением модуля загрузки обновлений. Общие настройки параметров: RootPath путь к каталогу установки Kaspersky Anti-Spam. Значение по умолчанию: /usr/local/ap-mailfilter3. 108 Kaspersky® Anti-Spam 3.0 LogFacility=mail|user|local0|local1|local2|local3|local4|local5|local6| local7 категория, согласно которой выполняется запись сообщений в системный журнал (syslog facility). Значение по умолчанию: mail. LogLevel=0|1|2|3|4|5 уровень детализации записи в системный журнал (syslog). Значение по умолчанию: 2. User пользователь, с правами которого запускаются процессы сервера фильтрации. В качестве значения может быть
использовано как символьное имя пользователя, так и его uid. Group группа, с правами которой запускаются процессы сервера фильтрации. В качестве значения может быть использовано как символьное имя группы, так и ее gid. Настройки параметров сервера фильтрации: ServerListen сокет взаимодействия сервера фильтрации с модулем, интегрированным с почтовым сервером. Запись формата tcp:<host>:<port>, где <host> IP-адрес (или имя) почтового сервера, <port> порт соединения, указывает на сетевой сокет, а запись формата unix:<путь_к_файлу>, где <путь_к_файлу> путь к файлу сокета, указывает на локальный сокет. Для того, чтобы настроить сервер фильтрации на соединение с любым интерфейсом, установите параметр <host> в
значение 0.0.0.0. Локальный сокет, создаваемый для взаимодействия почтового сервера и сервера фильтрации, в целях совместимости позволяет выполнять операцию записи в сокет для любого пользователя, аутентифицированного в системе. FilterPath путь к исполняемому файлу фильтрующего процесса ap-mailfilter. ServerMaxFilters=1...200 максимальное количество одновременно работающих фильтрующих процессов ap-mailfilter. Значение по умолчанию: 10. ServerStartFilters количество фильтрующих процессов ap-
mailfilter, запускаемых при старте модуля фильтрации. Значение по умолчанию: 0. Значение ServerStartFilters не должно превышать значение параметра ServerMaxFilters. ServerSpareFilters минимальное количество запущенных фильтрующих процессов, находящихся в состоянии ожидания (не выполняющих обработку сообщений). Если количество процессов превышает установленный предел, то выполняется принудительное завершение неиспользуемых процессов. Значение по умолчанию: 0. Приложение A 109
Значение ServerSpareFilters не должно превышать значение параметра ServerMaxFilters. Настройки параметров фильтрующих процессов: FilterMaxMessages=10...1000 максимальное количество сообщений, которое может быть обработано фильтрующим процессом. После обработки указанного числа сообщений фильтрующий процесс завершает свою работу. Значение по умолчанию: 300. Максимальное количество сообщений, которое может обработать определенный фильтрующий процесс, является случайным числом, выбираемым программно
из диапазона [FilterMaxMessages; FilterMaxMessages + (FilterRandMessages
1)]. Эта настройка позволяет избежать одновременного завершения и последующего старта большого количества новых фильтрующих процессов в периоды высокой нагрузки на сервер. FilterRandMessages=0...50 значение, используемое при определении максимального количества сообщений, которое может быть обработано определенным фильтрующим процессом. FilterMaxIdle=30...3600 максимальное количество времени (в секундах), в течение которого фильтрующий процесс может находиться в состоянии ожидания. Если за указанный интервал времени фильтрующий процесс не получил ни одного почтового сообщения для обработки, то он завершает свою работу. Значение по умолчанию: 300. FilterDelayedExit=0...30 максимальное время (в секундах) задержки завершения фильтрующего процесса при получении команды на завершение. Если значение этого параметра отлично от нуля, то после получения сигнала фильтрующий процесс завершает свою работу за период времени, являющийся случайным числом из диапазона [0; (FilterDelayedExit1)]. Значение по
умолчанию: 0. FilterDataTimeout=10...100 тайм-аут (в секундах) на получение данных фильтрующим процессом от клиентского модуля. Если фильтрующий процесс за указанный период времени не получает данных, то обработка сообщения прекращается. Значение по умолчанию: 30. FilterLicenseConnectTimeout=1..10 тайм-аут (в секундах) на соединение фильтрующего процесса с модулем лицензирования (kas-license) для проверки
соответствия запроса обработки условиям ключа. Значение по умолчанию: 2. 110 Kaspersky® Anti-Spam 3.0 FilterLicenseDataTimeout=1..10 тайм-аут (в секундах) на операции чтения / записи для сокета взаимодействия фильтрующего процесса с модулем лицензирования. Значение по умолчанию: 1. FilterSPFDataTimeout=1..10 тайм-аут (в секундах) на операции чтения / записи для сокета взаимодействия фильтрующего процесса с SPF-демоном. Значение по умолчанию: 1. FilterDNSTimeout=1...60 тайм-аут (в секундах) на выполнение
всех возможных проверок с использованием DNS. Значение по умолчанию: 10. FilterLicenseConnectTo путь к файлу сокета взаимодействия с модулем лицензирования. Значение по умолчанию: /usr/local/ap-mailfilter3/run/kas-license.socket. FilterSPFConnectTo путь к файлу сокета взаимодействия с SPF-
демоном. Значение по умолчанию: /usr/local/ap-mailfilter3/run/ap-
spfd.socket. FilterReceivedHeadersLimit=0...100 количество заголовков Received, анализируемых по спискам IP-адресов и с помощью сервисов DNSBL. Значение
по умолчанию: 2. FilterParseMSOffice=yes|no параметр, определяющий выполняется ли анализ текста вложений в формате Word Document (doc) и RTF. Значение по умолчанию: no. FilterStatLogFile путь к файлу, используемому приложением для хранения статистики по обработанным сообщениям. FilterUserLogFile путь к файлу, хранящему статистические данные, при использовании пользовательских настроек ведения статистики. FilterUDSCfgFile путь к файлу, содержащему конфигурацию UDS-сервиса. FilterUDSEnabled=yes|no параметр, включающий / отключающий проверку почты при помощи UDS-сервиса. FilterUDSTimeout=1...60 тайм-аут на установление соединения между сервером фильтрации и UDS-сервером. Если за указанный временной интервал сервер фильтрации не получает ответ от UDS-сервера, выполняется попытка подключения к другому UDS-серверу «Лаборатории Касперского». Настройки параметров модуля лицензирования: LicenseListen путь к файлу сокета, используемого модулем лицензирования для взаимодействия с фильтрующими процессами. Приложение A 111
Значение по умолчанию: /usr/local/ap-mailfilter3/run/kas-
license.socket. LicenseKeysPath путь к каталогу хранения ключей. Значение по умолчанию: /usr/local/ap-mailfilter3/conf/lk-license/. LicenseMaxConnections=10...300 максимально допустимое количество одновременных соединений с модулем лицензирования. Значение по умолчанию: 200. LicenseIdleTimeout=1...100 максимальное время (в секундах), в течение которого модуль лицензирования поддерживает связь с фильтрующим процессом, не передающим никаких данных. По
истечении данного времени, если от фильтрующего процесса не поступило никаких запросов, связь разрывается. Значение по умолчанию: 30. LicenseDataTimeout=1..100 тайм-аут (в секундах) на операции чтения / записи для сокета взаимодействия с фильтрующими процессами. Значение по умолчанию: 1. Настройки параметров SPF-демона: SPFDListen путь к файлу сокета, используемого SPF-демоном для взаимодействия
с фильтрующими процессами. Значение по умолчанию: /usr/local/ap-mailfilter3/run/ ap-spfd.socket. SPFDPoolSize=1...50 количество одновременно запущенных дочерних процессов SPF-демона. Значение по умолчанию: 5. SPFDMaxRequestsPerChild=50...10000 максимальное количество запросов, обрабатываемых дочерним процессом SPF-демона. После того как дочерний процесс обработает заданное число запросов, он завершает свою работу и SPF-демон запускает новый процесс. Значение по умолчанию: 1000. SPFDMaxQueueSize=10...1000 максимальное количество запросов, которые могут быть одновременно помещены в очередь на обработку. Значение по умолчанию 200. SPFDCleanupInterval=30...3600 интервал (в секундах) очистки кеша SPF-демона. Значение по умолчанию 600. Общие настройки параметров клиентских модулей: ClientConnectTo адрес сокета взаимодействия клиентского модуля с модулем фильтрации. Запись формата tcp:<host>:<port>, где <host> IP-адрес
сервера фильтрации, <port> порт соединения, указывает на сетевой сокет, а запись формата unix:<путь_к_файлу>, где <путь_к_файлу> путь к файлу сокета, указывает на локальный сокет. 112 Kaspersky® Anti-Spam 3.0 ClientConnectTimeout=10...100 тайм-аут (в секундах) на установление соединения клиентского модуля с фильтрующим процессом. Значение по умолчанию 40. ClientDataTimeout=10...100 тайм-аут (в секундах) на операции обмена данными между клиентским модулем и модулем фильтрации. ClientOnError режим обработки ошибочной ситуации (невозможно установить соединение с модулем фильтрации, превышено время ожидания при обмене
данными и т. п.). Возможные значения: reject отклонить прием письма, вернуть код 5xx в процессе SMTP-cессии; tempfail временно отклонить прием письма, вернуть код 4xx в процессе SMTP-cессии (используется по умолчанию); accept принять письмо. ClientDefaultDomain имя почтового домена, подставляемое в адрес, в котором не указан почтовый домен. Пример: если
в качестве домена по умолчанию указан домен mycompany.com, то адрес someuser будет интерпретирован как someuser@mycompany.com. Если этот параметр не задан, то подстановка имени домена не производится. По умолчанию параметр не задан. ClientFilteringSizeLimit=0...10000 максимальный размер (в килобайтах) письма, которое может быть передано модулю фильтрации. Письма большего размера пропускаются без фильтрации. Значение по умолчанию 500. ClientMessageStoreMem минимальный размер письма в килобайтах, при котором используется режим хранения промежуточных данных на диске. Этот режим позволяет контролировать объем используемой оперативной памяти. Если параметру присвоено значение 0 (значение по умолчанию), то все данные всегда хранятся в оперативной памяти. ClientTempDir каталог хранения временных файлов. Настройки
параметров центра управления: ControlCenterSendAlertsTo адрес, на который будут отправляться сообщения системы мониторинга, а также сообщения об ошибках выполнения скриптов с помощью сервиса cron. ControlCenterLang=en язык интерфейса центра управления. Приложение A 113
MonitoringHttpd=yes|no параметр, определяющий выполняется ли мониторинг работы HTTP-сервера kas-thttpd. MonitoringKasMilter=yes|no параметр, определяющий выполняется ли мониторинг работы клиентского модуля kas-milter, используемого для взаимодействия с почтовым сервером Sendmail. Описание специальных настроек, характерных для каждого из клиентских модулей, см. п. A.2 на стр. 89. A.3.2. Конфигурационный файл kas-thttpd.conf Конфигурационный файл kas-thttpd.conf, расположенный в каталоге /usr/local/ap-mailfilter3/etc/, содержит параметры HTTP-сервера, предоставляющего веб-интерфейс основного инструмента конфигурирования Kaspersky Anti-Spam Центра управления. Этот файл содержит следующие параметры: user имя пользователя, с правами которого выполняются скрипты Центра управления. Не рекомендуется менять заданное значение mailflt3, так как это может привести к некорректной работе системы. host
IP-адрес интерфейса, на котором веб-сервер ожидает запросы на подключение к Центру управления. Значение 0.0.0.0 означает, что сервер будет ожидать запросы на всех сетевых интерфейсах сервера. port номер порта подключения к Центру управления. pidfile имя pid-файла HTTP-сервера. Значение по умолчанию: /usr/local/ap-mailfilter3/run/kas-thttpd.pid. logfile имя лог
-файла HTTP-сервера. Значение по умолчанию: /usr/local/ap-mailfilter3/log/kas-thttpd.log. dir путь к каталогу, в котором расположены cgi-скрипты Центра управления. Значение по умолчанию: /usr/local/ap-mailfilter3/control/www. cgipat шаблон имен cgi-скриптов. Должен иметь значение **.cgi. A.4. Утилиты Kaspersky Anti-Spam Данный раздел содержит описание основных утилит Kaspersky Anti-Spam, их функционального назначения, а также ключей командной строки, 114 Kaspersky® Anti-Spam 3.0 используемых каждым из компонентов. Для запуска утилит требуются права пользователя root. A.4.1. kas-htpasswd Утилита kas-htpasswd применяется для управления файлами паролей доступа к Центру управления. Строка запуска: # /usr/local/ap-mailfilter3/bin/kas-htpasswd [-c] \ <файл_паролей> <имя_пользователя> [-h] Ключи командной строки: файл_паролей путь к файлу, хранящему пароли доступа. По умолчанию используется файл .htpasswd. Утилита либо добавляет нового пользователя в файл паролей, либо меняет пароль существующего пользователя; имя
_пользователя имя пользователя, для которого устанавливается пароль; с создать новый файл паролей; если этот ключ не задан, то параметр файл_паролей должен указывать на уже существующий файл; h вывести на консоль справочную информацию об утилите. A.4.2. kas-show-license Утилита kas-show-license применяется для просмотра из командной строки информации об установленных ключах. Строка запуска: # /usr/local/ap-mailfilter3/bin/kas-show-license \ [-k <файл_ключа>] [-c <файл_конфигурации>] Ключи командной строки: k <файл_ключа> вывести информацию о ключе с именем файл_ключа; c <файл_конфигурации> переопределить путь к конфигурационному файлу filter.conf. Если файл filter.conf расположен в каталоге, отличном от использумого по умолчанию, задайте в качестве значения параметра файл_конфигурации полный путь к файлу filter.conf. Приложение A 115
При запуске утилиты без указания параметров командной строки на консоль сервера выводится информация обо всех установленных ключах. A.4.3. install-key Утилита install-key предназначена для установки ключей Kaspersky Anti-
Spam. Строка запуска: # /usr/local/ap-mailfilter3/bin/install-key -i [-q] [-d] \ [v] [-l] [-V <уровень_детализации>] \ [-L <уровень_детализации>] [-c <файл_конфигурации>] \ [-k <скрипт_kas-conf>] [-h] Ключи командной строки: i не выводить на консоль информацию о ключе после его установки; q вывести на консоль только сообщения об ошибках; d вывести на консоль детальный отчет о процессе установки ключа; v использовать более высокий режим детализации сообщений, выводимых на консоль, по сравнению с заданным по умолчанию; V <уровень_детализации> использовать указанный уровень детализации выводимых на консоль сообщений; возможные значения: 1...10; l использовать более высокий режим детализации сообщений, записываемых в системный журнал, по сравнению с заданным по умолчанию; L <уровень_детализации> использовать указанный уровень детализации записываемых в системный журнал сообщений; возможные значения: 1...10; c <файл_конфигурации> переопределить путь к конфигурационному файлу filter.conf; если файл filter.conf расположен в каталоге, отличном от использумого по умолчанию, задайте в качестве значения параметра файл_конфигурации полный путь
к файлу filter.conf; k <скрипт_kas-conf> переопределить путь к скрипту kas-conf, выполняющему чтение конфигурации Kaspersky Anti-Spam; если kas-conf расположен в каталоге, отличном от использумого 116 Kaspersky® Anti-Spam 3.0 по умолчанию, задайте в качестве значения параметра скрипт_kas-conf полный путь к файлу kas-conf; h вывести на консоль справочную информацию об утилите. A.4.4. remove-key Утилита remove-key предназначена для удаления ключей Kaspersky Anti-
Spam. Строка запуска: # /usr/local/ap-mailfilter3/bin/remove-key [-a|-r] [-q] \ [-d] [v] [-l] [-V <уровень_детализации>] \ [-L <уровень_детализации>] [-c <файл_конфигурации>] \ [-k <скрипт_kas-conf>] [-h] Ключи командной строки: a удалить все установленные ключи; r удалить резервный ключ; q вывести на консоль только сообщения об ошибках; d вывести на консоль детальный отчет о процессе удаления ключа; v использовать более высокий режим детализации сообщений, выводимых на консоль, по сравнению с заданным по умолчанию; V <уровень_детализации> использовать указанный уровень детализации выводимых на консоль сообщений; возможные значения: 1...10; l использовать более высокий режим детализации сообщений, записываемых в системный журнал, по сравнению с заданным по умолчанию; L <уровень_детализации> использовать указанный уровень детализации записываемых в системный журнал сообщений; возможные значения: 1...10; c <файл_конфигурации> переопределить путь к конфигурационному файлу filter.conf; если файл filter.conf расположен в каталоге, отличном от использумого по умолчанию, задайте в качестве значения параметра файл_конфигурации полный путь к
файлу filter.conf; k <скрипт_kas-conf> переопределить путь к скрипту kas-conf, выполняющему чтение конфигурации Kaspersky Anti-Spam; если kas-conf расположен в каталоге, отличном от использумого Приложение A 117
по умолчанию, задайте в качестве значения параметра скрипт_kas-conf полный путь к файлу kas-conf; h вывести на консоль справочную информацию об утилите. A.4.5. kas-restart Утилита kas-restart предназначена для перезагрузки Kaspersky Anti-Spam и отдельных его компонентов. Строка запуска
: # /usr/local/ap-mailfilter3/bin/kas-restart [-f] [-p] \ [-s] [-m] [-w] [W] [-q] [-d] [v] [-l] \ [-V <уровень_детализации>] [-L <уровень_детализации>] \ [-c <файл_конфигурации>] [-k <скрипт_kas-conf>] [-h] Ключи командной строки: f перезапустить фильтрующие процессы ap-mailfilter. Процессы обрабатывают сообщения и завершают работу в зависимости от настроек задержки выхода по времени и числу сообщений (подробнее см. п. 4.5.3 на стр. 62); p перезапустить мастер-процесс фильтрации ap-process-server. Приводит также к
перезапуску фильтрующих процессов ap-mailfilter. При использовании этого ключа процессы фильтрации перезапускаются немедленно по завершении обработки текущего сообщения. Этот ключ полезен при изменении настроек, связанных с режимом запуска фильтрующих процессов; s перезапустить модуль лицензирования kas-licеnse; m перезапустить модуль kas-milter; w перезапустить веб-сервер kas-thttpd; W выполнить ротацию лог-файлов веб-сервера kas-thttpd (создать новый лог-файл для записи); q использовать «тихий» режим; на консоль выводятся только сообщения об ошибках и предупреждения; d вывести на консоль детальный отчет о работе утилиты; v использовать более высокий режим детализации сообщений, выводимых на консоль, по сравнению с заданным по
умолчанию; V <уровень_детализации> использовать указанный уровень детализации выводимых на консоль сообщений; возможные значения: 1...10; 118 Kaspersky® Anti-Spam 3.0 l использовать более высокий режим детализации сообщений, записываемых в системный журнал, по сравнению с заданным по умолчанию; L <уровень_детализации> использовать указанный уровень детализации записываемых в системный журнал сообщений; возможные значения: 1...10; переопределить путь к конфигурационному файлу filter.conf; если файл filter.conf расположен в каталоге, отличном от
использумого по умолчанию, задайте в качестве значения параметра файл_конфигурации полный путь к файлу filter.conf; k <скрипт_kas-conf> переопределить путь к скрипту kas-conf, выполняющему чтение конфигурации Kaspersky Anti-Spam; если kas-conf расположен в каталоге, отличном от использумого по умолчанию, задайте в качестве значения параметра скрипт_kas-conf полный путь к файлу kas-conf; h вывести на консоль справочную информацию об утилите. Запуск утилиты без указания ключей командной строки аналогичен запуску с ключом f. A.4.6. mkprofiles Утилита mkprofiles предназначена для сборки и компиляции политик фильтрации Kaspersky Anti-Spam. Строка запуска: # /usr/local/ap-mailfilter3/bin/mkprofiles \ [-c <файл_конфигурации>] [-l <файл_отчета>] [-q] [-v] [-h] где c <файл_конфигурации> переопределить путь к конфигурационному файлу filter.conf; если файл filter.conf расположен в каталоге, отличном от использумого по умолчанию, задайте в качестве значения параметра файл_конфигурации полный путь к файлу filter.conf; l <файл_отчета> сохранить результаты работы утилиты в файле отчета, заданном параметром файл_отчета; q использовать «тихий» режим; на консоль выводятся только сообщения об ошибках и предупреждения; v выводить на консоль все сообщения, связанные с процессом компиляции; Приложение A 119
h вывести на консоль справочную информацию об утилите. При запуске утилиты без параметров, на консоль выдаются сообщения об ошибках и предупреждениях, а также сообщения об успешно завершенных операциях. A.4.7. sfmonitoring Утилита sfmonitoring выполняет проверку текущего состояния компонентов Kaspersky Anti-Spam и, в случае обнаружение неполадок, выдает информацию о них на консоль. Строка запуска: # su m mailflt3 -c '/usr/local/ap-mailfilter3/control/\ bin/sfmonitoring
[-p] [-m] [-q] [-h]
' Если Kaspersky Anti-Spam установлен на сервере, работающем под управлением дистрибутива RedHat, то для запуска утилиты sfmonitoring, в командной строке введите: # su m mailflt3 -c '/usr/local/ap-mailfilter3/control/\ bin/sfmonitoring [-p] [-m] [-q] [-h]' Ключи командной строки: p проверить состояние системы и выдать на консоль сообщения обо всех выявленных неполадках в работе Kaspersky Anti-Spam; m проверить состояние системы и выслать по электронной почте дневной отчет о выявленных
неполадках; q использовать «тихий» режим; на консоль выводятся только сообщения об ошибках и предупреждения; h вывести на консоль справочную информацию об утилите. При запуске без параметров утилита выполняет текущую проверку состояния системы и при обнаружении новых неполадок высылает письмо с предупреждением о неисправности. A.4.8. sfupdates Утилита sfupdates предназначена для загрузки обновлений баз Kaspersky Anti-Spam
и установки их для использования сервером фильтрации. Строка запуска: # /usr/local/ap-mailfilter3/bin/sfupdates \ [-c <файл_конфигурации>] [-f] [-k <скрипт_kas-conf>] [-s]\ 120 Kaspersky® Anti-Spam 3.0 [-q] [-v] [-d] [-V <уровень_детализации>] [-l] \ [-L <уровень_детализации>] [-h] Ключи командной строки: c <файл_конфигурации> переопределить путь к конфигурационному файлу filter.conf; если файл filter.conf расположен в каталоге, отличном от использумого по умолчанию, задайте в качестве значения параметра файл_конфигурации полный путь к файлу filter.conf; f выполнить принудительный запуск сборки конфигурации. Если этот ключ
не указан, то компиляция конфигурации производится только в том случае, если были получены обновления баз Kaspersky Anti-Spam; k <скрипт_kas-conf> переопределить путь к скрипту kas-conf, выполняющему чтение конфигурации Kaspersky Anti-Spam; если kas-conf расположен в каталоге, отличном от использумого по умолчанию, задайте в качестве значения параметра скрипт_kas-conf полный путь к файлу kas-conf; s
пропустить этап загрузки обновлений; q выводить на консоль только сообщения об ошибках. Этот режим рекомендуется для запуска с помощью сервиса cron; v использовать более высокий режим детализации сообщений, выводимых на консоль, по сравнению с заданным по умолчанию; d использовать самый высокий режим детализации сообщений, выводимых на консоль; V <уровень_детализации> использовать указанный уровень детализации выводимых на консоль сообщений; возможные значения: 1...10; l использовать более высокий режим детализации сообщений, записываемых в системный журнал, по сравнению с заданным по умолчанию; L <уровень_детализации> использовать указанный уровень детализации записываемых в системный журнал сообщений; h вывести на консоль справочную информацию об утилите. Если не указан ни один из перечисленных ключей, на консоль выводятся сообщения об ошибках и предупреждения, а также сообщения об успешно завершенных операциях. Приложение A 121
A.5. Специальные заголовки модуля фильтрации При обработке электронного письма Kaspersky Anti-Spam добавляет следующие заголовки почтовых сообщений: X-Spamtest-Version заголовок, содержащий информацию о версии дистрибутива Kaspersky Anti-Spam. X-Spamtest-Status и X-Spamtest-Status-Extended заголовки, содержащие статус сообщения, присвоенный по результатам фильтрации. Заголовок X-Spamtest-Status использовался в более ранних версиях продукта. Этот заголовок содержит набор статусов, соответствующий версии Kaspersky Anti-Spam 2.0, и используется в целях совместимости. Возможные значения
заголовков перечислены в таблице ниже. Заголовок Значение Описание Trusted Отправитель сообщения содержится в «белом» списке отправителей или для адресата в групповой политике отключена проверка сообщений на спам. SPAM Сообщение классифицировано как спам. Probable Spam Сообщение классифицировано как возможный спам. X-Spamtest-
Status Not detected Сообщение не классифицировано как спам или возможный спам. 122 Kaspersky® Anti-Spam 3.0 Заголовок Значение Описание trusted Отправитель сообщения содержится в «белом» списке отправителей или для адресата в групповой политике отключена проверка сообщений на спам. blacklisted Отправитель сообщения содержится в «черном» списке отправителей. Spam Сообщение классифицировано как спам. probable_spam Сообщение классифицировано как возможный спам. formal Сообщение классифицировано как формальный автоответ почтового сервера. X-Spamtest-
Status-Extended not_detected Сообщение не классифицировано как спам или возможный спам. X-Spamtest-Header заголовок, содержащий текст, заданный администратором с помощью настроек Центра управления (см. п. 4.3.7 на стр. 53). X-Spamtest-Obscene заголовок, добавляемый в почтовое сообщение, содержащее нецензурную лексику. X-SpamTest-Formal заголовок, добавляемый в почтовое сообщение, получившее статус Formal. X-Spamtest-Rate заголовок, содержащий рейтинг, присвоенный письму в процессе фильтрации. Kaspersky Anti-Spam использует это значение при
присвоений статуса почтовму сообщению. Приложение A 123
X-Spamtest-Group-ID заголовок, содержащий идентификатор группы, согласно правилам которой было обработано письмо. X-SpamTest-Categories заголовок, содержащий название категории, присвоенной сообщению по результатам фильтрации. X-SpamTest-Info заголовок, содержащий сообщения информативного характера. X-Spamtest-Envelope-From заголовок, содержащий адрес отправителя из SMTP-конверта. Используется для отслеживания срабатываний локальных «черного» и «белого» списков. X-SpamTest-Method заголовок, содержащий
названия методов, результаты применения которых использовались при назначении статуса сообщению. Возможные значения заголовка перечислены в таблице ниже. Значение Метод white ip list Проверка по «белому» списку IP-адресов отправителей. white email list Проверка по «белому» списку почтовых адресов отправителей. black ip list Проверка по «черному» списку IP-адресов отправителей. black email list Проверка по «черному» списку почтовых адресов отправителей. GSG Анализ графических сигнатур. headers и headers plus Анализ заголовков. DNSBL Проверка с помощью сервисов DNSBL. UDS Проверка при помощи UDS-сервиса. 124 Kaspersky® Anti-Spam 3.0 Значение Метод UDS BL Проверка при помощи UDS-сервиса. Представляет собой комбинированную проверку по эвристическим правилам и «черным» спискам. SURBL Проверка с помощью сервиса SURBL. Content Проверка содержимого почтового сообщения. probable Метод «вероятностный спам». detection disabled Для адресата в групповой политике отключена проверка почтовых сообщений на спам. Multiple При присвоении статуса использовались результаты нескольких методов. None Ни один из методов не позволяет классифицировать сообщение. Такие сообщения получают статус Not detected. A.6. Настройки сервиса cron Для успешной работы Kaspersky Anti-Spam требуется обеспечить запуск набора скриптов с помощью сервиса cron для пользователя mailflt3. Для редактирования параметров запускаемых скриптов воспользуйтесь следующей командой: # crontab u mailflt3 e В cписок запускаемых заданий внесите следующие скрипты: Скрипт обновления баз Kaspersky Anti-Spam. Команда запуска: # /usr/local/ap-mailfilter3/bin/sfupdates -q Приложение A 125
Рекомендуемая периодичность запуска: каждые двадцать минут. Задайте время запуска скрипта обновления с некоторым смещением относительно начала часа, чтобы избежать перегрузки серверов обновлений. Например 7,27,47 * * * * /usr/local/ap-mailfilter3/bin/ \ sfupdates -q Скрипт мониторинга. Команда запуска: # /usr/local/ap-mailfilter3/control/bin/sfmonitoring \ q Рекомендуемая периодичность запуска: каждые пять минут. Скрипт обработки протоколов работы и обновления статистики. Скрипт выполняет сбор статистических данных об обработанных сообщениях из протоколов работы Kaspersky Anti-Spam, а также выполняет обработку протоколов работы сервера фильтрации для отображения сообщений с помощью интерфейса Центра управления. Команда запуска: # /usr/local/ap-mailfilter3/control/bin/dologs.sh q Рекомендуемая
периодичность запуска: раз в минуту. Скрипт обновления статистических графиков. Скрипт выполняет построение статистических графиков по результатам обработанных сообщений для отображения в разделе Statistics Центра управления. Команда запуска: # /usr/local/ap-mailfilter3/control/bin/dograph.sh q Рекомендуемая периодичность запуска: раз в пять минут. Скрипт ротации файлов протоколов работы. Для того чтобы избежать переполнения дисков и повысить
производительность работы, рекомендуется выполнять регулярную ротацию файлов протоколов работы сервера фильтрации. Данный скрипт предназначен для ротации внутренних протоколов, используемых Центром управления и системой статистики. 126 Kaspersky® Anti-Spam 3.0 Команда запуска: # /usr/local/ap-mailfilter3/control/bin/logrotate.sh \ q Рекомендуемое расписание: два раза в сутки. При увеличении нагрузки на систему можно проводить более частую ротацию. Скрипт вычисления времени доступа к UDS-серверам. Скрипт uds-rtts.sh используется приложением для определения времени доступа к UDS-серверам «Лаборатории Касперского». Полученные данные служат для определения наиболее оптимального сервера для отправки UDS-запроса. Команда запуска: # /usr/local/ap-mailfilter3/bin/uds-rtts.sh q Рекомендуемая периодичность запуска: каждые 10-15 минут. Помимо настройки перечисленных скриптов рекомендуется также выполнить следующие действия: Добавить путь к каталогу, в котором будут выполняться перечисленные скрипты, в значение переменной HOME. Рекомендуемый путь: /usr/local/ap-mailfilter3/run. Добавить список путей к основным системным утилитам, в том числе к утилите sendmail
2
, в значение переменной PATH. Значение по умолчанию: /bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin. Задать адрес, на который будут высылаться сообщения о выполнении скриптов, с помощью переменной MAILTO. Значение по умолчанию: postmaster. Далее приведен пример файла crontab, иллюстрирующий описанные настройки: MAILTO=admin@mycompany.com PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin HOME=/usr/local/ap-mailfilter3/run 7,27,47 * * * * /usr/local/ap-mailfilter3/bin/sfupdates -q */5 * * * * /usr/local/ap-mailfilter3/control/bin/sfmonitoring -q * * * * * /usr/local/ap-mailfilter3/control/bin/dologs.sh -q */5 * * * * /usr/local/ap-mailfilter3/control/bin/dograph.sh -q 0 */12 * * * /usr/local/ap-mailfilter3/control/bin/logrotate.sh q
4-59/11 * * * * /usr/local/ap-mailfilter3/bin/uds-rtts.sh -q
2
Используется скриптом мониторинга. ПРИЛОЖЕНИЕ B. КАК ПЕРЕСЛАТЬ СПАМ ГРУППЕ СПАМ-АНАЛИТИКОВ «Лаборатория Касперского» выражает благодарность всем пользователям, пересылающим новые образцы спам-писем группе спам-аналитиков. Полученные образцы помогают нам оперативно реагировать на новые способы рассылки спама и пресекать их уже на начальной стадии. Вы также можете высылать нам образцы писем, ошибочно распознанных как спам. Эти письма будут тщательно изучены специалистами лингвистической лаборатории, что позволит нам улучшить качество распознавания спама и снизить количество ложных срабатываний. Пересылка образцов спам-сообщений в соответствии с приведенной ниже инструкцией позволяет максимально автоматизировать процесс обработки писем и ускоряет время реакции Kaspersky Anti-Spam на новые методы, применяемые в спам-рассылках. Адрес для пересылки спама: spam@kaspersky.com
Адрес для пересылки сообщений, ошибочно распознанных как спам: notspam@kaspersky.com
Образцы спам-сообщений следует пересылать как вложение. У разных почтовых программ предусмотрены различные средства, позволяющие обеспечить минимальную потерю заголовков письма при пересылке. Мы опишем действия для пользователей основных почтовых клиентов. 1. Для того чтобы переслать спам, используя почтовый клиент Microsoft Office Outlook, выполните следующее: если вы хотите переслать одно письмо, то создайте новое письмо с помощью кнопки New (Новое) или
команды New Mail Message (Новое почтовое сообщение) и перетащите мышкой спам-сообщение в новое письмо; если вы хотите переслать несколько писем, то выделите эти письма и нажмите кнопку Forward (Переслать). 128 Kaspersky® Anti-Spam 3.0 Почтовый клиент автоматически пересылает выделенные почтовые сообщения как вложения нового письма. 2. Для того чтобы переслать спам, используя почтовый клиент The Bat!, выполните следующее: если вы хотите вручную переслать сообщение, выделите письмо или несколько писем, которые требуется переслать и воспользуйтесь командой Переслать (альтернативный способ) или Alternative Forward. Эта команда выбирается в панели
инструментов в меню Specials. если вы хотите настроить автоматическую пересылку спам-
сообщений, настройте правила сортировки в «Сортировщике писем» следующим образом: o снимите флажок Не отправлять прикрепленные файлы; o установите флажок Использовать стандарт MIME. 3. Для того чтобы переслать спам, используя почтовый клиент Microsoft Outlook Express, выделите письмо или группу писем и выполните команду Message → Forward as Attachment (Сообщение → Переслать как вложение). ПРИЛОЖЕНИЕ C. ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» ЗАО «Лаборатория Касперского» была основана в 1997 г. Сегодня это самый известный в России разработчик широкого спектра программных продуктов для обеспечения информационной безопасности: систем защиты от вирусов, нежелательной почты (спама) и хакерских атак. «Лаборатория Касперского» международная компания. Центральный офис находится в России, открыты локальные офисы в Великобритании, Франции, Германии, Японии, в странах Бенилюкса, Китае, Польше, Румынии и США (Калифорния). Во Франции открыто новое отделение компании Европейский центр антивирусных исследований. Наша партнерская сеть объединяет более 500 компаний по всему миру. «Лаборатория Касперского» сегодня это более четырехсот пятидесяти высококвалифицированных специалистов, десять из которых имеют дипломы MBA, шестнадцать степени кандидатов наук. Ведущие вирусные аналитики «Лаборатории Касперского» являются членами престижной организации Computer Anti-virus Researcher's Organization (CARO). Главная ценность компании уникальные знания и опыт, накопленные ее сотрудниками в течение более чем четырнадцати лет непрерывной борьбы с вирусами. Благодаря постоянному анализу вирусной активности мы умеем предугадывать тенденции развития вредоносных программ и заблаговременно обеспечиваем пользователей надежной защитой от новых видов атак. Это преимущество основа продуктов и
услуг «Лаборатории Касперского». Мы всегда на шаг впереди конкурентов и предоставляем нашим заказчикам наилучшую защиту. Годы упорной работы позволили компании стать лидером в разработке технологий защиты от вирусов. «Лаборатория Касперского» первой разработала многие современные стандарты антивирусных программ. Основной продукт компании, Антивирус Касперского
®
, обеспечивает надежную защиту всех объектов вирусных атак: рабочих станций, файловых серверов, почтовых систем, сетевых экранов и интернет-
шлюзов, карманных компьютеров. Удобные средства управления дают пользователям возможность максимально автоматизировать антивирусную защиту компьютеров и корпоративных сетей. Многие западные разработчики используют в своих продуктах программное ядро Антивируса Касперского
®
, например, такие как: Nokia ICG (США), F-Secure (Финляндия), Aladdin (Израиль), Sybari (США), G Data (Германия), Deerfield (США), Alt-N (США), Microworld (Индия), BorderWare (Канада). 130 Kaspersky® Anti-Spam 3.0 Клиенты «Лаборатории Касперского» обеспечиваются широким спектром дополнительных услуг, гарантирующих бесперебойную работу продуктов и точное соответствие любым специфическим бизнес-требованиям. Мы проектируем, внедряем и сопровождаем корпоративные антивирусные комплексы. Наши базы обновляются каждый час. Мы обеспечиваем наших пользователей круглосуточной технической поддержкой на нескольких языках. C.1. Другие разработки «Лаборатории Касперского» Новостной Агент «Лаборатории Касперского» Программа Новостной Агент предназначена для оперативной доставки новостей «Лаборатории Касперского», оповещения о «вирусной погоде» и появлении свежих новостей. С заданной периодичностью программа считывает с новостного сервера «Лаборатории Касперского» список доступных новостных каналов и содержащуюся в них информацию. Новостной Агент также позволяет: визуализировать в системной панели состояние
«вирусной погоды»; подписываться и отказываться от подписки на новостные каналы «Лаборатории Касперского»; получать с заданной периодичностью новости по каждому подписанному каналу; также осуществляется оповещение о появлении непрочитанных новостей; просматривать новости по подписанным каналам; просматривать списки каналов и их состояние; открывать в браузере страницы с подробным
текстом новостей. Новостной Агент работает под управлением операционной системы Microsoft Windows и может использоваться как отдельная программа, так и входить в состав различных интегрированных решений «Лаборатории Касперского». Kaspersky
®
OnLine Scanner Программа представляет собой бесплатный сервис, доступный посетителям веб-сайта компании, позволяющий произвести эффективную антивирусную проверку компьютера в онлайн-режиме. Kaspersky OnLine Scanner выполняется непосредственно в браузере. Таким образом, пользователи могут максимально оперативно получать ответ на вопросы, Приложение C 131
связанные с заражением вредоносными программами. В рамках проверки пользователь может: исключать архивы и почтовые базы из проверки; выбирать для проверки стандартные / расширенные базы; сохранять отчеты о результатах проверки в форматах txt и html. Kaspersky
®
OnLine Scanner Pro Программа представляет собой подписной сервис, доступный посетителям веб-сайта компании, позволяющий произвести эффективную антивирусную проверку компьютера и лечение зараженных файлов в онлайн-режиме. Kaspersky OnLine Scanner Pro выполняется непосредственно в браузере. В рамках проверки пользователь может: исключать архивы и почтовые базы из проверки; выбирать для проверки стандартные / расширенные базы; лечить обнаруженные
зараженные объекты; сохранять отчеты о результатах проверки в форматах txt и html. Антивирус Касперского
®
6.0 Антивирус Касперского 6.0 предназначен для защиты персонального компьютера от вредоносных программ, оптимально сочетая в себе традиционные методы защиты от вирусов с новыми проактивными технологиями. Программа позволяет осуществлять комплексную антивирусную проверку, включающую в себя: антивирусную проверку почтового трафика на уровне протокола передачи данных (POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих) независимо
от используемой почтовой программы, а также проверку и лечение почтовых баз; антивирусную проверку интернет-трафика, поступающего по HTTP-
протоколу, в режиме реального времени; антивирусную проверку любых отдельных файлов, папок и дисков. Также, используя предустановленную задачу проверки, можно запустить анализ на присутствие вирусов только критических областей операционной системы и объектов, загружаемых при старте операционной системы Microsoft Windows. Возможности проактивной защиты включают в себя: Контроль изменений в файловой системе. Программа позволяет создавать список приложений, компонентный состав которых будет 132 Kaspersky® Anti-Spam 3.0 контролироваться. Это помогает предотвратить нарушение целостности приложений вредоносными программами. Наблюдение за процессами в оперативной памяти. Антивирус Касперского 6.0 своевременно предупреждает пользователя в случае появления опасных, подозрительных или скрытых процессов, а также в случае несанкционированного изменения активных процессов. Мониторинг изменений в реестре операционной системы благодаря контролю состояния системного реестра. Блокирование
опасных макросов Visual Basic for Applications в документах Microsoft Office. Восстановление системы после вредоносного воздействия программ-шпионов за счет фиксации всех изменений реестра и файловой системы компьютера и их отката по решению пользователя. Kaspersky
®
Internet Security 6.0 Kaspersky Internet Security 6.0 комплексное решение для защиты персонального компьютера от основных информационных угроз вирусов, хакеров, спама и шпионских программ. Единый пользовательский интерфейс обеспечивает настройку и управление всеми компонентами решения. Функции антивирусной защиты включают в себя: антивирусную проверку почтового трафика на уровне протокола передачи данных (POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих) независимо от используемой почтовой программы. Для популярных почтовых программ Microsoft Office Outlook, Microsoft Outlook Express и The Bat! предусмотрены плагины и лечение вирусов в почтовых базах; проверку интернет-трафика, поступающего по HTTP-протоколу, в режиме реального времени; защиту файловой системы: антивирусной проверке могут быть подвергнуты любые отдельные файлы, папки и диски. Также возможна проверка только критических областей операционной системы и объектов, загружаемых при старте операционной системы Microsoft Windows; проактивную защиту: программа осуществляет постоянное наблюдение за активностью приложений и процессов, запущенных в оперативной памяти компьютера, предотвращает опасные Приложение C 133
изменения файловой системы и реестра, а также восстанавливает систему после вредоносного воздействия. Защита от интернет-мошенничества обеспечивается благодаря распознаванию фишинговых атак, что позволяет предотвратить утечку вашей конфиденциальной информации (в первую очередь паролей, номеров банковских счетов и карт, а также блокированию выполнения опасных скриптов на веб-страницах, всплывающих окон и рекламных баннеров
). Функция блокирования автоматического дозвона на платные ресурсы интернета помогает идентифицировать программы, которые пытаются использовать ваш модем для скрытого соединения с платными телефонными сервисами, и блокировать их работу. Kaspersky Internet Security 6.0 фиксирует попытки сканирования портов вашего компьютера, часто предшествующие сетевым атакам, и успешно отражает наиболее распространенные типы сетевых атак. На основе заданных правил программа
осуществляет контроль всех сетевых взаимодействий, отслеживая все входящие и исходящие пакеты данных. Режим невидимости предотвращает обнаружение компьютера извне. При переключении в этот режим запрещается вся сетевая деятельность, кроме предусмотренных правилами исключений, которые определяются самим пользователем. В программе применяется комплексный подход к фильтрации входящих почтовых сообщений на наличие спама: проверка по «черным» и «белым» спискам адресатов (включая адреса фишинговых сайтов); проверка фраз в тексте письма; анализ текста письма с помощью самообучающегося алгоритма; распознавание спама в виде изображений. Антивирус Касперского
®
Mobile Антивирус Касперского Mobile обеспечивает антивирусную защиту мобильных устройств, работающих под управлением операционных систем Symbian OS и Microsoft Windows Mobile. Программа позволяет осуществлять комплексную антивирусную проверку, включающую в себя: проверку по требованию памяти мобильного устройства, карт памяти, отдельной папки либо конкретного файла. При обнаружении зараженного объекта он помещается на карантин или удаляется; постоянную защиту: автоматически
проверяются все входящие или изменяющиеся объекты, а также файлы при попытке доступа к ним; 134 Kaspersky® Anti-Spam 3.0 защиту от sms- и mms-спама. Антивирус Касперского для файловых серверов Программный продукт обеспечивает надежную защиту файловых систем серверов под управлением операционных систем Microsoft Windows, Novell NetWare, Linux и Samba от всех видов вредоносных программ. В состав программного продукта входят следующие приложения «Лаборатории Касперского»: Kaspersky Administration Kit. Антивирус Касперского для Windows Server. Антивирус Касперского для Linux File Server. Антивирус Касперского для
Novell Netware. Антивирус Касперского для Samba Server. Преимущества и функциональные возможности: защита файловых систем серверов в режиме реального времени: все файлы серверов проверяются при попытке их открытия и сохранения на сервере. предотвращение вирусных эпидемий; проверка по требованию всей файловой системы или отдельных ее папок и файлов; применение технологий оптимизации при проверке объектов файловой системы сервера; восстановление системы после заражения; масштабируемость программного продукта в пределах доступных ресурсов системы; соблюдение баланса загрузки системы; формирование списка доверенных процессов, чья активность на сервере не подвергается контролю со стороны программного продукта; удаленное управление программным продуктом, включающее централизованную установку, настройку и
управление; хранение резервных копий зараженных и удаленных объектов на тот случай, если потребуется их восстановление; изоляция подозрительных объектов в специальном хранилище; Приложение C 135
оповещения о событиях в работе программного продукта администратора системы; ведение детальных отчетов; автоматическое обновление баз программного продукта. Kaspersky Open Space Security Kaspersky Open Space Security это программный продукт, реализующий новый подход к безопасности современных корпоративных сетей любого масштаба, обеспечивающий централизованную защиту информационных систем, а также поддержку удаленных офисов и мобильных пользователей. Программный продукт включает в
себя четыре продукта: Kaspersky Work Space Security Kaspersky Business Space Security Kaspersky Enterprise Space Security Kaspersky Total Space Security Рассмотрим подробнее каждый продукт. Kaspersky WorkSpace Security это продукт для централизованной защиты рабочих станций в корпоративной сети и за ее пределами от всех видов современных интернет-угроз: вирусов, шпионских программ, хакерских атак и спама. Преимущества и функциональные возможности: целостная защита от вирусов, шпионских программ, хакерских атак и спама; проактивная защита от новых вредоносных программ, записи о которых еще не добавлены в базы; персональный сетевой экран с системой обнаружения вторжений и предупреждения сетевых атак; отмена вредоносных изменений в системе; защита от фишинг-атак и нежелательной почтовой корреспонденции; динамическое перераспределение ресурсов при полной проверке системы; удаленное управление программным продуктом, включающее централизованную установку, настройку и управление; 136 Kaspersky® Anti-Spam 3.0 поддержка Cisco
®
NAC (Network Admission Control); проверка электронной почты и интернет-трафика в режиме реального времени; блокирование всплывающих окон и рекламных баннеров при работе в интернете; безопасная работа в сетях любого типа, включая Wi-Fi; средства для создания диска аварийного восстановления, позволяющего восстановить систему после вирусной атаки; развитая система отчетов о состоянии защиты
; автоматическое обновление баз; полноценная поддержка 64-битных операционных систем; оптимизация работы программного продукта на ноутбуках (технология Intel
® Centrino
®
Duo для мобильных ПК); возможность удаленного лечения (технология Intel® Active Management, компонент Intel
®
vPro). Kaspersky Business Space Security обеспечивает оптимальную защиту информационных ресурсов компании от современных интернет-угроз. Kaspersky Business Space Security защищает рабочие станции и файловые серверы от всех видов вирусов, троянских программ и червей, предотвращает вирусные эпидемии, а также обеспечивает сохранность информации и мгновенный доступ пользователей к сетевым ресурсам. Преимущества и функциональные возможности: удаленное управление программным продуктом, включающее централизованную
установку, настройку и управление; поддержка Cisco
®
NAC (Network Admission Control); защита рабочих станций и файловых серверов от всех видов интернет-угроз; использование технологии iSwift для исключения повторных проверок в рамках сети; распределение нагрузки между процессорами сервера; изоляция подозрительных объектов рабочих станций в специальном хранилище; Приложение C 137
отмена вредоносных изменений в системе; масштабируемость программного продукта в пределах доступных ресурсов системы; проактивная защита рабочих станций от новых вредоносных программ, записи о которых еще не добавлены в базы; проверка электронной почты и интернет-трафика в режиме реального времени; персональный сетевой экран с системой обнаружения вторжений
и предупреждения сетевых атак; защита при работе в беспроводных сетях Wi-Fi; технология самозащиты антивируса от вредоносных программ; изоляция подозрительных объектов в специальном хранилище; автоматическое обновление баз. Kaspersky Enterprise Space Security Программный продукт включает компоненты для защиты рабочих станций и серверов совместной работы от всех видов современных интернет-угроз, удаляет вирусы из
потока электронной почты, обеспечивает сохранность информации и мгновенный безопасный доступ пользователей к сетевым ресурсам. Преимущества и функциональные возможности: защита рабочих станций и серверов от вирусов, троянских программ и червей; защита почтовых серверов Sendmail, Qmail, Postfix и Exim; проверка всех сообщений на сервере Microsoft Exchange, включая общие папки; обработка сообщений, баз
данных и других объектов серверов Lotus Domino; защита от фишинг-атак и нежелательной почтовой корреспонденции; предотвращение массовых рассылок и вирусных эпидемий; 138 Kaspersky® Anti-Spam 3.0 масштабируемость программного продукта в пределах доступных ресурсов системы; удаленное управление программным продуктом, включающее централизованную установку, настройку и управление; поддержка Cisco
®
NAC (Network Admission Control); проактивная защита рабочих станций от новых вредоносных программ, записи о которых еще не добавлены в базы; персональный сетевой экран с системой обнаружения вторжений и предупреждения сетевых атак; безопасная работа в беспроводных сетях Wi-Fi; проверка интернет-трафика в режиме реального времени; отмена вредоносных изменений в системе; динамическое перераспределение ресурсов при полной проверке системы; изоляция подозрительных объектов в специальном хранилище; система отчетов о состоянии системы защиты; автоматическое обновление баз. Kaspersky Total Space Security Решение контролирует все входящие и исходящие потоки данных электронную почту, интернет-трафик и все сетевые взаимодействия. Продукт включает компоненты для защиты рабочих станций и мобильных
устройств, обеспечивает мгновенный и безопасный доступ пользователей к информационным ресурсам компании и сети Интернет, а также гарантирует безопасные коммуникации по электронной почте. Преимущества и функциональные возможности: целостная защита от вирусов, шпионских программ, хакерских атак и спама на всех уровнях корпоративной сети: от рабочих станций до интернет-шлюзов; проактивная защита рабочих станций от новых вредоносных программ, записи о которых еще не добавлены в базы; Приложение C 139
защита почтовых серверов и серверов совместной работы; проверка интернет-трафика (HTTP/FTP), поступающего в локальную сеть, в режиме реального времени; масштабируемость программного продукта в пределах доступных ресурсов системы; блокирование доступа с зараженных рабочих станций; предотвращение вирусных эпидемий; централизованные отчеты о состоянии защиты; удаленное управление программным продуктом
, включающее централизованную установку, настройку и управление; поддержка Cisco
®
NAC (Network Admission Control); поддержка аппаратных прокси-серверов; фильтрация интернет-трафика по списку доверенных серверов, типам объектов и группам пользователей; использование технологии iSwift для исключения повторных проверок в рамках сети; динамическое перераспределение ресурсов при полной проверке системы; персональный сетевой экран с системой обнаружения вторжений и предупреждения сетевых атак; безопасная
работа пользователей в сетях любого типа, включая WiFi; защита от фишинг-атак и нежелательной почтовой корреспонденции; возможность удаленного лечения (технология Intel
®
Active Management, компонент Intel
®
vPro); отмена вредоносных изменений в системе; технология самозащиты антивируса от вредоносных программ; полноценная поддержка 64-битных операционных систем; автоматическое обновление баз. 140 Kaspersky® Anti-Spam 3.0 Kaspersky Security для почтовых серверов Программный продукт для защиты почтовых серверов и серверов совместной работы от вредоносных программ и спама. Продукт включает в себя приложения для защиты всех популярных почтовых серверов: Microsoft Exchange, Lotus Notes/Domino, Sendmail, Qmail, Postfix и Exim, а также позволяет организовать выделенный почтовый шлюз. В состав решения входят: Kaspersky Administration Kit. Kaspersky Mail Gateway. Антивирус Касперского для Lotus Notes/Domino. Антивирус Касперского для Microsoft Exchangе. Антивирус Касперского для Linux Mail Server. Среди его возможностей: надежная защита от вредоносных и потенциально опасных программ; фильтрация нежелательной почтовой корреспонденции; проверка входящих и исходящих почтовых сообщений и вложений; антивирусная проверка всех сообщений на сервере Microsoft Exchange, включая общие папки; проверка сообщений, баз данных и других объектов серверов Lotus Notes/Domino; фильтрация сообщений по типам вложений; изоляция подозрительных объектов в специальном хранилище; удобная система управления программным продуктом; предотвращение вирусных эпидемий; мониторинг состояния системы защиты с помощью уведомлений; система отчетов о работе приложения; масштабируемость программного продукта в пределах доступных ресурсов системы; автоматическое обновление баз. Kaspersky Security для итнтернет-шлюзов Программный продукт обеспечивает безопасный доступ к сети Интернет для всех сотрудников организации, автоматически удаляя вредоносные и Приложение C 141
потенциально опасные программы из потока данных, поступающего в сеть по протоколам HTTP/FTP. В состав продукта входят: Kaspersky Administration Kit
. Антивирус Касперского для Proxy Server
. Антивирус Касперского для Microsoft ISA Server
. Антивирус Касперского для Check Point FireWall-1
. Среди его возможностей: надежная защита от вредоносных и потенциально опасных программ; проверка интернет-трафика (HTTP/FTP) в режиме реального времени; фильтрация интернет-трафика по списку доверенных серверов, типам объектов и группам пользователей; изоляция подозрительных объектов в специальном хранилище; удобная система управления; система отчетов о работе приложения; поддержка аппаратных прокси-серверов; масштабируемость программного продукта в пределах доступных ресурсов системы; автоматическое обновление баз. Антивирус Касперского
®
для MIMESweeper Антивирус Касперского
®
для MIMESweeper обеспечивает высокоскоростную антивирусную проверку трафика на серверах, использующих Clearswift MIMEsweeper for SMTP / Clearswift MIMEsweeper for Exchange / Clearswift MIMEsweeper for Web. Программа выполнена в виде плагина (модуля расширения) и осуществляет в режиме реального времени антивирусную проверку и обработку входящих и исходящих почтовых сообщений. C.2. Наши координаты Если у вас возникнут какие-либо вопросы, вы можете обратиться к нашим дистрибьюторам или непосредственно в ЗАО «Лаборатория Касперского». Вам всегда будут предоставлены подробные консультации по телефону 142 Kaspersky® Anti-Spam 3.0 или электронной почте. На все ваши вопросы вы получите полные и исчерпывающие ответы. Адрес: Россия, 123060, Москва, 1-й Волоколамский проезд, д.10, стр.1 Факс: +7 (495) 797-8700, +7 (495) 645-79-39 Экстренная круглосуточная помощь: +7 (495) 797-8707, +7 (495) 645-79-29 Поддержка пользователей персональных продуктов и Business Optimal: +7 (495) 797-8707, +7 (495) 645-79-29 (с 10 до 19 часов) http://support.kaspersky.ru/helpdesk.html
Поддержка пользователей Corporate Suite: Телефоны и электронный адрес предоставляются при покупке Corporate Suite в зависимости от пакета технической поддержки. Веб-форум «Лаборатории Касперского»: http://forum.kaspersky.com
Антивирусная лаборатория: newvirus@kaspersky.com
(только для отправки новых вирусов в архивированном виде) Группа подготовки пользовательской документации: docfeedback@kaspersky.com
(только для отправки отзывов о документации и электронной справочной системе) Департамент продаж: +7 (495) 797-8700, +7 (495) 645-79-39 sales@kaspersky.com
Общая информация: +7 (495) 797-8700, +7 (495) 645-79-39 info@kaspersky.com
Приложение C 143
WWW: http://www.kaspersky.ru
http://www.viruslist.ru ПРИЛОЖЕНИЕ D. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СТОРОННИХ ПРОИЗВОДИТЕЛЕЙ В процессе разработки Kaspersky Anti-Spam 3.0 использовано следующее программное обеспечение сторонних производителей: Библиотека Berkeley DB 1.85 используется на следующих условиях: Copyright (c) 1990, 1993, 1994 The Regents of the University of California. All rights reserved. This code is derived from software contributed to Berkeley by Margo Seltzer. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by the University of California, Berkeley and its contributors. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; Приложение D 145
OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Библиотека libjpeg 6b используется на следующих условиях: LEGAL ISSUES ============ In plain English: 1. We don't promise that this software works. (But if you find any bugs, please let us know!) 2. You can use this software for whatever you want. You don't have to pay us. 3. You may not pretend that you wrote this software. If you use it in a program, you must acknowledge somewhere in your documentation that you've used the IJG code. In legalese: The authors make NO WARRANTY or representation, either express or implied, with respect to this software, its quality, accuracy, merchantability, or fitness for a particular purpose. This software is provided "AS IS", and you, its user, assume the entire risk as to its quality and accuracy. This software is copyright (C) 1991-1998, Thomas G. Lane. All Rights Reserved except as specified below. Permission is hereby granted to use, copy, modify, and distribute this software (or portions thereof) for any purpose, without fee, subject to these conditions: (1) If any part of the source code for this software is distributed, then this README file must be included, with this copyright and no-warranty notice unaltered; and any additions, deletions, or changes to the original files must be clearly indicated in accompanying documentation. (2) If only executable code is distributed, then the accompanying documentation must state that "this software is based in part on the work of the Independent JPEG Group". (3) Permission for use of this software is granted only if the user accepts full responsibility for any undesirable consequences; the authors accept NO LIABILITY for damages of any kind. 146 Kaspersky® Anti-Spam 3.0 These conditions apply to any software derived from or based on the IJG code, not just to the unmodified library. If you use our work, you ought to acknowledge us. Permission is NOT granted for the use of any IJG author's name or company name in advertising or publicity relating to this software or products derived from it. This software may be referred to only as "the Independent JPEG Group's software". We specifically permit and encourage the use of this software as the basis of commercial products, provided that all warranty or liability claims are assumed by the product vendor. ansi2knr.c is included in this distribution by permission of L. Peter Deutsch, sole proprietor of its copyright holder, Aladdin Enterprises of Menlo Park, CA. ansi2knr.c is NOT covered by the above copyright and conditions, but instead by the usual distribution terms of the Free Software Foundation; principally, that you must include source code if you redistribute it. (See the file ansi2knr.c for full details.) However, since ansi2knr.c is not needed as part of any program generated from the IJG code, this does not limit you more than the foregoing paragraphs do. The Unix configuration script "configure" was produced with GNU Autoconf. It is copyright by the Free Software Foundation but is freely distributable. The same holds for its supporting scripts (config.guess, config.sub, ltconfig, ltmain.sh). Another support script, install-sh, is copyright by M.I.T. but is also freely distributable. It appears that the arithmetic coding option of the JPEG spec is covered by patents owned by IBM, AT&T, and Mitsubishi. Hence arithmetic coding cannot legally be used without obtaining one or more licenses. For this reason, support for arithmetic coding has been removed from the free JPEG software. (Since arithmetic coding provides only a marginal gain over the unpatented Huffman mode, it is unlikely that very many implementations will support it.) So far as we are aware, there are no patent restrictions on the remaining code. The IJG distribution formerly included code to read and write GIF files. To avoid entanglement with the Unisys LZW patent, GIF reading support has been removed altogether, and the GIF writer has been simplified to produce "uncompressed GIFs". This technique does not use the LZW algorithm; the resulting GIF files are larger than usual, but are readable by all standard GIF decoders. We are required to state that "The Graphics Interchange Format(c) is the Copyright property of CompuServe Incorporated. GIF(sm) is a Service Mark property of Приложение D 147
CompuServe Incorporated." Библиотека libungif используется на следующих условиях: The GIFLIB distribution is Copyright (c) 1997 Eric S. Raymond Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. Библиотека libevent используется на следующих условиях: Copyright (c) 2000-2004 Niels Provos <provos@citi.umich.edu> All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. The name of the author may not be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, 148 Kaspersky® Anti-Spam 3.0 EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Веб-сервер thttpd используется на следующих условиях: Copyright 1995,1998,1999,2000,2001 by Jef Poskanzer <jef@acme.com>. All rights reserved. 1. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 2. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 3. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS "AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Библиотека libspf2 используется на следующих условиях: The code in the libspf-alt distribution is Copyright 2004 by Wayne Schlitt, all rights reserved. Copyright retained for the purpose of protecting free software redistribution. This program is free software; you can redistribute it and/or modify it under the terms of either: a) the GNU Lesser General Public License as published by the Free Software Foundation; either version 2.1, or (at your option) any later version, Приложение D 149
OR b) The two-clause BSD license. Some code in the 'replace' subdirectory was obtained form other sources and have different, but compatible, licenses. These routines are used only when the native libraries for the OS do not contain these functions. You should review the licenses and copyright statments in these functions if you are using an OS that needs these functions. The two-clause BSD license: Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. THIS SOFTWARE IS PROVIDED BY THE AUTHOR "AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Библиотека libpatricia используется на следующих условиях: Copyright (c) 1997, 1998, 1999 The Regents of the University of Michigan ("The Regents") and Merit Network, Inc. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 150 Kaspersky® Anti-Spam 3.0 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by the University of Michigan, Merit Network, Inc., and their contributors. 4. Neither the name of the University, Merit Network, nor the names of their contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Библиотека pcre используется на следующих условиях: PCRE is a library of functions to support regular expressions whose syntax and semantics are as close as possible to those of the Perl 5 language. Release 5 of PCRE is distributed under the terms of the "BSD" licence, as specified below. The documentation for PCRE, supplied in the "doc" directory, is distributed under the same terms as the software itself. Written by: Philip Hazel <ph10@cam.ac.uk> University of Cambridge Computing Service, Cambridge, England. Phone: +44 1223 334714. Copyright (c) 1997-2004 University of Cambridge All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. Приложение D 151
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. Neither the name of the University of Cambridge nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Библиотека xdr используется на следующих условиях: Sun RPC is a product of Sun Microsystems, Inc. and is provided for unrestricted use provided that this legend is included on all tape media and as a part of the software program in whole or part. Users may copy or modify Sun RPC without charge, but are not authorized to license or distribute it to anyone else except as part of a product or program developed by the user. SUN RPC IS PROVIDED AS IS WITH NO WARRANTIES OF ANY KIND INCLUDING THE WARRANTIES OF DESIGN, MERCHANTIBILITY AND FITNESS FOR A PARTICULAR PURPOSE, OR ARISING FROM A COURSE OF DEALING, USAGE OR TRADE PRACTICE. Sun RPC is provided with no support and without any obligation on the part of Sun Microsystems, Inc. to assist in its use, correction, modification or enhancement. SUN MICROSYSTEMS, INC. SHALL HAVE NO LIABILITY WITH RESPECT TO THE INFRINGEMENT OF COPYRIGHTS, TRADE SECRETS OR ANY PATENTS BY SUN RPC OR ANY PART THEREOF. In no event will Sun Microsystems, Inc. be liable for any lost revenue or profits or other special, indirect and consequential damages, even if Sun has been advised of the possibility of such damages. Sun Microsystems, Inc. 152 Kaspersky® Anti-Spam 3.0 2550 Garcia Avenue Mountain View, California 94043 Библиотека zlib используется на следующих условиях: zlib.h -- interface of the 'zlib' general purpose compression library version 1.1.3, July 9th, 1998 Copyright (C) 1995-1998 Jean-loup Gailly and Mark Adler This software is provided 'as-is', without any express or implied warranty. In no event will the authors be held liable for any damages arising from the use of this software. Permission is granted to anyone to use this software for any purpose, including commercial applications, and to alter it and redistribute it freely, subject to the following restrictions: 1. The origin of this software must not be misrepresented; you must not claim that you wrote the original software. If you use this software in a product, an acknowledgment in the product documentation would be appreciated but is not required. 2. Altered source versions must be plainly marked as such, and must not be misrepresented as being the original software. 3. This notice may not be removed or altered from any source distribution. Jean-loup Gailly Mark Adler jloup@gzip.org madler@alumni.caltech.edu The data format used by the zlib library is described by RFCs (Request for Comments) 1950 to 1952 in the files ftp://ds.internic.net/rfc/rfc1950.txt (zlib format), rfc1951.txt (deflate format) and rfc1952.txt (gzip format). Библиотека expat используется на следующих условиях: Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd and Clark Cooper Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. Приложение D 153
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. Библиотека STLport используется на следующих условиях: Copyright (c) 1994 Hewlett-Packard Company Copyright (c) 1996-1999 Silicon Graphics Computer Systems, Inc. Copyright (c) 1997 Moscow Center for SPARC Technology Copyright (c) 1999, 2000, 2001, 2002 Boris Fomitchev This material is provided "as is", with absolutely no warranty expressed or implied. Any use is at your own risk. Permission to use or copy this software for any purpose is hereby granted without fee, provided the above notices are retained on all copies. Permission to modify the code and to distribute modified code is granted, provided the above notices are retained, and a notice that the code was modified is included with the above copyright notice. Библиотека libmilter используется на следующих условиях: The following license terms and conditions apply, unless a different license is obtained from Sendmail, Inc., 6425 Christie Ave, Fourth Floor, Emeryville, CA 94608, USA, or by electronic mail at license@sendmail.com. License Terms: Use, Modification and Redistribution (including distribution of any modified or derived work) in source and binary forms is permitted only if each of the following conditions is met: 1. Redistributions qualify as "freeware" or "Open Source Software" under one of the following terms: 154 Kaspersky® Anti-Spam 3.0 a) Redistributions are made at no charge beyond the reasonable cost of materials and delivery. b) Redistributions are accompanied by a copy of the Source Code or by an irrevocable offer to provide a copy of the Source Code for up to three years at the cost of materials and delivery. Such redistributions must allow further use, modification, and redistribution of the Source Code under substantially the same terms as this license. For the purposes of redistribution "Source Code" means the complete compilable and linkable source code of sendmail including all modifications. 2. Redistributions of source code must retain the copyright notices as they appear in each source code file, these license terms, and the disclaimer/limitation of liability set forth as paragraph 6 below. 3. Redistributions in binary form must reproduce the Copyright Notice, these license terms, and the disclaimer/limitation of liability set forth as paragraph 6 below, in the documentation and/or other materials provided with the distribution. For the purposes of binary distribution the "Copyright Notice" refers to the following language: "Copyright (c) 1998-2004 Sendmail, Inc. All rights reserved." 4. Neither the name of Sendmail, Inc. nor the University of California nor the names of their contributors may be used to endorse or promote products derived from this software without specific prior written permission. The name "sendmail" is a trademark of Sendmail, Inc. 5. All redistributions must comply with the conditions imposed by the University of California on certain embedded code, whose copyright notice and conditions for redistribution are as follows: a) Copyright (c) 1988, 1993 The Regents of the University of California. All rights reserved. b) Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: I. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. II. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. III. Neither the name of the University nor the names of its contributors may be used to endorse or promote products Приложение D 155
derived from this software without specific prior written permission. 6. Disclaimer/Limitation of Liability: THIS SOFTWARE IS PROVIDED BY SENDMAIL, INC. AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL SENDMAIL, INC., THE REGENTS OF THE UNIVERSITY OF CALIFORNIA OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. Библиотека OpenSSL используется на следующих условиях: LICENSE ISSUES ============== The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit. See below for the actual license texts. Actually both licenses are BSD-style Open Source licenses. In case of any license issues related to OpenSSL please contact openssl-core@openssl.org. OpenSSL License ============================================================= Copyright (c) 1998-2004 The OpenSSL Project. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgment: "This product includes software 156 Kaspersky® Anti-Spam 3.0 developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/)" 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact openssl-
core@openssl.org. 5. Products derived from this software may not be called "OpenSSL" nor may "OpenSSL" appear in their names without prior written permission of the OpenSSL Project. 6. Redistributions of any form whatsoever must retain the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)" THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS'' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. ============================================================= This product includes cryptographic software written by Eric Young (eay@cryptsoft.com). This product includes software written by Tim Hudson (tjh@cryptsoft.com). Original SSLeay License Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com) All rights reserved. This package is an SSL implementation written by Eric Young (eay@cryptsoft.com). The implementation was written so as to conform with Netscapes SSL. Приложение D 157
This library is free for commercial and non-commercial use as long as the following conditions are aheared to. The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code. The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson (tjh@cryptsoft.com). Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed. If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used. This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: "This product includes cryptographic software written by Eric Young (eay@cryptsoft.com)" The word 'cryptographic' can be left out if the rouines from the library being used are not cryptographic related :-). 4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: "This product includes software written by Tim Hudson (tjh@cryptsoft.com)" THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 158 Kaspersky® Anti-Spam 3.0 The licence and distribution terms for any publically available version or derivative of this code cannot be changed. i.e. this code cannot simply be copied and put under another distribution licence [including the GNU Public Licence.] Библиотека FreeBSD libc используется на следующих условиях: Copyright (C) 1992-2005 The FreeBSD Project. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. THIS SOFTWARE IS PROVIDED BY AUTHOR AND CONTRIBUTORS ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Программа-препроцессор mcpp используется на следующих условиях: Copyright (c) 1998, 2002-2004 Kiyoshi Matsui <kmatsui@t3.rim.or.jp> All rights reserved. Some parts of this code are derived from the public domain software DECUS cpp (1984,1985) written by Martin Minow. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. Приложение D 159
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. THIS SOFTWARE IS PROVIDED BY THE AUTHOR "AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 
Автор
psykyler
Документ
Категория
Без категории
Просмотров
882
Размер файла
2 143 Кб
Теги
kasp3, 0_anti, spamru
1/--страниц
Пожаловаться на содержимое документа