Mnoho let jsem používal Symantec Messaging Gateway (dříve Brightmail), bohužel se stále více objevoval problém, že SMG přestala filtrovat český Spam (třeba na období 3 měsíců). Ani dlouhé řešení s podporou Symantecu nevedlo k lepšímu výsledku. Proto jsem otestoval konkurenční řešení na fitlrování nevyžádané pošty, které Gartner řadí mezi Leaders, Cisco Email Security (dříve Ironport). Výsledek je velmi dobrý. Článek obsahuje stručný popis nastavení a provozu.

Použití řešení Cisco Email Security (dříve Ironport) na filtrování nevyžádané pošty. Článek popisuje některé činnosti a nastavení z běžné provozní správy, tedy co děláme průběžně po úvodní implementaci. Primárně jde o to, jak identifikovat zablokované zprávy a nastavení výjimek, aby se některé zprávy doručily, i když jsou identifikovány jako Spam.

Simple Mail Transfer Protocol (SMTP) protokol přenáší standardně poštovní zprávy v čistém textu. Pokud nějaký útočník zachytí komunikaci, tak může jednoduše číst obsah zpráv i zobrazovat přílohy. Řešením je využít klientské šifrování emailů (end-to-end encryption pomocí S/MIME, PGP, apod.), ale pak je třeba řešit správu a předávání šifrovacích klíčů / certifikátů. Druhá možnost je šifrování SMTP komunikace při přenosu (to ovšem nechrání zprávy na serveru) a to si zde popíšeme. Podíváme se na nastavení na Cisco Email Security (ESA) a Exchange Server 2016.

V dalším článku se podíváme na metody pro ověřování původu poštovních zpráv (SPF, DKIM). K tomu je důležité rozumět, jak SMTP protokol odesílá poštovní zprávy. Hlavně, jak se ukládají adresy odesílatele a jak je jednoduché je podvrhnout. SMTP transakce, když se používají SMTP příkazy, označujeme jako SMTP obálku (Envelope). Vlastní email se skládá z hlavních částí, což je hlavička (Header) a tělo (Body) zprávy.

Metody, pro ověřování původu poštovních zpráv, kontrolují poštovní servery, které se účastní odeslání (a možné modifikace) emailu. Cílem je ověřit, že byla zpráva zaslána autorizovaným odesílatelem (serverem). Kontroluje se doména odesílatele, ne přímo emailová adresa. Jedna z nejrozšířenějších technik je SPF (Sender Policy Framework). Její využití je velmi jednoduché. Ověřuje, zda poštovní zpráva přišla z IP adresy, které je v DNS uvedena, jako povolený odesílatel pro danou doménu.

Metody pro ověřování původu poštovních zpráv (Email Authentication) kontrolují poštovní servery, které se účastní odeslání (a možné modifikace) emailu. Cílem je ověřit, že byla zpráva zaslána autorizovaným odesílatelem (serverem). Kontroluje se doména odesílatele, ne přímo emailová adresa. Po SPF je druhá rozšířená technika je DKIM. Ta spočívá v podepisování zpráv privátním klíčem pro doménu. Veřejný klíč pro ověření je publikován v DNS. Podpis se vkládá jako položka hlavičky, takže neovlivňuje běžný provoz.

Metody pro ověřování původu poštovních zpráv (Email Authentication) kontrolují poštovní servery, které se účastní odeslání (a možné modifikace) emailu. Cílem je ověřit, že byla zpráva zaslána autorizovaným odesílatelem (serverem). Kontroluje se doména odesílatele, ne přímo emailová adresa. SPF a DKIM provádí ověření na úrovni domény. DMARC doplňuje politiky chování pro zprávy, které kontrolou neprojdou, a možnost zasílání zpětné vazby majiteli domény. Porovnává také doménu odesílatele v hlavičce.

Při posílání zpráv, pomocí protokolu SMTP mezi poštovními servery, se již hodně využívá TLS šifrování. Poštovní servery standardně neověřují validitu použitého certifikátu. Údaj o tom, že podporují šifrování, se posílá v čistém textu v protokolu. Pro zabezpečení je možno využít DNS-based Authentication of Named Entities. Do DNS publikujeme speciální TLSA záznam, který říká, že určitá služba podporuje šifrování a jaký využívá certifikát.