Dr.Web Mail Security Suite for Unix Appliance

Dr.Web Mail Security Suite for Unix Appliance

Dr.Web Mail Security Suite for Unix Appliance for protection of mail services is implemented as a set of plugins that run simultaneously.

Key features

• scan of incoming and outgoing messages for viruses and spam.
• blocking and placing infected and suspicious objects to the Quarantine.
• sending notifications and alerts on virus events to the system administrator or other selected users.
• logging all activities of the solution and collecting of stats on its routines.
• automatic updating of the virus database.
• summary reports and statistics.

Obecnie dostępne są następujące wtyczki.

• DrWeb
  Wtyczka, która sprawdza wiadomości pocztowe pod kątem wirusów, korzystając z silnika programu Dr.Web. Skanowania dokonuje moduł drWebd. Wiadomości są wysyłane do modułu drWebd w postaci już przetworzonej, dlatego silnik programu i moduł drWebd nie muszą obsługiwać przetwarzania standardu MIME. Wtyczka ta jest bardzo wydajna i cechuje się wysokim stopniem wykrywalności.

  Stabilność działania
  Z uwagi na modułową strukturę programu Dr.Web dla serwerów pocztowych z systemem Unix oraz specjalny moduł odpowiedzialny za wydajność systemu wyłączenie wtyczki jest praktycznie niemożliwe.

  Krótki czas reakcji
  Dzięki wielowątkowej technologii skanowania czas reakcji systemu jest niezwykle krótki. Pliki skanowane są w locie, bez oczekiwania na przetworzenie wiadomości otrzymanych wcześniej. Dzięki temu użytkownicy końcowi otrzymują wiadomości pocztowe praktycznie po chwili.

  Wysoki poziom ochrony
  Olbrzymia baza danych wirusów i stale udoskonalany analizator heurystyczny nie dają wirusom - także mikrowirusom, koniom trojańskim i innemu złośliwemu oprogramowaniu - żadnych szans na przeniknięcie do komputerów użytkowników poprzez wiadomości pocztowe. Wtyczka wykrywa programy o niegodziwych zamiarach pisane na wszystkie platformy – Windows, Unix, DOS – w tym także obiekty mogące infekować pliki pakietu Microsoft Office. Administratorzy mogą wybrać rodzaje skanowanych plików, a także sposób reakcji na wykryte zagrożenia: raportowanie, leczenie zainfekowanych obiektów, przenoszenie podejrzanych obiektów do kwarantanny, zmiana nazwy.

  Prawidłowe sprawdzanie plików spakowanych i zarchiwizowanych
  Wtyczka Dr.Web prawidłowo sprawdza większość istniejących formatów plików spakowanych i archiwów o dowolnym poziomie zagnieżdżenia, w tym pliki wielowolumenowe i samorozpakowujące się, co ma bardzo duże znaczenie dla serwerów pocztowych. Program Dr. Web potrafi przetwarzać ponad tysiąc rodzajów plików zarchiwizowanych i spakowanych.

  Kwarantanna
  Wykryte przez wtyczkę zainfekowane i podejrzane pliki można przenieść do kwarantanny. Następnie można je dodatkowo przeskanować, wyleczyć lub usunąć.

  Łatwość administrowania
  Elastyczność plików konfiguracyjnych umożliwia dostosowanie parametrów wtyczki. Wszystkie działania wykonywane przez wtyczkę znajdują odzwierciedlenie w plikach dzienników, które można poddać późniejszej analizie. Poręczny system alertów umożliwia administratorom szybkie reagowanie na pojawiające się zagrożenia.

  Rozwiązanie typu open source
  Dzięki otwartej strukturze produktu użytkownicy mogą samodzielnie tworzyć dodatkowe moduły za pomocą wtyczki DrWeb, otwartego zestawu SDK i szczegółowej dokumentacji.

• headersfilter
  Wtyczka ta filtruje wiadomości według nagłówków. Filtrowana jest nie tylko sama wiadomość, lecz także ewentualne załączniki. Administrator może dodawać własne reguły filtrowania wiadomości. Przy tworzeniu reguł można stosować wyrażenia regularne.

  Elastyczne ustawienia wtyczki umożliwiają stosowanie dowolnej liczby reguł. Wtyczka jest praktycznie niewidoczna dla systemu i nigdy go nie przeciąża, gdyż działa prawie błyskawicznie.

  Łatwość użycia
  Stosowanie wyrażeń regularnych pozwala dopasować system tak, aby niektóre wiadomości odrzucać, a niektóre filtrować. Ponieważ liczba reguł jest nieograniczona, system można łatwo dostosować do potrzeb.

  Rozwiązanie typu open source
  Dzięki otwartej strukturze produktu użytkownicy mogą samodzielnie tworzyć dodatkowe moduły za pomocą wtyczki headersfilter, otwartego zestawu SDK i szczegółowej dokumentacji.

  Stabilność działania
  Z uwagi na modułową strukturę produktu oraz specjalny moduł odpowiedzialny za wydajność systemu wyłączenie wtyczki headersfilter jest praktycznie niemożliwe.

• Składnik Modifier
  Składnik Modifier modyfikuje przetworzone wiadomości, korzystając z ustalonych reguł pozwalających przetwarzać wiadomości przychodzące i wychodzące zgodnie ze standardami firmowymi. Możliwe jest zapobieganie wyciekowi informacji dzięki modyfikacji bazującemu na regułach oraz archiwizowanie wiadomości. Analizy filtrowanych wiadomości można dokonywać za pomocą narzędzia zarządzania kwarantanną.

  Łatwość korzystania
  Elastyczna konfiguracja umożliwia dokonywanie nieograniczonej liczby modyfikacji przetworzonych wiadomości, zatem administrator systemu może tworzyć nieograniczoną liczbę reguł w celu zapewnienia zgodności z zasadami bezpieczeństwa poczty. Składnik Modifier można skonfigurować tak, aby przetwarzał wiadomości z pierwszeństwem przed innymi modułami, a także aby był ostatnim modułem w kolejce filtrów, dokonującym dodatkowej weryfikacji z użyciem danych roboczych z innych modułów.

  Łatwe administrowanie
  Elastyczne reguły, które można tworzyć z użyciem wyrażeń regularnych, umożliwiają konfigurowanie przetwarzania wiadomości elektronicznych zgodnie z obowiązującymi w firmie zasadami bezpieczeństwa. System natychmiastowych powiadomień pozwala administratorowi systemu terminowo wykonywać niezbędne działania.

  Rozwiązanie otwarte
  Dzięki otwartej architekturze demona MailD każdy użytkownik, który posiada odpowiednie umiejętności, może wdrożyć pożądaną funkcję jako nową wtyczkę, wykorzystując zestaw SDK oraz odpowiednią dokumentację dostarczaną z oprogramowaniem.

  Stabilność działania
  Architektura modułowa oraz specjalny moduł kontroli działania zapewniają wyjątkową stabilność wtyczki. Wyłączenie wtyczki na dłuższy czas jest praktycznie niemożliwe.

  Szybka reakcja
  Minimalna zajętość zasobów systemowych w połączeniu z wysoką wydajnością zapewniają szybką reakcję oprogramowania, natychmiastowe przetwarzanie wiadomości oraz ich dostarczanie do użytkowników bez opóźnień.

• Vade Secure
  Vade Secure to wtyczka filtrująca spam, wykorzystująca własną bibliotekę (Vade Secure).
  W zależności od wyniku analizy każdej wiadomości przypisywany jest wynik, liczba całkowita w przedziale od -10000 do +10000. Im mniejszy wynik, tym większe prawdopodobieństwo że dana wiadomość jest prawdziwa, tzn. nie jest spamem. Próg uznania wiadomości za spam zależy od wartości parametru SpamThreshold w pliku konfiguracyjnym wtyczki (jeśli wynik jest większy od lub równy wartości parametru SpamThreshold, wiadomość uznawana jest za spam).

  W zależności od konfiguracji wtyczki, po analizie wiadomości może do niej zostać dodany jeden z następujących nagłówków:

  • X-Drweb-SpamScore: n. n – wynik przyznany przez bibliotekę Vade Secure.
  • X-Drweb-SpamState: b. b – wartość yes dla spamu i wiadomości z wirusami oraz no dla wiadomości nie będących spamem ani komunikatem bounce.
  • X-Drweb-SpamState-Num: s. s – wynik klasyfikacji po analizie wtyczką Vade Secure, gdzie s może przyjmować następujące wartości: 0, 1, 2 i 3. 0 – wiadomość nie jest spamem, 1 – wiadomość jest spamem, 2 – wiadomość zawiera wirusa, 3 – wiadomość jest komunikatem bounce. Nagłówek ten jest dodawany, jeśli parametr ddXDrwebSpamStateNumHeader pliku konfiguracyjnego wtyczki Vade Secure ma wartość yes.
  • X-Drweb-SpamVersion: wersja. wersja – wersja biblioteki Vade Secure. Nagłówek ten jest dodawany, jeśli parametr AddVersionHeader pliku konfiguracyjnego wtyczki Vade Secure ma wartość yes.
  Dodatkowo na początku pola Subject: wiadomości zaliczonych do spamu lub zawierających wirusa wtyczka Vade Secure może wstawić następujące wartości:
  • X-IS-SPAM, wartość YES/NO
  • X-SPAM-SCORE, liczba punktów przyznana wiadomości przez wtyczkę Vade Secure
  • X-SPAM-AGENT, wersja biblioteki Vade Secure
  • X-SPAM-DETAILS, szczegółowy opis spamu zwrócony przez bibliotekę Vade Secure
  • X-SPAM-STATE, aktualny stan wiadomości.

Anti-virus scan of e-mail
Filtering mail for viruses, spyware, adware, suspicious programs, hack tools and jokers is performed by the Dr.Web anti-virus plugin. High productivity of filtering is combined with low system requirements, so the solution runs perfectly virtually on any server hardware.

Stability
The modular structure of the mail service protection system and a special operation control plugin ensure that the anti-virus plugin is always running, so malware can't disable it.

Rapid response
The multi-thread technology allows simultaneous scan of several files instead of placing them in the queue, so the scan doesn’t delay messages receipt by users!

Program Dr.Web to nie tylko antywirus!
Dr.Web skutecznie wykrywa, leczy lub usuwa wirusy i wszystkie rodzaje złośliwego oprogramowania, w tym rootkity, robaki pocztowe i sieciowe, wirusy plikowe, konie trojańskie, oprogramowanie szpiegujące, oprogramowanie reklamowe, narzędzia hakerskie, płatne dialery i programy-żarty.

Unikatowa technologia wykrywania wirusów bez użycia sygnatur
Do tradycyjnego skanowania sygnatur i analizy heurystycznej dodana została technologia Origins Tracing™. Znacząco poprawia ona wykrywanie nieznanych jeszcze wirusów. Złośliwe oprogramowanie wykryte dzięki nowej technologii oznaczane jest poprzez dodanie do jego nazwy rozszerzenia .Origin.

Prawidłowe skanowanie plików spakowanych i zarchiwizowanych
Dr.Web prawidłowo sprawdza większość istniejących formatów plików spakowanych i archiwów o dowolnym poziomie zagnieżdżenia, w tym pliki wielowolumenowe i samorozpakowujące się, co ma bardzo duże znaczenie dla serwerów pocztowych. Program Dr.Web rozpoznaje ponad tysiąc rodzajów plików zarchiwizowanych i spakowanych.

Bardzo częste aktualizacje bazy danych wirusów
Aktualizacje bazy danych wirusów Dr.Web publikowane są natychmiast po dodaniu do niej nowych wpisów, czasami nawet kilka razy na godzinę. Świeże uzupełnienia bazy publikowane są natychmiast po złapaniu i przeanalizowaniu nowego złośliwego oprogramowania. Globalna sieć monitoringu Dr.Web zbiera próbki nowych wirusów z całego świata. Aktualizacje są przesyłane do klientów za pomocą kilkunastu serwerów aktualizacji znajdujących się w różnych częściach świata.

Dr.Web posiada najbardziej zwartą bazę danych wirusów
Dzięki temu pliki skanowane są szybko, przy mniejszej zajętości miejsca na dysku twardym i w pamięci RAM, natomiast pobieranie aktualizacji z Internetu odbywa się niemal błyskawicznie. Jeden wpis w bazie danych wirusów Dr.Web pozwala wykryć dziesiątki, setki, a nawet tysiące podobnych wirusów.

Quarantine
Infected and suspicious objects detected by the plugin can be placed to the Quarantine so later one can try to retrieve useful information, cure or delete quarantined messages.

Easy administration
Flexible configuration system allows configuring anti-virus plug-in the way you need. All actions of the plugin are logged so you can analyze system behaviour and bottlenecks. The system promptly notifies an administrator so he can perform required tasks in a timely manner.

Efficient filtering of spam
The Vade Secure plugin filters out spam messages from user mail using its own library (Vade Secure). The library is updated regularly, so the quality of filtering is constantly improving as well.

High performance filtering
Dr.Web Anti-spam scans over 100 messages on-the-fly in one second (1.9GHz Pentium 4 CPU), which means it will scan 8.64 million messages in 24 hours!

The anti-spam doesn’t require training!
Unlike anti-spam solutions based on Bayesian filter Dr.Web Anti-spam for Unix mail servers doesn’t require any initial training before one is able to use it. The anti-spam starts working as soon as the first message is received!

Intelligent spam detection system
Different technologies are used for different types of undesired mail – spam, phishing-, pharmingг-, scamming-, bounce-messages to ensure yet higher detection probability.

Stand-alone anti-spam saves traffic
The stand-alone anti-spam analyzer module doesn’t require a connection to an external server or access to a database which also saves traffic.

The unique technologies!
The unique filtering technology doesn’t require a block list, so a company can’t be discredited by deliberate adding it to the list.

Regular updates
Anti-spam updates are released on daily basis and downloaded by Dr.Web automatic update utility. The unique technologies allow staying up-to-date with latest filtering evasion techniques applied by spammers with only one update in 24 hours and, therefore, save your traffic.

Technologie filtrowania spamu

Analiza heurystyczna
Wysoce inteligentna technologia dokonująca empirycznej analizy wszystkich części wiadomości: nagłówka, treści itd. Analizowana jest nie tylko sama wiadomość, lecz i załączniki do niej. Analizator heurystyczny jest stale ulepszany poprzez dodawanie nowych reguł.

Przeciwdziałanie
Metoda przeciwdziałania to jedna z najbardziej zaawansowanych i skutecznych technologii antyspamowych programu Dr.Web. Pomaga ona przeciwdziałać technikom i sztuczkom stosowanym przez spamerów w celu uniknięcia wykrycia.

Wzorce kodu HTML
Wiadomości zawierające kod HTML są porównywane z listą znanych wzorców z biblioteki antyspamowej. Porównanie takie, w połączeniu z danymi o wielkości obrazków używanych zwykle przez spamerów, pomaga chronić użytkowników przed wiadomościami spamowymi z kodem HTML, często zawierającymi obrazki w tekście.

Analiza semantyczna
Dzięki analizie semantycznej można porównać słowa i zwroty zawarte w wiadomości ze słowami i zwrotami używanymi zwykle przez spamerów. Do analizy wykorzystuje się specjalny słownik. Analizowane są wszystkie słowa, zwroty i symbole, zarówno te widoczne jak i zamaskowane technicznymi sztuczkami spamerów.

technologie wykrywania oszustw
Oszustwa (jak również wiadomości pharmingowe, będące ich podtypem) to najgroźniejszy rodzaj spamu, którego najbardziej znanym przykładem są tak zwane oszustwa nigeryjskie, oszukańcze pożyczki, loterie i kasyna oraz fałszywe wiadomości od banków i wystawców kart kredytowych. Do filtrowania takich wiadomości wykorzystywany jest specjalny moduł antyspamowy Dr.Web.

Filtrowanie spamu technicznego
Tak zwane komunikaty bounce to wysyłane przez serwer pocztowy wiadomości o niepowodzeniu dostarczenia przesyłki. Osobą, która faktycznie otrzymuje komunikat, niekoniecznie musi być nadawca niedostarczonej wiadomości; taką wiadomość może wysłać również robak pocztowy. Dlatego też są one równie niepożądane jak spam. Specjalny moduł programu Dr.Web Antyspam odfiltrowuje takie wiadomości jako niechciane.

Active protection against hackers and spammers
Functionality of present-day corporate mail filtering systems is limited because they have to be integrated in mailing systems. Dr.Web Mail Security Suite for Unix Appliances can be installed on a separate server, so mail filtering system becomes more stable, a company that uses the solution enhances its security and saves traffic..

Depending on network architecture, Dr.Web Mail Security Suite for Unix Appliance can be installed in the demilitarized zone (DMZ) or in the local area network of a company. The protected server can be placed in the demilitarized zone so that a mail server is not connected to the Internet directly; In this case even if a hacker succeeds in compromising a server, he won’t get access to sensitive information. Besides, placing Dr.Web Mail Suite for Unix Appliance outside the company network won’t allow a third party to receive information about the application installed on the server which also increases overall security of a network.

Active protection against spam
It is not only the message content that distinguishes spam from normal messages but also SMTP session parameters. Typically a spam message has a large number of recipients or a fake sender address. During a spam attack a lot of messages are sent using one IP-address, or using a fake sender address.

Dr.Web Mail Security Suite for Unix Appliance allows an administrator to restrict the following parameters of an SMTP session :

• max number of recipients;
• max number of SMTP-connections for one IP-address;
• max number of messages in one session;
• maximum number of Received headers in a message;
• max number of errors in one session;
• message max size.

IP-validity verification
One of the properties of a spam message is an invalid sender IP. Spammers have to hide their servers (or spam-bots – compromised user workstations) to avoid getting into the Internet block list.
Dr.Web Mail Security Suite for Unix Appliance allows verifying IP validity thus providing:

• Sender authentication;
• Check if a sender host is included in the Protected Domains list using PTR and A requests;
• Check if a connecting IP-address is included in white or black lists of IP-addresses and domain names;
• Check if hosts and IP-addresses of a sender or a recipient have matching DNS, A and MX entries;
• Comparing a host IP-address and a connected host;
• Lookup an address in RBL/DNSBL blacklists.

Protection against attacks by hackers and spammers
Dr.Web Mail Security Suite for Unix Appliance allows configuring protection against typical attacks directed at a mail server including protection against passive attacks such as PLAIN, LOGIN and active attacks performed without a dictionary search.

Protection against spamtraps
Spamtraps are created in order to find out spammer e-mail addresses. Dr.Web smtp-proxy allows checking if a recipient is a spamtrap, if so – a message won't be sent at the address..

Correct processing of malformed messages
It is well known that some mail clients do not form mail messages in a proper way. Spam programs have the same flaw. Dr.Web Mail Security Suite for Unix Appliance allows blocking messages with empty sender fields; however, it recognizes malformed messages from known mail clients, so no false detections occur.

Saving Internet traffic
Dr.Web Mail Security Suite for Unix Appliance also resolves a problem of high Internet traffic which is especially relevant both for companies with employees carelessly attaching large files to their e-mail and cause mail servers malfunction or companies that become a target for spam attacksв.

Restricted open mail relay
Spammers often used open mail relays - SMTP servers that allow anyone to relay e-mail though them. If a company needs to run such a server, Dr.Web Mail Security Suite for Unix Appliance can be used to create a list of allowed domains to relay e-mail t.