原文转自:http://blog.xuite.net/abula000/security
IMSS 7.0 Beta 測試報告(一)安裝篇
經 過好幾次的測試,還有Beta版公告,這次趨勢直接跳過IMSS 6.X版,推出了IMSS 7.0版。趁著最後一次Beta版推出,便直接登記下載測試版來安裝測試。這次下載下來的版本為 IMSS7_WIN_Beta_5359 。解壓縮後就直接點選Setup.exe進行安裝。
安裝過程相當的平順,只有幾個小地方要注意。
IMSS 7.0內建MSDE,或者也可以連結至其他現成的資料庫。
安裝中,一併把使用者垃圾信管理元件(EUQ End-User Quarantine Service)選擇安裝,只要您的Mail Server有提供LDAP,收件者就可以透過帳號登入,進行垃圾郵件管理。
IP Profiler是一個新的元件,需要使用到BIND Server,相關說明等設定篇再來談。我們先點選安裝。
選擇EUQ的資料庫,我們用預選(MSDE)來安裝
安裝完畢!! 點選重新開機吧!! 接著我們要進入首次安裝成功的初步設定畫面了。
重 新開機後,可以從 [開始]–>[程式及]–>[Trend Micro]–>[Interscan Messaging Security Suite] 中找到 [IMSS Management Console]。點選後即可進入登入畫面。預設管理員帳號為 [Admin],預設密碼為 [imss7.0]。
登入後就會出現第一次安裝的初步設定程序畫面了,點選NEXT進行接下來的設定程序。
Notification 設定,這裡設定收取事件通知的收件者 [To address(es)],寄件者名稱 [Sender’s email address],轉寄通知信的郵件主機與使用埠 [Server name or IP address]、[SMTP server port],寄送語系 [Preferred charset]等資料。
Update Source設定可以跳過,按照預設值即可。LDAP設定是針對Mail Server有提供LDAP Service者訂定,設定LDAP連結成功後,郵件收件者即可透過垃圾郵件管理網頁,管理自己的垃圾郵件,並設定白名單。
設定網域名稱,這個設定在定義公司應接收與對外傳送的正確信件網域名稱。設定後,IMSS即可排除利用公司Relay非公司郵件之惡意或垃圾郵件。
如果你的環境中有ControlManager(TMCM)主機,在這個畫面就可以輸入要連結的設定值。
全部設定完畢,系統會重新導至登入畫面。
這時候您可以看到IMSS 7.0的摘要畫面。我們可以先將下方的所有Service啟動,並將上方Connection的 IP Filtering設定全打開。
接下來的,我們會在幾個設定項目一個個來玩。
IMSS 7.0 Beta 測試報告(二)POLICY篇
撇 開系統環境設定,IMSS 7.0的功能主要圍繞在Policy 與 IP Filtering兩項設定。在實際的使用上只有一個感覺,那就是太不易上手了。我想趨勢花了很大的精神在進行產品視覺統一的設計,只是這個設定部份還是 太繞手,我想設定完畢之後應該不會有人想再去碰吧。我們這個部份先就Policy來討論,打開Policy List之後你可以看到的畫面如下圖。
Policy 分成三個功能區來定義信件中的四項特徵處理
Policy List內有兩項主要設定,Global antivirus rule用來處理信件中的病毒與惡意程式處理。點選進去後可以看到下圖的設定畫面。
新版的IMSS在病毒與垃圾郵件內部設定,皆採用此一 “定義收送者”、”用什麼方式檢查”、”採用什麼處理方式” 的設計架構。
收件與寄件者設定實在沒什麼好看的,進入後可以設定例外清單。不過,會有特定不要掃描是否有病毒的信件嗎? 應該沒有吧!
Scanning Conditions用來定義要掃瞄哪些內容 ,基本上把該勾的都打勾就對了。Send the IntelliTrap samples to TrendLab 可以把掃描到的疑似惡意程式,或是某些被 “加殼了” 的程式,回傳到趨勢的病毒分析中心進行樣本分析,這樣可以增加病毒特徵的辨識度。可視狀況決定是否勾選這個功能。
接下來是病毒郵件處理方式,預設的方式是不攔阻郵件,但將郵件中的附件依趨勢一般病毒處理方式(ActiveAction)處理。不過,什麼預設的處理方式我並不知道。個人建議是這樣的,直接殺掉病毒信件即可。
另外還有一個 Special Virus項目,這是為了特別的惡意程式項目定義不同的處理方式,建議可以全部不勾選,都照一般項目即可。當然也可以展開來看看啦,其實設定是一模一樣的,只是若此處有設定便以此項目設定為準。若要設定建議也是直接砍掉就對了。
Policy List中有關垃圾郵件的部份,因為實在是很複雜,牽扯到郵件策略定義的問題,我們要另章講。
Scanning Exceptions用來定義郵件內容特性的處理方式,Security Settings Violations 是在定義如果郵件超過某個條件(例如大小、收件者、壓縮層數、解壓縮後大小以及附件檔案數量)等,這個可視情形調整條件與處理方式。加密與密碼保護的郵 件,之前是都建議直接不處理(Do not intercept messages) ,不過現在還多了一個可以轉寄的設定(BCC),只要設定要付件給誰就可以了,這個對於某些重視文件安全的公司是相當有用的。
Internal Addresses就更簡單了,用來定義 “願意” 處理的郵件網域,白話的說就是哪些信是公司要收進來的,還有寄出去的信是用哪個網域寄出去的。這個功能就不需要額外贅述了。
下個部分再來談有關Policy List裡面的垃圾郵件處理。不過先提一下,IMSS 7.0的垃圾郵件處理功能,有相當的進步,但是還是有一個我們一直很希望有的功能仍然沒有放進來。
IMSS 7.0 Beta 測試報告(三)垃圾郵件篇
IMSS 7.0在垃圾郵件的處理上,較5.X版要來的明確簡單。有關這個部份的設定,可以分成簡易版與進階版。
簡易版的垃圾郵件設定,可以直接透過啟用預設的垃圾郵件策略 (Default spam rule) 來處理即可。
其定義是這樣的:任何(everyone)寄進來的信件(*@*),皆檢查該信件是否為垃圾郵件;若為垃圾郵件者,一律隔離。
當然,除了垃圾郵件之外,也可以針對郵件附件內容、關鍵字、格式、檔案大小等條件加以定義。
而 對於被定義為垃圾郵件的信件,除了隔離,也可以採取不同的策略。例如將郵件改寄給特定人(Change recipient to)、殺掉整封郵件(應該不會有人這樣玩)、或是將信件轉至另一台郵件主機(Handoff)。若你決定讓垃圾郵件寄送給收件者(Do not intercept messages),則可以設定是否在垃圾郵件的內容加上註記(Insert stamp in body),或是在標題上加註(Tag subject)。
不過我們有說到IMSS 7.0對於郵件的檢查機制,是採取下列三項條件來定義郵件的處理方式:
先透過寄件者與收件者條件來決定該信件進入哪一筆策略,接著決定該策略要檢查信件內的哪些內容,最後才決定符合條件(垃圾郵件、病毒信件等)的郵件要採取什麼處理方式。
所以我們對於垃圾郵件或是灰色郵件(我們不希望使用者收到的信件)、特定郵件(有特殊關鍵字,或特定格式)、特殊群組的寄件人或是收件人,訂定各種不同的策略。下面是一個簡單而基本的策略架構例子:
根據需求,我們可以透過建立規則 (Add Rule) 的方式,訂定不同的郵件規則。在規則中只要依序針對寄件者、收件者、檢查內容、採取策略等,進行設定。
選擇檢查條件時,建議在 Rule action 選擇 “any condition matched (OR) “,這代表你所設定的條件,只要任一符合皆會採用你所設定的處理方式。
在自訂規則中,處理方式除了可以更換收件者 (change recipient) 外,也可以用附件的方式寄給特定人(BCC),這個功能在預設規則中是不能使用的。
而在收件者定義中,若公司郵件主機支援LDAP,則可透過LDAP連結,將公司郵件收件者清單一次匯入IMSS中。
如 果沒有LDAP的話,也可以透過 Select address group的 Add 功能,將建立好或是匯出的收件者清單匯入 (Import) ,這樣平常只要管理這個清單就可以了。有關收件者清單的建立,只要將使用者帳號以文字檔的方式,每一行放置一個郵件帳號存放即可。
有 關IMSS 7.0的垃圾郵件處理方式,其精神與處理邏輯,與原先的5.X版並沒有相差太多,只是在介面上將遊戲規則訂定的更加明確了。只是個人覺得,既然都可以將收 件者清單建立起來了,在7.0版為何不設計定時傳送垃圾郵件清單,讓使用者自行確認垃圾郵件,並訂定白名單呢?我相信這個功能對趨勢來說應該不會做不出來 才對,這是個人期待很久但還是沒有出現的功能,這是令人相當失望的。
另外,從IMSS的功能上看來,並沒有智慧化學習郵件主機上有哪些收件者清單。也就是說,IMSS並不會紀錄郵件主機因為無此收件者而退信的收件者清單,或是紀錄所有可以轉寄成功的清單。如果有這個功能,相信我們就不需要特別透過寄收件者的規則方式去避免字典式郵件攻擊。
不 過我想,如果連這個功能都有的話,那IMSS的售價應該可以比照中華數位的spam SQR了。所以我想應該這樣定位產品,如果公司要的,是全使用者自行定義垃圾郵件清單,又有預算的話,那可以採用目前最受歡迎的中華數位 Spam SQR,若公司策略是採集中管理,或是有支援LDAP可以讓User自行連結至IMSS的個人化垃圾郵件管理中心管理,那就建議又便宜又好用的IMSS。
有 關個人式垃圾郵件管理網站 (EUQ Web Console) 的使用,因為我的測試環境沒有Mail Server與LDAP環境,在這邊就不測試了,未來各位可以玩看看,這是一個相當好用的工具,可以做到像 Spam SQR 那樣由使用者自行管理垃圾郵件與寄件者白名單。
後續我們會介紹最後一個有趣的功能,IP Filtering,這個設定中包含了許多網路服務上的偵測與防護,對於降低無效或惡意垃圾郵件的封包有相當大的幫助。
IMSS 7.0 Beta 測試報告(四) IP Filtering篇
這 篇是IMSS 7.0 Beta的最後一部份,針對最後介紹的這部份功能,很明白的揭示出趨勢打算透過技術,將惡意威脅與垃圾郵件的防護,建立在封包進入企業內部之前的交換建立 階段,這個構想在未來的IGSA SP1功能中也明確的顯現了。而我們此次則先針對IMSS的功能來進行了解。
IP Filtering的主要設定精隨在 Filtering Rules 與 NRS 兩個部份。Filtering Rules係透過偵測郵件數量的變化,針對垃圾郵件、病毒郵件、帳號蒐集攻擊 (DHA Attact)、以及Bounced Mail攻擊的來源IP,進行阻隔。NRS則是針對郵件發送來源的合法性進行檢查,並阻擋可能的發信攻擊。
從 IP Fi;tering 的 Overview,會顯示即時的偵測還有攔阻狀態。
Filtering Rules裡面的設定畫面如下圖,每一種偵測特徵的設定幾乎是一樣的。其基本設定是這樣的,當在20個小時內,某個IP的信件,在1000封之中的80% 都屬於垃圾郵件 (或是病毒信件、Bounced信件)時,IMSS便拒絕 (Block) 這個IP的來源的信件。
DHA Attack的設定有點不同,其基本設定是這樣的:在20個小時中,當某個IP所寄送的1000封信件,其中有80%的信件收件者數量超過100個,或收 件者不存在的信件數超過 0 個時,IMSS便認為這個來源IP是帳號蒐集攻擊者,且將這個IP封鎖 (Block)。其中,若要設定收件者不存在的條件,Mail Server必須支援LDAP,且IMSS有連結成功才行。
有關封鎖的方式有分暫時性的 (Temporarily) 以及永久性的 (permanently),永久性的封鎖可以在 Unblocked IP中Query並調整。
至於NRS,就更簡單了,只要Enable就行了,其他的部份就交給IMSS的機制去處理了。
至於Approved List與Blocked List,從字面上看應該就知道了,實在是不需要說明了。其他的部份,如Administration、Logs、Report、Quarantine & Archive等,都是直覺式設定,這裡也不再贅述了。
基本上IMSS 7.0在功能上是有成長的,尤其在針對IP Filtering這一塊,希望能很快的把正式版弄出來,我相信可以提升不錯的郵件防護效果。
————————————————————————————————————————————————————
以下是一些设置实例:
All Mail BCC
———————————–
情景:为了方便监管日常进出的电邮,我们需要建一条规则把所有进出的电邮在后台CC一份到管理人员用的电邮账号里
1) “Policy” 里 Policy List 建一条规则
If recipients and senders are
all routes
to Anyone
AND
from Anyone
And scanning conditions match
Then action is
Archive message
AND
BCC to [email protected] <--这个电邮地址是管理人员的邮箱
Archive all mail:
———————————————
情景:以下设置会把所有进出的电邮在IMSS里留一备份
1)进入管理控制台,点击policy
2)选择policy list ,点击add
3)选择both incoming and outgoing messages
4)在users里面,输入*@domain,domain是您internal addresses里面输入的东西,next
5)在条件选择里面,我们选择size这块,然后选择message size is < 100MB,(尽量设大,保证所有邮件都能备份),next
6)step 3里面,在Monitor中,我们选择archive nodified to default archive,next
7)为这条策略取个名字,然后order number里面看您这边具体需求,如果希望所有邮件都备份,那尽量放前面,因为如果是隔离或者删除的邮件,后面的策略是不做动作的