Как защититься от «почтовых бомб» и прочей нежелательной корреспонденции при помощи персонализированных настроек почтовых фильтров
Когда речь заходит про спам, мы обычно представляем себе ворох абсолютно ненужной рекламы, с которой отлично справляются антиспам-движки. Однако это далеко не самое неприятное из того, что может свалиться в ваш почтовый ящик. Зачастую спам используется для проведения DDoS-атаки на корпоративные адреса электронной почты, причем жертву бомбардируют совершенно легитимными письмами, которые не должны вызывать подозрение у стандартного антиспам-движка.
Атака подтверждением регистрации
Для реализации атаки типа mail bomb злоумышленники могут эксплуатировать механизмы регистрации на веб-ресурсах абсолютно непричастных компаний. Применяя средства автоматизации, они, указывая адрес жертвы, регистрируются на тысячах сервисов из разных стран. В результате в почтовый ящик падает огромное количество подтверждений, ссылок для активации аккаунта и тому подобных писем. При этом по факту они отправляются совершенно легитимными почтовыми серверами компаний с хорошей репутацией, так что антиспам-движок считает их полностью легальными и не блокирует.
В качестве цели обычно выбирается необходимый для работы организации адрес, через который с компанией-жертвой общаются клиенты. Например, ящик отдела продаж, технической поддержки или адрес, на который в банк отправляют заявки на ипотечные кредиты. Атака может длиться днями, и множество писем просто перегружает почтовый сервер жертвы и парализует работу атакованного отдела.
Для того чтобы успешно защитить рабочий почтовый ящик от такой атаки, требуется более тонкий инструмент. В качестве одного из подходов к защите мы предлагаем использовать модуль персонализированной настройки контентной фильтрации, встроенный в наше обновленное решение Kaspersky Secure Mail Gateway. В частности, в приведенном примере атаки через механизмы регистрации оператор может заблокировать письма по наличию в поле Subject слова «регистрация» на различных языках (Registrace | Registracija | Registration | Registrierung | Regisztráció). В результате письма будут автоматически отправляться в карантин, не доходя до папки «входящие» и не перегружая почтовый сервер.
Персонализированные настройки почтового фильтра
В Kaspersky Secure Mail Gateway версии 2.1 появились следующие возможности фильтрации входящей и исходящей почты:
- фильтр по размеру письма;
- фильтр по типам и именам вложений;
- фильтр по отправителям — можно указать конкретный адрес отправителя или регулярное выражение;
- фильтр по получателям, включая скрытых получателей;
- фильтр по наличию определенного текста в теле письма — ключевые слова и регулярные выражения можно добавлять в словарь;
- фильтр по наличию текста в теме письма — по ключевым словам, с использованием масок и регулярных выражений, указывая конкретных отправителей;
- фильтр по X-headers.
Гибкая фильтрация бизнес-рассылок
Разумеется, новые возможности нашего решения можно применять не только для защиты от почтовых DDoS-атак. Их можно использовать, например, для гибкой настройки фильтрации B2B-рассылок. Далеко не все сотрудники одинаково воспринимают всевозможные бизнес-рассылки: одним в рамках должностных обязанностей имеет смысл вникать в предложения о покупке электронных компонентов, другим компоненты засоряют папку «входящие», а вот предложения об участии в конференциях или проведении семинаров, наоборот, крайне нужны.
Поэтому блокировать легитимные бизнес-рассылки — не вариант. Но, с другой стороны, и разрешать их бесконтрольную доставку тоже не стоит, кто-то всегда останется недоволен. Поэтому Kaspersky Secure Mail Gateway и не категоризирует такие письма как спам, а позволяет настроить их гибкую фильтрацию по отправителям, получателям, тексту в теме или теле письма и так далее.
Подробнее узнать о Kaspersky Secure Mail Gateway, части решения Kaspersky Security for Mail Server, можно на нашем корпоративном сайте.