2015 Annexe 6
Kaspersky Security For Mail servers Anti-Spam/Antivirus
Consulting Team
2
Table des matières
Table des matières ... 2
1.1. Kaspersky For Linux Mail server... 4
1.1.1. Description du produit ... 4
1.1.1.1. Une protection optimale de votre système de messagerie ... 4
1.1.1.2. Avantages ... 4
1.1.2. Administration de la solution ... 6
1.1.2.1. Console Web ... 6
1.1.2.2. Délégation : ... 6
1.1.2.3. Ligne de commande ... 6
1.1.3. Principales fonctionnalités ... 7
1.1.3.1. Fonctions de protection multi-niveaux contre les programmes malveillants 7 1.1.3.2. Filtrage des courriers indésirables et des contenus ... 8
1.1.3.3. Politiques de filtrage ... 14
1.1.4. Traitement des messages pour l’anti-spam ... 15
1.1.5. Traitement des messages pour l’antivirus ... 16
1.1.6. Intégration ... 17
1.1.6.1. Intégration avec les agents de transfert de courrier (MTA) les plus répandus, y compris Postfix, Sendmail, Exim et qmail ... 17
1.1.6.2. AMaViS (analyse antivirus des courriers) ... 17
1.1.7. Surveillance immédiate et rapports flexibles ... 17
1.1.7.1. Intégration à Kaspersky Security Center ... 17
1.1.7.2. Tableau de bord ... 18
1.1.7.3. Support complet du protocole SNMP ... 18
1.1.7.4. Gestion du web et de l'interface de ligne de commande ... 18
1.1.7.5. Rapports détaillés et flexibles au format PDF... 19
1.1.7.6. Système de notifications ... 20
1.1.7.7. Journaux détaillés ... 20
1.1.8. Simplicité d'installation et de gestion ... 20
1.1.8.1. Une installation simple ... 20
1.1.8.2. Intégration d'Active Directory et d'OpenLDAP ... 20
1.1.8.3. Règles de gestion complètes pour la circulation des e-mails ... 20
1.1.8.4. Support du protocole IPv6 ... 20
1.1.8.5. Architecture évolutive ... 20
1.1.8.6. Simplicité des mises à jour ... 20
1.2. Ressources Internet : ... 21
1.3. Appliance Virtuelle. ... 21
1.4. Solutions d’architectures proposees ... 22
1.4.1. Architecture éclatée et redondée. ... 22
1.4.1.1. Le premier niveau : ... 22
1.4.1.2. Le deuxième niveau ... 22
1.4.1.3. Le 3ème niveau ... 23
1.4.2. Architecture basée sur les appliance virtuelles ... 23
4
1.1. Kaspersky For Linux Mail server
1.1.1. Description du produit
1.1.1.1. Une protection optimale de votre système de messagerie
Conçue pour être intégré à la plupart des systèmes de messagerie Linux, la solution Kaspersky Security for Linux Mail Server offre la sécurité, la flexibilité et la facilité de gestion nécessaires aux entreprises et aux fournisseurs d'accès Internet. En proposant une large gamme de fonctionnalités de sécurité essentielles destinées aux serveurs de messagerie Linux, notamment une protection contre les programmes malveillants et le phishing ainsi qu'un filtrage des courriers indésirables et des contenus, le tout dans une application facile à gérer qui intègre des technologies de cloud, Kaspersky Security for Linux Mail Server offre une protection optimale tout en réduisant les taux de faux positifs.
1.1.1.2. Avantages
Détection plus fiable pour une productivité accrue de l'utilisateur
La solution de sécurité destinée aux serveurs de messagerie Linux de Kaspersky Lab intègre des technologies de détection avancées des courriers indésirables pénétrant dans votre système de messagerie. Vos utilisateurs subissent ainsi moins de perturbations et d'interruptions.
Kaspersky Security for Linux Mail Server permet également d'obtenir un taux de faux positifs très faible ainsi votre système de messagerie bénéficie d'une protection rigoureuse sans être perturbé ni surchargé par la mise en quarantaine d'un nombre important d'e-mails légitimes identifiés par erreur en tant que courriers indésirables.
Antispam et anti-phishing dans le cloud pour une protection renforcée
Kaspersky Security for Linux Mail Server intègre un service de mise à jour des courriers indésirables capable de réduire la « fenêtre d'exposition » de votre système de messagerie aux nouvelles attaques de courriers indésirables. L'intégration à Kaspersky Security Network (KSN) veille à ce que votre système de messagerie reçoive des informations en temps réel relatives aux nouveaux courriers indésirables, dès qu'elles sont disponibles dans la base de données hébergée dans le cloud de Kaspersky.
En outre, la technologie Kaspersky de filtrage de réputation basée sur le cloud s'appuie sur des outils d'analyse de contenu sophistiqués permettant d'identifier les courriers indésirables, ainsi que sur des fonctions hébergées dans le cloud en mesure de « comparer les remarques avec celles d'autres utilisateurs ». Vous bénéficiez ainsi d'une solution de sécurité des serveurs de messagerie Linux qui traite les messages avec une latence minimale, tout en réduisant le nombre de faux positifs et en augmentant le taux de détection global.
Le module anti-phishing de Kaspersky reçoit également des mises à jour en temps réel à partir de Kaspersky Security Network. Vous bénéficiez d'une détection plus fiable pour protéger votre système de messagerie d'entreprise ainsi que vos utilisateurs contre les e-mails contenant des liens vers des sites Web de phishing.
Moteur de protection contre les programmes malveillants et détection des failles d'exploitation
Grâce à notre dernier moteur antivirus, Kaspersky Security for Linux Mail Server accélère les analyses et offre des taux de détection élevés afin de bénéficier de fonctionnalités antivirus sur les serveurs de messagerie Linux pour une recherche à la fois rapide et précise des e-mails contenant des pièces jointes malveillantes.
Le produit ZETA Shield (Zero-Day Exploit and Targeted Attack Shield) a été conçu pour identifier les programmes malveillants dans le cadre d'attaques ciblées. La combinaison du dernier moteur antivirus de Kaspersky Lab et de ZETA Shield améliore considérablement le taux de détection des programmes malveillants. Votre entreprise bénéficie ainsi d'un niveau de protection encore supérieur.
Débit et performances élevés
Kaspersky Security for Linux Mail Server a été conçu pour garantir un débit élevé sans entraver outre mesure vos performances système, tout en renforçant l'efficacité de votre entreprise.
Facilité de déploiement et de gestion pour des économies de temps et d'argent
Un système de règles et le support d'OpenLDAP et d'Active Directory permettent de mettre en œuvre vos politiques tout en offrant aux utilisateurs la possibilité de définir leurs listes noires et/ou blanches personnelles et de gérer leurs propres éléments mis en quarantaine. Vous contribuez ainsi à réduire le nombre d'appels passés à votre support technique.
Vous pouvez intégrer les fonctions de génération de rapports et de surveillance de Kaspersky Security for Linux Mail Server dans votre système de surveillance existant (SNMP) ou gérer l'application via la console de gestion Kaspersky Security Center.
Intégration sans effort
Kaspersky Security for Linux Mail Server peut être intégré aux agents de transfert de courrier Linux les plus répandus, notamment Postfix, Sendmail, Exim et qmail. Par ailleurs, l'application pouvant s'intégrer aux systèmes de messagerie Linux à l'aide d'AMaViS, il est facile de passer d'une solution antivirus open source à la protection haut de gamme de Kaspersky Security for Linux Mail Server. L'application supporte également le protocole IPv6.
6
1.1.2. Administration de la solution
1.1.2.1. Console Web
L’administration de la solution s’effectue via une console Web HTML5 compatible pour tous les navigateurs.
1.1.2.2. Délégation :
L’administrateur principal peut créer un compte Helpdesk qui dispose de droits restreints.
Ce compte Helpdesk est en charge de visualiser les évènements, quarantaines utilisateurs peut notamment consulter et enrichir les listes blanches et noires.
1.1.2.3. Ligne de commande
L’ensemble des paramètres/opérations sont exportables et importables au format XML.
Il est possible de créer des automatismes basés sur la ligne de commande.
1.1.3. Principales fonctionnalités
1.1.3.1. Fonctions de protection multi-niveaux contre les programmes malveillants
Moteur antivirus de pointe dans le cloud via Kaspersky Security Network
Kaspersky Security for Linux Mail Server inclut la toute dernière version du moteur de protection contre les programmes malveillants primé de Kaspersky Lab. En outre, il bénéficie d'informations en temps réel issues de Kaspersky Security Network (KSN) basé sur le cloud. Vous profitez ainsi d'une solution antivirus plus performante pour les serveurs de messagerie Linux en termes de détection et de suppression des pièces jointes malveillantes dans les e-mails entrants.
Filtre d'URL malveillantes sur le Web dans le cloud via Kaspersky Security Network Grâce à des mises à jour en temps réel issues du cloud, le filtre des URL malveillantes sur le Web de Kaspersky bloque les e-mails contenant des liens vers des sites infectés ou des fichiers malveillants.
La technologie Zeta Shield de Kaspersky
Offre une protection contre les programmes malveillants et les failles d'exploitation inconnus, notamment contre les attaques de type « zero-day » et « zero-hour » et contre les menaces persistantes avancées (APT, Advanced Persistent Threats).
8
1.1.3.2. Filtrage des courriers indésirables et des contenus
Moteur de protection contre les courriers indésirables
Le moteur de protection contre les courriers indésirables de Kaspersky intègre deux technologies puissantes :
Le service de mise à jour des courriers indésirables (EASUS) – utilise la technologie push, directement à partir de Kaspersky Security Network basé sur le cloud, pour fournir des mises à jour en temps réel. En réduisant la « fenêtre de mise à jour » de 20 minutes à environ 1 minute, le service de mise à jour des courriers indésirables contribue à protéger les entreprises contre les courriers indésirables « zero-hour » et les épidémies de courriers indésirables.
Le filtre de réputation dans le cloud – peut évaluer les e-mails suspects, les mettre en quarantaine, puis les vérifier à nouveau dès que les dernières informations sont disponibles. Vous êtes ainsi protégé contre les courriers indésirables inconnus tout en réduisant le nombre de faux positifs.
Protection contre le phishing dans le cloud
Le nouveau module anti-phishing de Kaspersky reçoit des mises à jour en temps réel issues de Kaspersky Security Network basé sur le cloud pour une détection et un blocage plus efficaces des e- mails contenant des liens vers des sites Web de phishing.
Détection des courriers en masse
Vous pouvez aisément définir des règles afin d'empêcher vos utilisateurs finaux de recevoir des courriers en masse indésirables.
Kaspersky Security Network
En accédant au réseau basé sur le cloud Kaspersky Security Network, vous êtes en mesure de vérifier un e-mail spécifique et suspect quand vous le souhaitez.
Utilisation des services SPF, DKIM, DMARC
Il est possible d’activer les vérifications DKIM, SPF et DMARC afin de consolider le niveau de score des serveurs émetteurs des messages reçus par la passerelle.
Utilisation des listes DNSBL et SURBL
L’administrateur peut ajouter différentes listes DNSBL et SURBL, ces listes prédéfinies par l’administrateur peuvent être employées dans une règle de filtrage.
Filtrage des pièces jointes
La technologie Format Recogniser de Kaspersky filtre les pièces jointes en s'appuyant sur des informations réelles relatives au type et au nom de fichier ainsi qu'à la taille du message afin d'appliquer la politique d'utilisation de votre messagerie et résoudre les problèmes de responsabilité auxquels vous êtes susceptible d'être confronté lorsque des utilisateurs tentent de distribuer illégalement des fichiers musicaux ou vidéo via leur messagerie.
10 Listes noires et blanches globales
Vous pouvez facilement créer des listes noires ou blanches et gérer des expéditeurs « autorisés » ou
« bloqués » à l'aide des protocoles IPv4 et IPv6, de caractères génériques et d'expressions régulières.
Note de bas de page (disclaimer)
L’administrateur est en mesure de créer diverses notes de bas de page des messages
Ces notes de bas de page peuvent être alors ajoutées dans les règles de messages en fonction de la direction des flux ( domaines vers domaines ou adresses vers adresses).
12 Listes noires et blanches personnelles
Les utilisateurs peuvent également créer leurs propres listes noires et blanches tout en accédant à leur zone de quarantaine personnelle.
Détection des courriers indésirables en langues asiatiques
Kaspersky Security for Linux Mail Server intègre également des paramètres spéciaux afin de renforcer la précision de la détection des courriers indésirables dans de nombreuses langues asiatiques, y compris le japonais, le coréen, le thaï et le vietnamien.
Quarantaine et quarantaine personnelle avec fonction de recherche et de tri souple Lorsque Kaspersky Security for Linux Mail Server bloque les messages électroniques, il les enregistre dans une zone de stockage. Si le système utilise Microsoft Active Directory ou OpenLDAP, les différents utilisateurs peuvent accéder à leur sauvegarde personnelle sur Internet si bien qu'ils seront moins susceptibles de contacter votre support technique.
14
1.1.3.3. Politiques de filtrage
Les politiques de filtrage s’administrent par flux où l’administrateur est en charge de définir depuis quel domaine/adresses vers quel domaine/adresses la politique va s’appliquer.
L’utilisation de caractères spéciaux et/ou d’expressions régulières est possible lors de l’élaboration des directions de flux.
1.1.4. Traitement des messages pour l’anti-spam
L’administrateur peut déterminer le traitement des messages suivant les conditions suivantes :
Si le message est un SPAM sûr
Si le message est un SPAM probable.
Si le message provient d’un serveur enregistré dans une liste DNSBL
Si le message provient d’un envoi massif de messages.
En fonction de ces conditions, il peut déterminer les opérations à effectuer :
Laisser passer le message et modifier le sujet avec des mots spécifiques
Rejeter le message
Supprimer le message
Supprimer le message mais le placer en quarantaine.
16
1.1.5. Traitement des messages pour l’antivirus
L’administrateur peut déterminer le traitement des messages suivant les conditions suivantes :
Si le message ou les pièces jointes peuvent ou ne peuvent pas être désinfectées
Si les pièces jointes ont entraîné une erreur du scanner.
Si les pièces jointes sont chiffrées ou compressées avec un mot de passe
En fonction de ces conditions, il peut déterminer les opérations à effectuer :
Laisser passer le message et modifier le sujet avec des mots spécifiques
Placer le message en quarantaine.
Laisser passer le message mais supprimer la pièce jointe.
Rejeter le message ( code de retour SMTP)
Supprimer le message ( pas de code de retour SMTP)
Supprimer le message mais le placer en quarantaine.
1.1.6. Intégration
1.1.6.1. Intégration avec les agents de transfert de courrier (MTA) les plus répandus, y compris Postfix, Sendmail, Exim et qmail
Vous pouvez sélectionner la méthode d'intégration en fonction de votre agent de transfert de courrier et intégrer ainsi le produit en tant que plug-in ou API Milter.
1.1.6.2. AMaViS (analyse antivirus des courriers)
Kaspersky Security for Linux Mail Server supporte l'intégration avec les systèmes de messagerie Linux qui utilisent l'interface ultra-performante AMaViS.*
1.1.7. Surveillance immédiate et rapports flexibles 1.1.7.1. Intégration à Kaspersky Security Center
La console d'administration intuitive, Kaspersky Security Center, permet de surveiller de manière centralisée la sécurité de l'ensemble de vos serveurs de messagerie Linux y compris les clusters. En cas d'incident de sécurité, l'administrateur système sera automatiquement informé du serveur affecté et de la cause du problème.
18
1.1.7.2. Tableau de bord
Le tableau de bord web offre un aperçu synthétique de l'état et du suivi de l'application, y compris des informations relatives aux programmes malveillants les plus récemment identifiés.
1.1.7.3. Support complet du protocole SNMP
Grâce au support du protocole SNMP, vous êtes en mesure de surveiller tout type d'événements.
1.1.7.4. Gestion du web et de l'interface de ligne de commande
Vous pouvez sélectionner la méthode de gestion des applications de votre choix à l'aide de la console Web ou de l'interface de ligne de commande.
1.1.7.5. Rapports détaillés et flexibles au format PDF
Des rapports personnalisables permettent de surveiller et d'analyser votre sécurité et vos politiques.
20
1.1.7.6. Système de notifications
Les administrateurs et propriétaires de documents sont informés des incidents liés à une violation de la politique afin de pouvoir prendre des mesures immédiates.
1.1.7.7. Journaux détaillés
Les informations détaillées relatives à toutes les actions réalisées sur les produits sont automatiquement conservées afin de vous permettre d'identifier la cause d'un problème.
1.1.8. Simplicité d'installation et de gestion 1.1.8.1. Une installation simple
Kaspersky Security for Linux Mail Server est fourni sous forme de packages d'installation spécifiques au système d'exploitation. Un script spécial après installation facilite le déploiement de l'application et son intégration au système de messagerie existant.
1.1.8.2. Intégration d'Active Directory et d'OpenLDAP
L'intégration permet de définir des règles et des politiques. La communication entre Kaspersky Security for Linux Mail Server et le serveur LDAP peut être chiffrée à l'aide des technologies TLS ou SSL.
1.1.8.3. Règles de gestion complètes pour la circulation des e-mails
Kaspersky vous facilite la mise en place des règles d'analyse basées sur des groupes.
1.1.8.4. Support du protocole IPv6
Vous pouvez utiliser l'appellation IPv6 pour les adresses Internet lors de la création des règles de circulation.
1.1.8.5. Architecture évolutive
Il est possible de migrer facilement d'un serveur de test vers un environnement de production afin de tester le système de manière rigoureuse avant de le déployer.
1.1.8.6. Simplicité des mises à jour
Outre l'exécution des mises à jour manuelles des logiciels antivirus, antispam, anti-phishing et ZETA Shield, vous pouvez également définir des règles de mise à jour entièrement automatiques.
1.2. Ressources Internet :
Plus d’informations peuvent être visualisées à ces endroits :
Vidéos d’implémentation : http://support.kaspersky.com/learning/courses/kl_106.80/
Centre de support technique : http://support.kaspersky.com/klms8
1.3. Appliance Virtuelle.
L’ensemble de la solution sera proposée en fin d’année sous la forme d’une machine virtuelle dédié VMWare.
Cette machine virtuelle pré-montée sera en mesure d’offrir à la fois la gestion du MTA sous Postfix et l’ensemble des modules proposés.
22
1.4. Solutions d’architectures proposees
Nous proposons deux types d’architecture.
Le produit Kaspersky pour Linux Mail server est une solution qui permet de séparer les différents modules qui la compose.
On y trouve les modules SMTP, de filtrage, de stockage des quarantaines et évènements et d’affichage des paramètres et quarantaines.
La première architecture met en valeur la possibilité d’éclater les composants afin de construire une infrastructure décontamination de la messagerie.
La deuxième architecture met en valeur l’Appliance virtuelle Kaspersky.
Dans cette architecture l’ensemble des composants sont rassemblés sur un système virtuel.
Seuls les éléments « communs » tels que la mise en quarantaine et la base de données sont détournés sur une autre machine afin d’assurer la centralisation.
1.4.1. Architecture éclatée et redondée.
Cette Architecture se base sur 3 niveaux.
1.4.1.1. Le premier niveau :
C’est une architecture basée sur des frontaux Postfix et un Load-balancer sous HaProxy.
Les frontaux Postfix seront en mesure d’éffectuer un premier filtrage sur la normalisation SMTP et seront soutenus par une vérification DKIM et un retardateur greylist (via milter-greylist) .
1.4.1.2. Le deuxième niveau
Les frontaux Postfix sont liés par TCP/milter aux serveurs antivirus/antispam Linux Mail server par l’intermédiaire d’un autre Load-balancer.
La liaison milter intervient dans le protocole SMTP. Les 3 composants : le Load-balancer, les frontaux Postfix et les services antispam/antivirus fonctionnent et communiquent dans la même session SMTP.
1.4.1.3. Le 3
èmeniveau
Le 3ème niveau est une back-office qui assure le stockage des messages en quarantaine et l’affichage Web des composants pour les administrateurs et utilisateurs.Il peut être lui aussi en redondance ou en mode clusteur.
1.4.2. Architecture basée sur les appliance virtuelles
Cette architecture est composée d’un Load-balancer qui assure l’acheminement des connexions sur les frontaux de machines virtuelles.
Ces machines virtuelles utilisent une base postgrey commune qui est en charge de stocker les paramètres utilisateurs et administrateurs ainsi que les messages mis en quarantaine.
Les utilisateurs se connectent indépendamment sur les machines virtuelles afin d’accéder à leur espace personnel.
24