Come posso scannerizzare i messaggi di posta elettronica POP3 o IMAP ospitati per la ricerca di virus?

Naviga le tue risposte
0

Nella nostra azienda utilizziamo un fornitore di servizi di hosting per le e-mail e sembra che non eseguano la scansione dei messaggi di posta elettronica in arrivo dai virus. E i nostri dipendenti non si preoccupano molto degli allegati ... Quindi ci occupiamo di infezioni virali di volta in volta. (TorrentLocker e Cryptolocker al giorno d'oggi)

Mi piacerebbe fare una scansione antivirus a livello di rete, e mi aspetto che questo dispositivo / sistema interrompa le e-mail in arrivo infette che sono memorizzate / gestite nei nostri server di hosting provider prima che possano raggiungere i nostri computer dei dipendenti.

Come posso eseguire la scansione antivirus POP3 o IMAP in entrata per i virus? Posso utilizzare UTM / proxy appliance o software per questo scopo (Sophos UTM Essential, Endian ecc. Ce ne sono diversi gratuiti per uso professionale)?

Qualcuno usa questo sistema?

    
posta 22.11.2014 - 23:56
fonte

4 risposte

1

Scansionare il traffico POP3 per i virus è per lo più facile, perché i messaggi vengono trasmessi per intero. Esistono soluzioni gratuite che possono essere gestite dal traffico (a condizione che si disponga di uno scanner antivirus per lo più non gratuito) e che i firewall migliori (ispezione approfondita) siano in grado di farlo.

L'IMAP è invece molto più difficile, perché i client di posta spesso non ricevono la posta intera in una sola volta ma solo le parti di cui hanno bisogno al momento. Esempi tipici sono Thunderbird che ottiene grandi allegati in parti e Apple Mail che ottiene prima la struttura della posta e quindi ogni parte separatamente. Se si esegue solo l'analisi passiva della rete (come la maggior parte dei firewall), manca il contesto come la codifica del trasferimento dei contenuti, che è importante per la scansione degli allegati.

Quindi molti firewall non supportano affatto IMAP (come Sophos UTM), hanno limiti documentati che indicano gravi implicazioni nell'uso reale una volta che li hai capiti (vedi "Comprendere i limiti di scansione antivirus IMAP" per Juniper Firewall ) o affermano di avere supporto per IMAP ma probabilmente non sanno di cosa stanno parlando (o sono silenziosi riguardo ai limiti). La scansione IMAP in linea sicura richiede invece i gateway a livello di applicazione (ALG) che non solo controllano il traffico ma possono manipolarlo in modo da avere un contesto sufficiente. L'ispezione passiva profonda che hai nella maggior parte degli NGFW (Next Generation Firewall) o UTM (Unified Threat Management) potrebbe essere sufficiente per le dimostrazioni ma non per la vita reale.

Alcuni firewall non offrono la scansione IMAP in linea, ma rispecchiano gli account IMAP, scansionano nuovi messaggi e forniscono i messaggi con un server IMAP al firewall stesso. In questo caso, le credenziali dell'account IMAP originale devono essere archiviate nel firewall e l'utente ottiene credenziali diverse per accedere al server IMAP dei firewall.

    
risposta data 23.11.2014 - 10:07
fonte
1

Se sei un provider di posta, puoi provare ad agganciare uno scanner antivirus prima che il sistema di posta fornisca localmente. La maggior parte dei pacchetti smtp ha una mappa dei processi in cui è possibile trovare un modo per farlo, al contrario di un enorme programma monolitico che esegue la consegna end-to-end. In questo modo puoi invocare l'av. Ma questo significa anche che più risorse vengono utilizzate dal tuo sistema.

L'uso di appliance gateway elimina la configurazione rigarole del software di tweaking. Ma essere in grado di farlo aiuta molto con la comprensione e l'apprezzamento delle differenze tra i prodotti concorrenti e le offerte open source. Quindi, se riesci a reindirizzare la posta in arrivo - attraverso record mx, riscrittura, ecc. - puoi reindirizzare i contenuti attraverso uno scanner av o richiamare qualcosa di simile. I prodotti commerciali utilizzano alcune parti della stessa lista per le loro firme come quelle open source, quindi quello che stai acquistando con un prodotto commerciale è la capacità di convincere qualcuno a esaminare il problema.

    
risposta data 22.01.2015 - 11:27
fonte
0

Sì, è possibile. Ad esempio Copfilter ( link ) fa questo. È possibile anche con un provider che fa SSL obbligatorio, semplicemente facendo terminare la connessione all'UTM.

Poiché esistono soluzioni open source al problema che stai descrivendo, scommetto che ci sono anche soluzioni "professionali" simili. È possibile controllare BlueCoat per l'antivirus a livello di rete e sono disponibili molti prodotti simili sul mercato.

    
risposta data 23.11.2014 - 00:58
fonte
0

Per la maggior parte delle aziende questo non è qualcosa che vuoi ottenere gratuitamente. La sicurezza della tua rete aziendale dovrebbe essere gestita da software / hardware appropriato in questi giorni, dato l'aumento del regime degli hacker.

Al giorno d'oggi anche le piccole imprese utilizzano un tipo di gateway di posta. Vorrei acquistare qualcosa come Symantec Mail Gateway (formalmente Brightmail) per gestire il filtro dei contenuti. Un filtro del contenuto adeguato è valido solo come i database su cui viene eseguito il controllo e gli SMG non sono secondi a nessuno. Ci sono molti altri giocatori in questa arena con cui le aziende vanno, google è tuo amico qui.

Scoprirai che i risultati con una soluzione a pagamento sono migliori e che il supporto non è un problema da tenere sotto controllo.

Qualunque soluzione tu scelga, non permetterei l'esecuzione di alcun tipo di file eseguibile e limiti i tipi di allegati che accetti. Questo andrà in miglia per mantenere l'e-mail dall'essere e il vettore di intrusione.

    
risposta data 23.11.2014 - 01:13
fonte

Leggi altre domande sui tag

Come proteggere i tag NFC posizionati pubblicamente? Come sistema di ordine sicuro con carta di credito con posta vuota