Перейти к содержанию
bugaboo

Просьба уточнить по возможностям Brightmail gateway

Recommended Posts

bugaboo

Добрый день.

Прочитал документацию на Brightmail gateway 8 и возникло несколько вопросов:

1. Правильно ли я понимаю, что при составлении фильтров используются либо получатели, либо отправители. Но нельзя при составлении фильтра использовать и получателей и отправителей одновременно:

"Symantec Brightmail Gateway performs actions on an email or IM based on the

verdict applied to the message and the groups that include the message recipient

or sender as a member, as follows:

■ For inbound email filtering, the groups that impact message filtering are those

groups that include the message recipient.

■ For outbound email filtering, the groups that impact message filtering are

those groups that include the message sender."

2. Не совсем ясен порядок дествий (и возможных действий) в случае применения нескольких политик к сообщению:

"When more than one content compliance policy applies to a message, some of the

actions specified may not take place.

■ The order of policies on the Email Content Compliance Policies page determines

content compliance policy priority. Higher priority content compliance policies

appear higher up in the list.

■ Actions specified for the highest priority content compliance policy that applies

to a message are triggered according to the rules for combining actions.

See “Limits on combining actions” on page 515.

■ For the other content compliance policies that apply to the message, the only

actions that can happen are the Send notification and Create an incident

(without holding for review) actions."

Правильно ли я понимаю, что будет применено действие, описанное в первой политике, а от остальных сработают только "Send notification and Create an incident (without holding for review) actions"?

Поясню, есть желание использовать Content Policy как дополнительный спам-фильтр: политики проверяют различные заголовки (с помощью regexp-ов) и проставляют (увеличивают) некоторое значение определенному заголовку (например, X-SPAM-Possible). А последняя политика проверяет значение этого заголовка и, если его значение выше некоторого порога, либо удалет письмо, либо отправляет в спам-карантин, либо помечает, чтобы Exchange переложил его в Junk-папку.

Как понимаю в данном случае это не возможно?

3. Правильно ли я понимаю, что brightmail не имеет встроенных возможностей по кластеризации\построению массивов (http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/b8b79673ef7a76a28825734c00828d6c?OpenDocument)?

Хотелось бы иметь возможность иметь несколько шлюзов (будут ли они работать через round-robin DNS или другим способом сейчас не так важно) с единой конфигурацией (политики, white\black листы и т.п.)

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов

Добрый день,

1. Правильно ли я понимаю, что при составлении фильтров используются либо получатели, либо отправители. Но нельзя при составлении фильтра использовать и получателей и отправителей одновременно:

"Symantec Brightmail Gateway performs actions on an email or IM based on the

verdict applied to the message and the groups that include the message recipient

or sender as a member, as follows:

■ For inbound email filtering, the groups that impact message filtering are those

groups that include the message recipient.

■ For outbound email filtering, the groups that impact message filtering are

those groups that include the message sender."

Если вкратце ответить на Ваш вопрос, нет, нельзя сочитать в одном условии и отправителя и получателя. Это настраивается в разных закладках.

Те фильтры, на которые вы сослались, применяются для того, чтобы определить, что делать с письмом после вынесения ему вердикта. Порядок действий определяется группой получателя (для входящих писем) и группой отправителя (для исходящих).

Например: для входящих писем нельзя указать пропустить письмо, если в нем содержится подозрительный объект, но отправитель входит в доверенный домен. Но можно указать пропустить его, если получатель входит в определенную группу (например IT).

С другой стороны, в закладке Репутаций, можно указать "доверенных отправителей", письма которых и к которым не будут проверяться на содержание (Compliance). Проверка на вирусы и спам будет проходить в любом случае.

2. Не совсем ясен порядок дествий (и возможных действий) в случае применения нескольких политик к сообщению:

Поясню, есть желание использовать Content Policy как дополнительный спам-фильтр: политики проверяют различные заголовки (с помощью regexp-ов) и проставляют (увеличивают) некоторое значение определенному заголовку (например, X-SPAM-Possible). А последняя политика проверяет значение этого заголовка и, если его значение выше некоторого порога, либо удалет письмо, либо отправляет в спам-карантин, либо помечает, чтобы Exchange переложил его в Junk-папку.

Как понимаю в данном случае это не возможно?

Да, вы правильно понимаете. После применения первой политики, письмо пройдёт дальше. И дальнейшие политики могут, например, отправить копию письма в карантин, но по первой политике оно уже всё равно уйдёт.

3. Правильно ли я понимаю, что brightmail не имеет встроенных возможностей по кластеризации\построению массивов (http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/b8b79673ef7a76a28825734c00828d6c?OpenDocument)?

Хотелось бы иметь возможность иметь несколько шлюзов (будут ли они работать через round-robin DNS или другим способом сейчас не так важно) с единой конфигурацией (политики, white\black листы и т.п.)

Конфигурация через round robin DNS возможна. На шлюзах будут стоять устройства имеющие роль "сканера", на которые можно применять одни и те же политики через управляющее устройство. Для одного домена может быть сколько угодно сканеров, но только один управляющий узел.

С уважением,

Просветов Олег

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bugaboo

Спасибо за быстрый ответ.

Если можно, я уточню вопросы.

Предоплагается использование решения для большого количества локальных доменов. При этом требования к строгости фильтрации и обращения с подозрительными письмами могут сильно отличаться для различных локальных доменов.

Правильно ли я понимаю, что по п.1 не получиться составить политики, в соответсвии с которыми для сообщения от некоторой группы отправителей (например, серверы публичных почтовых сервисов) для некоторой группы получателей (часть локальных доменов) фильтрация будет более жесткой, чем для основной группы доменов?

По п.2 прошу пардону, но прошу уточнить ;) То есть, если по первой политике установлено действие, например "Добавить хидер "X-Missing-Subject и пропустить"", а по второй "Добавить хидер Х-Forget-MUA-TheBAT и пропустить", то письмо придет без второго хидера? Цепочку правил составить не получиться?

По п.3 понял, спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
По п.2 прошу пардону, но прошу уточнить То есть, если по первой политике установлено действие, например "Добавить хидер "X-Missing-Subject и пропустить"", а по второй "Добавить хидер Х-Forget-MUA-TheBAT и пропустить", то письмо придет без второго хидера? Цепочку правил составить не получиться?

Нет, для нескольких действий Modify выполняются все они, то есть будет что-то наподобие Modify+Modify+..., а вот если было Delete, то все остальные действия применяться не будут

Предоплагается использование решения для большого количества локальных доменов. При этом требования к строгости фильтрации и обращения с подозрительными письмами могут сильно отличаться для различных локальных доменов.

Правильно ли я понимаю, что по п.1 не получиться составить политики, в соответсвии с которыми для сообщения от некоторой группы отправителей (например, серверы публичных почтовых сервисов) для некоторой группы получателей (часть локальных доменов) фильтрация будет более жесткой, чем для основной группы доменов?

Вы можете делать различные политики для ваших пользователей, групп, доменов, однако политика для тех от кого вы получаете почту - всегда одна и может регулироваться через Sender Groups, одно исключение - при разворачивании Web Карантина, каждый пользователь может управлять своим Белым и Черным списком

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bugaboo

еще раз спасибо.

"Нет, для нескольких действий Modify выполняются все они, то есть будет что-то наподобие Modify+Modify+..., а вот если было Delete, то все остальные действия применяться не будут"

ааа...ну это понятно и правильно, на мой взгляд ;) тогда еще вопрос, попадет ли проставленный в политике №1 хидер на анализ к политке №2? (Идея "накапливать" значение некоторого хидера по мере анализа письма цепочкой политик и получить на выходе суммарное значение, причем, в идеале, в сумму должно войти и значение проставленное brightmail-антиспамом)

"тех от кого вы получаете почту - всегда одна и может регулироваться через Sender Groups"

понял. запишем в wish list ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
"накапливать" значение некоторого хидера по мере анализа письма цепочкой политик и получить на выходе суммарное значение, причем, в идеале, в сумму должно войти и значение проставленное brightmail-антиспамом)

Сомневаюсь, скорее всего все анализируемые параметры принимаются за константы перед началом проверки. Нужно уточнить у разработчиков...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Предоплагается использование решения для большого количества локальных доменов. При этом требования к строгости фильтрации и обращения с подозрительными письмами могут сильно отличаться для различных локальных доменов.

Правильно ли я понимаю, что по п.1 не получиться составить политики, в соответсвии с которыми для сообщения от некоторой группы отправителей (например, серверы публичных почтовых сервисов) для некоторой группы получателей (часть локальных доменов) фильтрация будет более жесткой, чем для основной группы доменов?

"тех от кого вы получаете почту - всегда одна и может регулироваться через Sender Groups"

понял. запишем в wish list wink.gif

Да, действительно, именно так не получится. Единственный вариант здесь по разному обрабатывать подозрительные письма. Т.е., как вариант, письма, классифицированные, как точно спам/вирус удалять сразу, независимо от группы. А подозрительные письма, для одной группы пользователей пропускать/отправлять в карантин, для другой - их сразу удалять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bugaboo

Cпасибо.

Пока вопросы кончились ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×