Kaspersky secure mail gateway настройка
Kaspersky Mail Gateway – это универсальное решение для комплексной защиты пользователей почтовой системы от вирусов и нежелательной корреспонденции – спама.
Благодаря своей автономности приложение вписывается практически в любую среду, легко сочетается с антивирусными программами других производителей, установленными на остальных узлах сети, его установка и настройка не требуют большого опыта работы с Linux-системами.
Готовое к использованию виртуальное устройство
Предварительно настроенные версии виртуального устройства для большинства наиболее популярных платформ, включая VMware ESXi и Microsoft Hyper-V. Kaspersky Secure Mail Gateway может быть также развернут на физических системах как универсальный, готовый к использованию почтовый шлюз.
How to configure SMTP verification using LDAPS in Kaspersky Secure Mail Gateway
The guide is applicable for cases when several LDAP servers are used. If the servers have different search_base or accounts, create a configuration file for each server. Add the created files to the relay_recipient_maps options.
To enable SMTP verification using LDAPS:
- Open the console of the Kaspersky Secure Mail Gateway virtual machine or connect to it via SSH.
- Go to Technical Support Mode.
- Copy the file /opt/kaspersky/klms-appliance/share/postfix/main.cf.template
- In the original file, find relay_recipient_maps
- Delete the following lines:
- Make sure the file includes the following parameters:
smtpd_recipient_restrictions = reject_unlisted_recipient, reject_non_fqdn_recipient, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_destination, reject_unverified_recipient
smtpd_reject_unlisted_recipient = yes
Changing of the settings related to reject_unlisted_recipient will become unavailable after you save the file main.cf.template.
- Create a file /etc/postfix/ldap_relay_recipients.cf
- Fill it in according to the example:
SSL is supported. In this case, the link must start with ldaps://
server_host = ldaps://192.168.0.1
server_port = 389
search_base = DC=domain,DC=com
query_filter = mail=%s
result_attribute = mail
bind = yes
version = 3
debuglevel = 0
bind_dn = CN=admin,OU=tech,DC=domain,DC=com
server_host = ldaps://192.168.0.1, ldaps://192.168.0.2
timeout = 5
server_port = 389
search_base = DC=domain,DC=com
query_filter = mail=%s
result_attribute = mail
bind = yes
version = 3
debuglevel = 0
bind_dn = CN=admin,OU=tech,DC=domain,DC=com
- bind parameters are optional, if anonymous access to LDAP is available.
- For description of all parameters, see the Postfix official website.
- Check if you can find users by their email addresses:
If the address exists and the search works, the information about the address will appear on the screen.
- Update the configuration of postfix:
If the settings are correct, upon attempts to send a message to the user outside LDAP, you will get the error:
Non existing user:
Feb 26 17:53:50 adagsd postfix/smtpd[10029]: NOQUEUE: reject: RCPT from adagsd.test.local[::1]: 550 5.1.1 : Recipient address rejected: User unknown in relay recipient table; from= to= proto=ESMTP helo=
The settings will not function if Trusted Networks is used. For details, please see the Postfix website.
Kaspersky Secure Mail Gateway - это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты в составе готового к использованию виртуального устройства безопасности. Продукт обеспечивает самую современную защиту электронной почты от известных и неизвестных угроз, включая спам, фишинг и все виды вредоносных вложений.
Kaspersky Secure Mail Gateway прост в установке и управлении и экономит время, необходимое для выполнения ежедневных задач по работе с электронной почтой и обеспечению ее безопасности. Высокий уровень предоставляемой защиты подтвержден результатами независимых тестов и помогает поддерживать безопасность вашего бизнеса, одновременно повышая производительность работы сотрудников.
Аппаратное обеспечение
- 100 гб свободного места на хранилище ESXi
- Память: 4 ГБ
- Один 4-х ядерный процессор или выше
Возможности интеграции
- Интеграция с Kaspersky Anti Targeted Attack Platform
- Интеграция с Kaspersky Private Security Network
Защита сервера от несанкционированного доступа
Настройки приложения позволяют противостоять DOS-атакам и использованию сервера третьими лицами для организации массовых несанкционированных рассылок. В определенных случаях это помогает увеличить скорость обработки почтового трафика.
Комплексная защита от вирусов и спама
Уведомления для пользователей. При обнаружении подозрительного или инфицированного объекта системный администратор, отправитель и получатель письма получают уведомление, содержание, формат и язык которого задает администратор системы. Письмо, отнесенное к категории «спам», может быть заблокировано, отправлено в карантинную папку или доставлено получателю со специальной меткой в заголовке.
По типам вложений. Фильтрация почтового трафика может быть организована по именам и типам вложенных файлов, что позволяет сразу же выделить объекты, с большой долей вероятности содержащие вирусы.
Содержание
Многоуровневая защита от вредоносного ПО
- Многоуровневая защита от угроз с поддержкой облачной сети Kaspersky Security Network
- Репутационный фильтр вредоносных URL-адресов с использованием облачной сети Kaspersky Security Network
- Обнаружение вредоносных макросов / элементов управления ActiveX в файлах Office
- Система быстрого обнаружения Urgent Detection System 2 для более эффективного блокирования спама
Антиспам и фильтрация контента
- Антиспам-ядро
- Облачный антифишинг
- Обнаружение массовых рассылок
- Карантин антиспама
- Оценка уровня вероятности нежелательной почты (Spam Confidence Level)
- Расширенная поддержка символов
- Обнаружение подмены символов доменого имени (юникод-спуфинга)
- Обнаружение объектов внутри вложенных архивов
Системные требования
Программное обеспечение
Для развертывания образа виртуального устройства используйте следующие гипервизоры:
Гибкое управление и администрирование
Удаленное администрирование. Работой Kaspersky Mail Gateway можно управлять удаленно через веб-интерфейс, а также и традиционно – через конфигурационный файл.
Настройка режима обновлений. Обновления антивирусной базы могут производиться по запросу или по расписанию с серверов Лаборатории Касперского или с заданных локальных серверов. При этом может происходить обновление некоторых модулей антивирусного «движка» и лингвистического анализатора.
Наглядные отчеты. Веб-интерфейс предоставляет возможность просмотра вирусной активности за определенное время в графическом виде, а также данных о типах вирусов, которые были выявлены при антивирусной проверке.
Данная инструкция описывает процесс установки и первоначальной настройки программы на виртуальной машине, использующей загрузчик BIOS. На виртуальных машинах с UEFI псевдографический интерфейс может отличаться.
Чтобы установить и настроить программу, выполните следующие действия:
-
Запустите подготовленную виртуальную машину или физический сервер и выберите загрузку с CD-диска.
Начнется загрузка с ISO-образа диска.
- Если вы хотите принять условия Лицензионного соглашения, нажмите на кнопку I accept (Я принимаю).
- Если вы хотите отклонить условия Лицензионного соглашения, нажмите на кнопку I decline (Я отклоняю).
Для просмотра текста Лицензионного соглашения используйте клавиши вверх/вниз или Page up/Page down. Вы можете переключаться между кнопками с помощью клавиши Tab .
Если вы отклонили условия Лицензионного соглашения, установка программы не выполняется.
- Если вы хотите принять условия Политики конфиденциальности, нажмите на кнопку I accept (Я принимаю).
- Если вы хотите отклонить условия Политики конфиденциальности, нажмите на кнопку I decline (Я отклоняю).
Если вы отклонили условия Политики конфиденциальности, установка программы не выполняется.
Дождитесь, пока данные ISO-образа cкопируются на виртуальный диск. После завершения копирования виртуальная машина будет перезагружена и запустится мастер первоначальной настройки программы.
Откроется окно со списком доступных сетевых адаптеров.
Чтобы начать использовать сетевой адаптер, необходимо выполнить его инициализацию. Если адаптер не был инициализирован ранее, то откроется окно подтверждения инициализации.
Откроется окно со свойствами адаптера.
- Если вы хотите использовать статический IP-адрес для сервера с установленной программой, нажмите на кнопку Yes .
- Если вы хотите, чтобы параметры сетевого адаптера были получены по протоколу DHCP, нажмите на кнопку No .
По умолчанию используется протокол DHCP. Этот режим подойдет для установки программы в тестовых целях или для демонстрации. Для корректной работы кластера в реальной инфраструктуре рекомендуется использовать статическую конфигурацию.
- В поле Addresses укажите IP-адрес сетевого адаптера.
- В поле Netmask укажите маску сети.
- Нажмите OK , чтобы сохранить внесенные изменения.
Откроется окно со списком всех доступных сетевых адаптеров. При необходимости вы можете повторить настройку для другого адаптера.
Откроется окно Select Action – Routing .
- Выберите пункт Interface и нажмите клавишу ENTER .
- В открывшемся окне Select gateway device выберите сетевой адаптер, который должен использоваться для маршрута по умолчанию, и нажмите на клавишу ENTER .
- Если на предыдущем шаге вы выбрали сетевой адаптер, использующий протокол DHCP, в поле Gateway автоматически будет установлено значение dhcp . Если вы выбрали сетевой адаптер со статической конфигурацией, опция dhcp для шлюза по умолчанию будет недоступна.
- Чтобы задать статический IP-адрес шлюза по умолчанию, выполните следующие действия:
- Выберите пункт Gateway и нажмите на клавишу ENTER .
- Для адаптеров, использующих протокол DHCP, в открывшемся окне Use static configuration нажмите на кнопку Yes .
Откроется окно Interface gateway configuration .
Откроется окно New static route .
Добавленный статический маршрут отобразится в окне Select Action – Routes .
При необходимости вы можете повторить шаги b – g для добавления еще одного статического маршрута.
Откроется окно Select Action – Resolver .
-
В поле Use DHCP нажмите на клавишу ENTER .
Откроется окно Obtain DNS addresses over DHCP .
Значения полей Search list , Primary DNS и Secondary DNS будут заполнены автоматически.
Откроется окно Interface DNS configuration .
Откроется следующее окно мастера первоначальной настройки.
Рекомендуется использовать значение по умолчанию: 9045.
Пароль должен содержать:
- минимум 15 символов;
- только символы ASCII (A-Z, a-z), цифры и специальные символы;
- символы следующих типов:
- символ верхнего регистра (A-Z);
- символ нижнего регистра (a-z);
- цифру;
- специальный символ.
При добавлении сервера в кластер через веб-интерфейс программы вам потребуется сверить этот отпечаток с отпечатком, отображаемым в веб-интерфейсе.
Установка и первоначальная настройка программы будут завершены. После этого вы сможете подключиться к веб-интерфейсу программы через браузер для настройки ее параметров.
После завершения первоначальной настройки рекомендуется отключить загрузку с диска, содержащего ISO-образ, в свойствах виртуальной машины.
3)Читаем лицензионное соглашение
4)Выбор диска\раздела для установки
5)Создание загрузочной области
6)Выбор языка лицензионного соглашения для KSN
7)Текст лицензии KSN
8)Режим для работы в ограниченной сети — dmz
9)Ещё лицензионное соглашение ksn
10)Выбираем язык ввода клавиатуры
11)Выберем часовой пояс и страну
12)Проверка часовой зоны и региона
13)Укажем имя хоста (mx.contoso.local)
14)Настройка сетевого адаптера и ip адреса
15)Настройка роут маршрута сети
16)Настройка получения адресов DNS
18)Проверка параметров сети
19)Установка пароля администратора Administator , web консоли
20)Установка пароля admin, на терминальный ssh доступ (есть поле для проверка написания и языка)
21)Укажем почту администратора
22)Включим удаленное централизованное управление KL Nagent ( Kaspersky Lab’s Kaspersky Network Agent)
23)Запоминаем ip address для web,ssh подключения
24)тест подключения по ssh
26)Быстрая настройка Kaspersky Secure Mail Gateway
27)Добавление домена органиазции 5house.win
28)Настройка маршрутизации локальной почты
Укажем адрес локальных серверов smtp ip , mx
29)Добавление доверенных сетей и узлов сети
30)Завершение интеграции на прямую
31)Главное окно — Мониторинг компоненты выключены
32) Главное окно — Мониторинг компоненты включены
33)Правило WhiteList — белый список, добавляем почтовые адреса , ip отправителей и Получателя *@5house.win
34)Настройка правил по умолчанию — Вкл.
35)Ключи шифрования / TLS, DKIM
TLS протокол шифрования соединения между двумя серверами, обеспечивающий
защищенную передачу данных между узлами сети ИнтернетВ файле TLS-сертификата удалите пароль доступа к сертификату, если он
использовался. Для этого выполните команду:Например, вы можете выполнить следующую команду:
Если вы не уверены, что клиенты, которым сервер будет предоставлять этот
сертификат, имеют собственные копии корневого и промежуточного сертификатов
CA, объедините закрытый ключ, сертификат сервера, промежуточный сертификат
и корневой сертификат CA в один файл. Для этого выполните команду:Например, вы можете выполнить следующую команду:
36)Хранилище и его параметры — отсюда можно вытащить (переслать или как файл .eml) желательную почту
37)Раздел отчеты — можно выгрузить статистику в формате PDF
38)Параметры \ общие параметры — интеграция с Kaspersky Security center , служебные адреса электронной почты, параметры использования прокси сервера
40)Параметры MTA Расширенные , Текст приветствия SMTP-сервера, число соединений, время хранения, интервалы
41)Параметры\обновления системы обновление системы через файл — патч
42)Параметры обновления баз , расписание источник обновлений
43)Защита — Антивирус Анти-Спам Фишинг Контетная фильтрация
44)Параметры уведомления — уведомления о событиях на почту
45)Параметры \ журнал событий — syslog системы и протокола smtp
45)Настройка сетевого оборудования роутера или шлюза , NAT Network Address Translation /PAT Port address translation согласно вашей логической схеме — что-бы почту принимал mx.5house.local , проверял и далее переправлял на внутренний почтовый сервер
Для настройке и понимания терминов используйте
Версия
cat /etc/*-release
CentOS release 6.10 (Final)
rpm -qa | grep openssl
openssl-1.0.1e-58.el6_10.x86_64Kaspersky Secure Mail Gateway пограничный шлюз SMTP сервер для защиты почты ksmg : 2 комментария
Очистка хранилища спам
Добрый день, возможно ли такую конфигурацию использовать с лицензией на один почтовый ящик, по факту на самом KLMS нет постовых ящиков, он осуществляет только транспорт, цены конские
Support for Business Products
Kaspersky Secure Mail Gateway
Удобный мониторинг и гибкая система отчетов
- Интеграция с Kaspersky Security Center
- Удобный доступ для специалистов техподдержки
- Информационная панель
- Полная поддержка SNMP (Simple Network Management Protocol)
- Управление через веб-интерфейс
- Подробные гибкие отчеты в формате PDF
- Система уведомлений
- Подробные журналы событий
- Расширенные возможности технической поддержки
- Расширенные возможности системы уведомлений
- Интеграция с SIEM
Удобная установка и обслуживание
- Простая установка
- Active Directory и интеграция с OpenLDAP
- Широкий набор правил для управления трафиком электронной почты
- Поддержка IPv6
- Масштабируемая архитектура
- Простое обновление
ФУНКЦИИ
Преимущества
- Сокращение расходов и повышение надежности
- Упрощение работы по администрированию
- Повышение производительности пользователей
- Предотвращение ущерба от инцидентов безопасности и атак программ-вымогателей
- Неизменная актуальность защиты
Читайте также: