Mail Security Solution
IBM Global Services
Proventia® Network Mail Security System (MS3004)
Lotus Protector
Безопасность электронной почты
Устройство продается с 25 сентября 2006 г.
IBM Internet Security Systems
Ahead of the threat.™
© 2008 IBM Corporation

IBM Internet Security Systems
Контент – Новый этап распространения угроз
 Защита от атак всегда была ключевой
–Много атак по сети
–Постоянные попытки проникнуть внутрь
–Массовые вирусные атаки
 Более сложные атаки стали угрозой
–Направленные атаки
–Спам
–Фишинг
–Кража данных
2 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Сравнение ТТХ
Proventia Proventia Network MFS
Network Mail (MX5010)
Target Market Enterprise SMB
Description Complete email security Antispam only
Network Layer 7 3
Protocol SMTP only SMTP, POP3
Users 2,500 users and above Under 2,500 users
Rated messages per hour 36,000 14,400
Per-user configurable settings Y N
Allow / Blocklists Y N
Quarantine List Y N
Rules / Policy Granular Basic
LDAP/Active Directory Support Y N
Outbound mail filtering Y Y
Traditional Anti-Virus Y Y
Zero-day Virus Prevention Y Y
IPS engine Y Y
Web filtering N Y
VPN Integration N Y
Total Price (2,500 users) $20,300 $14,890
Average Per-user Cost *** $8.12 $5.96
3 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Добро пожаловать Proventia Network Mail
 Преимущества
–Первый и единственный
производитель Virus Prevention
System
–Первый и единственный
производитель со встроенной
технологией IPS
–Наш Proventia Filter Database
использует более чем 500 web
роботов и 800 сборщиков спама,
анализирующих 5.9 миллиардов
web страниц и картинок – второй
после Google!
–Поддерживается группой X-Force
и C-Force, которые занимаются
исследованиями и разработкой
4 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Два аппаратных и два программных средства для
защиты от атак на уровне контента
 IBM Proventia Network Multi-  IBM Proventia Network Mail Security
Function Security System (аппаратная и программная
версия под VmWare)
–Полная защита периметра
–Полная защита почтового сервера
• Firewall
• Intrusion Prevention / PAM
• Intrusion Prevention / PAM
–Email anti-spam
–Web фильтр –Фильтрация входящего и исходящего
–Email anti-spam трафика
–Защита от угроз в –Защита от угроз в почтовых
почтовых сообщениях сообщениях
• Virus Prevention System • Virus Prevention System
• Сигнатурный антивирус • Сигнатурный антивирус(Sophos)
(Sophos)
 Программные решения
–IBM Proventia Network Mail Filter
–IBM Proventia Network Web Filter
5 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Изменения в решениях
Anti-spam недостаточен.
Полная защита электронной почты
- необходимость.
6 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
7 PRO_ISS_Solutions Security System (MS3004)
Proventia® Network Mail 09/23/09 © 2008 IBM Corporation

IBM Internet Security Systems
От каких угроз защищает:
 спам
 вирусы, spyware и другой злонамеренный код во
вложениях, в том числе неизвестные вирусы и черви
 атаки на SMTP, в том числе атаки типа zero-day и DoS
 утечка конфиденциальной информации
 фильтрация исходящей почты
 контролирует выполнение корпопативной политики
безопасности
 позволяет организации соответствовать требованиям
стандартов безопасности
 защищает от фишинг и фарминг атак
 проверяет URL внутри писем
 порча репутации
8 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Какие модули защиты используются:
 модули многоуровневой защиты от спама (10 различных модулей
анализа)
 модуль строгой фильтрации контента и карантина (Mail Firewall)
 традиционный сигнатурный антивирус, на базе модуля компании
Sophos
 запатентованная система предотвращения от неизвестных вирусов
по анализу поведения кода в виртуальной среде компании IBM ISS:
Virus Prevention System (VPS)
 система предотвращения атак (IPS) на базе анализа протоколов
(PAM), включая технологию Virtual Patch
 система блокирования вредоносного кода внутри неисполняемых
файлов (JPG, ANI, PPT, DOC и др.) ShellCode Heuristics (SCH)
 модуль отчетов для SiteProtector
 модуль интеграции с SiteProtector
 модуль логирования почтовых сообщений
9 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Дополнительный функционал:
удаленное управление через WEB интерфейс
управление через SiteProtector
интеграция с несколькими LDAP
кластеризация (одовременная работа нескольких
устройств для обслуживания полного объема
почтового трафика)
High Availability
автоматические обновления
10 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Кратко
 Защита входящей и исходящей почты
 Команда C-Force
 Интеграция с LDAP
 Управление LMI или SiteProtector
11 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
База данных спама и WEB URL
- Статистика от C-Force
– Honey pot анализирует ежедневно :
1.5 миллиона сообщений, 100,000
уникальных спам писем
– 55 миллионов актуальных и
необходимых сигнатур спама в базе
– 72 миллиона записей в базе данных
фильтрации
– 62 URLкатегорий фильтрации
– 100,000 новых или обновленных
URL в день (в среднем) попадает в
базу
– 150 миллионов новых веб страниц
и картинок в месяц анализируется
в ISS
– Число проанализированных сайтов
в базе данных ISS – 6 миллиардов
(база Google: 8 миллиардов )
12 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Proventia® Network Mail
Многоуровневый анализ сообщений
13 PRO_ISS_Solutions Security System (MS3004)
Proventia® Network Mail © 2008 IBM Corporation

IBM Internet Security Systems
C-Force
Подходы к борьбе со спамом
 Автоматическое детектирование случайного текста
 Использование визуальных техник
 Глобальное детектирование спама – помогает всем
пользователям
 Сигнатуры инвариантны к изменениям картинок
sig://C3B90474A349823E sig://C3B90474A349823E sig://C3B90474A349823E
14 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Analysis Modules for email Content
 10+ проверок спама
 Message Field Check
 Attachment Check
 Keyword Search
 Media Type
 URL Check
 Language Check
 User Sender Block/Allow List
 Sender Policy Framework
 Virus Check: VPS & Sophos Signatures
 Compound (Multiple modules with sources & thresholds)
15 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Policy Responses & Actions
 Allow, Block (final)
 Continue within Policy (rule chain)
 Modify Header Fields
 Send To
 BCC
 Redirect
 To/From Rewrite (on roadmap)
 Add Attachment
 Log with extensive Macro support
 Add Disclaimer (HTML and/or text, top or bottom)
 Store (original, modified, with scheduled quarantine reports)
 Remove Attachment
 Set / Clear Condition
16 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Proventia® Network Mail Модуль строгой фильтрации
контента точно задает кто, когда,
Четкая политика контроля что, и кому может послать. Можно
сказать, что он является почтовым
брандмауэром.
 Простые политики на
базе правил (то есть,
кто – что – когда –
действие), и >10
различных типов
действий (то есть,
модификация,
оповещение)
 Задается политика
чтобы гарантировать
соответсвие
должностным
обязанностям и
политикам
 Почему…
–Обучение логичным,
легким правилам
задача ваших
администраторов
17 PRO_ISS_Solutions Security System (MS3004)
Proventia® Network Mail © 2008 IBM Corporation

IBM Internet Security Systems
Модули анализа
 Spam Fingerprint – каждое письмо получает уникальную 128 битную
сигнатуру. Эта сигнатура сравнивается с существующими сигнатурами в
базе данных фильтра, что позволяет точно контролировать
существующий спам.
 Spam Signature Database – уникальная 128 битная сигнатура
высчитывается также для некоторых частей письма (например одного
абзаца). Эти сигнатуры сравниваются с уже существующими в базе
чтобы детектировать спам, несмотря на некоторые изменения всего
сообщения.
 Spam Structure Check – проверяет структуру HTML, давая возможность
этому модулю классифицировать это письма как спам на основе
структуры письма.
 Spam URL Check – более чем 80% всех рассылок спама содержат
ссылки. Кроме сигнатур писем со спамом в базе данных хранятся и URLы
которые появляются в спамерских письмах. Одно вхождение URL из
базы позволяет классифицировать письмо как спам.
18 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Модули анализа
 Spam Heuristics – этот классификатор основывается на
эвристическом анализе типичных признаком спам-письма,
например некоторые поля в заголовке письма. Используется
собственная система оценки для каждого признака, дающего
либо положительное либо отрицательное приращение, в
зависимости от того испольщуется эвристика для поиска спама
или хама. Если высчитанный коэффициент превышает заранее
установленный уровень, то письмо классифицируется как спам.
 Spam RBL check – IP адрес хоста пославшего SMTP сообщение
проверяется на одном или нескольких RBL серверах.
 Spam Bayesian Classifier – статистическая оценка, которая
определяет является ли письмо нужным или спамом по
некоторым определенным частотным характеристикам. Этот
модуль анализа очень точен при обнаружении нового типа спама.
19 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Модули анализа
 Spam Flow Check – анализирует поток писем в течение
заданного промежутка времени. Если одно и то же письмо
(считается относительно числа одинаковых характеристик)
получено более некоторого заданного заранее уровня раз в
течение данного промежутка времени и имеет различные домены
отправителя, то письмо классифицируется как спам.
 Spam Keyword – этот классификатор использует стандартные
ключевые слова и шаблоны (регулярные выражения) которые
обычно находят в спаме. Группа C-Force компании IBM ISS
собирает соотвествующие ключевые слова и шаблоны из уже
известных спам писем и оценивает их индивидуально для
дополнительной защиты от спама.
 Phishing Check – представляет из себя целый набор методов
скомбинированных для обеспечения эффективной защиты
против фишинговых писем, включая проверки URL и эвристику.
20 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Proventia® Network Mail
Управление
Локальный WEB Также возможны –
интерфейс  Централизованное
управление через
SiteProtector
 Кластеризация / высокая
доступность
–Несколько устройств
управляются из одного места
21 PRO_ISS_Solutions Security System (MS3004)
Proventia® Network Mail © 2008 IBM Corporation

IBM Internet Security Systems
Proventia® Network Mail
обзор продукта
Пропускная способность* Расширяемость
MS3004 36,000 сообщений в час до 10,000 пользователей
* - Полная проверка - Intrusion Prevention,
Antivirus, Antispam
22 PRO_ISS_Solutions Security System (MS3004)
Proventia® Network Mail © 2008 IBM Corporation

IBM Internet Security Systems
Платформа
 MS3004 на базе Intel 2400SR 2U
 Linux-based Proventia OS with automatic updates
 LMI Web Administration, SiteProtector Integration, ssh-access
 HTTPS end user inteface
 IPS featuring Virtual Patch Technology
 4 network interfaces - each protected by iptables firewall
 Up to 10,000 users; supports clustered environment for larger deployments
 Performance raw mail: 750,000 emails/hour
 Performance real-world-traffic: 36,000 emails/hour with full analysis and
quarantine
 Harddisks 4 x 80 GB + 2x250 GB (RAID1)
 Redundant Hard disk, power supply, fans
23 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
24 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Частые вопросы по Mail Filter
Does it run on Linux OS? Version? No, for the software version
Does it run on Microsoft OS? Version? Windows ISA Server Version: Windows 2000 Server, MS ISA Server - Windows
Standalone Version: Windows 2000, Windows 2000 Server, or Windows Server
System 2003
Do you provide a Management console YES
Do you manage configuration changes in real time YES
Do you have central management console with differente
administrative profiles YES
Do you provide environments log filtering Not clear what this means
Do you provide log saving in database or file YES
Do you support italian/european content semantic analisys YES
Do you have detailed white/black list management YES
Do you provide multi spam identification methods (Bayesian's
filter...) YES
Do you support all available encoding
format(Unicode,Base64 ..) YES
Do you provide attachments identification and filter based on
file extension YES
Do you have attachments identification and filter based on real
file type YES
Do you support customized message notification in case of
blocked mail YES
Do you support single e-mail fields analisys YES
Do you provide OCR function to recognize email spamming
based on images only YES
25 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Частые вопросы по Mail Filter
Do you support customized report YES
Do you support different type report generations (at least HTML
and PDF) YES
Do you have scheduling and automatic report generation YES
Do you provide event logging YES, for system events
Do you support customized logging YES
Do you have centralized data Logging YES
Do you have data logging with username correlation YES
Do you have a time stamp for every event logged YES
Do you provide username exclusion from data logging YES, anonymous logging is possible
Do you have virus and malicious codes identification YES
Do you support multiple antivirus scanning engine The available choices are McAfee ViruScan, Symantec CarrierScan, CA InoculateIT
and Sophos Anti-Virus.
Have you got predefined antispamming categories YES
Do you provide third parties spamming database compatibility YES
Do you provide statistics on logged data YES
Do you have automatic web site updates YES (internet)
Do policies behave in the same way even for web mail access NO
Do you provide manual lists management
(black/white/exclusions) YES
Do you provide remote management YES
Do you provide web management NO the console is a software component installed on a workstation
26 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Частые вопросы по Mail Filter
Do you have multiple administration profiles YES
Do you manage software/connections failures YES
Do you provide event logging (user events,administrator events
and alerts) YES
Do you have releases compatibility YES with Cobion Orange BOX
Do you provide scalability YES
Do you provide backup procedures YES
Are multiple concurrent administrators allowed YES
Do you support administrative sessions time out NO
Do you provide servers request tracking YES
Do you have fault tolerance YES at no additional cost
How do you manage connection failure between servers and log Logging is retried at regular intervals. Content logs maintained locally for a week, by
server default.
How do you manage database failure Content logs are maintained locally for one week, by default
Do you support data authenticity Log access is account and password controlled
Do you provide strong authentication Username and password
Do you provide strong authentication for administrative users Username and password
Do you provide enhanced log security Not beyond basic storage controls
Do you have confidential information shredding No
Do you provide event log protection from administrative users NO
Do you provide event log protection from unauthorized access Is potected by OS filesystem settings
Do you have event log visualization YES, graphic display
Do you have troubleshooting List YES have the getting started whit step by step instruction guide for installation and initial
testig.
Do you provide event log store functionalities Yes, automatic rotation
27 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Частые вопросы по Web и Mail Filter
Question Answer
Does it run on Linux OS? Version? YES Linux releases using the 2.6 kernel, including Suse 7.3 (with 2.4.x kernel), Suse 9 RedHat 7.3 (with
2.4.x kernel), RedHat 9
Does it run on Microsoft OS? Windows ISA Server Version: Windows 2000 Server, MS ISA Server - Windows Standalone Version:
Version? Windows 2000, Windows 2000 Server, or Windows Server System 2003
Is it centrally managed and with Central Management YES. The products software version doesn't profile administrative users, the
administrative profiling? appliance version (ProventiaM) is able to manage administrative users throught ISS SiteProtector.
Is it possible to manage e-mail and The products software version offers the same console for web and e-mail management
web security with the same
console?
Are administrators profiled to The products software version (Mailfilter) can profile administrative users, the appliance version
access console? (ProventiaM) is able to manage administrative users throught ISS SiteProtector.
Is it remotely managed? YES
Is console web enabled? NO the console is a software component installed on a workstation
Are modifications spread in real- YES the policy is applicable immediatly
time (no wait to implement a
policy)?
Are e-mail auto-answers YES
customizable?
Have you any localization in italian? YES ISS MI PD RM
Are Reports customizable? YES
Are PDF and HTML report YES
supported?
Is it possible to schedule reports? YES with windows scheduler
Are administrators logged in their Access is logged
work on the console?
Are users logged? YES
28 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Частые вопросы по Web и Mail Filter
Is it possible to trigger alarms in The product software dont'ave a possibility trigger, the appliance version ave a possibility monitoring
front of a down of the service? throught ISS SiteProtector
Are alerts and configuration YES the configuration change
changes logged?
Are different release/version of you YES with Cobion Orange BOX
product compatible?
Which is the biggest installation you Over 30,000 users
have? (number of users)
Is configuration/log backup YES
permitted?
Are multiple concurrent YES
administrators allowed?
Does it have a time-out for NO
administrative console?
Does it support fault-tolerance? HA Yes
or LB?
Is log DB down permitted? Yes
Does the filter/antispam works Yes
without the management server?
Have you any log authenticity NO
feature?
Have you got secure The authentication is performed by password
authentication?
Is strong auth for administrators Account and password control
supported?
Are system logs protected? Is potected by OS filesystem settings
Is it possible to trigger the deletion No
of specific log data?
29 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Частые вопросы по Web и Mail Filter
Are event logs protected even by No
administrator actions?
Are event logs protected even by Protected by OS file system controls
external actions?
Are log easily readable (query)? YES
Hava you got a troubleshooting test YES have the getting started whit step by step instruction guide for installation and initial testig.
list for installation and production?
How do you manage log retention The appliance product version handled by SiteProtector DB maintenance
for large quantities?
Which is the LIST license price, per
user, of your complete solution
scaled for 10.000 users?
30 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Развертывание в сети:
SMTP Relay: для входящей почты
Proventia Mail Security 1
MX preference Firewall
10 DNS-MX-entries
Mailserver 1 SMTP TCP 25
mydomain .com
Mailserver 2
mydomain.com MX preference Router
10 INTERNET
CIS COS YS TEM S
Proventia Mail Security 2
31 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Развертывание в сети:
SMTP Relay: для исходящей почты
SMTP-Relay
10.10.10.10
Mailserver 1 Proventia Mail Security
mydomain.com Firewall
10.0.0.1 MX-entries
SMTP TCP 25
Mailserver 2
mydomain.com
10.0.0.2
Router
Mailserver blue: relays mail on
INTERNET
CISCOS YSTEMS
mydomain .net red : direct SMTP /
10.10.1.1 MX-lookup
32 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Решение по масштабированию
 Решение по масштабированию НЕ ЗАВИСИТ от
числа почтовых ящиков а от количества
ПОЧТОВОГО ТРАФИКА который будет
обрабатывать устройства.
 Одно устроство поддерживает 36000 почтовых
сообщений в час / 10 почтовых сообщений в
секунду
 Рассматривайте пиковые нагрузки трафика
чтобы обрабатывать их без задержек!
 Трафик балансируется используя несколько
DNS MX записей указывающих на разные IP
адреса с разными устройствами
33 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Central Message Store
34 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation

IBM Internet Security Systems
Оповещение о фишинге
35 Proventia® Network Mail Security System (MS3004) © 2008 IBM Corporation