关于 Kaspersky Secure Mail Gateway

Kaspersky Secure Mail Gateway (以下简称 “KSMG”) 可让您将邮件网关部署为集群系统，它可随着处理的流量而扩展，并将其集成在您所在组织的现有邮件基础架构中。KSMG 保护传入和传出电子邮件不受恶意对象、垃圾邮件和钓鱼内容的侵害，并对电子邮件执行内容过滤。

该解决方案以两种分发类型提供：

• 带有预装操作系统、邮件服务器和卡巴斯基反病毒应用程序的虚拟机 ISO 镜像。本文档提供了有关此分发类型的详细信息。
• RPM 或 DEB 安装包。KSMG 帮助中提供了此分发类型的详细信息。

如何确定您的组织中安装了哪种分发类型

您可以在两个 KSMG 虚拟机 ISO 镜像之间进行选择：

• 基于 Rocky Linux 9.4。Rocky Linux 9.4 包含在 KSMG 镜像中。
• 基于 redos-MUROM-7.3-20240923.0-Everything-x86_64-DVD1.iso 镜像中的 RED OS 7.3。

  RED OS 7.3 不包含在 KSMG 分发套件中，必须单独购买。

KSMG 允许您：

• 对邮件进行反病毒扫描：
  • 检查邮件是否有病毒和恶意软件、宏（例如，包含宏的 Microsoft Office 文件）、加密对象、压缩文件（包括识别压缩文件和符合对象内的文件类型）。
  • 使用来自卡巴斯基安全网络的信息以确保更快响应新威胁。

    一个云服务基础架构，提供对 Kaspersky 在线知识库的访问，知识库包含文件、网页资源和软件的信誉信息。利用卡巴斯基安全网络中的数据，可确保 Kaspersky 应用程序更快速地针对威胁作出响应，提升某些保护组件的性能，并降低误报的可能性。

  • 为内部规则和策略限制访问互联网的组织配置与卡巴斯基私人安全网络（以下也简称为 KPSN）的集成。

    该解决方案允许 Kaspersky 反病毒应用程序用户访问卡巴斯基安全网络的数据而无需把自己的信息发送给卡巴斯基安全网络服务器。

  • 配置与 Kaspersky Anti Targeted Attack Platform (KATA) 的集成，以便检测零日攻击、定向攻击和复杂定向攻击 (也叫高级可持续威胁 APT) 等威胁。

    保护企业 IT 基础架构和定期检测诸如零日攻击、目标攻击和被誉为高级持续威胁（也叫APT）的复杂目标攻击的解决方案。

• 对邮件进行反垃圾邮件扫描：
  • 检查邮件是否有垃圾邮件、疑似垃圾邮件、群发邮件（包括欺骗域识别和 IP 地址信誉检查）。
  • 检测包含 Unicode 欺骗的邮件。如果在邮件中检测到 Unicode 欺骗，则该邮件被视为垃圾邮件。应用程序将 unicode_spoof 标签添加到 X-KSMG-AntiSpam-Method 邮件标头。

    一种基于传输数据伪造（欺骗）的攻击。欺骗的目的可能是获得更高权限，主要的方式是通过生成与真实请求相似的请求来绕过身份验证机制。欺骗的一个变种是伪造 HTTP 标头以访问隐藏内容。

    欺骗的目的也可能是欺骗用户。这种攻击的一个典型示例是在电子邮件中伪造发件人的地址。

  • 根据扫描结果向邮件添加 X-MS-Exchange-Organization-SCL X 标头。该标头包含 SCL 评级。

    垃圾邮件可信度是 Microsoft Exchange 邮件服务器使用的一种特殊标记，用于衡量邮件为垃圾邮件的可能性。SCL 分级从 0（垃圾邮件的最小概率）到 9（邮件最有可能是垃圾邮件）不等。根据邮件扫描结果，Kaspersky Secure Mail Gateway 可以改变邮件的 SCL 评级。

  • 将邮件放置到反垃圾邮件隔离区，并通过网页界面管理反垃圾邮件隔离区。
• 对邮件进行反钓鱼扫描。
• 扫描邮件以检查是否有恶意或者广告链接，以及与合法软件相关的链接。
• 进行邮件的内容过滤：
  • 按邮件大小
  • 按邮件 MIME 部分大小
  • 按附件名称
  • 按附件类型

    KSMG 允许您确定附件的真实格式和类型，无论其扩展名如何，包括内部档案和复合对象。

  • 按邮件主题
  • 按邮件正文
  • 按发件人
  • 按收件人
  • 按邮件副本收件人
  • 按邮件的 MIME 结构的顶级标头
• 配置当触发邮件处理规则或内容过滤表达式或发生内容过滤错误时要对邮件标头执行的操作。
• 将 BCC 邮件配置为在触发处理规则时发送到特定地址。
• 使用 SPF、 DKIM、 DMARC 和发件人域对齐技术进行邮件发件人身份验证。

  检查 SMTP 会话中指定的邮件发件人域（MAIL FROM 命令的值）和邮件中指定的邮件发件人域（发件人 MIME 标头的值）是否匹配。

  根据 SPF 和 DKIM 邮件发件人身份验证结果确定对邮件所采取的策略和操作的验证。

  验证邮件的数字签名。

  将邮件发件人的 IP 地址与邮件服务器管理员已创建的可能的邮件来源列表进行比较。

• 配置与 Active Directory 的集成以获取域用户的信息。
• 获取应用程序事件信息：
  • 记录邮件流量处理事件和应用程序运行期间发生的应用程序事件。可以筛选日志以方便地搜索事件。
  • 以 CSV 格式导出事件。
• 通过 Syslog 协议将应用程序事件发布到您的组织中使用的 SIEM 系统。关于每个应用程序事件的信息作为单独 syslog 邮件以 CEF 格式转发。

  SIEM 系统（安全信息和事件管理）是管理组织安全系统中的信息和事件的解决方案。

• 记录更改的应用程序设置的值并在 Web 界面中的审核事件日志中查看更改。

  更改记录也可以保存为标准格式或 CEF 格式的 syslog 消息。

• 允许通过 Web 界面配置和管理应用程序。
  • 监控电子邮件流量状态和系统资源使用情况，在应用程序网页界面中查看最近检测到的威胁列表。
  • 使用基于角色的系统创建用户账户并限定用户对应用程序功能的访问。
  • 使用单点登录 (SSO) 技术配置身份验证。
  • 使用应用程序网页界面创建集群，以通过集中管理集群中的所有服务器来扩展解决方案（横向或者垂直）。
  • 管理备份：
    • 将应用程序扫描和处理的原始邮件保存在备份区中。
    • 保存备份区中的邮件至文件。
    • 转发邮件给收件人。
    • 接收来自不同域的用户信息并授予用户对自定义备份的访问权限。
    • 授予用户访问组邮箱备份的权限。
    • 配置个人备份摘要传送。
  • 创建地址白名单和地址黑名单，这可让您微调邮件系统对来自某些地址的邮件的反应方式。
  • 按计划和按需求更新来自卡巴斯基更新服务器和自定义来源的应用程序数据库。

    更新功能（包括反病毒签名更新和代码库更新）以及 KSN 功能可能无法在美国境内的应用程序中使用。

  • 配置电子邮件通知：
    • 扫描邮件时发送有关应用程序模块生成的事件的通知。
    • 向用户发送有关应用程序事件的通知。
  • 向传出和传入邮件添加电子邮件免责声明，并添加邮件可能不安全的警告。
  • 生成和查看邮件处理结果和应用程序事件报告。
  • 根据针对发件人和收件人分组配置的规则来处理电子邮件。
  • 添加、修改或删除有关域（包括组织的本地域）和电子邮件地址的信息，针对此类域和电子邮件地址编辑 Kaspersky Secure Mail Gateway 设置，配置电子邮件路由。
  • 配置 MTA。

    邮件传输代理可处理邮件在邮件服务器之间的发送。

  • 添加、修改和删除 DKIM 和 TLS 加密密钥。
  • 通过 SNMP 协议接收应用程序操作统计信息，并启用或禁用 SNMP 陷阱转发。

    SNMP 代理发送的一种应用程序事件通知。

KSMG 作为虚拟机的 ISO 镜像进行分发，以便部署在 VMware ESXi、Microsoft Hyper-V、具有 Hyper-V 角色的 Microsoft Windows Server、RED Virtualization 或 "Brest" 3.3.1 虚拟化软件上。

部署镜像将创建一个虚拟机，包含一个预装的操作系统、邮件服务器和 KSMG 应用程序。部署虚拟机后，可使用初始配置向导进行配置。