Электронная библиотека книг Александра Фролова и Григория Фролова.
Shop2You.ru Создайте свой интернет-магазин
Библиотека
Братьев
Фроловых
[Назад]

Антивирусная проверка электронной почты

(с) Фролов Александр Вячеславович, 2002
E-mail: alexandre@frolov.pp.ru
Web: http://www.frolov.pp.ru, http://www.datarecovery.ru

Для журнала "Компьютер-Пресс"

Введение

Вместе с лавинообразным ростом популярности Интернета повсеместно распространилась электронная почта, представляющая собой один из наиболее важных сервисов этой всемирной сети.

Электронной почтой пользуются не только сотрудники компаний, но и практически все владельцы компьютеров с модемом. Распространению электронной почты в немалой степени способствуют низкая стоимость подключения к Интернету, модемов, да и самих компьютеров. Однако главное, конечно, в том, что только электронная почта может удовлетворить современные потребности в удобном, недорогом и быстром средстве доставки информации по всему миру.

Подавляющее большинство деловых документов и личных писем передается именно через электронную, а не через обычную почту. Электронная почта выступает также в качестве средства рекламной и другой информации, такой как электронные газеты и бюллетени.

Однако, слепо доверяя электронной почте, Вы рискуете заразить свой компьютер вирусом, пострадать от Интернет-червя, троянской или какой-либо другой вредоносной программы. Последствия этого могут быть весьма серьезны - от потери всех или некоторых файлов до утечки конфиденциальной информации. Заразив Ваш компьютер вирусом, или установив на него "червя" или "трояна", злоумышленник может полностью захватить управление компьютером. При этом ему не составит особого труда отправлять от Вашего имени электронные сообщения или выполнять какие-либо другие нежелательные для Вас действия.

Электронная почта и вирусы

Чтобы уберечь себя от опасности, Вам следует познакомиться с основными принципами работы электронной почты и причинами, по которой она становится уязвимой к действиям злоумышленников. Только в этом случае борьба с вторжением в Ваш компьютер будет действительно эффективной.

Заголовки и тело электронного сообщения

Отправляя обычное письмо, Вы пишете или печатаете его текст на листке бумаги, затем вкладываете его в конверт, надписываете адрес получателя и отправителя. В таком виде письмо можно бросить в почтовый ящик, после чего оно рано или поздно дойдет до адресата.

Чтобы подготовить электронное письмо, Вам потребуется специальная почтовая программа, такая как Microsoft Outlook Express, The Bat! или Netscape Messenger. На рис. 1 мы показали окно создания электронного письма программы Microsoft Outlook Express.

Рис. 1. Подготовка электронного сообщения

В поле To (Кому в русской версии программы) указывается электронный адрес получателя. Он состоит полей из идентификатора и доменного имени, разделенных символом @. По своему назначению электронный адрес эквивалентен адресу получателя, надписанного на конверте обычного письма. Чтобы получателю было сразу понятно, о чем Ваше письмо, нужно заполнить поле Subject (Тема), кратко описав в нем содержимое письма.

Эти и некоторые другие поля образуют так называемый заголовок электронного сообщения. Что же касается самого текста письма, то оно набирается в нижней части окна, показанного на рис. 1 и составляет тело сообщения.

Файлы вложений

Продолжим аналогию с обычным письмом, отправляемым в бумажном конверте. Заметим, что кроме листка с текстом сообщения можно вложить в такой конверт различные предметы небольшого размера, такие как марки, карточки, билеты и т.п.

Что же касается электронного письма, то вместе с ним могут передаваться любые файлы. Такие файлы называются присоединенными или файлами вложений (attachment file). Например, вместе с сообщением, показанным на рис.1, мы передаем файл с именем drweb_sert_12.01.2002.zip.

Именно файлы вложений таят в себе угрозу для компьютера - через них на компьютер может проникнуть вирус, червь, троянская или другая вредоносная программа.

Пересылка электронной почты

Подготовив электронное письмо, Вы можете отправить его по назначению при помощи почтовой программы, подключив предварительной свой компьютер к Интернету.

В процессе пересылки электронной почты участвуют два сервера - сервер передачи почты SMTP и сервер входящих сообщений POP3 (рис. 2).

Рис. 2. Пересылка электронной почты

Вначале почтовая программа отправителя посылает сообщение на сервер SMTP, работающий по простому протоколу передачи почты (Simple Mail Transfer Protocol, SMTP). Этот сервер находится, как правило, на площадке провайдера отправителя.

Далее сервер SMTP пересылает сообщение на сервер получателя POP3, располагающийся у провайдера получателя. В зависимости от различных обстоятельств этот процесс может занимать секунды, минуты, часы или даже дни, хотя обычно между серверами SMTP и POP3 сообщения передаются очень быстро.

Все сообщения, поступающие в адрес получателя, складываются в электронный почтовый ящик, расположенный на дисках сервера POP3. Когда получатель желает забрать свою почту, он подключается с помощью почтовой программы к серверу POP3, после чего программа переписывает все новые сообщения на локальный диск компьютер получателя.

"Белый порошок" в конверте электронного письма

Безусловно, всем известны попытки распространения сибирской язвы в почтовых конвертах, предпринятые террористами. Вирусы этого страшного заболевания пересылались в виде белого порошка, насыпанного в конверты. Открыв зараженный таким образом конверт, получатель мог серьезно заболеть.

К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для "здоровья" компьютера.

В чем опасность файлов вложений?

В качестве такого файла Вам могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *xls, и т.п.), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, Вы можете инициировать вирус или установить на свой компьютер троянскую программу.

Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем! В этом случае если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на Ваше компьютер - только дело времени.

Возможны и другие попытки проникновения на Ваш компьютер через электронную почту. Вам, например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, Вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое черное дело.

Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства, без сомнения, принадлежит электронной почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены электронным "белым порошком".

Защита от вирусов, распространяющихся по почте

Помимо чисто административных мер, рассказ о которых выходит за рамки этой статьи, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).

Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно.

Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда "умеют" анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа могут легко попасть на диск компьютера.

Далее, эффективность антивирусов очень сильно зависит от соблюдения правил их применения. Например, необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных. Это неизбежно приводит к вирусному заражению или проникновению троянских программ.

Антивирусы для почтовых серверов

Понимая актуальность проблемы распространения вирусов по электронной почте, многие антивирусные компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовые серверы, не допуская передачу сообщений с зараженными файлами вложений. Существует и другое решение - подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.

Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор. Он не ошибется при настройке и, вдобавок, включит режим автоматического обновления антивирусной базы данных через Интернет.

Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов - к ним будут приходить сообщения, уже очищенные от вирусов.

Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом вложений, защищенный почтовый сервер SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение (рис. 3).

Рис. 3. Сообщение о попытке отправки сообщения с зараженным файлом вложения

Если же кто-то пошлет на Ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса (рис. 4) .

Рис. 4. Сообщение о получении сообщения с зараженным файлом вложения

Несмотря на постоянно растущую популярность платформы Microsoft Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных Unix-подобных систем.

Не вступая в споры по поводу сравнения надежности работы серверов Microsoft Windows и Linux, (она в немалой степени зависит от квалификации системного администратора), укажем на основное преимущество Linux - очень низкая стоимость приобретения. Любой может загрузить через Интернет дистрибутив Linux и установить его на произвольное количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернет, в том числе и серверы электронной почты.

Среди других преимуществ Linux и подобных ей ОС, способствующих росту популярности в качестве платформы для создания серверов Интернета - открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.

Doctor Web для Unix-систем

Для защиты почтовых серверов, работающих под управлением ОС Linux, FreeBSD и Solaris с успехом можно использовать известный антивирус DrWeb Игоря Данилова. Подробную информацию об этом антивирусе можно найти на сайте http://www.dials.ru.

В комплект антивируса входит программа-демон DrWebD и программа-сканер DrWeb, а так же решения для интеграции с почтовыми системами: CommuniGate Pro, Sendmail, QMail, Exim, Postfix. Скоро так же появится компоненты для интеграции с файловыми серверами Samba.

Демон DrWebD снабжен открытым документированным интерфейсом и может использоваться практически в любых схемах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Открытые исходные тексты некоторых компонентов интеграции позволяет проводить аудит, модифицировать интерфейсные компоненты для более полного удовлетворения требованиям разработчика. Кроме того, эти исходные тексты могут служить примером для написания собственных компонентов интеграции.

В процессе своей работы демон DrWebD автоматически проверяет все сообщения электронной почты, проходящие через сервер. При этом проверяются файлы вложений (даже если они находятся в упакованном виде), а также все объекты OLE, встроенные в документы.

При обнаружении вирусов в почтовом сообщении тело вируса изымается и перемещается в зону "карантина", после чего получателю сообщения и администратору сервера посылается извещение. Таким образом, пользователи Sendmail будут надежно защищены от вредоносных программ, распространяющихся через электронную почту. Аналогичный механизм взаимодействия предусмотрен и для других почтовых серверов.

Антивирус DrWeb автоматически загружает через Интернет обновления антивирусных баз данных, что необходимо для надежной антивирусной защиты.

Дополнительно к антивирусной проверке, демон может выполнять фильтрацию сообщений по содержимому различных полей заголовков, что может быть использовано для защиты от несанкционированной рассылки сообщений - спама.

Одним из несомненных достоинств является высокая производительность работы демона DrWebD и сканера DrWeb, достигнутая благодаря использованию совершенных алгоритмов. Это имеет особое значение в том случае, если сервер обладает малой вычислительной мощностью. Заметим, что демон, почтовый фильтр и почтовый сервер могут работать на разных компьютерах, что позволяет при необходимости балансировать нагрузку на серверы и сетевые интерфейсы.

Что же касается сканера DrWeb, то он обладает всеми возможностями других сканеров семейства DrWeb32, и запускается из командной строки.

Антивирус Касперского для Sendmail/Qmail/Postfix/Exim

Программа "Антивирус Касперского (AVP) для Sendmail/Qmail/Postfix" была создана специально для защиты почтовых систем Sendmail, Qmail, Exim и Postfix. Подробную информацию об этой программе можно найти на сайте http://www.kaspersky.ru.

Выполняя в реальном времени или по требованию пользователей централизованную фильтрацию всех сообщений, проходящих через почтовый сервер, эта программа удаляет вирусы из электронной почты до того, как они достигнут адресата.

При обнаружении вирусов в файле вложения программа удаляет его и пересылает само сообщение, а также предупреждение об обнаружении вируса на заранее заданный адрес. Это позволяет администратору определять источник распространения вирусов или других вредоносных программ. В программе реализована функция "карантин" для зараженных и подозрительных объектов. Антивирус Касперского может проверять не только вложенные файлы, но и объекты OLE, встроенные в документы, упакованные архивы файлов всех основных форматов, а также содержимое вложенных почтовых сообщений любого уровня вложенности.

Среди других достоинств программы заслуживает упоминания возможность проверки личных и публичных папок, автоматическое обновление антивирусных баз данных через Интернет, изменение списка защищаемых ящиков без перезагрузки сервера, встроенная система рассылки предупреждений о случаях вирусных атак, а также удобная система управления, обновления и конфигурирования программы.

[Назад]