Proxmox Mail Gateway - bezpieczna poczta dla biznesu

Uwaga

Nasza firma oferuje usługi instalacyjne i serwisowe rozwiązań opartych o Proxmox Mail Gateway.

Jesteśmy oficjalnym partnerem handlowym “Proxmox Server Solutions GmbH”

Posiadamy w sprzedaży każdy rodzaj licencji dostępnej dla produktów Proxmox - “cennik licencji Proxmox” .

Zachęcamy do zapoznania się z naszą kompleksową ofertą: “Bezpieczny serwer poczty e-mail”

Image by jannoon028 on Freepik

Zabezpiecz swoją pocztę e-mail już teraz!

Zapraszamy do KONTAKTU i współpracy!

Tel. kontaktowy: +48 606 356 235

1. Wstęp

Proxmox Mail Gateway (Proxmox MG) to rozwiązane “open source” austriackiej firmy Proxmox Server Solutions GmbH, która jest również znana z innych swoich produktów: sztandarowego Proxmox Virtual Environment oraz Proxmox Backup Server.

Proxmox MG to oprogramowanie, które działa między serwerem poczty a firmowym firewallem. Jego głównym zadaniem jest ochrona poczty elektronicznej - wszystkie wiadomości typu spam, z wirusami, phishingiem i trojanami są zatrzymywane na poziomie Proxmox MG i nie trafiają do skrzynek pocztowych użytkowników.

Rozwiązanie to wydatnie podnosi bezpieczeństwo firmowej poczty, blokując szkodliwą korespondencję już na wejściu - i to wszystko przy wykorzystaniu szeregu mechanizmów oraz łatwego zarządzania poprzez intuicyjny panel dostępny z poziomu przeglądarki internetowej.

Rozwiązanie jest przeźroczyste dla użytkowników, a zarządzane jest zazwyczaj przez administratora infrastruktury IT.

2. Architektura Proxmox Mail Gateway

Źródło: proxmox.com

Jak więc działa Proxmox MG?

Wiadomość e-mail dociera poprzez zabezpieczenia (Firewall) do serwera Proxmox Mail Gateway. Następnie podlega klasyfikacji (punktowaniu), dzięki czemu następuje przypisanie wiadomości do danej kategorii, jednocześnie zgodnie z ustawionymi regułami system podejmuje decyzję, czy dana wiadomość ma być przesłana dalej (już lokalnie do serwera poczty), czy jednak ma zostać zatrzymana.

W teorii niby nic odkrywczego i skomplikowanego, jednak w samym Proxmox MG zostało zaimplementowanych wiele technologii, które w połączeniu pozwalają maksymalnie zabezpieczyć odbiorców firmowej poczty e-mail przed szkodliwymi wiadomościami.

3. Główne funkcjonalności

3.1 Wykrywanie spamu i wirusów

Proxmox MG jest serwerem pośredniczącym (proxy) i zabezpiecza serwer poczty SMTP przed wszystkimi zagrożeniami, które pojawiają się w wiadomościach e-mail, ze szczególnym naciskiem na spam, wirusy, trojany i maile typu “phishing”.

Umiejscowienie Proxmox MG między firmowym firewallem, a serwerem poczty, sprawia, że każda wiadomość przychodząca i wychodząca jest analizowana przez wiele zaimplementowanych mechanizmów: m.in. systemy serwera Postfix (MTA), oprogramowanie antywirusowe ClamAV oraz system blokujący spam SpamAssassin.

1. Skanowanie antywirusowe - ClamAV jest systemem antywirusowym na licencji “open source” zaprojektowanym do wykrywania trojanów, wirusów, szkodliwego oprogramowania oraz innych złośliwych zagrożeń. Oprogramowanie zawiera wysokowydajnego, wielowątkowego demona skanowania, programy uruchamiane z linii komend (używane są do skanowania na żądanie) oraz inteligentne narzędzie do automatycznej aktualizacji sygnatur antywirusowych.

2. Wykrywanie spamu - Proxmox MG używa różnych technik w celu wykrywania wiadomości e-mail jako spam. Dzięki temu, skuteczność narzędzia jest bardzo wysoka. Każda wiadomość e-mail jest analizowana pod kątem spamu otrzymując wynik punktowy.

   System podlega ciągłej automatycznej optymalizacji reguł (uczy się), dzięki temu liczba błędnej klasyfikacji wiadomości e-mail jako spam/nie spam jest minimalna.

3.2 Łatwe wdrożenie

W podstawowej konfiguracji serwera poczty, ruch e-mail (SMTP) zazwyczaj pojawia się na firewallu, następnie jest przekazywany do serwera poczty (MTA).

Używając Proxmox MG, który jest zainstalowany między firewallem, a serwerem poczty, cały ruch e-mail (SMTP) jest przekazywany do Proxomox MG - wszystkie wiadomości sklasyfikowane jako niechciane są zatrzymywane, natomiast reszta wiadomości jest przekazywana do serwera poczty (zgodnie z powyższym schematem ).

3.3 Liczne metody filtrowania wiadomości e-mail

1. Sprawdzanie adresu odbiorcy - rozwiązanie od Proxmox. Wiele e-maili, które trafiają do serwera pocztowego, są błędnie zaadresowane i mimo, iż nie trafiają ostatecznie do żadnego użytkownika, sam proces obsługi takich e-maili również ma swój koszt po stronie infrastruktury i serwera.

   Proxmox MG wykrywa takie wiadomości na poziomie protokołu SMTP, zanim trafią do serwera poczty. Dzięki temu następuje redukcja ruchu sieciowego, który ma być analizowany pod kątem spamu i wirusów, nawet do 90%. Obciążenie na poziomie serwera poczty również zostaje obniżone.

2. SPF (Sender Policy Framework) - to otwarty standard, który służy do sprawdzenia poprawności wiadomości e-mail i zapobiega podszywaniu się pod nadawcę w danej domenie.

   SPF pozwala administratorowi domeny internetowej wyspecyfikować, które komputery (serwery SMTP) są autoryzowane do wysyłania e-maili w danej domenie poprzez stworzenie specjalnego rekordu dla domeny w systemie DNS.

3. Lista blokowania DNS - usługa DNSBL (DNS Black Hole) - publikowane w internecie specjalne listy z adresami IP komputerów, które rozsyłają SPAM. Proxmox MG posiada pełne wsparcie dla tego typu systemów, więc jest w stanie blokować nadawców wiadomości, którzy znajdują się na liście DNSBL.

4. Biała lista SMTP - biała lista adresów e-mail, które nie są sprawdzane za pomocą: “greylist”, SPF oraz RBL. Dzięki temu istnieje możliwość przetestowania systemu reguł, czy działają pod konkretne przypadki ataków.

5. Listy typu “Block/Welcome” - to mechanizm kontroli dostępu: akceptowanie, blokowanie lub wysyłanie do kwarantanny e-maili skierowanych do konkretnych odbiorców. To umożliwia optymalizację systemu reguł, które odpowiadają za klasyfikację wiadomości jako szkodliwe.

6. Tzw. “greylisting” - system posiada mechanizm czasowego odrzucenia danej wiadomości z odpowiednim kodem SMTP. Systemy pocztowe zazwyczaj ponawiają próbę dostarczenia wiadomości wykonując kilka prób w odpowiednich odstępach czasowych (zależy od konfiguracji serwera poczty).

   Komputery rozsyłające spam w internecie, zazwyczaj takich mechanizmów nie posiadają, więc szkodliwa wiadomość nie dotrze do adresata (nadawca nie ponowił ją wymaganą ilość raz w wymaganym czasie).

   Greylisting pozwala zredukować niepotrzebny ruch e-mail nawet o 50%.

   Wiadomość e-mail z “greylist” nigdy nie trafi do serwera pocztowego, dzięki czemu serwer pocztowy nigdy nie wyśle bezużytecznego maila ze zwrotnym raportem.

7. SURBL (“Spam URI Realtime BlockList”) - Adresy SURBL służą do wykrywania spamu na podstawie identyfikatorów URI treści wiadomości (zwykle witryn internetowych). To odróżnia je od większości innych list blokowania w czasie rzeczywistym, ponieważ listy SURBL nie są używane do blokowania nadawców spamu. Listy SURBL umożliwiają blokowanie wiadomości zawierających hosty spamu wymienione w treści wiadomości.

3.4 Szybkie wyszukiwanie e-maili

Proxmox MG posiada innowacyjne narzędzie “Proxmox Message Tracking Center”. Narzędzie to śledzi i sumuje dane z wielu logów systemowych. Dzięki przyjaznemu interfejsowi administrator na jednym ekranie może szybko przeglądnąć przepływ wiadomości e-mail.

Rozwiązanie to jest bardzo szybkie i posiada potężnie możliwości. Zostało przetestowane w środowisku, gdzie w ciągu dnia procesowano ponad milion wiadomości (według Proxmox.com).

Wszystkie logi z okresu 4 ostatnich tygodni mogą być przetwarzane, a wynik jest opracowywany przez inteligentny algorytm.

Wszystkie logi wyświetlają potrzebne dane:

1. Czas nadejścia wiadomości e-mail

2. Proces filtrowania wiadomości po stronie Proxmox MG wraz z wynikiem

3. Stan wewnętrznej kolejki wysyłającej wiadomości do docelowego serwera poczty

4. Stan dostarczenia wiadomości

Syslog czasu rzeczywistego wyświetla 100 ostatnich linijek, a wyjście może być filtrowane według wykorzystanej usługi lub poprzez wprowadzenie łańcucha znaków do wyszukania.

3.5 Wysoka dostępność dzięki klastrowi Proxmox

Aby zapewnić 100% dostępność bezpiecznego systemu pocztowego Proxmox Mail Gateway, system może zostać skonfigurowany jako “klaster wysokiej dostępności”. Klaster dostarcza usługi w bardzo dobrej wydajności. Możliwość bardzo szybkiej konfiguracji oraz prosty intuicyjny interfejs powodują, iż system nie jest wymagający od strony administracyjnej.

Po chwilowym braku dostępności jednego z węzłów, ponowny rozruch w ramach klastra odbywa się automatycznie.

1. Synchronizacja danych poprzez tunel VPN - Klaster Proxmox MG składa się z głównego węzła oraz węzłów podrzędnych. Cała konfiguracja jest przeprowadzana na węźle głównym i następnie synchronizowana ze wszystkimi węzłami poprzez tunel VPN.

2. Klaster z równoważeniem obciążenia z wykorzystaniem rekordu MX - można w łatwy sposób skonfigurować równoważenie obciążenia, wystarczy zdefiniować 2 rekordy MX z tym samym priorytetem. W minimalnej konfiguracji wystarczy mieć 2 węzły Proxmox MG, każdy z nich musi mieć swój własny adres IP. Następnie należy zdefiniować rekordy MX w systemie DNS dla obsługiwanej domeny. Maile będą docierać na oba serwery w sposób mniej lub bardziej zbalansowany, wykorzystując prosty algorytm balansujący RR (Round-Robin). Algorytm ten będzie zwracał w odpowiedzi raz jeden adres serwera, raz drugi. W przypadku awarii jednego z serwerów, użyty zostanie drugi serwer.

Korzyści z używania klastra Proxmox MG:

1. Scentralizowane zarządzanie konfiguracją systemu

2. W pełni redundantne rozwiązanie pamięci masowej

3. Wysoka dostępność

4. Wysoka wydajność

5. Unikalny schemat grupowania na poziomie klastra

6. Bardzo szybka konfiguracja klastra

7. Węzły bardzo szybko wracają do pracy w klastrze, po czasowym barku dostępności - w pełni automatycznie

3.6 Wiele rekordów adresowych

Jeśli istnieje konieczność obsługi wielu domen, możliwe jest użycie jednego rekordu MX na domenę i wielu rekordów adresowych. W ten sposób można dodać jeden rekord MX DNS do wszystkich swoich domen, który będzie wskazywał wiele adresów IP, co pozwoli zaoszczędzić czas na dodawaniu wielu rekordów do wielu domen.

3.7 Dostosowanie dzięki systemowi reguł obiektowych

Obiektowy system reguł umożliwia tworzenie niestandardowych reguł dla danego środowiska. To łatwy, ale bardzo skuteczny sposób definiowania reguł filtrowania według użytkownika, domeny, przedziału czasowego, typu treści i wynikającej z tego akcji. Proxmox MG oferuje wiele różnorodnych obiektów do konfiguracji własnego, niestandardowego systemu filtrowania poczty.

3.8 Pełne wsparcie dla środowisk wirtualizacyjnych

Twórcy Proxomox MG udzielają pełnego wsparcia dla swojego produktu na wszystkich liczących się platformach wirtualizacyjnych:

1. Proxmox VE

2. Microsoft Hyper-V

3. VMware vSphere

4. KVM

5. VirtualBox

6. Citrix Hypervisor

7. Kontenery np. LCX

Ogólnie wspierane są wszystkie platformy, które wspierają dystrybucję Debian Linux jako system typu “gość”.

4. Licencjonowanie

Dla nielimitowanych użytkowników i nielimitowanych domen (1 licencja - 1 serwer) są dostępnie licencje:

1. “Free” - pełna funkcjonalność systemu, wsparcie na forum, dostęp do pakietów w repozytorium “bez-subskrypcji” (pakiety nie do końca przetestowane, nie zalecane repozytorium dla użytkowników biznesowych).

2. “Community” - pełna funkcjonalność, wsparcie na forum przez pracowników Proxmox, dostęp do repozytorium klasy biznesowej (zalecane dla użytkowników biznesowych).

3. “Basic” - pełna funkcjonalność, wsparcie poprzez specjalny portal, 5 zgłoszeń w ciągu roku, czas odpowiedzi 1 dzień roboczy.

4. “Standard” - pełna funkcjonalność, dostęp do repozytorium klasy biznesowej (zalecane dla użytkowników biznesowych), wsparcie poprzez specjalny portal, 15 zgłoszeń na rok, czas odpowiedzi: 4 godziny w dniu roboczym, zdalna pomoc po zalogowaniu się poprzez ssh i https.

5. “Premium” - pełna funkcjonalność, dostęp do repozytorium klasy biznesowej (zalecane dla użytkowników biznesowych), wsparcie poprzez specjalny portal, nielimitowana liczba zgłoszeń na rok, czas odpowiedzi: 2 godziny w dniu roboczym, zdalna pomoc po zalogowaniu się poprzez ssh i https.

Więcej informacji na stronie proxmox.com

5. Proxmox MG - tak naprawdę dla kogo?

No właśnie, gdzie Proxmox Mail Gateway zabłyśnie, a gdzie nie ma sensu go instalować i utrzymywać?

Jak w każdych tego typu przypadkach należy sobie odpowiedzieć na kilka podstawowych pytań, a odpowiedzi na nie, powinny nam dać pełny obraz, czy warto i czy instalacja ma wogóle sens.

Na pewno warto zainwestować w Proxmox Mail Gateway, jeśli już w firmie jest używany własny serwer poczty SMTP, czyli taki, który jest zarządzany przez firmę lub na zasadzie np. outsourcingu IT. Kluczowy są tutaj dwa czynnki: serwer jest w pełni zarządzany przez organizację, znajduje się w sieci lokalnej, w której można skonfigurować PMG.

Implementacja Proxmox MG wydatnie zwiększy bezpieczeństwo całego rozwiązania (komunikacji opartej o wiadomości e-mail) oraz ułatwi zarządzanie wiadomościami. Jeśli doda się do tego możliwość konfiguracji Proxmox MG w formie klastra wysokiej dostępności, to mamy pełne rozwiązanie obsługi poczty w naszej firmie i przepis na sukces.

Ponadto, w przypadku płatnej usługi, gdzie płaci się za hosting WWW i serwer poczty SMTP, przy dużym obciążeniu (ilość użytkowników + przydzielone miejsce) warto zastanowić się, czy nie lepiej zacząć utrzymywać usługę poczty e-mail w swojej infrastrukturze. Wiąże się to oczywiście ze wszystkimi tego konsekwencjami: odpowiedzialność za konfigurację systemu, dbanie o bezpieczeństwo, zapewnienie odpowiedniego środowiska pracy, strojenie systemu - administrator systemu musi bardzo dobrze znać się na prawidłach działania poczty elektronicznej w skali globalnej (Internet) oraz na poziomie obsługiwanego systemu.

Obecnie bardzo modne są usługi chmurowe, które zapewniają niemal 100%-ą dostępność i bezpieczeństwo danych. Nie trzeba martwić się o utrzymanie - jest tu tak naprawdę tylko jedno wymaganie: MA DZIAŁAĆ praktycznie NON-STOP. Jednak i z takim rozwiązaniem wiążą się niebezpieczeństwa.

Niech takim przykładem ku przestrodze, będzie pożar w serwerowni OVH, jednego z największych dostawców usług chmurowych na świecie: Spłonęła serwerownia OVH – Niebezpiecznik.pl .

Znamiennym jest tutaj to, iż szef OVH Octave Klaba zalecił swoim klientom aktywację planu: “Odtworzenie danych po katastrofie” - niestety, nie wszyscy klienci OVH taki plan mieli … No i co z redundancją centrów danych?

Gdzie Proxmox MG raczej nie znajdzie zastosowania? Najpewniej w małych organizacjach, które zazwyczaj korzystają z usług ogólnie dostępnych i nie posiadają własnego działu IT, i tym samym własnego serwera poczty elektronicznej.

6. Przykładowe ekrany

Źródło: proxmox.com

7. Podsumowanie

Proxmox Mail Gateway jest świetnym rozwiązaniem i wszędzie tam, gdzie istnieją utrzymywane przez daną firmę usługi poczty elektronicznej, warto je stosować. Jest to na pewno jeden z elementów, który uzupełnia bezpieczeństwo infrastruktury IT.

Systemem tym trzeba jednak zarządzać, utrzymywać go i serwisować. Nie każdą firmę na to stać …

Wpis powstał głównie na bazie ogólnodostępnych informacji o systemie Proxmox Mail Gateway zamieszczonych na stronie internetowej Proxmox .