钓鱼防护-卡巴斯基(属于邮件安全网关,SEG)

根据文中提供的信息,卡巴斯基为邮件服务器提供的解决方案是一种邮件安全网关(Mail Security Gateway)或邮件安全应用(Mail Security Application),它具有以下特征:

  1. 可以识别和过滤邮件网关层面的可疑或不wanted邮件。

  2. 可以快速和准确地处理合法邮件,避免影响正常业务通信。

  3. 可以在邮件服务器邮箱层面检测有害或不良内容,以应对网关无法拦截的攻击。

  4. 提供多层次的邮件载体恶意软件检测能力,包括间谍软件、破坏软件、矿工软件等。

  5. 支持邮件服务器集群架构,确保整个邮件安全系统的可扩展性和弹性。

  6. 提供统一的管理控制台管理邮件安全策略和访问控制。

总体来说,它具备邮件安全网关(SEG)的基本功能,如邮件过滤、反垃圾邮件、反钓鱼等,同时也提供邮件服务器邮箱层面的保护能力。

 

卡巴斯基是如何进行数据采集来检测钓鱼的?

 

卡巴斯基(Kaspersky)通过其安全软件和服务进行数据采集,以检测和防御钓鱼攻击。以下是卡巴斯基进行数据采集和钓鱼检测的主要方式:

  1. 钓鱼链接和恶意URL数据库:卡巴斯基维护一个钓鱼链接和恶意URL的数据库,这个数据库包含了已知的钓鱼网站和恶意网站的URL。当用户尝试访问这些网站时,卡巴斯基的安全软件会识别并阻止访问,从而防止用户受到钓鱼攻击。

  2. 启发式分析:除了数据库中的静态信息,卡巴斯基还使用启发式分析技术来检测未知的钓鱼攻击。这种技术能够分析网页的内容、结构和行为模式,以识别潜在的钓鱼网站,即使它们尚未被添加到数据库中。

  3. 卡巴斯基安全网络(KSN):KSN是一个全球性的安全网络,它允许卡巴斯基的系统实时共享和接收关于新出现的钓鱼网站和恶意软件的信息。这样,即使用户遇到新的钓鱼攻击,卡巴斯基也能够迅速识别并阻止它们。

  4. 邮件扫描:卡巴斯基的安全软件会扫描用户的电子邮件,检查邮件中的链接是否指向钓鱼网站。如果检测到可疑链接,软件会将其标记为钓鱼链接,并可能阻止用户访问或提供警告。

  5. 实时监控和更新:卡巴斯基的软件会持续监控网络活动,并定期更新其数据库和安全模块,以确保能够识别和防御最新的钓鱼攻击。

  6. 用户反馈:卡巴斯基还鼓励用户报告可疑的钓鱼尝试,这些报告有助于丰富数据库并提高钓鱼检测的准确性。

通过这些方法,卡巴斯基能够有效地收集数据并利用这些信息来增强其钓鱼检测能力,保护用户免受网络钓鱼攻击的威胁。

 

卡巴斯基网络安全解决方案 - 邮件服务器安全

 https://www.kaspersky.com.cn/small-to-medium-business-security/mail-server

全面的电子邮件安全,确保商业通信畅通无阻。
电子邮件无处不在,这就是网络犯罪分子喜欢它的原因。卡巴斯基网络安全解决方案 - 邮件服务器安全将保护您的公司电子邮件的各个方面。

    • 阻止各种类型通过邮件传播的威胁
    • 一个授权许可适合所有情况
    • 简单还是精细?您决定
    • 将电子邮件移至云端?没问题。
关于 Kaspersky Security 9.0 for Microsoft Exchange Servers【卡巴斯基电子邮件防护产品】

Kaspersky Security 9.0 for Microsoft Exchange Servers 应用程序旨在保护基于 Microsoft Exchange Server 上的邮件服务器免受病毒、木马、蠕虫和可以通过邮件传送的其他类型的威胁、以及垃圾邮件、网络钓鱼的侵害。

Kaspersky Security 在您的企业邮件服务器层级上提供反垃圾邮件保护,免除了员工手动删除垃圾邮件的麻烦。

Kaspersky Security 能够保护 Microsoft Exchange 服务器邮箱、公共文件夹和传送的电子邮件远离恶意软件、垃圾邮件和钓鱼链接。Kaspersky Security 会扫描受到保护的 Microsoft Exchange 服务器上来往的所有电子邮件。

Kaspersky Security 可执行以下操作:

  • 扫描邮件流量、送入和发出的邮件以及 Microsoft Exchange 服务器(包括共享文件夹)上保存的邮件是否存在恶意软件。扫描过程处理消息及其所有附件。根据所选的设置,应用程序会对检测到的有害对象进行清除或删除的操作,并告知用户完整的相关信息。
  • 过滤邮件流量以防止非请求电子邮件(垃圾邮件)和具有虚假发件人的邮件(欺骗邮件)。反垃圾邮件组件扫描邮件流量中是否有垃圾邮件内容。此外,反垃圾邮件允许创建发件人地址黑、白名单,并支持反垃圾邮件扫描强度的灵活配置。
  • 扫描邮件流量是否存在钓鱼和恶意 URL。
  • 按类型、名称和附加文件的大小过滤邮件中的附件。
  • 在清除或删除对象(由邮件内容及其附件组成)和垃圾邮件前保存其副本,以备在需要时进行还原,避免数据丢失风险。可配置的过滤器允许用户简单找到指定的存储对象。
  • 将邮件包含恶意对象的事件通知发件人、收件人和系统管理员。
  • 通过配置文件管理集中模式下的多个 Security Server 的统一设置。
  • 针对程序活动,维护事件日志、收集统计数据、创建定期报告。可根据计划自动创建报告,也可以手动创建。
  • 配置应用程序设置以匹配传送的邮件流量和类型,尤其是定义连接等待时间的最大值以优化扫描。
  • 自动或以手动模式更新 Kaspersky Security 数据库。可从卡巴斯基的 FTP 和 HTTP 服务器、包含最新更新的本地/网络文件夹或者用户定义的 FTP 和 HTTP 服务器上下载更新。
  • 根据计划重新扫描邮件,以确定是否存在新病毒。此任务作为后台扫描执行,对邮件服务器性能几乎不产生影响。
  • 根据受保护存储的列表在存储层级执行反病毒保护。

 

启用和禁用服务器反垃圾邮件保护

禁用服务器反垃圾邮件保护会很大程度提高收到垃圾邮件的风险。除非特别需要,我们不建议您禁用反垃圾邮件保护。

要启用或禁用 Microsoft Exchange 服务器反垃圾邮件保护:

  1. 请在管理控制台树中执行以下步骤:
    • 要启用或禁用未分配的 Security Server 的反垃圾邮件保护,请展开相应 Security Server 的节点。
    • 要启用或禁用属于某配置文件的 Security Servers 的反垃圾邮件保护,展开配置文件节点,在其中展开您需要为其配置反垃圾邮件保护的 Security Servers 所属的配置文件节点。
  2. 选择“服务器保护”节点。
  3. 在工作区内在集线器传输角色保护选项卡上,在反垃圾邮件扫描设置区域中,执行以下操作之一:
    • 若要启用反垃圾邮件保护,请选择启用反垃圾邮件扫描选框。
    • 如果您需要禁用反垃圾邮件保护,请清空此选框。
  4. 单击保存按钮。
反垃圾邮件和钓鱼链接保护 

Kaspersky Security 的一个关键功能是从经过 Microsoft Exchange 服务器的主要流量中过滤出垃圾邮件。反垃圾邮件模块在送入的邮件到达邮箱之前会对邮件进行过滤。

反垃圾邮件扫描以下类型数据:

  • 在服务器上使用匿名认证通过 SMTP 传送的内部和外部流量。
  • 通过匿名的外部连接到达服务器的邮件(边缘服务器)。
  • 出站邮件。

反垃圾邮件不扫描以下类型数据:

  • 内部企业邮件流量。
  • 在已授权的会话中到达服务器的外部邮件流量。邮件传输的扫描可以 启用手动使用为通过受信任连接到达的邮件扫描垃圾邮件设置。
  • 由于连接相同的Microsoft Exchange构架的服务器是可信的,可以接收来自其他Microsoft Exchange 邮件构架服务器的邮件。尤其是,若来自未激活或未安装反垃圾邮件的服务器构架的邮件,将不会对来自该邮件服务器构架后续的邮件执行反垃圾邮件扫描。信息扫描可以 启动手动使用为通过受信任连接到达的邮件扫描垃圾邮件设置。

反垃圾邮件模块扫描邮件标头、正文、附件、设计元素和邮件其他属性。在执行扫描、反垃圾邮件使用的语言和启发式算法时会涉及到比较样本邮件与被扫描邮件,以及附加云服务,例如卡巴斯基安全网络 。

过滤后,反垃圾邮件模块会为邮件分配以下状态之一:

  • 垃圾邮件。邮件有垃圾邮件的迹象。
  • 潜在垃圾邮件。邮件有垃圾邮件迹象,但其垃圾邮件评级并未达到垃圾邮件的标准。
  • 群发邮件。邮件内容大量(通常是一个新闻提要或广告) ,缺少足够的属性鉴别垃圾邮件。
  • 正式通知。通知诸如邮件已送达等的自动邮件。
  • 正常。邮件没有垃圾邮件的迹象。
  • 已列入黑名单。发件人的邮箱地址或 IP 地址已被列入地址黑名单。

    当检查通过 SMTP 协议发送的内部邮件流时,以及当针对通过受信任连接发送的消息启用垃圾邮件过滤功能时,反垃圾邮件将把以下消息设置为未感染状态:新闻稿消息和技术性消息,以及其垃圾邮件评级不允许将其分类为类似垃圾邮件的消息。

您可以选择程序对特定状态邮件采取的操作。可以选择以下操作:

  • 允许。将邮件原封不动地传送给收件人。
  • 拒绝。会向发送服务器返回错误信息(错误代码 500),且邮件不会传送给收件人。
  • 删除。发送服务器会收到邮件已发送的通知(代码 250),但邮件不会传送给收件人。
  • 添加 SCL 值。程序会为邮件分配一个表明垃圾邮件可能性大小的评分(SCL:垃圾邮件可信评级)。SCL 评级是一个范围为 1 到 9 的数字。SCL 评级高意味着邮件是垃圾邮件的可能性大。SCL 评级计算方式为将邮件的垃圾邮件评级除以 10。如果结果超过了 9,则 SCL 评级设定为 9。邮件的SCL 评级是考虑到Microsoft Exchange构架的邮件后续处理。
  • 在邮件标题添加标签。标记为“垃圾邮件”、“疑似垃圾邮件”、“群发邮件”或“已加入黑名单”的邮件会在其邮件主题随附特殊标签:分别为[!!SPAM]、 [!!Probable Spam][!!Mass Mail] [!!Blacklisted]。您可以编辑此类标签的文本

应用程序支持四种强度等级的反垃圾邮件扫描:

  • 最高。如果您非常频繁地收到垃圾邮件,请使用此强度等级。当您选择此等级时,误报率将增加:即,有用的邮件有更大的可能性被识别为垃圾邮件。
  • 。当选择此等级时,误报率有所降低(与“最高”等级相比),扫描速度也会提高。如果您经常收到垃圾邮件,应使用强度等级。
  • 。当选择此等级时,误报率有所降低(与“”等级相比),扫描速度也会提高。此“”强度等级提供了扫描速度和品质的最优组合。
  • 最低。如果您很少收到垃圾邮件,请使用此强度等级。

应用程序默认使用“低”强度等级的反垃圾邮件保护。您可以提高或降低强度等级。根据强度级别和扫描后分配的垃圾邮件评级,邮件可能被标记为“垃圾邮件”或“疑似垃圾邮件”(请参阅下表)。

不同的扫描强度等级下垃圾邮件评级阀值

灵敏度等级

潜在垃圾邮件

垃圾邮件

最高

60

75

70

80

80

90

最低

90

100

特殊情况下,反垃圾邮件内核操作的失败可能导致邮件被反垃圾邮件扫描次数的显著增加。这种情况下,反垃圾邮件临时转换至限制扫描模式,以防止邮件延误。这种模式下,某些邮件可以被跳过,而不进行反垃圾邮件扫描。

 

Kaspersky Security 可以扫描邮件中是否有钓鱼链接和恶意 URL。

钓鱼 URL 导向用于窃取用户个人数据(如银行账户详情)的欺诈性网站。钓鱼攻击可能被伪装,如,伪装成来自银行的邮件,带有指向银行官方网站的链接。点击链接后,会转至一个网站,它与银行网站极其相似,甚至可以在浏览器中看到银行网站的地址,而实际上它只是一个伪造的网站。您在此网站的所有后续操作都会被跟踪,并可用于日后盗取您的个人数据。

恶意 URL 导向用于传播恶意软件的 Web 资源。

为保护 Microsoft Exchange 服务器免受钓鱼和恶意 URL 攻击,应用程序会使用已被卡巴斯基标记为钓鱼或恶意 URL 构成的 URL 地址数据库。该数据库会定期更新,并包含在 Kaspersky Security 分发包中。

当扫描邮件中是否含有钓鱼和恶意 URL 时,程序不仅分析 URL,还包括邮件主题、正文、附件、设计特点,和邮件的其他属性。扫描还使用启发式算法,并且如果在反垃圾邮件设置中启用了卡巴斯基安全网络(KSN),还会向 KSN 云端服务发送请求。在 KSN 帮助下,应用程序将收到关于钓鱼和恶意 URL 的最新信息,甚至早于卡巴斯基将其加入数据库中。

检测到邮件中含有钓鱼或恶意 URL 时,程序会将其标记为“钓鱼链接”。您可以选择程序对此状态邮件采取的操作。可以选择以下操作:

  • 允许。将邮件原封不动地传送给收件人。
  • 拒绝。会向发送服务器返回错误信息(错误代码 500),且邮件不会传送给收件人。
  • 删除。发送服务器会收到邮件已发送的通知(代码 250),但邮件不会传送给收件人。
  • 添加 SCL 与 PCL 评级。程序会为邮件添加 9 个垃圾邮件信用评级(SCL)和 8 个钓鱼链接信用评级(PCL)。在到达 Microsoft Exchange 邮件组织架构时,带有高级别 PCL 评级(高于 3)的邮件会自动定向至 Junk E-Mail 文件夹,并且内含的所有 URL 将禁用。
  • 在邮件标题添加标签。带有“钓鱼链接”状态的邮件会在其主题区域随附一个特殊的[!!钓鱼网站]标签。您可以编辑此标签的文本

 

posted @ 2024-02-18 14:48  bonelee  阅读(79)  评论(0编辑  收藏  举报