Как бороться с криптонитом.

самый простой способ на почтовик ставишь касперыча или сумантек.

http://www.kaspersky.ru/business-security/mail-server

чисто теоретически стоит запретить прикрепление к письмам исполняемых файлов (в т.ч. bat, js, scr и прочия хрень) и архивов с этими файлами, также зашифрованных архивов

из дыр останется только прочти по ссылке и скачать какоенить дерьмо и уязвимости во всяких офисных пакетах - когда в документе злобный макрос но это гораздо реже и специфичнее

Лучше всего от таких проблем помогает разогнать отдел кадров к собачим чертям и набрать нормальных кадровиков, фильтрующих неадекватов с переломами коры головного мозга.

Альтернативным вариантом могут быть внутренние курсы информационной грамотности, без сертификата об окончании которых сотрудники не допускаются ни до почты ни до компьютеров.

Все остальные методы значительно менее эффективны, т.к. решают не проблему, а только добавляют костылей к организации рабочего процесса, и не редко создают больше проблем чем решают. Особенно проблем в перспективе.

Я бы на твоем месте подумал над потоковым AV на шлюзе. Если у вас стоит какой-нибудь железный fw, то, скорее всего, функционал такой есть, вопрос только в лицензии.

Альтернативным вариантом могут быть внутренние курсы информационной грамотности, без сертификата об окончании которых сотрудники не допускаются ни до почты ни до компьютеров.

Хватит инструктажа по типу ТБ под роспись. Расписался, наступил на те же грабли - сам дурак :)

Это зависит от уровня допуска.
Водителю грузовой тележки может и можно её под ТБ дать, а вот водителей автобусов-троллейбусов под одну роспись допускать к работе ну никак нельзя же.

Во во, хотелось бы фильтровать письма по расширению вложения и в идеале выкусывать вложение из письма, сейчас кручу Amavisd-new. Пройди по ссылке и скачай, на это есть squid+havp(не плохо справляется) да и это реже всего.

а вот водителей автобусов-троллейбусов под одну роспись допускать к работе ну никак нельзя же.

«Тут есть нюанс» (с) Водители работают с источником повышенной опасности, какбэ. По определению :) С почтой немножко другой коленкор, если почта не курьерской фельд-егерской службы и не рассылает коммерческую инфу :)

Те сотрудники тоже не с почтой работают, равно как и водители троллейбусов работают не с электричеством и не с асфальтом.

водители троллейбусов работают не с электричеством и не с асфальтом

Але, вот к чему это веское мимозамечание после «источников повышенной опасности», которыми и являются не асфальт и не электричество (последнее - с оговорками, если ты таки о троллейбусах)? В электроустановку тебя без допуска тоже не пустят, если это не бытовая херня где возможность поражения «крайне мала» (ТМ) :)

В электроустановку тебя без допуска

Вот и я об этом.
Ни с троллейбусом, ни с асфальтом, ни с электронной почтой тебя туда без допуска.

И это веское, но тоже мимо.

криптониты

Поясните, что это за зверь? Хрен нагуглишь.

участилась

А я вот первый раз слышу.

криптонит
Trojan.Encoder например, вредоносный исполняемый файл, шифрует файлы/документы распространенных форматов, рассылаемый злоумышлинниками с целью получения/вымогательства денежных средств, в большинстве своем не имеет алгоритма дишифровки, последние версии игнорируются даже всеми флагманами антивирусного ПО.

Поясните, что это за зверь? Хрен нагуглишь.
>участились
А я вот первый раз слышу.

До полу года назад, было одно письмо в месяц, которое либо терялось в общей массе либо определялось как подозрительное пользователем, последние месяцев 5, порядка 5 в неделю, за праздники 25 (с 1 - 12 мая). Это примерная статистика по нашему почтовому серверу, а судя по форумам, уже много у кого подкипает, только вот везде ищут решение последствий, а мне интересны меры профилактики и исключения подобных следствий.

Связка squid+havp настроена на шлюзе, но это все слушает 80 порт, почта ходит 143/463- imap 465-smtp, 25 порт наружу закрыт, не средствами почтовика, я мало представляю как заставить тот же clamAV сканировать трафик например tls/ssl. Пока вижу решение в контент-фильтре на почтовом сервере, хотя предложение фильтровать на шлюзе тоже интересное, если есть какие либо решения, буду рад услышать.

криптонит

По ссылке какая-то порнуха

Trojan.Encoder например

Под какой лицензией распространяется?

Народ, который тут ведет дискуст по поводу административных средств решения(трененги, каучинги, инструктаж под роспись), понятное дело, что когда все регламентировано и задокументировано хорошо, в данном случае, это снимет ответственность с ИТ отдела, но но не вернет утраченной инфы, в случае срабатывания зловреда, бэкапы спасают но не всегда, все пользователи проходят нужные для их работы курсы, а вот назвать их пользователями сложно, некоторые под почтовым клиентом понимают страничку в на майл.ру, но работают в конструкторских комбайнах и прекрасно знают встроенные ЯП этих программных продуктов.

Если человек не в состоянии отличить спам с вирусами от деловой переписки - не следует давать ему почту. Никто же даст управлять автомобилем компании лицу, не имеющему водительской лицензии. А то ведь испортит собственность компании. Так же и с почтой. Ну как вариант, пускай расписываются в бумажке, что ущерб, причинённый сотрудником посредством открывания писем со спамом, будет компенсирован им лично. И пускай открывает там что хочет.

https://ru.wikipedia.org/wiki/Криптонит

Ааа, так это ты винлокер криптонитом обзываешь? Да и хрен с ним, вендопроблемы. Я уж подумал какой новый вариант форк-бомбы, или вроде того. Нечто, опасное для мылосервера, короче.

Запрет расширений — штатная фича зимбры с незапамятных времён. Дёшево и сердито.

Антивирус существенно поднимает нагрузку на сервер.

Вообще, я имел ввиду скорее UTM от товарищей типа Stonesoft (нынче McAfee) или Check Point.

Сам по себе ClamAV, на сколько я знаю, трафик не мониторит.

Не сидеть под рутом, повторяй за нами, не сидеть под рутом, не сидеть под рутом. Бить по рукам за ПО требующее рута, бить по рукам за ПО требующее рута.
До полутора гигабайт почты в сутки на винтачках, за год видел эту хрень один раз, с пустыми файлами крипто.чтототам. Файлы пользователя живы.

Настраиваю запрет расширений через веб-админку, в глобальных настройках, жму сохранить, перезапускаю сервисы zimbra на сервере, захожу в админку список расширений которые блокировать пуст ЧЯДНТ?

Сам по себе ClamAV, на сколько я знаю, трафик не мониторит.

Сам по себе нет, но у зимбры есть из коробки модуль для мониторинга трафика через ClamAV.

ЧЯДНТ?

Вах. Ты что-то сломал, очевидно. Кури логи.

Я вот даже не знаю, где они хранятся, у меня никогда не ломалась эта часть.

P.S. Проверь, вдруг ты настраиваешь глобальные настройки, а смотришь потом локальные. Ну, на всякий случай :-)

Так я и настраиваю это в глобальных настройках <настройки=>глобальные настройки=>вложения>, в локальных настройках сервера этих оптций нет!

Разобрался, был отключен milter server в настройках сервера.

Не ловят

не ловит

не ловит

слабо представляю, что сумантек не сможет, конечно ресурсов жрать будет тьму, но проверять вполне, просто настройки надо не умеренные а выше.

не поможет
все последние ситуации - качественно оформленное письмо со взломанной зимбры, в нем ссылка на zip на взломанном хостинге, внутри js с zeroday, там побег с повышением привилегий, скач гнупг и вперед.
Каспер, симантек и весь остальной Ынтырпрайз прошибается навылет, что неудивительно, если вирустотал кажет - 0/56.

твои слова руководству в мозг, большая часть отделов кадров это кащенко.

Кто и что?

Ну, there's no silver bullet.

Рано или поздно все прошибается, даже воздушный зазор. Что сказать-то хотел?

Если неинтересно как обходятся все существующие средства защиты, то ничего.

Что ты имеешь ввиду под обходом всех существующих средств защиты?

Проверил по всем расширениям, перечисленным в настройках блокировки, блочит все и даже если файл в архиве, кроме .js((((

внутри js с zeroday

еслиб там был exe то ничего бы не поменялось, я уже писал что запуск подобной херни надо запрещать в первую очередь.

js открывается разрешенным браузером. С таким же успехом приходят pdf, doc и прочее.

js открывается разрешенным браузером.

Не не не, дружок ты забрехался.

1. js файл открывается только через wsh

2. js - это не тот тип файлов который нужен пользователю для работы.

Да, попутал, js через скриптингхост по умолчанию открывается.
Но это не отменяет pdf, doc и прочее.

Хз как с сервером электропочты, а на вендоклиентах Software Restriction Police во все поля. А то эти антивирусные неоднозначные определения меня выбешивают. Типа вы запускаете софтину которая решает что вам можно, а что низя. На основании нестабильно срабатывающих алгоритмов.