5 антивирусных пакетов для Exchange

Защита сети от спама и вирусов, распространяемых по электронной почте, стала работой, выполняемой в режиме полной занятости. Успех этой работы может всецело зависеть от правильного выбора антивирусного пакета. Чтобы помочь читателям определиться с выбором, я протестировал версии для Microsoft Exchange Server, вошедшие в пятерку лидеров прошлогоднего конкурса «2004 Readers? Choice», проводившегося среди читателей Windows IT Pro, а именно, eTrust Antivirus 7.1 Option for Microsoft Exchange от Computer Associates International (CA), Active Mail Protection от McAfee, Antigen for Microsoft Exchange 8.0 от Sybari (недавнее приобретение Microsoft), Mail Security for Microsoft Exchange 4.6 от Symantec и ScanMail for Microsoft Exchange 7.0 от Trend Micro.

Мой испытательный комплекс состоял из двух виртуальных систем — контроллера домена (DC) и сервера Exchange — на базе одной двухпроцессорной системы. В ходе тестирования оценивались точность обнаружения вирусов, средства фильтрации спама и контекстной фильтрации и функциональные возможности управления. Виртуальные системы использовались для создания согласованных условий испытаний, однако непроизводительные издержки, связанные с их функционированием, увеличили различия в производительности проходивших тестирование продуктов. Поэтому производительность продуктов, хотя и оцениваемая относительно базовых показателей и во взаимном сравнении (см. врезку «Производительность»), не рассматривалась как решающий фактор для принятия окончательного решения.

Настройка конфигурации сервера Exchange с оперативной памятью объемом 512 Мбайт обеспечила ему право монопольного использования одного процессора, а виртуальный жесткий диск сервера был размещен на диске, отличном от того, на котором находилась базовая операционная система. Для тестирования антивирусных возможностей у всех продуктов были выключены функции, обеспечивающие фильтрацию спама и контекстную фильтрацию, а для всех прочих функций были оставлены настройки по умолчанию. С различных сайтов, участвующих в обмене информацией о вирусах, было собрано 4303 уникальных вируса. Были выбрано вирусы, относящиеся к типам win32, worm, macro или .bat (т.е. командный файл). В некоторых продуктах, в частности McAfee и Symantec, предусмотрен «отлов» всех вирусов независимо от степени опасности. Другие, например продукт от Trend Micro, используют файлы описания вирусов, ориентированные на виды угроз, доминирующие в реальном окружении. Технологии, реализующие первый подход, продемонстрировали в испытаниях высокую точность, но низкую производительность. Второй подход дал противоположный результат. Поскольку многие вирусы, выбранные для тестирования, в настоящее время не имеют широкого распространения в реальном окружении (и поскольку различие в производительности рабочих серверов, вероятно, будет менее отчетливым, чем в моих тестах), предлагаю рассматривать способность к «отлову» вирусов лишь как один из аспектов общей оценки возможностей продуктов. Я использовал сервер Microsoft SMTP на главной системе для доставки 4303 инфицированных вирусом прикрепленных файлов одному пользователю, обслуживаемому сервером Exchange, после чего повторил тест. Результаты по числу вирусов, «пойманных» каждым из продуктов (лучшие результаты из двух рассылок), приведены в табл. 1.

Один из способов, используемых злоумышленниками для обхода антивирусных систем, состоит в сжатии или шифровании опасного содержимого. Поэтому в рассылке участвовали сжатая или шифрованная копия вируса Melissa и архивный файл .zip, сжатый внутри архивного файла .zip, с целью проверки способности испытуемых продуктов к обработке рекурсивных архивов. Эту способность продемонстрировали все продукты. Зашифрованные файлы .zip не тестировались, поскольку шифрование препятствует визуализации в процессе передачи, на которой основана работа продуктов. В табл. 2 перечислены архивные форматы, со сканированием которых справились протестированные продукты. К сожалению, ни один из них не справился со сканированием образов ISO, что может послужить причиной особых неприятностей, если образ инфицирован вирусом.

Сегодня все большее значение приобретает фильтрация спама и контекстная фильтрация (т.е. поиск ключевых слов или фраз во входящих и исходящих данных). Продукты McAfee, Sybari, Symantec и Trend Micro предусматривают поддержку контекстной фильтрации сообщений и прикрепленных файлов — прямую или через дополнения. Технология CA для контекстной фильтрации использует отдельный продукт — eTrust Secure Content Manager, который оказался не готов и, соответственно, недоступен для анализа. Технологии контекстной фильтрации должны обеспечивать определение формата файла для фильтрации его содержимого, поэтому каждый продукт тестировался с использованием восьми самых распространенных форматов документов. Результаты приведены в табл. 3.

После тестирования на точность и производительность я дополнил испытательный комплекс вторым сервером Exchange для проверки возможностей управления каждого продукта. Результаты тестирования приведены ниже.

eTrust Antivirus 7.1 Option for Microsoft Exchange

Технология CA eTrust Antivirus Option for Microsoft Exchange — дополнение к антивирусному продукту CA eTrust Antivirus для файловой системы. Технология eTrust Antivirus предназначена только для обнаружения вирусов и не предусматривает фильтрации спама и контекстной фильтрации.

CA предлагает два движка для сканирования — Vet и InoculateIT, однако технология eTrust Antivirus единовременно может выполнять сканирование с использованием только одной системы. Технология eTrust также предусматривает эвристический метод сканирования, позволяющий обнаруживать вирусы даже до выпуска новых файлов описания, но в документации отсутствует дополнительное объяснение факторов, используемых для эвристического анализа.

Технология eTrust работает совместно с модулем CA Unicenter TNG, однако этот продукт для управления удаленными серверами с одной консоли не нужен. Настройка конфигурации проста и выполняется в небольшом диалоговом окне (см. экран 1). Другая консоль позволяет просматривать журналы регистрации и контролировать помещенные в карантин файлы, однако не имеет средств полной отчетности или оповещения, учитывая частоту обнаружения (для установки фактов вторжения).

Экран 1. Окно настройки CA eTrust Antivirus Option for Microsoft Exchange

В проведенных испытаниях технология eTrust продемонстрировала отличное соотношение точности обнаружения вирусов и производительности и лишь немного отстала от продуктов, предлагаемых Symantec и McAfee. Нельзя дать этому продукту однозначно благоприятную оценку без проведения анализа технологии Secure Content Manager, однако тем, кого интересуют исключительно антивирусные возможности по выгодной цене, eTrust Antivirus вполне можно рекомендовать.

Active Mail Protection

В пакете Active Mail Protection объединены три продукта McAfee: GroupShield for Microsoft Exchange (см. экран 2) — антивирусные функции, SpamKiller for Microsoft Exchange — фильтрация спама и контекстная фильтрация и ePolicy Orchestrator (ePO) — интегрированное управление с использованием политики безопасности.

Экран 2. Окно McAfee Active Mail Protection

Пакет Active Mail Protection от McAfee создавался в расчете на систему управления корпоративного уровня. Технология ePO позволяет развернуть GroupShield и SpamKiller на несколько серверов Exchange и осуществлять централизованное управление политикой, оповещением и отчетностью. Продукт использует сервер Microsoft SQL Server или Microsoft SQL Server Desktop Engine (MSDE). Управление продуктом можно осуществлять с удаленной консоли из любой точки сети.

В моих испытаниях технология Active Mail Protection вышла на первое место по точности обнаружения вирусов, однако показала второй результат по времени доставки сообщений. Продукт занял первое место по численности поддерживаемых форматов, обнаружив способность к «отлову» 13 типов файлов. Контекстная фильтрация, реализованная в SpamKiller, не предусматривает поддержки регулярных выражений — мощной стандартизованной синтаксической структуры поиска текста, но поддерживает простые групповые символы. Технология Active Mail Protection также включает широкие, распределенные по категориям списки предварительно заданных фильтруемых слов для определения неразрешенного контента. Можно составлять собственные списки и присваивать словам высокий, средний и низкий приоритет для организации контроля содержания. Я лично рассматриваю регулярные выражения как необходимый атрибут фильтрации любого типа, однако для тех, кто может обойтись без этой функции, Active Mail Protection может оказаться наилучшим вариантом. По результатам моего анализа технология Active Mail Protection занимает место, близкое ко второму. Мое решение определили личные предпочтения: контекстная фильтрация с использованием регулярных выражений и достоинства многоканальной консоли управления на базе Microsoft Management Console (MMC), которой обладает продукт Symantec.

Antigen for Microsoft Exchange 8.0

Давним предметом гордости Sybari было то, что продукт этой компании замещал Exchange Extensible Storage Engine (ESE) DLL своей версией в Exchange Server 5.5 с целью расширения функциональных возможностей и повышения производительности, которые Microsoft тогда еще не обеспечивала. Тем, кого пугает идея замены библиотеки Exchange какой-либо другой программой, будет приятно услышать, что технология Antigen for Microsoft Exchange от Sybari теперь способна осуществлять сканирование как с использованием ESE, так и в режиме Exchange Virus Scanning API (VSAPI).

Технология Antigen поддерживает восемь движков сканирования с использованием технологий Vet и InoculateIT от CA, Norman Data Defense и Sophos Anti-Virus по умолчанию (см. экран 3) и также предлагает поддержку технологий Command, Kaspersky, Virus Busters или AhnLab V3 (если пользователь приобрел указанные продукты). Идея такова: если одна система пропускает вирус, его отлавливает другая. Однако в ходе тестирования продукта эта идея себя не оправдала. По результатам испытаний на точность обнаружения вирусов технология Antigen вышла на четвертое место. Возможно, читателю покажется странным, что по точности результаты, продемонстрированные технологией Antigen, оказались хуже результатов eTrust, хотя Antigen использует обе системы сканирования CA. По умолчанию Antigen предусматривает использование не менее двух движков для сканирования каждого сообщения. Однако можно задавать количество систем, выполняющих сканирование каждого сообщения на протяжении рабочего цикла. Установка, называемая предпочтением, позволяет настроить Antigen на использование только одной системы либо всех имеющихся систем, в зависимости от требований к производительности. Однако обилие «червей», распространяемых по электронной почте, скорее всего, создаст большую нагрузку на сервер, в результате чего придется задействовать меньше систем сканирования. Таким образом, вместо того чтобы использовать преимущества большого количества систем, придется ограничиться теми двумя, которые обеспечивают оптимальную производительность, отказавшись от тех, что «отлавливают» большую часть вирусов (или наиболее опасные вирусы).

Технология Antigen имеет удобный в эксплуатации набор элементов управления. Можно осуществлять установку в удаленном режиме и управлять несколькими серверами с одного клиентского узла. Продукт также позволяет переходить с режима сканирования ESE на режим сканирования VSAPI после установки.

Низкая точность, производительность ниже среднего уровня, недостаточная поддержка типов сканируемых файлов и отсутствие контекстной фильтрации прикрепленных файлов не позволяют рекомендовать к применению технологию Antigen. Однако этот вариант все же достоин рассмотрения в ситуации, когда сервер Exchange располагает достаточно производительным процессором для запуска дополнительных систем либо если есть потребность в использовании решения полностью от Microsoft.

Mail Security for Microsoft Exchange 4.6

По точности обнаружения вирусов технология Mail Security for Microsoft Exchange от Symantec лишь немного уступила Active Mail Protection при более высокой производительности. Хотя технология Mail Security (см. экран 4) пропустила некоторые типы прикрепленных файлов, в тестах на контекстную фильтрацию она показала наилучший результат и вышла победителем в данном сравнительном исследовании.

Экран 4. Окно Symantec Mail Security for Microsoft Exchange

Заслуживают внимания два функциональных элемента Mail Security, а именно файлы описания вирусов Rapid Release и технология Premium AntiSpam. Файлы Rapid Release выпускаются раньше регулярных файлов описания вирусов Symantec, но тестируются менее основательно и только в среде Windows. Файлы Rapid Release открыты для бесплатного доступа и могут помочь защититься от новых угроз. Premium AntiSpam (исходное название — Brightmail) — отдельно приобретаемая, основанная на использовании подписей технология защиты от спама, блокирующая сообщения от неизвестных и подозрительных отправителей. По информации от Symantec, подписи, используемые в данной технологии защиты от спама, создаются на основе данных о более чем 20 млн. подозрительных учетных записей, циркулирующих в электронной почте. Тем, кто не хочет приобретать Premium Antispam, технология Mail Security предоставляет базовые функциональные возможности защиты от спама, в основе которых лежит эвристический анализ и использование «черных списков». Оба варианта позволяют принимать меры в зависимости от значений уровня достоверности — Exchange Spam Confidence Level (SCL). Можно задавать значение уровня SCL, устанавливаемое для обнаруженного спама. К моему разочарованию, реализованная в Mail Security функция контекстной фильтрации не справилась с обнаружением проблемного текста внутри файлов .pdf, .rtf и файлов .doc, сжатых с помощью архиватора ZIP. Однако был успешно отфильтрован текстовый файл Unicode — то, с чем не справились технологии GroupShield и ScanMail.

Помимо возможностей развертывания на удаленных узлах, технология Mail Security имеет мультисерверную консоль в виде оснастки MMC, позволяющую осуществлять управление в удаленном режиме с использованием определяемых пользователем групп. Эта консоль обеспечила выполнение синхронизации всех настроек с сервером, введенным в состав испытательного комплекса для тестирования возможностей управления. Единственное неудобство состоит в том, что мультисерверная консоль требует отдельной системы для хранения настроек конфигурации, и все администраторы, управляющие процессом почтового обмена, должны иметь доступ к этой системе.

Технология Mail Security продемонстрировала высокую точность обнаружения вирусов и приемлемую производительность. Хорошее впечатление производит контекстная фильтрация на основе регулярных выражений, широкие возможности использования уровней SCL в Exchange и удобно организованный пользовательский интерфейс.

ScanMail for Microsoft Exchange 7.0

Продукт ScanMail for Microsoft Exchange от Trend Micro (см. экран 5) ориентирован на противостояние наиболее распространенным и опасным вариантам угроз. Поэтому неудивительно, что технология Exchange обеспечила быструю доставку всех участвующих в тестировании сообщений. При этом программа ScanMail «отловила» только 3279 из 4303 вирусов. Выборочная проверка показала, что «попались» вирусы Melissa, Blaster, Loveletter и Nimda.

Экран 5. Окно Trend Micro ScanMail for Microsoft Exchange

В технологии ScanMail реализована фильтрация спама (аналогичная Premium Antispam от Symantec), но отсутствуют средства регулирования настройки уровней SCL в Exchange. Контекстная фильтрация использует регулярные выражения и обеспечивает сканирование большинства типов прикрепленных файлов, принимавших участие в испытаниях.

Реализованные в ScanMail элементы управления, хотя и отстают от возможностей Mail Security и Active Mail Protection, могут оказаться вполне достаточными для большинства организаций. Программа установки ScanMail позволяет одновременно развертывать продукт на нескольких серверах Exchange. Каждый сервер соединен с консолью управления, работающей через Web, однако можно автоматически выполнять репликацию всех настроек на других серверах и осуществлять управление более крупной инфраструктурой Exchange. Реализованная в ScanMail функция обнаружения вторжений способна генерировать сигналы оповещения в зависимости от числа вирусов или прикрепленных файлов, блокированных на протяжении заданного периода.

Благодаря используемой Trend Micro стратегии определения вирусов, полученные результаты, возможно, выглядят ниже оптимального уровня, однако пропускаемые этой технологией вирусы могут никогда не встретиться в реальном окружении. Продукт ScanMail продемонстрировал отличную производительность и широкий набор функциональных возможностей, поэтому его можно уверенно рекомендовать тем, для кого первостепенное значение имеет скорость доставки электронной почты.

Выбор за вами

Я попытался составить сравнительную характеристику некоторых антивирусных продуктов, предназначенных для сервера электронной почты, лидирующих в списке предпочтений наших читателей. Информация о функциональных возможностях продуктов, с помощью которой можно выбрать оптимальный вариант для конкретных условий эксплуатации, приведена в табл. 4. Кроме того, нужно иметь в виду, что существуют и другие антивирусные продукты, предназначенные для Exchange.


Адам Кархеден - Редактор журнала Windows IT Pro. acarheden@windowsitpro.com


Производительность

Для более точной оценки производительности я закрыл ненужные службы (например, совместного использования файлов) на главной системе на время тестирования. Чтобы установить базовую характеристику, я выполнил рассылку 4303 сообщений без использования какой-либо антивирусной программы. Программа Microsoft Exchange Server обеспечила доставку всех сообщений за 27 минут. Затем я выполнил установку каждого продукта, разослал контрольные сообщения, повторил тест и зафиксировал лучшее время доставки для двух рассылок. С использованием Sybari Antigen был проведен дополнительный тест для Microsoft Exchange Antigen в условиях изменения предпочтения на Favor Certainty для повышения точности по отношению к производительности. Для определения времени доставки использовались журналы Exchange Message Tracking. Возможно, читатели на своих рабочих серверах отметят значительно меньшие различия в производительности, чем те, что были получены мной в условиях тестирования, предусматривающих функционирование продуктов в виртуальной среде.


eTrustAntivirus 7.1 Option for Microsoft Exchange от CA

Контактная информация: Computer Associates International, http://www.ca.com

Цена: 40 долл. за один сервер, без платы за годовую подписку на файлы описания вирусов.

Краткая характеристика

Достоинства:
отличное соотношение точности, производительности и цены; несколько движков для сканирования; эвристический метод обнаружения вирусов.

Недостатки: возможность одновременного использования только одной системы для сканирования; минимальные средства отчетности.

Оценка по пятибалльной шкале: 3.

Рекомендации: хорошее, но исключительно антивирусное решение (технология контекстной фильтрации оказалась недоступна для тестирования).


McAfee Active Mail Protection

Контактная информация: McAfee, http://www.mcafee.com

Цена: стартовый уровень - 54,10 долл. в год за один почтовый ящик для 11-25 пользователей; стартовая цена на годовую подписку на получение файлов описания вирусов - 21,64 долл. в год за один почтовый ящик для 11-25 пользователей.

Краткая характеристика

Достоинства:
высокая точность обнаружения вирусов; лучшая поддержка контекстной фильтрации в сжатых прикрепленных файлах; хорошие возможности управления несколькими серверами.

Недостатки: возможность значительного ухудшения производительности серверов с небольшой производительностью; отсутствие поддержки регулярных выражений при контекстной фильтрации.

Оценка по пятибалльной шкале: 4.

Рекомендации: этот полнофункциональный продукт занимает место, близкое ко второму. В ситуации, когда почтовый сервер достаточно мощный, большое значение имеет цена, и нельзя допустить неточности в обнаружении вирусов; этот продукт может оказаться оптимальным вариантом.


Antigen for Microsoft Exchange 8.0 от Sybari

Контактная информация: Sybari (недавнее приобретение Microsoft), http://www.sybari.com.

Цена: cтартовая цена - 36,75 долл. за один почтовый ящик для 1-25 пользователей.

Краткая характеристика

Достоинства:
поддержка нескольких систем сканирования.

Недостатки: повышение точности достигается за счет заметного ухудшения производительности; отсутствие контекстной фильтрации прикрепленных файлов; недостаточная поддержка типов сканируемых файлов; в ходе контекстной фильтрации пропущены текстовые файлы Unicode.

Оценка по пятибалльной шкале: 2.

Рекомендации: подходящий вариант для тех, кто не хочет ограничиваться использованием технологии сканирования от одного производителя.


Mail Security for Microsoft Exchange 4.6 от Symantec

Контактная информация: Symantec, http://www.symantec.com

Цена: стартовая цена основного варианта продукта - 37,70 долл. за один почтовый ящик для 10-24 пользователей; стартовая цена на дополнение Premium Antispam - 25,90 долл. за один почтовый ящик для 10-24 пользователей; стартовая цена на годовую подписку на файлы описания вирусов - 20,80 долл. на один почтовый ящик для 10-24 пользователей.

Краткая характеристика

Достоинства:
высокая точность определения вирусов; хорошая поддержка уровней достоверности SCL; поддержка регулярных выражений в контекстной фильтрации.

Недостатки: не выполняется сканирование документов .rtf и .pdf, а также некоторых типов сжатых файлов.

Оценка по пятибалльной шкале: 4,5.

Рекомендации: по точности обнаружения вирусов, производительности и средствам всестороннего контроля спама технология Mail Security вышла на первое место в данном сравнительном исследовании.


ScanMail for Microsoft Exchange 7.0 от Trend Micro

Контактная информация: Trend Micro, http://www.trendmicro.com

Цена: стартовая цена - 41,40 долл. за один почтовый ящик для 5-25 пользователей; стоимость годовой подписки на файлы описания вирусов составляет 30% стоимости приобретения.

Краткая характеристика

Достоинства:
минимальное негативное влияние на производительность сервера электронной почты; использование регулярных выражений в контекстной фильтрации.

Недостатки: недостаточно широкая база данных по вирусам по сравнению с другими участвующими в испытании продуктами; в ходе контекстной фильтрации пропущен текстовый файл Unicode.

Оценка по пятибалльной шкале: 4.5

Рекомендации: этот вариант можно рекомендовать тем, для кого основное значение имеет скорость доставки почты. Следует, однако, заметить, что подход, реализованный разработчиками данной технологии, не исключает вероятности проникновения вирусов.