Навіщо і як переносити безпека корпоративної електронної пошти в хмару. Частина 2



першій частині даної статті ми розповідали про основні проблеми і потреби підприємств, пов'язані із забезпеченням безпеки електронної пошти, а також загальні переваги та недоліки SaaS-рішень по захисту корпоративної пошти. Власне кажучи, ми спробували відповісти на питання «навіщо».

Друга частина статті вже присвячена суто технічного питання «як»: тут ми покажемо основні кроки з попереднього налаштування SaaS-рішення безпеки електронної пошти на прикладі Panda Email Protection. Здійснивши попередню настройку, вже можна буде сміливо перемикати mx-записи домену і насолоджуватися «чистої» поштою.

Ліцензування

Panda Email Protection надається як сервіс, а тому кожну поштову скриньку, захищений рішенням, вимагає окремої ліцензії з пулу ліцензій, доступних для користувача. Адміністратор може переглянути кількість доступних і використовуваних ліцензій в Управління -> Приладова панель -> Стан підписок.


Врахуйте наступні моменти при розрахунку загальної кількості ліцензій, необхідних для Вашої організації:

Аліаси доменів

Якщо платформа захищає існуючий домен (наприклад, «pandatest.ru») з користувачами, вже створеними в рамках даного домену, а у Вас є інший домен, який є аліасом існуючого домену (наприклад, «pandatest.com»), то аліас домену може бути налаштований як первинний домен. Всі користувачі, представлені в первинному домені, одночасно налаштовані на аліас домену. Ці користувачі не вимагають додаткових ліцензій.

Аліаси поштових адрес

Кожна ліцензія дозволяє захистити до 5 аліасів адреси електронної пошти, пов'язаних з основним поштовим ящиком, що використовує одну ліцензію.

Щоб система могла розпізнавати аліаси поштової адреси в рамках єдиної ліцензії, необхідно, щоб ці аліаси були доступні в системі. Аліаси поштових адрес можна налаштувати вручну або використовуючи автоматичну авторизацію через LDAP, за умови, що опція Увімкнути виявлення псевдоніма увімкнено. Врахуйте, що виявлення аліасів недоступно при використанні автоматичної авторизації через SMTP. Таким чином, рекомендується, щоб Ви використовували інтеграцію з LDAP в тому випадку, якщо у Вашій організації є велика кількість аліасів поштових адрес.
Якщо Ваша організація має аліаси поштових адрес, захищені даним рішенням, але при цьому вони не налаштовані коректно як аліаси в Email Protection, то платформа буде витрачати по одній ліцензії на кожен такий псевдонім. В цьому випадку необхідно буде перевірити конфігурацію поштових скриньок в Email Protection.

Початкова настройка облікового запису Email Protection

Перш ніж забезпечити захист доменів і користувачів корпоративної електронної пошти, необхідно виконати певні дії з початкового налаштування. Всі кроки по налаштуванню виконуються з консолі управління. Консоль управління доступна по посиланню mep.pandasecurity.com/admin. Для авторизації необхідно використовувати свої унікальні реєстраційні дані.

Якщо первісна настройка не буде повністю виконана до зміни MX-записів у Вашому DNS на Email Protection, вхідні та вихідні листи будуть повертатися назад з постійним кодом помилки. У цьому випадку листи ніколи не дійдуть до адресата.
Кроки по налаштуванню, описані при налаштуванні фільтрації вихідної пошти необхідно виконувати тільки в тому випадку, якщо Ви хочете, щоб Email Protection фільтрував вихідні листи.

Отже, основні кроки з початкового налаштування:

• Налаштуйте домен (-и), які повинні бути захищені платформою
• Налаштуйте поштові адреси, які повинні бути захищені платформою
• Налаштуйте платформу, якщо Ви хочете змінити дизайн користувальницького інтерфейсу і комунікації, що відправляються на поштові адреси, захищаються рішенням
• Змініть Ваші MX-запису для перенаправлення пошти на платформу Panda

Далі ми детально розглянемо кожен з цих кроків.

Налаштування домену

Перший крок — це налаштування домену або доменів, які повинні бути захищені рішенням Email Protection. Для цього перейдіть у Управління -> Домени. Для кожного захищеного поштового домену налаштуйте новий домен, натиснувши на Створити домен.


Для кожного нового домену потрібна наступна інформація:

Поставте галочку в опції Реєструється домен це псевдонім, якщо настроюваний домен є аліасом існуючого домену, який вже налаштований на платформі. В полі Ім'я вкажіть назву захищається домену (наприклад, «pandatest.ru»). Вкажіть адресу пошти для отримання повідомлень про цьому домені (наприклад, повідомлень про процес синхронізації користувачів чи досягненні доменом максимально доступного числа ліцензій).

Ви можете обмежити максимальну кількість ліцензій, яка може бути використана користувачами даного домену.

Крім того, Ви можете вибрати мову за замовчуванням, який буде використовуватися для домену. Всі повідомлення для кінцевих користувачів, а також консолі управління для користувачів домену будуть доступні на зазначеному мовою.


Потім Вам необхідно налаштувати ім'я хоста або IP-адресу, куди Panda Email Protection буде доставляти вхідні листи після їх фільтрації. Це повинен бути поточний адресу, на якій розташований Ваш сервер електронної пошти. Якщо Ви все ще не перенаправили Ваші MX-запису в DNS на Email Protection, використовуйте кнопку Отримати SMTP для автоматичного заповнення полів MX Host. Перевірте, що це поле вказує на поточне місце розташування сервера, де знаходяться поштові скриньки, які потрібно захистити.

Платформа дозволяє Вам налаштувати декілька серверів, які будуть доставлятися відфільтровані повідомлення. Кожен з них може бути налаштований з різним пріоритетом. Переконайтеся, що поле Пріоритет містить ненульове значення, а також врахуйте, що MX-хост з найвищим пріоритетом має мінімальне значення.

Після того як всі необхідні MX-хости налаштовані коректно, натисніть на Перевірка SMTP для перевірки того, що платформа може зв'язатися з зазначеними MX-хостами.


Якщо є проблеми з'єднання, перевірте, що дата-центри Panda Email Protection можуть встановити SMTP-з'єднання з Вашими поштовими серверами. Нижче представлені діапазони IP-адрес дата-центрів:

188.94.13.128/25
92.54.22.0/24
92.54.27.0/24


Тут Ви можете завершити налаштування захищеного домену, або визначити Адміністратора домену. За допомогою наданих реєстраційних даних адміністратор домену зможе увійти в консоль управління зі своїми реєстраційними даними, щоб змінити параметри конфігурації домену:


Після того, як всі поля будуть налаштовані, збережіть параметри домену і перейдіть на наступний крок: налаштування поштових адрес.

Налаштування поштових скриньок

Panda Email Protection вимагає, щоб Ви налаштували кожну поштову скриньку, який повинен захищатися платформою. Якщо Ви не зробите цього вручну або в режимі автоматичної авторизації, Panda Email Protection буде відхиляти всі вхідні та/або вихідні листи, якщо рішення обробляє вхідну/ вихідну пошту Вашої організації.

Існує два способи установки захищаються поштових скриньок:

• Вручну: Адміністратор вручну реєструє кожну поштову скриньку (або аліаси поштових адрес) окремо. Адміністратор також може імпортувати список користувачів (у форматі .TXT або .CSV).

• Автоматично: Адміністратор повинен налаштувати захищаються домени, використовуючи одну з доступних процедур автоматичної реєстрації: SMTP або LDAP.
До речі, ці методи не є взаємовиключними: адміністратор може налаштувати частина ящиків вручну, а інші – автоматично. Обидві процедури можна використовувати паралельно.

Настройка користувача вручну

Поштові адреси, які повинні бути захищені рішенням, можуть бути додані вручну через консоль управління. Перейдіть до Управління -> Користувачі. Цей екран дозволяє адміністратору створювати користувачів з первинним адресою пошти або аліасом поштової адреси, пов'язаного з первинним поштовою скринькою, вже існуючих в системі.
Щоб створити користувача з первинним адресою пошти, натисніть Створити користувача:


Для створення нового користувача в системі необхідна наступна мінімальна інформація:

Домен: Виберіть домен, який буде містити первинний поштову скриньку захищається.
Мова: Мову за замовчуванням. Він буде використовуватися для консолі управління і повідомлень для користувача. За замовчуванням система буде вибирати ту мову, що був обраний при створенні захищається домену.
Ім'я, Прізвище: Дана інформація використовується для адміністративних цілей при складанні списку користувачів з їхніми іменами і прізвищами.
Ім'я користувача: Адресу електронної пошти, пов'язаний з користувачем в закритому домені. Вам необхідно тільки ввести ім'я поштової скриньки без домену, до якого він належить.
Пароль: Система вимагає, щоб кожен користувач мав пароль для доступу до консолі керування.


У наведеному вище прикладі ми зареєстрували наступний поштову скриньку, який повинен бути захищений платформою: «sergey.kovalev@pandatest.ru». Після того як Ви вказали всі дані захищається користувача, збережіть налаштування.

Щоб налаштувати аліас поштової адреси, пов'язаного з первинним поштовою скринькою, перейдіть в Управління -> Користувачі і натисніть Створити аліас користувача.


Для створення псевдонімів користувача необхідна наступна інформація:

• Домен, в якому буде створено псевдонім: Домен, на якому розміщений аліас поштової адреси. Він не повинен збігатися з доменом, на якому розміщений первинний адресу електронної пошти.
• Основний домен: Домен, що містить первинний адресу електронної пошти, з яких Ви хочете пов'язати створюваний аліас поштової адреси.
• Псевдонім: Назва псевдонімів поштової адреси, який повинен бути захищений рішенням, без "@" і домену.
• Основний аккаунт: Виберіть назву існуючого первинного поштового аккаунта.
Після того, як введені всі дані по алиасу, зберегти налаштування.

Імпорт поштових скриньок зі списку

Email Protection дозволяє адміністратору вручну імпортувати список користувачів з файлу. Для цього перейдіть до Управління -> Користувачі -> Імпорт.


Перш ніж імпортувати список, підготуйте файл, що містить назви поштових скриньок (і аліаси), які повинні бути захищені Email Protection. Файл повинен бути у вигляді файлу .CSV або .TXT в наступному форматі:

• ПІБ, адресу електронної пошти, пароль
• ПІБ, адреса електронної пошти
• ПІБ, адресу електронної пошти, пароль, список розділених комами аліасів поштових адрес.

Пароль і список розділених комами аліасів не обов'язкові. Якщо пароля немає, то Email Protection згенерує випадковий пароль під час імпорту користувачів. Будь ласка, зверніть увагу на наступні поради при створенні складних паролів для користувачів:

• Використовуйте прописні і заголовні букви від «a» до «z». Використовуйте цифри від 0 до 9
• Допустимі символи: _. –
• Довжина: Від 8 до 64 символів.

Адресу електронної пошти, включений у імпортований файл, повинен бути зазначений у будь-якому з наступних двох форматів:
• включаючи домен, до якого належить поштову скриньку:

Michael Perk, mperk@example.com, aras249gt
Anthony Perkins, aperkins@example.com, 32kios5d
Anthony Perkins, aperkins@example.com, aperkins.alias1@example.com, aperkins.alias2@example.com


• не включаючи домена, до якого належить поштову скриньку:

Michael Perk, mperk, aras249gt
Anthony Perkins, aperkins, 32kios5d
Anthony Perkins, aperkins, aperkins.alias1, aperkins.alias2


Дуже важливо коректно імпортувати файл в залежності від того, чи містить імпортований список поштових скриньок домен чи ні. Якщо домен присутній у файлі, то Ви повинні залишити поле «Домен:» порожнім меню імпорту. Інакше імпорт не вдасться.

Враховуючи попередні пункти, виберіть файл і натисніть Імпорт. Процес імпорту відбувається не відразу. Він може зайняти кілька хвилин в залежності від кількості імпортованих користувачів. Email Protection повідомить адміністратору запису про результати процесу імпорту по електронній пошті.

Автоматична реєстрація користувачів через SMTP

Email Protection може бути налаштований на автоматичну реєстрацію користувачів з використанням SMTP-протоколу. Цей автоматичний механізм дозволяє автоматично ініціалізувати користувачів, які ще не представлені в системі, в момент обробки першого повідомлення, адресованого на захищається поштову скриньку.

Автоматична реєстрація користувачів через SMTP налаштовується по домену. Перейдіть до Управління -> Тип підписки і виберіть SMTP, як показано на картинці:


Потім збережіть налаштування. Після збереження налаштувань система попросить адміністратора вказати адресу пошти існуючого користувача в домені, якого необхідно захистити.

Це потрібно для перевірки того, чи дійсний сервер електронної пошти для автоматичної реєстрації користувачів через SMTP. Якщо перевірка не пройде, то Ваш поштовий сервер не придатний для автоматичної реєстрації користувачів.

Як правило, це пов'язано з тим, що поштовий сервер не здатний відхиляти адреси пошти у неіснуючих користувачів в організації. У Microsoft Exchange ця функція відома як «Recipient Validation» і вона повинна бути включена для роботи автоматичної реєстрації.

Якщо ця перевірка не пройде, Email Protection не дозволить Вам налаштувати автоматичну реєстрацію користувачів через SMTP.

Після налаштування автоматичної реєстрації через SMTP, система буде автоматично ініціалізувати нового користувача в момент, коли для нього в Email Protection буде отримано перше повідомлення.

Один важливий момент, який необхідно враховувати при включенні автоматичної реєстрації через SMTP: всі поштові адреси Вашої організації (неважливо, це основні поштові скриньки або аліаси поштових адрес) будуть додані в Email Protection у вигляді основного поштової скриньки. Це важливий аспект при підрахунку необхідної кількості ліцензій для організації. Якщо Ваша організація активно використовує аліаси поштових скриньок, то ми радимо Вам включити автоматичну реєстрацію через LDAP, а також виявлення аліасів.

Автоматична реєстрація користувачів через LDAP (Active Directory)

Інший механізм автоматичної реєстрації, надається платформою, — це використання LDAP запитів до служби каталогів у Вашій організації. Це рекомендований механізм реєстрації для середніх і великих організацій.

Головна відмінність між автоматичною реєстрацією через SMTP і LDAP полягає в тому, що ініціалізація LDAP дозволяє виявляти аліаси поштових скриньок і автоматично пов'язувати їх з основними поштовими скриньками.

Автоматична реєстрація через LDAP може бути включена глобально або для кожного домену. Ми рекомендуємо Вам налаштувати її глобально, якщо всі захищені рішенням домени регулюються одним і тим же контролером домену або службою каталогів LDAP. Налаштуйте автоматичну реєстрацію через LDAP для кожного домену, якщо Ваша організація має незалежний сервер директорій на кожен домен.

Мінімальні вимоги для установки автоматичної реєстрації через LDAP:

• Хмарні сервери Panda Security повинні бути здатні підключитися до Вашої службі каталогів (Active Directory/Lotus/LDAP) з публічного IP-адресув або використовуючи повністю вказане ім'я домену, доступне в Інтернеті.
• Хмарні сервери Panda Security будуть запитувати Вашу службу каталогів, використовуючи протоколи LDAP або LDAPS.
• Хмарні сервери Panda Security можуть робити анонімні запити, хоча ми радимо створити виділеного користувача для виконання LDAP запитів.
• Діапазони IP-адрес, з яких ми будемо надсилати запити до служби каталогів:
188.94.13.128/25
92.54.22.0/24
92.54.27.0/24


При інтеграції автоматичної реєстрації через LDAP з Active Directory, Вам необхідно створити користувача, який належить групі «Domain Users», зі своїми реєстраційними даними. Виконайте наступні дії в контролері основного домену Вашої організації для створення цього користувача:

1. Створіть користувача, що належить групі «Domain Users».

2. Пароль, призначений для користувача може містити тільки літери, цифри та символи "_" і "-". Будь ласка, не використовуйте інші символи.

3. Вкажіть, що пароль не може бути змінений користувачем і термін його дії ніколи не закінчується.

Після того, як Ви створили користувача, Ви повинні отримати шлях до унікального імені (Distinguished Name) користувача. Для цього відкрийте вікно командного рядка у Вашому контролері домену і виконайте наступну команду:

dsquery.exe user –name [USER]

Приклад: Якщо користувач, якого Ви створили для LDAP запитів, був названий «panda», то запускається команда і її висновок буде таким:

dsquery.exe user –name pandaCN=panda,CN=Computers,DC=dctest,DC=local

Користувач для запитів, який повинен бути налаштований в консолі управління, буде таким же, як повертається попередньою командою:

'CN=panda,CN=Computers,DC=dctest,DC=local'

Після того як Ви отримали унікальне ім'я (Distinguished Name) користувача, налаштувати автоматичну реєстрацію через LDAP в розділі Управління -> Тип підписки -> LDAP [Налаштувати].


У наступному розділі описано найбільш поширені параметри настроювання автоматичної реєстрації через LDAP за допомогою Microsoft Active Directory:

LDAP сервер
• Active Directory. Якщо у Вас інша служба каталогів, введіть його тут.


З'єднання
Хостинг: IP-адресу служби або FQDN, щоб мати можливість підключитися до Вашого контролера домену. Будь ласка, врахуйте, що цей IP/FQDN повинен бути доступний з хмарних серверів Panda.
Порт: 389 (за замовчуванням).
Анонімне підключення: [Не зазначено] Microsoft Active Directory не допускає анонімні з'єднання. Ця опція повинна залишитися не відзначеної.
Ім'я користувача: Тут повинен бути введений діючий CN-шлях. Введіть CN-шлях, що повертається командою «dsquery.exe», запущеної на контролері домену: CN=panda,CN=Computers,DC=dctest,DC=local
Пароль: Введіть пароль, призначений користувачеві, який був створений для LDAP запитів.


Після того як всі дані були правильно введені, натисніть кнопку Перевірити. Система перевірить, чи можуть хмарні сервери Panda Security підключитися до зазначених хосту і порту, а також коректні зазначені реєстраційні дані. Якщо виникає помилка, будь ласка, ще раз перевірте, чи дозволено з'єднання від хмарних серверів Panda Security до Вашої інфраструктури, і коректні чи реєстраційні дані.

Можливості пошуку

• Основне унікальне ім'я: Стартова точка в дереві LDAP, з якої Email Protection буде «дивитися» на користувачів у Вашій організації.
Рекомендується встановити стартову точку як можна ближче до кореня дерева організації, щоб рішення змогло знайти всіх користувачів незалежно від підрозділу організації, у якому вони налаштовані. Основне унікальне ім'я може бути отримано з CN користувача, створеного для LDAP запитів. При налаштуванні Active Directory, як правило, воно співпадає з тією частиною CN користувача, що починається з DC. У нашому прикладі це буде: DC=dctest,DC=local

• Рівень: Виберіть цю опцію, якщо всі користувачі в Вашій організації розміщені в тій точці, де здійснюється пошук.

• Піддерево: Виберіть цю опцію, щоб шукати користувачів на даному рівні і всіх інших рівнях, зазначених вище в структурі LDAP. Рекомендується вибрати дану опцію в тому випадку, коли Основна унікальне ім'я було налаштоване близько до кореня дерева.


У нашому прикладі необхідно використовувати опцію Піддерево, щоб була можливість шукати користувачів на рівнях, розташованих вище обраного шляху.

Пошук імені користувача

Ці значення будуть заповнюватися автоматично при виборі типу служби каталогів, що використовується у Вашій організації (Active Directory/Open LDAP/Lotus Domino). Якщо Ви налаштували службу Active Directory, зазвичай необхідно вибрати опцію Атрибут, який містить адресу електронної пошти.


Потім натисніть кнопку Перевірити, щоб перевірити коректність установки для служби каталогів. Адміністратора попросять ввести діючий основний адресу електронної пошти Вашої установи (аліас електронної адреси!), а система перевірить, чи може вона знайти його за запитом, щоб перевірити поточні налаштування.

Якщо вказану адресу електронної пошти не знайдено під час перевірки, будь-ласка, перевірте ще раз конфігурацію, зазначену в цьому розділі, з адміністратором домену. Схема, що використовується у Вашій організації, може відрізнятися від використовуваних тут прикладів.

Пошук псевдонімів

Ця функція робить автоматичну реєстрацію користувачів через LDAP набагато більш привабливою, ніж при використанні SMTP. Ми настійно рекомендуємо Вам включити дану опцію, якщо Ви налаштували реєстрацію через LDAP.

Атрибут, який містить псевдонім: targetaddress. Більшість інсталяцій Active Directory + Exchange будуть використовувати цей аттрибут (targetaddress) для вказівки псевдонімів електронної адреси даного користувача.
Фільтр LDAP: (objectclass=*). Ви можете вказати тут різні опції фільтра, щоб отримувати тільки необхідну інформацію.
Є поле багатозначним? Немає
Роздільник псевдоніма: Введіть ':'
Псевдонім знаходиться в тому ж об'єкті, що і поштова адреса? Та

Ці значення є звичайними для стандартної схеми Active directory. Після того як Ви налаштували цей розділ, Ви повинні перевірити налаштування, використовуючи кнопку «Перевірити». Введіть чинний аліас електронної пошти у Вашій організації. Система повинна повернути відповідний основний адресу електронної пошти для псевдонімів. На наступному малюнку показаний спосіб налаштування даного розділу, а також результат перевірки:


Якщо перевірка не повернула основний адресу електронної пошти, пов'язаний із зазначеним аліасом поштової адреси, будь ласка, ще раз перевірте значення, зазначені в цьому розділі, разом з адміністратором домену, т. к. Ваша корпоративна схема може відрізнятися від стандартної схеми, що поставляється з продуктами Microsoft.


Відновлення даних користувача

У цьому розділі можна вказати, які атрибути всередині Вашої схеми каталогів містять повні імена користувачів для того, щоб було простіше його визначати при автоматичної реєстрації в системі. Типова конфігурація для Microsoft Active Directory виглядає наступним чином:

Атрибут, який містить прізвище користувача: displayName

Зберігає ім'я й прізвище разом: Вибране.


Після вказівки всієї необхідної інформації, збережіть налаштування.

Зверніть увагу на наступні моменти при вказівці необхідної інформації для налаштування режиму реєстрації через LDAP.

Ви повинні виконати наступні налаштування:

• Перевірте з'єднання з контролером домену коректне.

• Перевірте, що Email Protection здатний знаходити користувачів на Вашому сервері каталогів (розділ Пошук імені користувача).

• Якщо опція Включити виявлення псевдоніма включена, перевірте, що Email Protection здатний повертати основну адресу електронної пошти алиасу електронної адреси.

Якщо під час будь-якої з попередніх перевірок виникає помилка, то збережіть конфігурацію і поверніться пізніше до відповідного розділу, щоб змінити опції після перевірки значень разом з Вашим Адміністратором домену.

Наведений приклад відповідає службі каталогів Active Directory. Конкретна конфігурація може сильно відрізнятися в залежності від схеми, що використовується у Вашій організації, або якщо схема Microsoft Active Directory за замовчуванням була змінена.

Персоналізація платформи

Після виконання налаштування домену і користувачів, платформа готова захищати користувачів, які належать до налаштованим доменам. Наступний крок пов'язаний з персоналізацією самої платформи за допомогою меню Персоналізація. Рекомендується настроїти наступні основні параметри:

Повідомлення на тему Ласкаво просимо

Якщо був обраний будь-який з доступних режимів автоматичної реєстрації (SMTP або LDAP), можна налаштувати платформу таким чином, щоб вона відправляла запрошувальні листи автоматично зареєстрованим користувачам. Дане повідомлення буде містити реєстраційні дані, які дозволять користувачеві доступ до користувальницької консолі. Якщо Ви хочете, щоб Ваші користувачі знали, що існує панель управління, де вони можуть керувати своїми опціями фільтрації електронної пошти та отримувати доступ до спамовым повідомленнями, що зберігається в карантині системи, то включіть опцію (за замовчуванням вона відключена).


Логотипи

Адміністратор може завантажити її логотип, який буде включений у всі системні повідомлення для користувачів, які захищені даним рішенням, а також у користувача консолі управління. Для цього перейдіть в розділ Персоналізація -> Логотипи.

Врахуйте, що всі налаштування персоналізації можуть бути виконані глобально або для кожного домену окремо. Рівень, на якому будуть застосовані опції персоналізації, може бути вибраний з допомогою опції «Показати параметри» нагорі сторінки.


Налаштування MX-записів Вашого DNS-сервера

Після того як всі попередні кроки були завершені, платформа буде готова захищати вхідні листи, призначені для Вашої організації. Щоб інтегрувати Email Protection у систему доставки електронної пошти у Вашу організацію, змініть MX-запису захищаються доменів, щоб вони вказували на наступні хости сервісу:

mx01.mep.pandasecurity.com mx02.mep.pandasecurity.com

Зазначені тут MX-записи можуть відрізнятися в залежності від конфігурації. Перевірте Ваші поточні MX-запису сервісу, для чого перейдіть в Посібника -> Інформація про налаштування. Перевірте цей розділ до того, як зробите які-небудь зміни в DNS.

Ми радимо Вам вказати однаковий пріоритет (наприклад, «10») в обох MX-записів для досягнення балансування навантаження усередині платформи Email Protection.

Врахуйте, що компанія Panda Security не має доступу до Ваших MX-записів. Ця задача повинна бути виконана Вами, т. к. DNS-записи, доступні тільки Вам.

Після внесення відповідних змін Email Protection почне обробляти вхідні листи, призначені для Вашої організації, блокуючи спамові повідомлення і доставляючи на Ваші поштові сервери тільки «чисті» електронні листи.

Додаткові параметри безпеки (фаєрвол)

Як тільки MX-запису доменів, що захищаються цим рішенням, були змінені, можна обмежити доставку вхідних листів на поштові сервери, захищені Email Protection, дозволивши доставку вхідних листів тільки з визначеного діапазону IP-адрес, що належать хмарних серверів Panda Security. Нижче наведені діапазони IP — адрес, з яких здійснюється доставка вхідної пошти в Вашу організацію:

188.94.13.128/25
92.54.22.0/24
92.54.27.0/24


Налаштування фільтрації вихідної пошти в Email Protection

Email Protection може бути налаштований та для фільтрації вихідної пошти, що відправляється з Вашої організації в Інтернет. Цей крок не є обов'язковим. Фільтрація вихідної пошти не залежить від фільтрації вхідної пошти. Втім, щоб фільтрація вихідної пошти працювала коректно, необхідно правильно налаштувати фільтрацію вхідної пошти (домени і користувачі повинні бути правильно налаштовані в Email Protection).

Щоб настроїти фільтрацію вихідної пошти через Email Protection, Вам необхідно визначити «Smart Host» на поштовому сервері Вашої компанії, щоб всі вихідні повідомлення доставлялися в хмару Panda Security. Email Protection буде фільтрувати Ваші вихідні повідомлення, відправляючи на поштовий сервер одержувача тільки «чисту» пошту.
При налаштуванні «Smart Host» використовуйте наступний hostname сервісу:

smtp.mep.pandasecurity.com

Кроки по налаштуванню хоста сервісу, використовуваного для відправки вихідної пошти, можуть відрізнятися в залежності від конфігурації. Використовуваний Smart Host вказаний в консолі управління (Керівництва -> Інформація про налаштування). Будь ласка, перевірте цей розділ до внесення будь-яких змін у Вашому поштовому сервісі.

SMTP-сесія з Вашим Smart Host повинна бути налаштована як Authenticated SMTP session. Використовуйте ті ж самі реєстраційні дані (користувач і пароль), які були надані для доступу до консолі керування: mep.pandasecurity.com/admin.

Налаштування SPF-записів у Вашому DNS

Незалежно від того, використовуєте Ви фільтрацію вихідної пошти або налаштували тільки фільтрації вхідної пошти в Email Protection, ми рекомендуємо Вам змінити SPF-записи Ваших доменів, щоб включити діапазони IP-адрес наших дата-центрів. Зробіть це, якщо Ваш вихідний трафік фільтрується через рішення Panda Email Protection. Таким чином, Ви зможете запобігти ситуації, коли поштові сервери одержувачів будуть відмовляти в доставці листів, що приходять з хмарних серверів Panda Security. Для цього додайте у Ваші SPF-записи наступні діапазони IP-адрес:

i4:188.94.13.128/25
i4:92.54.22.0/24
i4:92.54.27.0/24


Приклад SPF-записи, пов'язаної з доменом:

«v=spf1 i4:188.94.13.128/25 i4:92.54.22.0/24 i4:92.54.27.0/24 i4: [OTHER CUSTOMER IP ADDRESSES] ~all»

Ми рекомендуємо, щоб Ви додали IP-адреси хмарних серверів Panda Security Вашим поточним SPF-записам у Вашому DNS.

Висновок

Отже, після виконання всіх перерахованих вище дій Ви зможете здійснити попереднє налаштування облікового запису і перенаправляти пошту через сервери Panda Security. Причому опції Email Protection, налаштовані за замовчуванням, дозволяють відразу ж почати фільтрацію пошти. Ну а далі вже настає найцікавіше, коли Ви, володіючи унікальними правами «страчувати або милувати», зможете налаштувати всі необхідні опції фільтрації для отримання оптимального рівня безпеки корпоративної пошти.
Email Protection Вам в допомогу!

P. S. Якщо Ви бажаєте отримати безкоштовний доступ до сервісу протягом місяця, заповніть форму на сайті або надішліть дану інформацію адреса.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.