Архив всех почтовых сообщений в KSMG

[Berckut]

Можно ли сделать так, чтобы в KSMG для просмотра был доступен архив всех сообщений, прошедших через сервер, а не только тех, которым сработало какое-либо правило обнаружения угрозы.

При настройке правил обработки сообщений электронной почты в параметрах есть параметр "Поместить исходное сообщение в Хранилище". Но его настройка доступна только для ситуаций, когда прошла сработка по какому-то критерию.

[JIABP]

@Berkut Это можно сделать с помощью контентной фильтрации, но проблема в том, что лимит на размер раздела, где хранятся копии сообщений составляет 7 Гб, поэтому очень быстро включится ротация писем.

Да, раздел можно теоретически перенести на другой диск или расширить, но это не штатное решение и в целом, как я понимаю Вы хотите из KSMG сделать хранилище для сообщений, а он для этого не преназначен, т.к. он и позиционируется и является релеем, т.е. сервером пересылки и длительное и объёмное хранение на нём почты изначально не предполагалось и было реализовано на краткосрочной основе, в рамках операционной деятельности.

[Berckut]

В 09.07.2024 в 16:11, JIABP сказал:

@Berkut Это можно сделать с помощью контентной фильтрации, но проблема в том, что лимит на размер раздела, где хранятся копии сообщений составляет 7 Гб, поэтому очень быстро включится ротация писем.

Да, раздел можно теоретически перенести на другой диск или расширить, но это не штатное решение и в целом, как я понимаю Вы хотите из KSMG сделать хранилище для сообщений, а он для этого не преназначен, т.к. он и позиционируется и является релеем, т.е. сервером пересылки и длительное и объёмное хранение на нём почты изначально не предполагалось и было реализовано на краткосрочной основе, в рамках операционной деятельности.

Не совсем хранилище сообщений.

У нас есть требование - хранить электронные сообщения с архивным доступом на срок не менее 6 мес. и оперативным доступом на срок не менее 1 мес. В случае применения KSMG мы можем решить это тремя способами:

1. Ставим KSMG между внешним релеем (например, postfix) и внутренним Microsoft Exchange, а архив писем ведём на релее. Но тогда частично теряется функционал KSMG. Например, в качестве отправителя писем он будет видеть не реальный адрес почтового сервера отправителя, а адрес релея.

2. KSMG оставляем на границе с сетью Интернет, а копии писем отправляем на отдельный сервер после проверки их KSMG. Но тогда у нас не будет исходников писем (будут внесены изменения в заголовки), а это иногда важно. Например, при расследовании инцидентов, или когда надо вытащить именно исходник письма, если само письмо зашифровано или подписано электронной подписью и после внесения изменений в заголовки подпись слетает.

3. Отправляя с KSGM куда-то теневые копии. Но тут, во-первых, пока не понятно, будут ли внесены изменения в сообщения (заголовки). Во-вторых, весь архив всех пользователей будет свален в одну кучу - разбирать это всё будет не простым занятием в случае необходимости.