KSMG
- Установка и обновление
- Обновление KSMG до версии 3.0
- Руководство по установке и настройке компонента Kaspersky Secure Mail Gateway (KSMG) 3.0
- Диагностика и решение проблем
- Инструкции по настройке
Установка и обновление
Обновление KSMG до версии 3.0
Инструкция по обновлению Kaspersky Secure Mail Gateway 2.1.1 до версии Kaspersky Secure Mail Gateway 3.0
Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.
- Версия решения: 3.0
- Тип инструкции: Пошаговое руководство по обновлению кластера KSMG
1. Подготовка к обновлению
1.1. Обязательные действия
Перед началом обновления выполните следующие шаги:
- ✅ Скачайте пакет обновления с официального сайта.
- ✅ Создайте резервную копию:
- В VMware ESXi/vSphere — создайте Snapshot всей виртуальной машины.
- В веб-интерфейсе KSMG — выполните Экспорт параметров согласно инструкции.
- ✅ Убедитесь, что балансировка почтового трафика настроена корректно и вы готовы временно отключать узлы от обработки трафика.
⚠️ ВАЖНО:
Все вручную внесённые изменения в шаблоны конфигурационных файлов будут утеряны при обновлении. Их необходимо будет восстановить после обновления.
1.2. Требования к гипервизору
Для VMware:
- Обязательно обновите гипервизор до VMware ESXi 7.0 Update 3 или 8.0 Update 3 (если используется 6.7 или более ранняя версия).
- Установите уровень совместимости EVC не ниже Intel "Nehalem".
- Обновите версию оборудования виртуальной машины до 19 или выше.
Для Hyper-V:
- Отключите параметр «Migrate to a physical computer with a different processor version» в настройках совместимости процессора.
- Обновите гипервизор до Microsoft Hyper-V Server 2019 или Windows Server 2022 с ролью Hyper-V (если используется версия 2016 или старше).
Примечание: дополнительная информация по «Аппаратные и программные требования» доступна в онлайн-документации.
1.3. Требования к дисковому пространству
Убедитесь, что на каждом узле достаточно свободного места:
Раздел | Минимум |
`/tmp' | 5 ГБ |
'/var' | 4 ГБ |
'/var/log' | 200 МБ |
`/` (корень) | 1 ГБ |
1.4. Особенности маршрутизации и LDAP
⚠️ Только для конфигураций, где почтовый сервер и доменный контроллер размещены на одном сервере:
- Если в разделах «Домены» или «Маршрутизация / MTA» указан IP-адрес такого сервера — замените его на FQDN.
- В KSMG 3.0 используется новый механизм балансировки, и указание IP может вызвать ошибки LDAP-интеграции.
- Если IP почтового сервера отличается от IP LDAP-сервера — замена не требуется.
1.5. Дополнительная информация и рекомендации
📚 Вы можете найти более подробное описание изменений, которые произойдут после обновления, в онлайн-документации Kaspersky.
Рекомендации для предотвращения потери данных:
- ✅ Вручную обновляйте базы и LDAP-кэш каждый раз после установки пакетов обновления на очередной узел.
- ✅ При необходимости заново настройте публикацию событий приложения в SIEM-систему.
- ✅ Повторно задайте параметры приложения, требующие изменения в шаблонах конфигурационных файлов KSMG.
ℹ️ Информацию о событиях приложения можно найти в системных журналах, доступных в режиме Technical Support Mode.
2. Обновление кластера
2.1. Подготовка узлов
1. В веб-интерфейсе Управляющего узла перейдите в раздел «Узлы».
2. Убедитесь, что все узлы доступны и не имеют ошибок.
3. Перейдите в «Очередь сообщений» → «Настроить параметры приема и отправки».
4. Отключите прием сообщений на узле, который будет обновляться.
5. Дождитесь, пока все сообщения из очереди будут отправлены.
📸 Скриншот 1:
- Интерфейс раздела «Узлы» — все узлы кластера отображаются в состоянии «Онлайн», без ошибок.
- Окно «Настроить параметры приема и отправки» с возможностью отключить/включить обработку почты на выбранном узле.
2.2. Обновление подчиненного узла
1. В веб-интерфейсе обновляемого узла нажмите «Установить обновление» и загрузите скачанный пакет.
📸 Скриншот 2:
- Кнопка «Установить обновление» в верхней части веб-интерфейса, рядом с информацией о текущей версии.
2. Дождитесь завершения установки и **перезагрузки веб-интерфейса**.
📸 Скриншот 3:
- Сообщение о завершении установки и автоматическая перезагрузка страницы браузера.
3. Нажмите «Изменить роль на Управляющий узел» (если роль была потеряна).
📸 Скриншот 4:
- Кнопка «Изменить роль на Управляющий узел» в разделе управления узлом.
4. На новом управляющем узле выполните:
- Обновление баз
⚠️ Если процесс зависает на 99% или выдаёт ошибку — повторно загрузите лицензионный файл и активируйте его. После этого повторите обновление баз.
- Обновление LDAP-кэша (если настроен LDAP)
📸 Скриншот 5:
- Синхронизацию с Active Directory (если LDAP не настроен)
📸 Скриншот 6:
- Включите KSN-интеграцию
📸 Скриншот 7:
5. Включите прием сообщений только на этом узле.
6. Отправьте тестовое письмо и убедитесь в корректной доставке.
Повторите действия для каждого подчинённого узла.
2.3. Обновление управляющего узла
1. В интерфейсе бывшего управляющего узла отключите прием сообщений на целевом узле.
2. Дождитесь отправки всех сообщений из очереди.
3. Перейдите в раздел «Узлы», назначьте узлу роль «Подчинённый узел».
📸 Скриншот 8:
- Назначение роли «Подчинённый узел» в списке узлов кластера.
4. На самом узле нажмите «Установить обновление» и загрузите пакет.
5. После обновления — повторите шаги по обновлению баз и LDAP-кэша при необходимости.
🔄 При необходимости верните роль «Управляющий узел» исходному серверу.
📸 Скриншот 9:
📁 Лог установки: `/var/log/kaspersky/ksmg/patch.log`
3. Постобновление
После успешного обновления всего кластера рекомендуется:
- ✅ Вручную обновить базы и LDAP-кэш на всех узлах.
- ✅ Проверить и при необходимости заново настроить интеграцию с SIEM-системой.
- ✅ Восстановить кастомные настройки в шаблонах конфигурационных файлов (если они использовались).
- ✅ Убедиться, что все узлы принимают и отправляют почту без ошибок.
ℹ️ Информацию о событиях приложения можно найти в системных журналах, доступных в режиме Technical Support Mode.
📌 Полезные ссылки
✅ Обновление KSMG с 2.1.1 до 3.0 завершено!
Ваша система теперь работает на актуальной версии с улучшенной стабильностью, безопасностью и новыми возможностями.
Руководство по установке и настройке компонента Kaspersky Secure Mail Gateway (KSMG) 3.0
ℹ️ Информация: Приведённая на данной странице информация является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт.
📦 Установка Kaspersky Secure Mail Gateway (KSMG) 3.0
Версия решения: 2.1 - 3.0
Тип установки: Standalone (Управляющий узел + обработка на одном сервере)
⚠️ Очень важно:
Точный расчёт аппаратных ресурсов (сайзинг) возможен только после анализа нагрузки (MPD, MPH, MPS).
Представленные ниже требования обеспечивают пропускную способность до 10 сообщений/сек при среднем размере письма 300 КБ.
Для высоконагруженных сред требуется кластерная архитектура и предварительный расчёт от партнёра Kaspersky.
💡 Важно: Подробнее о принципе работы KSMG описано в онлайн-документации.
1. Подготовка
1.1. Варианты установки и обработки сообщений
KSMG поддерживает три основных сценария интеграции, определяющих, как обрабатываются почтовые сообщения:
Вариант | Описание | Влияние на mail flow |
|---|---|---|
Пограничный почтовый шлюз | KSMG устанавливается на периметре сети и обрабатывает весь входящий и исходящий трафик. Может выступать как MX-запись. | ✅ Полный контроль над mail flow |
Внутренний почтовый шлюз | KSMG устанавливается внутри сети и анализирует трафик между почтовым сервером и внешним миром (или между сегментами). | ✅ Влияет на mail flow, но не является MX |
BCC-анализ (копия трафика) | На KSMG подаётся зеркалированная копия почтового трафика (например, через BCC или SPAN). Решение не влияет на доставку писем. | ❌ Только мониторинг и анализ |
💡 Рекомендация:
- Для пилотного проекта рекомендуется начать с BCC-анализа — это безопасно и не требует изменения маршрутизации.
- Для продуктивного внедрения — используйте пограничный шлюз.
1.2. Варианты архитектуры развёртывания
Вариант | Описание |
|---|---|
Standalone | Управляющий узел + обработка на одной ВМ. Подходит для пилотных внедрений и небольших организаций. |
Кластер | Отказоустойчивая система: минимум 2 узла (1 управляющий + 1 подчинённый). Обеспечивает балансировку и отказоустойчивость. |
Распределённое решение | Несколько кластеров в филиалах с централизованным управлением через DNS или балансировщик. |
💡 Рекомендация:
- Смена архитектуры (например, с Standalone на кластер) возможна без переустановки — достаточно добавить узлы.
- Для кластера обязательно настройте время (NTP) и DNS-записи для всех узлов.
1.3. Требования к оборудованию
Компонент | Требование |
|---|---|
Режим загрузки | Обязательно UEFI |
Процессор | Минимум 8 ядер (рекомендуется Intel Xeon или AMD EPYC) |
ОЗУ | Минимум 16 ГБ |
Диски | Минимум 200 ГБ (SSD или SAS HDD 10K+) |
RAID | Поддерживается как аппаратный, так и программный RAID |
Сеть | 1+ сетевой интерфейс |
🔹 Производительность:
- 8 ядер / 16 ГБ ОЗУ → до 10 сообщений/сек
- Для увеличения пропускной способности — масштабируйте горизонтально (добавляйте узлы)
1.4. Платформы виртуализации
Поддерживаются:
- VMware ESXi 6.7 / 7.0
- Microsoft Hyper-V
- РЕД Виртуализация 7.3
- Astra Linux SE / zVirt Node
📌 Примечание для VMware:
- Уровень совместимости EVC ≥ Intel Nehalem
- Тип диска: Thick Provision (рекомендуется)
1.5. Сетевые требования
Перед установкой:
- Создайте A-запись и PTR-запись (обратную) в DNS для FQDN KSMG (например,
ksmg.company.local) - Убедитесь, что KSMG имеет доступ к:
- Серверам обновления:
antiapt.kaspersky-labs.com,activation-v2.kaspersky.com - KSN/KPSN (если используется):
*.ksn.kaspersky-labs.com
- Серверам обновления:
1.6. Порты и серверы обновлений
Сервис | URL / Порт |
|---|---|
Обновления |
|
Активация |
|
KSN |
|
Веб-интерфейс |
|
Кластерное взаимодействие |
|
2. Установка
2.1. Общая последовательность
- Создайте ВМ согласно требованиям
- Установите KSMG с ISO-образа
- Выполните первоначальную настройку через TUI
- Настройте кластер (если нужно)
- Активируйте лицензию и обновите базы
- Создайте учётную запись Офицера безопасности
2.2. Создание виртуальной машины (VMware vSphere)
Если требуется, то после создания перейдите к управлению данной ВМ. На ВМ необходимо включить режим «VMware EVC» согласно требованиям, для этого в разделе «Configure → VMware EVC» необходимо включить данный режим, обязательно уровень совместимости должен быть не ниже «Intel «Nehalem»».
📸 Скриншот 1:
Выбор совместимости — «Intel Nehalem»
📸 Скриншот 2:
Настройка оборудования: CPU, RAM, HDD, сеть, CD/DVD
2.3. Процесс установки
📸 Скриншот 3:
Выбор «Install — KSMG»
📸 Скриншот 4:
Выбор языка установки
📸 Скриншот 5:
Принятие лицензионного соглашения
📸 Скриншот 6:
Предупреждение о требованиях к железу
📸 Скриншот 7:
Выбор диска для установки
📸 Скриншот 8:
Подтверждение очистки диска — «Yes»
Дождитесь окончания копирования файлов на диск. Далее последует перезагрузка.
2.4. Первоначальная настройка через TUI
📸 Скриншот 9:
Выбор «Kaspersky Secure Mail Gateway» при загрузке с HDD
📸 Скриншот 10:
Меню NetworkManager TUI — выбор «Set system hostname»
📸 Скриншот 11:
Указание FQDN (например, ksmg.company.local)
📸 Скриншот 12:
Выбор «Edit a connection» для настройки сети
📸 Скриншот 13:
Выбор сетевого адаптера — «Wired connection 1»
📸 Скриншот 14:
Настройка IPv4 — выбор «Automatic» (DHCP) или статик, после подтверждение настройки — кнопка «OK»
📸 Скриншот 16:
Возврат в главное меню — «Back»
📸 Скриншот 17:
Завершение настройки — «Quit»
📸 Скриншот 18:
Указание IP-адреса для кластерного взаимодействия
📸 Скриншот 19:
Указание порта кластера — 9045
📸 Скриншот 20:
Указание порта веб-интерфейса — 443
📸 Скриншот 21:
Задание пароля администратора
📸 Скриншот 22:
Сохранение отпечатка SSL-сертификата
📸 Скриншот 23:
Создание PTR-записи в DNS Manager
3. Настройка
3.1. Доступ к веб-интерфейсу
📸 Скриншот 24:
Вход в веб-интерфейс — https://<IP_или_FQDN>
📸 Скриншот 25:
Экран входа: логин Administrator, пароль
📸 Скриншот 26:
Создайте новый кластер. Нажмите «Create new cluster»
3.2. Лицензирование и обновление
📸 Скриншот 27:
Активация лицензии — ввод кода или загрузка файла
📸 Скриншот 28:
Обновление баз — кнопка «Обновить базы»
📸 Скриншот 29:
Перезагрузка Управляющего узла — «Узлы → Перезагрузить»
3.3. Добавление подчинённого узла (кластер)
Чтобы программа могла выполнять балансировку без сбоев, нужно добавить в кластер хотя бы один «подчинённый узел». Для этого нужно создать ещё одну виртуальную машину и установить на неё Kaspersky Secure Mail Gateway, как и в предыдущих шагах.
📸 Скриншот 30:
Добавление узла — «Узлы → Добавить узел»
📸 Скриншот 31:
Указание IP подчинённого узла
📸 Скриншот 32:
Подтверждение отпечатка сертификата
📸 Скриншот 33:
Перезагрузка подчинённого узла после синхронизации
📸 Скриншот 34:
Перезагрузка подчинённого узла после синхронизации
3.4. Включение KSN
📸 Скриншот 35:
Настройка KSN — «Я согласен участвовать в KSN»
📸 Скриншот 36:
Статус «Состояние соединения KSN/KPSN — Без ошибок»
Первоначальная настройка «Kaspersky Secure Mail Gateway» завершена.
✅ Установка и настройка KSMG 3.0 завершены!
Теперь можно приступать к:
- Настройке MTA и доменов
- Интеграции с почтовым сервером (Exchange, Postfix и др.)
- Тестированию модулей защиты (антивирус, анти-спам, анти-фишинг)
📌 Полезные ссылки
- Официальная документация KSMG 3.0
- Создание виртуальной машины
- AntiAPT Community – KSMG
- Kaspersky на YouTube
- Kaspersky на Rutube
- Полезное видео на Youtube
- Полезное видео на Rutube
Диагностика и решение проблем
Базовая диагностика KSMG
Создание файла трассировки
При возникновении неполадок с решением KSMG необходимо собрать файл трассировки.
Файл трассировки следует создавать после воспроизведения действий пользователя, которые привели к возникновению неполадки.
Для создания файла трассировки выполните следующие действия:
- В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные
В рабочей области отобразится таблица узлов кластера с информацией о времени последнего создания файла трассировки для каждого узла. - В таблице выберите узел, для которого вы хотите получить диагностическую информацию.
Откроется окно Просмотреть результаты - В нижней части окна нажмите на кнопку Запустить
Будет создан архив с диагностической информацией.
Изменение уровня трассировки
Изменение уровня трассировки сохраняется в конфигурации приложения и не влияет на уже созданные файлы трассировки.
Для изменения уровня трассировки выполните следующие действия:
- В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные
- Нажмите на кнопку Уровень диагностики
Откроется окно Уровень диагностики - Выберите один из следующих вариантов:
Ошибки/ОтладкаЭтот уровень трассировки значительно повышает требования к подсистеме хранения данных и снижает производительность приложения. Используйте уровень отладки, только если Служба технической поддержки "Лаборатории Касперского" просит предоставить файлы трассировки такого типа.
По умолчанию установлено значение Ошибки. - Нажмите на кнопку Сохранить.
Скачивание файла трассировки
Для того, чтобы скачать файл трассировки:
- В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные
В рабочей области отобразится таблица узлов кластера с информацией о времени последнего создания файла трассировки для каждого узла. - В таблице выберите узел, для которого вы хотите скачать файл трассировки.
Откроется окно Просмотреть результаты - В строке с нужным файлом нажмите на значок Скачать. справа от названия файла.
Получение информации с помощью утилиты collect_diag_info.py
Описание процесса сбора диагностической информации с помощью утилиты collect_diag_info.py
Утилита расположена в директории /opt/kaspersky/ksmg/bin
Для получения информации выполните следующие действия:
- Подключитесь к консоли управления виртуальной машиной KSMG под учетной записью root, используя закрытый ключ SSH.
Вы войдете в режим Technical Support Mode - Выполните следующую команду:
/opt/kaspersky/ksmg/bin/collect_diag_info.py 2>Пример:
/opt/kaspersky/ksmg/bin/collect_diag_info.py /tmp/diaginfo.tar.gz 2> /tmp/log.file
Диагностика
Диагностика неисправностей Moebius
Как собрать диагностическую информацию о работе KSMG
Инструкции по настройке
Инструкция как получить доступ по SSH к KSMG
Информация: Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.
- Версия решения: 3.0
- Тип инструкции: Инструкция как получить доступ по SSH к KSMG
Описание задачи
KSMG администратор может подключиться к любой ноде по протоколу SSH, чтобы работать с программой в Technical Support Mode, используя командную строку. Чтобы это реализовать необходимо сгенерировать SSH ключи, загрузить SSH публичный ключ в программу используя веб-интерфейс. После установки ключа на сервер с главной нодой, он будет распространен и сохранен на другие, связанные с ней, KSMG ноды.
В данной инструкции используется программа PuTTY.
Вы можете использовать любой другой аналог.
Создание пары ключей
1. Скачайте PuTTY, зайдите в папку, куда установилась PuTTY, запустите PuTTYgen.
📸 Скриншот 1: Экран "Выбор приложения"
2. Проверьте эти параметры: Type of key to generate – RSA, Number of bits in a generated key – 2048. Нажмите Generate. Двигайте мышкой случайным образом, пока не заполнится шкала key.
📸 Скриншот 2: Экран "Генерация ключа"
3. Укажите passphrase. Введите такое же кодовое слово в Confirm passphrase. Затем нажмите Save private key, и укажите имя и место сохранения.
📸 Скриншот 3: Экран "Сохранение ключа"
4. Скопируйте публичный ключ, он находится в поле Public key for pasting into OpenSSH authorized_keys file.
5. Переместитесь в веб-интерфейс KSMG. Перейдите Параметры → Доступ по SSH → Добавить ключ. Заполните поле "Описание" и вставьте скопированный ключ в поле "Данные ключа". Нажмите "Добавить".
📸 Скриншот 4: Экран "Загрузка ключа"
Соединение KSMG используя SSH
1. Запустите PuTTY. Перейдите по вкладкам Connection → SSH → Auth. В поле справа выберете сохраненный файл закрытого ключа.
📸 Скриншот 5: Экран "Применение ключа"
2. Перейдите во вкладку Session. Введите в полях: Host Name (or IP adderss) - IP-адрес KSMG, Port – 22, Connection type – SSH. Нажмите Open.
📸 Скриншот 6: Экран "Подключение к KSMG по SSH"
3. Нажмите Accept.
📸 Скриншот 7: Экран "Подтвердите подключение к KSMG по SSH"
4. Введите Login as – root, Passphrase for key ту, которую указывали при генерации ключа. Вы успешно подключились.
📸 Скриншот 8: Экран "Подтвердите подключение к KSMG по SSH"
Интеграция LDAP и аутентификация с помощью технологии единого входа
Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Secure Mail Gateway для подключения к веб-интерфейсу программы.
Данная статья описывает процесс настройки интеграции LDAP
Подготовка корпоративной инфраструктуры
- Время на всех нодах кластера KSMG и контроллерах домена должно быть синхронизировано c использованием единого NTP-сервера;
- Все ноды DNS-сервера, указанные при установке должны быть доступны;
- На корпоративном DNS-сервере нужны прямая A-запись и обратная PTR-запись для KSMG;
- Для каждого домена и поддомена необходимо формировать отдельный keytab-файл, чтобы иметь возможность видеть необходимый каталог пользователей;
- При интеграции по LDAP отсутсвует возможность настройки порта подключения к контроллеру домена. Настройки подключения получают из корпоративного DNS-сервера по SRV-записи необходимого контроллера домена;
- Создание учётных записей для LDAP и SSO рекомендуется выполнять через графический интерфейс управления контроллером домена;
Дополнительные требования к keytab-файлу
- Для проверки подлинности прокси и SSO полное доменное имя, указанное в keytab-файле, всегда должно совпадать с реальным и используемым полным доменным именем. Для проверки подлинности прокси адрес, который используется в настройках прокси в браузере, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле;
- Для единого входа адрес в адресной строке браузера, который используется для доступа к веб-интерфейсу KSMG, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле и ДОЛЖЕН соответствовать реальному и используемому полному доменному имени KSMG и полному доменному имени, настроенному в операционной системе. Но для LDAP полное доменное имя в keytab-файле SPN должно иметь действительные записи в DNS, включая PTR-запись. Кроме того для keytab-файла LDAP вообще не обязательно иметь имя участника службы, но оно должно быть доступно для прокси-сервера и единого входа;
- Для проверки подлинности LDAP невозможно иметь несколько записей SPN в keytab-файле. Но в случае прокси-аутентификации и SSO-аутентификации вы можете создать несколько записей. Для LDAP это делать не нужно;
- У вас не может быть дубликатов имени участника службы. Это значит, что вы не можете создать два keytab-файла с дублирующимся SPN (включая полное доменное имя);
- Пользователь, учётная запись которого использовалась для создания keytab-файла, должен содержать в Distinguished Name только латинские символы, поэтому во всем пути к пользователю в AD не должно быть ни кириллицы, ни других символов;
Настройка LDAP
ВАЖНО! Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и при доступе через SSH.
- Создайте пользователя в AD.
- Активная опция – Password never expires
- Активная опция – This account supports Kerveros AES 256bit encryption
- Создайте keytab-файл.
Создание keytab-файлаC:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab - Загрузите keytab-файл на странице настроек ноды KSMG.
Синхронизация происходит раз в 30 минут. Статус синхронизации можно посмотреть в разделе Nodes:
Cинхронизация узлов кластера KSMG по LDAP происходит независимо, то есть для них можно использовать одну и ту же учётную запись и keytab-файл.
Если синхронизация по каким-то причинам не происходит, KSMG будет использовать информацию из кэша (кэш удаляется только если удалить LDAP-соединение).
Настройка SSO
- Создайте другого пользователя в AD.
- Активная опция – Password never expires
- Активная опция – This account supports Kerveros AES 256bit encryption
- Создайте keytab-файл.
Создание keytab-файлаC:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser ksmg-sso@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя ksmg-sso - пример cZ8ckcVPysXOOS7m> +dumpsalt -out <путь к файлу>\<имя файла>.keytab - Загрузите keytab-файл на странице настроек ноды KSMG.
Перейти в раздел Settings | Application access | Single Sign-On login
Настройка Kerberos-аутентификации для кластера (опционально)
- Создайте keytab-файл.
Создание keytab-файлаC:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab - Добавьте SPN второго узла в тот же keytab-файла.
Добавление SPN второго узла в keytab-файл
Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду:C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser secondary1-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab
Настройка клиентских рабочих станций для использования SSO
- Проверьте, что узлы KSMG доступны по своим доменным именам.
- В cmd.exe выполните команду nslookup
- Далее в интерфейсе команды проверьте доступность узла KSMG по своему доменному имени <Доменное имя сервера KSMG>@<Имя домена>
- Добавьте узлы KSMG в список сайтов Local intranet. Вариант 2, локально через групповые политики.
Win+r → gpedit.msc
- Добавьте узлы KSMG в список сайтов Local Intranet.
Изменение групповой политики → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка «Безопасность» → Список назначений зоны веб-сайтов
(Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page)
- Примените произведённые изменения в групповых политиках.
- Запустите cmd.exe с правами администратора
- В cmd.exe выполните команду gpupdate /force
- Назначьте роль Viewer или Superuser доменному пользователю, указав его учётную запись.
- Авторизуйтесь на рабочей станции, использую указанную в предыдущем пункте учётную запись и перейдите в web-интерфейс KSMG, введя в строке браузера его доменное имя.
https://ksmg.sales.lab/
Вход будет осуществлён без использования логина и пароля
Интеграция KSMG с KATA
Введение
Kaspersky Secure Mail Gateway (KSMG) — защищает корпоративную почту от спама, фишинга, вредоносных вложений и целевых атак.
Kaspersky Anti Targeted Attack Platform (KATA) — обнаруживает и предотвращает целевые атаки, APT-угрозы и сложные инциденты в корпоративной инфраструктуре.
Интеграция этих решений позволяет:
- Передавать письма из KSMG на анализ в KATA.
- Получать вердикт от KATA и автоматически блокировать, помещать в карантин или помечать письма.
- Увеличить уровень защиты почтовой системы от сложных угроз.
Возможности интеграции
KSMG может быть настроен для работы с KATA в двух режимах:
- Подключение к одному серверу KATA — указывается IP/FQDN Central Node.
- Подключение к нескольким серверам с балансировкой (KATA 5.0+) — автоматическое распределение нагрузки и переключение при отказе.
В этой статье разбираем вариант с одним сервером.
Пошаговая настройка интеграции
Шаг 1. Настройка KSMG
- Войдите в веб-интерфейс KSMG.
- Перейдите в: Параметры → Внешние службы → Защита KATA
На скриншоте показан раздел, где настраивается подключение KATA. - Нажмите Добавить сервер KATA.
В этом окне задаются IP/FQDN и порт подключения к KATA. - Введите:
- IP-адрес или FQDN Central Node.
- Порт (по умолчанию
443).
- Нажмите Далее — появится окно с сертификатом.
Проверьте отпечаток SHA256 и подтвердите. - Активируйте опции:
Отправлять на сервер KATA сообщения без обнаружений— для полной проверки.Отправлять на сервер KATA сообщения с обнаружениями— для дополнительного анализа подозрительных писем.
- Настройте лимиты:
- Время ожидания ответа:
600 сек(от 60 до 86400). - Размер карантина:
1024 МБ(от 1 МБ). - Максимум писем в карантине:
5000(от 1 до 4 294 967 296).
- Время ожидания ответа:
- Сохраните изменения.
Шаг 2. Авторизация KSMG в KATA
- Войдите в веб-интерфейс Central Node KATA.
- Перейдите в раздел Внешние системы.
- Найдите KSMG и подтвердите запрос на авторизацию.
После подтверждения статус изменится на «Авторизован».
Шаг 3. Настройка правил KSMG
- Перейдите в раздел Правила.
- Выберите нужное правило и нажмите Изменить.
- Включите опцию Защита KATA.
Опция включает проверку всех писем по этому правилу в KATA. - Настройте действия: Удалить сообщение, Отклонить, Пропустить.
- Сохраните правило.
Проверка работоспособности
- Отправьте тестовое письмо (например, с EICAR-файлом).
- Убедитесь, что:
- Письмо отправилось на проверку в KATA.
- В KATA появился вердикт.
- KSMG выполнил заданное действие.
Рекомендации
- Включайте проверку всех писем для максимальной защиты.
- Следите за заполнением карантина.
- При высокой нагрузке используйте кластер KATA.
- Периодически проверяйте журналы событий KSMG и KATA.
- Обновляйте версии ПО для получения актуальных алгоритмов анализа.