# KSMG
# Установка и обновление
# Обновление KSMG до версии 3.0
#### ****Инструкция по обновлению Kaspersky Secure Mail Gateway 2.1.1 до версии Kaspersky Secure Mail Gateway 3.0****
****Информация:**** Приведенная на данной странице инфомрация, является разработкой команды ****pre-sales**** и/или ****AntiAPT Community**** и ****НЕ**** ****является**** официальной рекомендацией вендора.
- ****Версия решения:**** 3.0
- ****Тип инструкции:**** Пошаговое руководство по обновлению кластера KSMG
1. Подготовка к обновлению
#### ****1.1. Обязательные действия****
##### Перед началом обновления выполните следующие шаги:
- ✅ Скачайте пакет обновления с [официального сайта](https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint?utm_content=downloads).
- ✅ Создайте резервную копию:
- - В VMware ESXi/vSphere — создайте ****Snapshot**** всей виртуальной машины.
- В веб-интерфейсе KSMG — выполните ****Экспорт параметров**** согласно [инструкции](https://support.kaspersky.com/help/KSMG/3.0VA/ru-RU/225130.htm).
- ✅ Убедитесь, что ****балансировка почтового трафика**** настроена корректно и вы готовы временно отключать узлы от обработки трафика.
⚠️ ****ВАЖНО:****
Все вручную внесённые изменения в шаблоны конфигурационных файлов ****будут утеряны**** при обновлении. Их необходимо будет восстановить ****после обновления****.
---
#### ****1.2. Требования к гипервизору****
##### ****Для VMware:****
- Обязательно обновите гипервизор до ****VMware ESXi 7.0 Update 3**** или ****8.0 Update 3**** (если используется 6.7 или более ранняя версия).
- Установите ****уровень совместимости EVC не ниже Intel "Nehalem"****.
- Обновите ****версию оборудования виртуальной машины до 19 или выше****.
##### ****Для Hyper-V:****
- Отключите параметр ****«Migrate to a physical computer with a different processor version»**** в настройках совместимости процессора.
- Обновите гипервизор до ****Microsoft Hyper-V Server 2019**** или ****Windows Server 2022 с ролью Hyper-V**** (если используется версия 2016 или старше).
****Примечание:**** дополнительная информация по «****Аппаратные и программные требования****» доступна в [****онлайн-документации****](https://support.kaspersky.com/help/KSMG/3.0VA/ru-RU/207071.htm)****.****
---
#### ****1.3. Требования к дисковому пространству****
Убедитесь, что на каждом узле достаточно свободного места:
| ****Раздел****
| ****Минимум****
|
| `/tmp'
| 5 ГБ
|
| '/var'
| 4 ГБ
|
| '/var/log'
| 200 МБ
|
| `/` (корень)
| 1 ГБ
|
---
#### ****1.4. Особенности маршрутизации и LDAP****
⚠️ ****Только для конфигураций, где почтовый сервер и доменный контроллер размещены на одном сервере:****
- Если в разделах ****«Домены»**** или ****«Маршрутизация / MTA»**** указан ****IP-адрес**** такого сервера — ****замените его на FQDN****.
- В KSMG 3.0 используется новый механизм балансировки, и указание IP может вызвать ошибки ****LDAP-интеграции****.
- Если IP почтового сервера ****отличается от IP LDAP-сервера**** — замена ****не требуется****.
---
#### ****1.5. Дополнительная информация и рекомендации****
> 📚 ****Вы можете найти более подробное описание изменений, которые произойдут после обновления, в**** [онлайн-документации Kaspersky](https://support.kaspersky.com/KSMG/3.0VA/ru-RU/)****.****
##### ****Рекомендации для предотвращения потери данных:****
- ✅ ****Вручную обновляйте базы и LDAP-кэш**** каждый раз после установки пакетов обновления на очередной узел.
- ✅ ****При необходимости заново настройте публикацию событий приложения в SIEM-систему****.
- ✅ ****Повторно задайте параметры приложения****, требующие изменения в шаблонах конфигурационных файлов KSMG.
ℹ️ ****Информацию о событиях приложения**** можно найти в ****системных журналах****, доступных в режиме [****Technical Support Mode****](https://antiapt-community.ru/books/ksmg/page/instrukciia-kak-polucit-dostup-po-ssh-k-ksmg).
2. Обновление кластера
#### ****2.1. Подготовка узлов****
1. В веб-интерфейсе ****Управляющего узла**** перейдите в раздел ****«Узлы»****.
2. Убедитесь, что ****все узлы доступны**** и не имеют ошибок.
3. Перейдите в ****«Очередь сообщений» → «Настроить параметры приема и отправки»****.
4. ****Отключите прием сообщений**** на узле, который будет обновляться.
5. Дождитесь, пока ****все сообщения из очереди будут отправлены****.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/LzxSBfMZNaJdR6UL-image.png)
📸 ****Скриншот 1:****
- - ****Интерфейс раздела «Узлы» — все узлы кластера отображаются в состоянии «Онлайн», без ошибок.****
- ****Окно «Настроить параметры приема и отправки» с возможностью отключить/включить обработку почты на выбранном узле.****
---
#### ****2.2. Обновление подчиненного узла****
1. В веб-интерфейсе обновляемого узла нажмите ****«Установить обновление»**** и загрузите скачанный пакет.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/UZcbHpbAzlMLxJUt-image.png)
📸 ****Скриншот 2:****
- - ****Кнопка «Установить обновление» в верхней части веб-интерфейса, рядом с информацией о текущей версии.****
2\. Дождитесь завершения установки и \*\*****перезагрузки веб-интерфейса****\*\*.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/QdNXFuAa8uKJqIlN-image.png)
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/Dmkj2MpywB9EwNev-image.png)
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/EaKkh8jTbekvjMPC-image.png)
📸 ****Скриншот 3:****
- - ****Сообщение о завершении установки и автоматическая перезагрузка страницы браузера.****
3. Нажмите ****«Изменить роль на Управляющий узел»**** (если роль была потеряна).
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/58940xhZxM7JkoGO-image.png)
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/w0xXQDDAH2TFSDwc-image.png)
📸 Скриншот 4:
- - ****Кнопка «Изменить роль на Управляющий узел» в разделе управления узлом.****
4\. На новом управляющем узле выполните:
- ****Обновление баз****
⚠️ Если процесс зависает на 99% или выдаёт ошибку — ****повторно загрузите лицензионный файл**** и активируйте его. После этого повторите обновление баз.
- ****Обновление LDAP-кэша**** (если настроен LDAP)
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/gCJeKngcSWKy41IQ-image.png)
📸 Скриншот 5:
- ****Синхронизацию с Active Directory**** (если LDAP не настроен)
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/0Pli8g1k0pg4XgpM-image.png)
📸 Скриншот 6:
- ****Включите KSN-интеграцию****
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/XFmJkrOtHtRI8DOy-image.png)
📸 Скриншот 7:
5. ****Включите прием сообщений только на этом узле****.
6. Отправьте ****тестовое письмо**** и убедитесь в корректной доставке.
Повторите действия ****для каждого подчинённого узла****.
---
#### ****2.3. Обновление управляющего узла****
1. В интерфейсе бывшего управляющего узла ****отключите прием сообщений**** на целевом узле.
2\. Дождитесь отправки всех сообщений из очереди.
3. Перейдите в раздел ****«Узлы»****, назначьте узлу роль ****«Подчинённый узел»****.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/oBDM4lpC4dDaulpE-image.png)
📸 Скриншот 8:
- - ****Назначение роли «Подчинённый узел» в списке узлов кластера.****
4. На самом узле нажмите ****«Установить обновление»**** и загрузите пакет.
5. После обновления — ****повторите шаги по обновлению баз и LDAP-кэша**** при необходимости.
🔄 При необходимости ****верните роль «Управляющий узел»**** исходному серверу.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/urRHwvzeveeShFcc-image.png)
📸 Скриншот 9:
> 📁 ****Лог установки:**** `/var/log/kaspersky/ksmg/patch.log`
3. Постобновление
##### После успешного обновления всего кластера ****рекомендуется****:
- ✅ ****Вручную обновить базы и LDAP-кэш**** на всех узлах.
- ✅ ****Проверить и при необходимости заново настроить**** интеграцию с [****SIEM-системой****](https://support.kaspersky.com/help/KSMG/3.0VA/ru-RU/218660.htm).
- ✅ ****Восстановить кастомные настройки**** в шаблонах конфигурационных файлов (если они использовались).
- ✅ Убедиться, что ****все узлы принимают и отправляют почту**** без ошибок.
ℹ️ Информацию о событиях приложения можно найти в ****системных журналах****, доступных в режиме [****Technical Support Mode****](https://antiapt-community.ru/books/ksmg/page/instrukciia-kak-polucit-dostup-po-ssh-k-ksmg).
ℹ️ ****Информация****: Приведённая на данной странице информация является разработкой команды pre-sales и/или AntiAPT Community и ****НЕ является официальной рекомендацией вендора****.
Официальная документация по данному разделу приведена в [Онлайн-справке на продукт](https://support.kaspersky.com/help/KSMG/3.0VA/ru-RU/207071.htm).
---
### 📦 Установка Kaspersky Secure Mail Gateway (KSMG) 3.0
****Версия решения:**** 2.1 - 3.0
****Тип установки:**** Standalone (Управляющий узел + обработка на одном сервере)
⚠️ ****Очень важно****:
Точный расчёт аппаратных ресурсов (****сайзинг****) возможен ****только после анализа нагрузки**** (MPD, MPH, MPS).
Представленные ниже требования обеспечивают пропускную способность до ****10 сообщений/сек при среднем размере письма 300 КБ****.
Для высоконагруженных сред требуется кластерная архитектура и предварительный расчёт от партнёра Kaspersky.
💡 ****Важно****: Подробнее о принципе работы KSMG описано в [онлайн-документации](https://support.kaspersky.com/help/KSMG/3.0VA/ru-RU/207071.htm).
1. Подготовка
### 1.1. Варианты установки и обработки сообщений
KSMG поддерживает ****три основных сценария интеграции****, определяющих, ****как обрабатываются почтовые сообщения****:
| ****Вариант****
| ****Описание****
| ****Влияние на mail flow****
|
|---|
| ****Пограничный почтовый шлюз****
| KSMG устанавливается на периметре сети и обрабатывает ****весь входящий и исходящий трафик****. Может выступать как MX-запись.
| ✅ Полный контроль над mail flow
|
| ****Внутренний почтовый шлюз****
| KSMG устанавливается внутри сети и анализирует трафик между почтовым сервером и внешним миром (или между сегментами).
| ✅ Влияет на mail flow, но не является MX
|
| ****BCC-анализ (копия трафика)****
| На KSMG подаётся ****зеркалированная копия**** почтового трафика (например, через BCC или SPAN). ****Решение не влияет на доставку писем****.
| ❌ Только мониторинг и анализ
|
💡 ****Рекомендация****:
- Для ****пилотного проекта**** рекомендуется начать с ****BCC-анализа**** — это безопасно и не требует изменения маршрутизации.
- Для ****продуктивного внедрения**** — используйте ****пограничный шлюз****.
---
### 1.2. Варианты архитектуры развёртывания
| Вариант
| Описание
|
|---|
| ****Standalone****
| Управляющий узел + обработка на одной ВМ. Подходит для пилотных внедрений и небольших организаций.
|
| ****Кластер****
| Отказоустойчивая система: минимум 2 узла (1 управляющий + 1 подчинённый). Обеспечивает балансировку и отказоустойчивость.
|
| ****Распределённое решение****
| Несколько кластеров в филиалах с централизованным управлением через DNS или балансировщик.
|
> 💡 ****Рекомендация****:- Смена архитектуры (например, с Standalone на кластер) возможна ****без переустановки**** — достаточно добавить узлы.
> - Для кластера обязательно настройте ****время (NTP)**** и ****DNS-записи**** для всех узлов.
---
### 1.3. Требования к оборудованию
| Компонент
| Требование
|
|---|
| ****Режим загрузки****
| Обязательно ****UEFI****
|
| ****Процессор****
| Минимум ****8 ядер**** (рекомендуется Intel Xeon или AMD EPYC)
|
| ****ОЗУ****
| Минимум ****16 ГБ****
|
| ****Диски****
| Минимум ****200 ГБ**** (SSD или SAS HDD 10K+)
|
| ****RAID****
| Поддерживается как аппаратный, так и программный RAID
|
| ****Сеть****
| 1+ сетевой интерфейс
|
🔹 ****Производительность****:
- 8 ядер / 16 ГБ ОЗУ → до ****10 сообщений/сек****
****-**** Для увеличения пропускной способности — масштабируйте горизонтально (добавляйте узлы)
---
### 1.4. Платформы виртуализации
Поддерживаются:
- ****VMware ESXi 6.7 / 7.0****
- ****Microsoft Hyper-V****
- ****РЕД Виртуализация 7.3****
- ****Astra Linux SE / zVirt Node****
📌 ****Примечание для VMware****:
- Уровень совместимости EVC ≥ ****Intel Nehalem****
- Тип диска: ****Thick Provision**** (рекомендуется)
---
### 1.5. Сетевые требования
Перед установкой:
- Создайте ****A-запись и PTR-запись**** (обратную) в DNS для FQDN KSMG (например, `ksmg.company.local`)
- Убедитесь, что KSMG имеет доступ к:
- ****Серверам обновления****: `antiapt.kaspersky-labs.com`, `activation-v2.kaspersky.com`
- ****KSN/KPSN**** (если используется): `*.ksn.kaspersky-labs.com`
---
### 1.6. Порты и серверы обновлений
| Сервис
| URL / Порт
|
|---|
| ****Обновления****
| `https://antiapt.kaspersky-labs.com`
|
| ****Активация****
| `https://activation-v2.kaspersky.com`
|
| ****KSN****
| `*.ksn.kaspersky-labs.com` (HTTPS)
|
| ****Веб-интерфейс****
| `TCP/443`
|
| ****Кластерное взаимодействие****
| `TCP/9045`
|
2. Установка
### 2.1. Общая последовательность
1. Создайте ВМ согласно требованиям
2. Установите KSMG с ISO-образа
3. Выполните первоначальную настройку через TUI
4. Настройте кластер (если нужно)
5. Активируйте лицензию и обновите базы
6. Создайте учётную запись Офицера безопасности
---
### 2.2. Создание виртуальной машины (VMware vSphere)
****Если требуется****, то после создания перейдите к управлению данной ВМ. На ВМ необходимо включить режим «VMware EVC» согласно требованиям, для этого в разделе «Configure → VMware EVC» необходимо включить данный режим, обязательно уровень совместимости должен быть не ниже «Intel «Nehalem»».
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/BGAFSII5Zlr7zPMz-image.png)
📸 ****Скриншот 1****:
**Выбор совместимости — «Intel Nehalem»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/hyTzIDFDxK9sm3C6-image.png)
📸 ****Скриншот 2****:
**Настройка оборудования: CPU, RAM, HDD, сеть, CD/DVD**
---
### 2.3. Процесс установки
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/F8GPKG01X5eAjUci-image.png)
📸 ****Скриншот 3****:
**Выбор «Install — KSMG»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/CnTTTDPKwsTilJgT-image.png)
📸 ****Скриншот 4****:
**Выбор языка установки**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/EPGqT3PknKamhkrp-image.png)[](https://antiapt-community.ru/uploads/images/gallery/2026-03/wwEDFlRxZ6gad4TK-image.png)
📸 ****Скриншот 5****:
**Принятие лицензионного соглашения**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/Nzst3KmUh6aIj3F7-image.png)
📸 ****Скриншот 6****:
**Предупреждение о требованиях к железу**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/06pw6K03DXosDtHo-image.png)
📸 ****Скриншот 7****:
**Выбор диска для установки**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/XALa3qROvZxFY8W7-image.png)
📸 ****Скриншот 8****:
**Подтверждение очистки диска — «Yes»**
****Дождитесь окончания копирования файлов на диск. Далее последует перезагрузка.****
---
### 2.4. Первоначальная настройка через TUI
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/Ji6GpP1pSpviHOrW-image.png)
📸 ****Скриншот 9****:
**Выбор «Kaspersky Secure Mail Gateway» при загрузке с HDD**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/qd6KlpFGc0kPmbWT-image.png)
📸 ****Скриншот 10****:
**Меню NetworkManager TUI — выбор «Set system hostname»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/zy30hgyTNemGe3ik-image.png)
📸 ****Скриншот 11****:
**Указание FQDN (например,* `ksmg.company.local`*)**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/o0MQ0GGXG7Oarovb-image.png)
📸 ****Скриншот 12****:
**Выбор «Edit a connection» для настройки сети**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/HFixXHktKSBMTBhz-image.png)
📸 ****Скриншот 13****:
**Выбор сетевого адаптера — «Wired connection 1»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/2gKpgiaBXryZxWNv-image.png)
📸 ****Скриншот 14****:
**Настройка IPv4 — выбор «Automatic» (DHCP) или статик, после подтверждение настройки — кнопка «OK»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/HwGxkT17hCFuVIyJ-image.png)
📸 ****Скриншот 16****:
**Возврат в главное меню — «Back»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/R8xbADEKTNZfj4Xh-image.png)
📸 ****Скриншот 17****:
**Завершение настройки — «Quit»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/hI2EG3PNgaj0Lo38-image.png)
📸 ****Скриншот 18****:
**Указание IP-адреса для кластерного взаимодействия**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/jMpQrckcmc8QYgJ7-image.png)
📸 ****Скриншот 19****:
**Указание порта кластера —* `9045`*
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/ZtgGJXvMfSijVXam-image.png)
📸 ****Скриншот 20****:
**Указание порта веб-интерфейса —* `443`*
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/BFR24n8F6B5Xmu8w-image.png)
📸 ****Скриншот 21****:
**Задание пароля администратора**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/CAEBsQljNhWMW2ei-image.png)
📸 ****Скриншот 22****:
**Сохранение отпечатка SSL-сертификата**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/5JwV448D6hNYxoC9-image.png)
📸 ****Скриншот 23****:
**Создание PTR-записи в DNS Manager**
3. Настройка
### 3.1. Доступ к веб-интерфейсу
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/gSet1RSh4KYDMkur-image.png)
📸 ****Скриншот 24****:
**Вход в веб-интерфейс —* `https://`*
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/kZPfM3j2PEWuhrvY-image.png)
📸 ****Скриншот 25****:
**Экран входа: логин* `Administrator`*, пароль**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/4cshOuTILiQ3626K-image.png)
📸 ****Скриншот 26****:
Создайте новый кластер. Нажмите **«Create new cluster»**
---
### 3.2. Лицензирование и обновление
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/7niNTU8h0SC5ZDG5-image.png)
📸 ****Скриншот 27****:
**Активация лицензии — ввод кода или загрузка файла**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/w5VckwOqHeLszlcT-image.png)
📸 ****Скриншот 28****:
**Обновление баз — кнопка «Обновить базы»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/6P6MG9DpCL9xMyU2-image.png)
📸 ****Скриншот 29****:
**Перезагрузка Управляющего узла — «Узлы → Перезагрузить»**
---
### 3.3. Добавление подчинённого узла (кластер)
Чтобы программа могла выполнять балансировку без сбоев, нужно добавить в кластер хотя бы один «подчинённый узел». Для этого нужно создать ещё одну виртуальную машину и установить на неё Kaspersky Secure Mail Gateway, как и в предыдущих шагах.
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/B7FywRA7FX5GkUu0-image.png)
📸 ****Скриншот 30****:
**Добавление узла — «Узлы → Добавить узел»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/eZGwO766num27Vnw-image.png)
📸 ****Скриншот 31****:
**Указание IP подчинённого узла**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/yjMkvgXM6dfJPV2w-image.png)
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/XcCEe8SDUQBL9gGQ-image.png)
📸 ****Скриншот 32****:
**Подтверждение отпечатка сертификата**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/VoxUZQuWqcTqGTG8-image.png)
📸 ****Скриншот 33****:
**Перезагрузка подчинённого узла после синхронизации**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/nPVZIwvXGV12IETD-image.png)
📸 ****Скриншот 34****:
**Перезагрузка подчинённого узла после синхронизации**
---
### 3.4. Включение KSN
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/KbAZoVi4F3IaPzFM-image.png)
📸 ****Скриншот 35****:
**Настройка KSN — «Я согласен участвовать в KSN»**
[](https://antiapt-community.ru/uploads/images/gallery/2026-03/hXxUTiZRAqWep5MA-image.png)
📸 ****Скриншот 36****:
**Статус «Состояние соединения KSN/KPSN — Без ошибок»**
---
****Первоначальная настройка «****Kaspersky Secure Mail Gateway****» завершена.****
---
Создание файла трассировки
При возникновении неполадок с решением KSMG необходимо собрать файл трассировки.
Файл трассировки следует создавать после воспроизведения действий пользователя, которые привели к возникновению неполадки.
Для создания файла трассировки выполните следующие действия:
- В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные
В рабочей области отобразится таблица узлов кластера с информацией о времени последнего создания файла трассировки для каждого узла.
- В таблице выберите узел, для которого вы хотите получить диагностическую информацию.
Откроется окно Просмотреть результаты
- В нижней части окна нажмите на кнопку Запустить
Будет создан архив с диагностической информацией.
Изменение уровня трассировки
Изменение уровня трассировки сохраняется в конфигурации приложения и не влияет на уже созданные файлы трассировки.
Для изменения уровня трассировки выполните следующие действия:
- В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные
- Нажмите на кнопку Уровень диагностики
Откроется окно Уровень диагностики
- Выберите один из следующих вариантов:
Ошибки/Отладка
Этот уровень трассировки значительно повышает требования к подсистеме хранения данных и снижает производительность приложения. Используйте уровень отладки, только если Служба технической поддержки "Лаборатории Касперского" просит предоставить файлы трассировки такого типа.
По умолчанию установлено значение Ошибки.
- Нажмите на кнопку Сохранить.
Уровень трассировки будет изменен. Новые файлы трассировки будут создаваться в соответствии с выбранным уровнем.
Скачивание файла трассировки
Для того, чтобы скачать файл трассировки:
- В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные
В рабочей области отобразится таблица узлов кластера с информацией о времени последнего создания файла трассировки для каждого узла.
- В таблице выберите узел, для которого вы хотите скачать файл трассировки.
Откроется окно Просмотреть результаты
- В строке с нужным файлом нажмите на значок Скачать. справа от названия файла.
Архив с файлом будет сохранен на вашем компьютере в папке загрузки браузера.
Получение информации с помощью утилиты collect_diag_info.py
Описание процесса сбора диагностической информации с помощью утилиты collect_diag_info.py
Утилита расположена в директории /opt/kaspersky/ksmg/bin
Для получения информации выполните следующие действия:
- Подключитесь к консоли управления виртуальной машиной KSMG под учетной записью root, используя закрытый ключ SSH.
Вы войдете в режим Technical Support Mode
- Выполните следующую команду:
/opt/kaspersky/ksmg/bin/collect_diag_info.py <полный путь к архиву с диагностической информацией> 2> <полный путь к файлу журнала утилиты>
Пример:
/opt/kaspersky/ksmg/bin/collect_diag_info.py /tmp/diaginfo.tar.gz 2> /tmp/log.file
В результате работы утилиты будет создан архив с диагностической информацией и файл журнала утилиты. Эти файлы необходимо передать сотрудникам Службы технической поддержки.
Диагностика
Диагностика неисправностей Moebius
Как собрать диагностическую информацию о работе KSMG
# Инструкции по настройке
# Инструкция как получить доступ по SSH к KSMG
****Информация:**** Приведенная на данной странице информация, является разработкой команды ****pre-sales**** и/или ****AntiAPT Community**** и ****НЕ**** ****является**** официальной рекомендацией вендора.
- ****Версия решения:**** 3.0
- ****Тип инструкции:**** Инструкция как получить доступ по SSH к KSMG
#### ****Описание задачи****
KSMG администратор может подключиться к любой ноде по протоколу SSH, чтобы работать с программой в Technical Support Mode, используя командную строку. Чтобы это реализовать необходимо сгенерировать SSH ключи, загрузить SSH публичный ключ в программу используя веб-интерфейс. После установки ключа на сервер с главной нодой, он будет распространен и сохранен на другие, связанные с ней, KSMG ноды.
****В данной инструкции используется программа PuTTY.****
****Вы можете использовать любой другой аналог.****
---
Создание пары ключей
1. Скачайте PuTTY, зайдите в папку, куда установилась ****PuTTY****, запустите ****PuTTYgen****.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/CRewaB7M4FWrALCR-image.png)
📸 ****Скриншот 1:**** Экран "****Выбор приложения****"
2. Проверьте эти параметры: ****Type of key to generate**** – ****RSA****, ****Number of bits in a generated key**** – ****2048****. Нажмите ****Generate****. Двигайте мышкой случайным образом, пока не заполнится шкала ****key****.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/8aDC3TXNGv3j37it-image.png)
📸 ****Скриншот 2:**** Экран "****Генерация ключа****"
3. Укажите ****passphrase****. Введите такое же кодовое слово в ****Confirm passphrase****. Затем нажмите ****Save private key****, и укажите имя и место сохранения.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/pzS8BuiW7h1hS9Hh-image.png)
📸 ****Скриншот 3:**** Экран "****Сохранение ключа****"
4. Скопируйте публичный ключ, он находится в поле ****Public key for pasting into OpenSSH authorized\_keys file****.
5. Переместитесь в веб-интерфейс KSMG. Перейдите ****Параметры** **→** **Доступ по SSH** **→** **Добавить ключ****. Заполните поле "****Описание****" и вставьте скопированный ключ в поле "****Данные ключа"****. Нажмите "****Добавить****".
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/gr2dkknsZdoQbPfb-image.png)
📸 ****Скриншот 4:**** Экран "****Загрузка ключа****"
Соединение KSMG используя SSH
1. Запустите ****PuTTY****. Перейдите по вкладкам ****Connection** **→** **SSH** **→** **Auth****. В поле справа выберете сохраненный файл закрытого ключа.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/TOruktlrq3Qrn72p-image.png)
📸 ****Скриншот 5:**** Экран "****Применение ключа****"
2. Перейдите во вкладку ****Session****. Введите в полях: Host Name (or IP adderss) - ****IP-адрес KSMG****, Port – 22, Connection type – SSH. Нажмите ****Open****.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/Fpi63IPG0xVC4fTT-image.png)
📸 ****Скриншот 6:**** Экран "****По****д****ключение к KSMG по SSH****"
3. Нажмите ****Accept****.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/KNWDH9b2SD4KVdqk-image.png)
📸 ****Скриншот 7:**** Экран "****Подтвердите подключение к KSMG по SSH****"
4. Введите Login as – ****root****, Passphrase for key ту, которую указывали при генерации ключа. Вы успешно подключились.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/KSjSqj38BOkSpfBs-image.png)
📸 ****Скриншот 8:**** Экран "****Подтвердите подключение к KSMG по SSH****"
Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Secure Mail Gateway для подключения к веб-интерфейсу программы.
Данная статья описывает процесс настройки интеграции LDAP
Подготовка корпоративной инфраструктуры
- Время на всех нодах кластера KSMG и контроллерах домена должно быть синхронизировано c использованием единого NTP-сервера;
- Все ноды DNS-сервера, указанные при установке должны быть доступны;
- На корпоративном DNS-сервере нужны прямая A-запись и обратная PTR-запись для KSMG;
- Для каждого домена и поддомена необходимо формировать отдельный keytab-файл, чтобы иметь возможность видеть необходимый каталог пользователей;
- При интеграции по LDAP отсутсвует возможность настройки порта подключения к контроллеру домена. Настройки подключения получают из корпоративного DNS-сервера по SRV-записи необходимого контроллера домена;
- Создание учётных записей для LDAP и SSO рекомендуется выполнять через графический интерфейс управления контроллером домена;
Дополнительные требования к keytab-файлу
- Для проверки подлинности прокси и SSO полное доменное имя, указанное в keytab-файле, всегда должно совпадать с реальным и используемым полным доменным именем. Для проверки подлинности прокси адрес, который используется в настройках прокси в браузере, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле;
- Для единого входа адрес в адресной строке браузера, который используется для доступа к веб-интерфейсу KSMG, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле и ДОЛЖЕН соответствовать реальному и используемому полному доменному имени KSMG и полному доменному имени, настроенному в операционной системе. Но для LDAP полное доменное имя в keytab-файле SPN должно иметь действительные записи в DNS, включая PTR-запись. Кроме того для keytab-файла LDAP вообще не обязательно иметь имя участника службы, но оно должно быть доступно для прокси-сервера и единого входа;
- Для проверки подлинности LDAP невозможно иметь несколько записей SPN в keytab-файле. Но в случае прокси-аутентификации и SSO-аутентификации вы можете создать несколько записей. Для LDAP это делать не нужно;
- У вас не может быть дубликатов имени участника службы. Это значит, что вы не можете создать два keytab-файла с дублирующимся SPN (включая полное доменное имя);
- Пользователь, учётная запись которого использовалась для создания keytab-файла, должен содержать в Distinguished Name только латинские символы, поэтому во всем пути к пользователю в AD не должно быть ни кириллицы, ни других символов;
Настройка LDAP
ВАЖНО! Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и при доступе через SSH.
- Создайте пользователя в AD.
- Активная опция – Password never expires
- Активная опция – This account supports Kerveros AES 256bit encryption
- Создайте keytab-файл.
Создание keytab-файла
C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab
- Загрузите keytab-файл на странице настроек ноды KSMG.
Синхронизация происходит раз в 30 минут. Статус синхронизации можно посмотреть в разделе Nodes:
Cинхронизация узлов кластера KSMG по LDAP происходит независимо, то есть для них можно использовать одну и ту же учётную запись и keytab-файл.
Если синхронизация по каким-то причинам не происходит, KSMG будет использовать информацию из кэша (кэш удаляется только если удалить LDAP-соединение).
Настройка SSO
- Создайте другого пользователя в AD.
- Активная опция – Password never expires
- Активная опция – This account supports Kerveros AES 256bit encryption
- Создайте keytab-файл.
Создание keytab-файлаC:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser ksmg-sso@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя ksmg-sso - пример cZ8ckcVPysXOOS7m> +dumpsalt -out <путь к файлу>\<имя файла>.keytab
- Загрузите keytab-файл на странице настроек ноды KSMG.
Перейти в раздел Settings | Application access | Single Sign-On login
Настройка Kerberos-аутентификации для кластера (опционально)
- Создайте keytab-файл.
Создание keytab-файлаC:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab
- Добавьте SPN второго узла в тот же keytab-файла.
Добавление SPN второго узла в keytab-файл
Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду:C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser secondary1-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab
Настройка клиентских рабочих станций для использования SSO
- Проверьте, что узлы KSMG доступны по своим доменным именам.
- В cmd.exe выполните команду nslookup
- Далее в интерфейсе команды проверьте доступность узла KSMG по своему доменному имени <Доменное имя сервера KSMG>@<Имя домена>
- Добавьте узлы KSMG в список сайтов Local intranet. Вариант 2, локально через групповые политики.
Win+r → gpedit.msc
- Добавьте узлы KSMG в список сайтов Local Intranet.
Изменение групповой политики → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка «Безопасность» → Список назначений зоны веб-сайтов
(Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page)
- Примените произведённые изменения в групповых политиках.
- Запустите cmd.exe с правами администратора
- В cmd.exe выполните команду gpupdate /force
- Назначьте роль Viewer или Superuser доменному пользователю, указав его учётную запись.
- Авторизуйтесь на рабочей станции, использую указанную в предыдущем пункте учётную запись и перейдите в web-интерфейс KSMG, введя в строке браузера его доменное имя.
https://ksmg.sales.lab/
Вход будет осуществлён без использования логина и пароля
# Интеграция KSMG с KATA
## Введение
****Kaspersky Secure Mail Gateway (KSMG)**** — защищает корпоративную почту от спама, фишинга, вредоносных вложений и целевых атак.
****Kaspersky Anti Targeted Attack Platform (KATA)**** — обнаруживает и предотвращает целевые атаки, APT-угрозы и сложные инциденты в корпоративной инфраструктуре.
Интеграция этих решений позволяет:
- Передавать письма из KSMG на анализ в KATA.
- Получать вердикт от KATA и автоматически блокировать, помещать в карантин или помечать письма.
- Увеличить уровень защиты почтовой системы от сложных угроз.
---
## Возможности интеграции
KSMG может быть настроен для работы с KATA в двух режимах:
1. ****Подключение к одному серверу KATA**** — указывается IP/FQDN Central Node.
2. ****Подключение к нескольким серверам с балансировкой**** **(KATA 5.0+)** — автоматическое распределение нагрузки и переключение при отказе.
В этой статье разбираем ****вариант с одним сервером****.
---
## Пошаговая настройка интеграции
### ****Шаг 1. Настройка KSMG****
1. Войдите в веб-интерфейс KSMG.
2. Перейдите в: ****Параметры → Внешние службы → Защита KATA****
 *****На скриншоте показан раздел, где настраивается подключение KATA.*****
3. Нажмите ****Добавить сервер KATA****.
*****В этом окне задаются IP/FQDN и порт подключения к KATA.*****
4. Введите:
- ****IP-адрес или FQDN**** Central Node.
- ****Порт**** (по умолчанию `443`).
5. Нажмите ****Далее**** — появится окно с сертификатом.
[](http://62.113.113.15/uploads/images/gallery/2025-08/scaled-1680-/vnesnie-sistemy.png)
*****Проверьте отпечаток SHA256 и подтвердите.*****
6. Активируйте опции:
- `Отправлять на сервер KATA сообщения без обнаружений` — для полной проверки.
- `Отправлять на сервер KATA сообщения с обнаружениями` — для дополнительного анализа подозрительных писем.
7. Настройте лимиты:
- ****Время ожидания ответа****: `600 сек` (от 60 до 86400).
- ****Размер карантина****: `1024 МБ` (от 1 МБ).
- ****Максимум писем в карантине****: `5000` (от 1 до 4 294 967 296).
8. Сохраните изменения.
---
### ****Шаг 2. Авторизация KSMG в KATA****
1. Войдите в веб-интерфейс ****Central Node KATA****.
2. Перейдите в раздел ****Внешние системы****.
3. Найдите KSMG и подтвердите запрос на авторизацию.
*****После подтверждения статус изменится на «Авторизован».*****
---
### ****Шаг 3. Настройка правил KSMG****
1. Перейдите в раздел ****Правила****.
2. Выберите нужное правило и нажмите ****Изменить****.
3. Включите опцию ****Защита KATA****.
*****Опция включает проверку всех писем по этому правилу в KATA.*****
4. Настройте действия: Удалить сообщение, Отклонить, Пропустить.
5. Сохраните правило.
---
## Проверка работоспособности
1. Отправьте тестовое письмо (например, с EICAR-файлом).
2. Убедитесь, что:
- Письмо отправилось на проверку в KATA.
- В KATA появился вердикт.
- KSMG выполнил заданное действие.
---
## Рекомендации
- Включайте ****проверку всех писем**** для максимальной защиты.
- Следите за заполнением карантина.
- При высокой нагрузке используйте ****кластер KATA****.
- Периодически проверяйте журналы событий KSMG и KATA.
- Обновляйте версии ПО для получения актуальных алгоритмов анализа.
---