Руководство по установке и настройке компонента Kaspersky Secure Mail Gateway (KSMG) 3.0
ℹ️ Информация: Приведённая на данной странице информация является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт.
📦 Установка Kaspersky Secure Mail Gateway (KSMG) 3.0
Версия решения: 2.1 - 3.0
Тип установки: Standalone (Управляющий узел + обработка на одном сервере)
⚠️ Очень важно:
Точный расчёт аппаратных ресурсов (сайзинг) возможен только после анализа нагрузки (MPD, MPH, MPS).
Представленные ниже требования обеспечивают пропускную способность до 10 сообщений/сек при среднем размере письма 300 КБ.
Для высоконагруженных сред требуется кластерная архитектура и предварительный расчёт от партнёра Kaspersky.
💡 Важно: Подробнее о принципе работы KSMG описано в онлайн-документации.
1. Подготовка
1.1. Варианты установки и обработки сообщений
KSMG поддерживает три основных сценария интеграции, определяющих, как обрабатываются почтовые сообщения:
Вариант | Описание | Влияние на mail flow |
|---|---|---|
Пограничный почтовый шлюз | KSMG устанавливается на периметре сети и обрабатывает весь входящий и исходящий трафик. Может выступать как MX-запись. | ✅ Полный контроль над mail flow |
Внутренний почтовый шлюз | KSMG устанавливается внутри сети и анализирует трафик между почтовым сервером и внешним миром (или между сегментами). | ✅ Влияет на mail flow, но не является MX |
BCC-анализ (копия трафика) | На KSMG подаётся зеркалированная копия почтового трафика (например, через BCC или SPAN). Решение не влияет на доставку писем. | ❌ Только мониторинг и анализ |
💡 Рекомендация:
- Для пилотного проекта рекомендуется начать с BCC-анализа — это безопасно и не требует изменения маршрутизации.
- Для продуктивного внедрения — используйте пограничный шлюз.
1.2. Варианты архитектуры развёртывания
Вариант | Описание |
|---|---|
Standalone | Управляющий узел + обработка на одной ВМ. Подходит для пилотных внедрений и небольших организаций. |
Кластер | Отказоустойчивая система: минимум 2 узла (1 управляющий + 1 подчинённый). Обеспечивает балансировку и отказоустойчивость. |
Распределённое решение | Несколько кластеров в филиалах с централизованным управлением через DNS или балансировщик. |
💡 Рекомендация:
- Смена архитектуры (например, с Standalone на кластер) возможна без переустановки — достаточно добавить узлы.
- Для кластера обязательно настройте время (NTP) и DNS-записи для всех узлов.
1.3. Требования к оборудованию
Компонент | Требование |
|---|---|
Режим загрузки | Обязательно UEFI |
Процессор | Минимум 8 ядер (рекомендуется Intel Xeon или AMD EPYC) |
ОЗУ | Минимум 16 ГБ |
Диски | Минимум 200 ГБ (SSD или SAS HDD 10K+) |
RAID | Поддерживается как аппаратный, так и программный RAID |
Сеть | 1+ сетевой интерфейс |
🔹 Производительность:
- 8 ядер / 16 ГБ ОЗУ → до 10 сообщений/сек
- Для увеличения пропускной способности — масштабируйте горизонтально (добавляйте узлы)
1.4. Платформы виртуализации
Поддерживаются:
- VMware ESXi 6.7 / 7.0
- Microsoft Hyper-V
- РЕД Виртуализация 7.3
- Astra Linux SE / zVirt Node
📌 Примечание для VMware:
- Уровень совместимости EVC ≥ Intel Nehalem
- Тип диска: Thick Provision (рекомендуется)
1.5. Сетевые требования
Перед установкой:
- Создайте A-запись и PTR-запись (обратную) в DNS для FQDN KSMG (например,
ksmg.company.local) - Убедитесь, что KSMG имеет доступ к:
- Серверам обновления:
antiapt.kaspersky-labs.com,activation-v2.kaspersky.com - KSN/KPSN (если используется):
*.ksn.kaspersky-labs.com
- Серверам обновления:
1.6. Порты и серверы обновлений
Сервис | URL / Порт |
|---|---|
Обновления |
|
Активация |
|
KSN |
|
Веб-интерфейс |
|
Кластерное взаимодействие |
|
2. Установка
2.1. Общая последовательность
- Создайте ВМ согласно требованиям
- Установите KSMG с ISO-образа
- Выполните первоначальную настройку через TUI
- Настройте кластер (если нужно)
- Активируйте лицензию и обновите базы
- Создайте учётную запись Офицера безопасности
2.2. Создание виртуальной машины (VMware vSphere)
Если требуется, то после создания перейдите к управлению данной ВМ. На ВМ необходимо включить режим «VMware EVC» согласно требованиям, для этого в разделе «Configure → VMware EVC» необходимо включить данный режим, обязательно уровень совместимости должен быть не ниже «Intel «Nehalem»».
📸 Скриншот 1:
Выбор совместимости — «Intel Nehalem»
📸 Скриншот 2:
Настройка оборудования: CPU, RAM, HDD, сеть, CD/DVD
2.3. Процесс установки
📸 Скриншот 3:
Выбор «Install — KSMG»
📸 Скриншот 4:
Выбор языка установки
📸 Скриншот 5:
Принятие лицензионного соглашения
📸 Скриншот 6:
Предупреждение о требованиях к железу
📸 Скриншот 7:
Выбор диска для установки
📸 Скриншот 8:
Подтверждение очистки диска — «Yes»
Дождитесь окончания копирования файлов на диск. Далее последует перезагрузка.
2.4. Первоначальная настройка через TUI
📸 Скриншот 9:
Выбор «Kaspersky Secure Mail Gateway» при загрузке с HDD
📸 Скриншот 10:
Меню NetworkManager TUI — выбор «Set system hostname»
📸 Скриншот 11:
Указание FQDN (например, ksmg.company.local)
📸 Скриншот 12:
Выбор «Edit a connection» для настройки сети
📸 Скриншот 13:
Выбор сетевого адаптера — «Wired connection 1»
📸 Скриншот 14:
Настройка IPv4 — выбор «Automatic» (DHCP) или статики
📸 Скриншот 15:
Подтверждение настройки — кнопка «OK»
📸 Скриншот 16:
Возврат в главное меню — «Back»
📸 Скриншот 17:
Завершение настройки — «Quit»
📸 Скриншот 18:
Указание IP-адреса для кластерного взаимодействия
📸 Скриншот 19:
Указание порта кластера — 9045
📸 Скриншот 20:
Указание порта веб-интерфейса — 443
📸 Скриншот 21:
Задание пароля администратора
📸 Скриншот 22:
Сохранение отпечатка SSL-сертификата
📸 Скриншот 23:
Создание PTR-записи в DNS Manager
3. Настройка
3.1. Доступ к веб-интерфейсу
📸 Скриншот 30 (стр. 30):
Вход в веб-интерфейс — https://<IP_или_FQDN>
📸 Скриншот 31 (стр. 31):
Экран входа: логин Administrator, пароль
📸 Скриншот 32 (стр. 31):
Кнопка «Create new cluster»
3.2. Лицензирование и обновление
📸 Скриншот 33 (стр. 32):
Активация лицензии — ввод кода или загрузка файла
📸 Скриншот 34 (стр. 32):
Обновление баз — кнопка «Обновить базы»
📸 Скриншот 35 (стр. 33):
Перезагрузка Управляющего узла — «Узлы → Перезагрузить»
3.3. Добавление подчинённого узла (кластер)
📸 Скриншот 36 (стр. 34):
Добавление узла — «Узлы → Добавить узел»
📸 Скриншот 37 (стр. 34):
Указание IP подчинённого узла
📸 Скриншот 38 (стр. 35):
Подтверждение отпечатка сертификата
📸 Скриншот 39 (стр. 36):
Перезагрузка подчинённого узла после синхронизации
3.4. Включение KSN
📸 Скриншот 40 (стр. 37):
Настройка KSN — «Я согласен участвовать в KSN»
📸 Скриншот 41 (стр. 38):
Статус «Состояние соединения KSN/KPSN — Без ошибок»
3.5. Создание учётной записи Офицера безопасности
📸 Скриншот 42 (стр. 40):
Вход под Administrator
📸 Скриншот 43 (стр. 41):
Раздел «Учетные записи и роли»
📸 Скриншот 44 (стр. 42):
Создание новой учётной записи — ввод логина и пароля
📸 Скриншот 45 (стр. 43):
Выбор роли — «Старший сотрудник службы безопасности»
📸 Скриншот 46 (стр. 44):
Создание новой роли — указание привилегий
📸 Скриншот 47 (стр. 45):
Сохранение роли
📸 Скриншот 48 (стр. 45):
Завершение создания учётной записи
3.6. Настройка доступа по SSH
📸 Скриншот 49 (стр. 46):
Запуск PuTTYgen
📸 Скриншот 50 (стр. 47):
Генерация RSA-ключа — 2048 бит
📸 Скриншот 51 (стр. 48):
Сохранение приватного ключа и копирование публичного
📸 Скриншот 52 (стр. 49):
Добавление публичного ключа в KSMG — «Параметры → Доступ по SSH»
📸 Скриншот 53 (стр. 50):
Настройка аутентификации в PuTTY — загрузка приватного ключа
📸 Скриншот 54 (стр. 51):
Подключение по SSH — ввод root
3.7. Интеграция с LDAP
📸 Скриншот 55 (стр. 42):
Создание пользователя ksmg-ldap в AD
📸 Скриншот 56 (стр. 45):
Загрузка keytab-файла в KSMG
📸 Скриншот 57 (стр. 46):
Синхронизация с LDAP — статус «Без ошибок»
3.8. Настройка SSO
📸 Скриншот 58 (стр. 48):
Загрузка keytab-файла для SSO
📸 Скриншот 59 (стр. 49):
Автоматический вход под доменной учётной записью
3.9. Интеграция с SIEM (KUMA)
📸 Скриншот 60 (стр. 39):
Настройка журналирования на внешнем сервере
📸 Скриншот 61 (стр. 40):
Указание IP и порта SIEM-системы
📸 Скриншот 62 (стр. 41):
Выбор протокола — TCP поверх TLS
4. Интеграция Kaspersky Secure Mail Gateway в почтовую инфраструктуру
4.1. KSMG в роли пограничного почтового шлюза
4.1.1. Настройка MTA
Перейдите: Параметры → Встроенный MTA → Основные параметры
📸 Скриншот 64 (стр. 54): Интерфейс раздела «Основные параметры»
Укажите:
Имя домена: company.local
Имя хоста: ksmg.company.local
В поле «Адрес назначения сообщений» выберите: «Отправлять напрямую»
📸 Скриншот 65 (стр. 54): Выбор опции «Отправлять напрямую»
Укажите доверенные сети (например, 10.68.85.0/24) — это внутренние IP-адреса ваших почтовых серверов.
Нажмите «Сохранить»
✅ Теперь KSMG принимает входящую почту (MX → KSMG) и отправляет исходящую напрямую в интернет.
4.1.2. Настройка доменов
Перейдите: Параметры → Встроенный MTA → Домены → Добавить
📸 Скриншот 66 (стр. 55): Кнопка «Добавить» в разделе «Домены»
Укажите:
Тип записи: Домен
Имя записи: company.local
Локальный домен: включено
Маршрутизация: включена
Адрес назначения: пользовательские почтовые серверы
Хост: 10.68.85.10 (IP Exchange)
Порт: 25
Нажмите «Сохранить»
📸 Скриншот 67 (стр. 56): Заполненная форма домена
📌 Это обеспечивает доставку проверенной входящей почты на внутренний почтовый сервер.
4.2. KSMG в роли внутреннего почтового шлюза
4.2.1. Настройка MTA
Перейдите: Параметры → Встроенный MTA → Основные параметры
📸 Скриншот 68 (стр. 57): Интерфейс «Основные параметры» для внутреннего шлюза
В поле «Адрес назначения сообщений» укажите:
Хост: 10.68.85.1 (IP пограничного шлюза или Edge Transport)
Порт: 25
Укажите доверенные сети (внутренние IP)
Нажмите «Сохранить»
✅ KSMG перенаправляет всю почту на указанный релей-хост.
4.2.2. Настройка доменов
Настройка аналогична п. 4.1.2 — указывается внутренний почтовый сервер как получатель.
📸 Скриншот 69 (стр. 58): Пример настройки домена для внутреннего шлюза
4.3. KSMG в режиме BCC-анализа (копия трафика)
⚠️ Важно: В этом режиме KSMG не влияет на доставку писем — он только анализирует копию.
4.3.1. Подготовка системы
Подключитесь по SSH к KSMG
📸 Скриншот 54 (стр. 51): Подключение по SSH под root
Загрузите скрипт install-smtp-sink.sh (через SCP/WinSCP)
Выполните:
bash
123
cd /tmp
sh install-smtp-sink.sh
systemctl status sink # убедитесь, что сервис запущен
📸 Скриншот 70 (стр. 60): Команды установки smtp-sink
4.3.2. Настройка MTA
Перейдите: Параметры → Встроенный MTA → Основные параметры
📸 Скриншот 71 (стр. 61): Настройка MTA для BCC-анализа
В поле «Адрес назначения сообщений» укажите:
Хост: 127.0.0.1
Порт: 2525
Нажмите «Сохранить»
✅ Это "замыкает" весь трафик на локальный SMTP-сёрвер (smtp-sink), который просто принимает и отбрасывает письма (режим Black Hole).
4.3.3. Настройка доменов (опционально)
Если нужно анализировать только один домен, оставьте основной MTA в режиме ретрансляции, а для конкретного домена создайте запись:
Имя записи: test.company.local
Адрес назначения: 127.0.0.1:2525
⚠️ Обязательно:
Отключите проверку «Отклонять сообщения на неизвестные домены»:
Параметры → Встроенный MTA → Расширенные параметры → Отключить
📸 Скриншот 72 (стр. 63): Отключение проверки неизвестных доменов
✅ Теперь KSMG полностью интегрирован в почтовую инфраструктуру в выбранном режиме.
📌 Полезные ссылки
- Официальная документация KSMG 3.0
- Создание виртуальной машины
- AntiAPT Community – KSMG
- Kaspersky на YouTube
- Kaspersky на Rutube
- Полезное видео на Youtube
- Полезное видео на Rutube
✅ Установка и настройка KSMG 3.0 завершены!
Теперь можно приступать к:
- Настройке MTA и доменов
- Интеграции с почтовым сервером (Exchange, Postfix и др.)
- Тестированию модулей защиты (антивирус, анти-спам, анти-фишинг)