Покращена безпека електронної пошти з Procmail - E-mail Sanitizer

Головна сторінка


Ласкаво просимо на домашню сторінку Procmail Email Sanitizer. Sanitizer  - це інструмент для запобігання нападів на захист Вашого комп'ютера через поштові відправлення. Це є дуже ефективним проти поштових черв'яків Microsoft Outlook,  яким приділяється велика увага в популярних виданнях і які викликають найбільші побоювання.

Sanitizer призначений насамперед адміністраторам поштових систем. Отже, це не призначене для кінцевих користувачів , якщо вони не управляють власними поштовими системами, тоді швидше за все просто запити їх поштової програми до вилучення повідомлень від поштового сервера, керованого кимось іншим.

Якщо Ви тут тому, що отримуєте повідомлення, що інформує, що частина відправленої Вами пошти була відхилена, або тому що URL для цього веб-сайту з'являється в частині прийнятої Вами пошти, або тому що Ви дивуєтеся, чому Ваші поштові вкладення раптово називаються DEFANGED, будь ласка прочитайте це введення в Sanitizer - це має відповісти на Ваші запитання. Дайте мені знати. якщо цього не буде.

Будь ласка, зверніть увагу, що sanitizer це НЕ традиційний вірусний сканер. Він не покладається на "сигнатури" для виявлення нападу і не має проблем з "вікнами уразливості",  які завжди є в захисті на основі сигнатур; мабуть це дозволяє Вам наказувати політики типу "лист не може бути справжнім", і "макрос у вкладенні Microsoft Office document не повинен звертатися до системного реєстру Windows", і "електронна пошта не повинна містити вкладень виконуваного файлу Windows", і ізолює повідомлення, які порушують цю політику.

 


Зміст сайту:

 


Фільтрація електронної пошти для захисту

Procmail - програма, яка обробляє поштові повідомлення, переглядаючи специфічну інформацію в заголовках або тілі кожного повідомлення, і робить дії залежно від того, що вона знаходить. Якщо Ви знайомі з поняттям "правила" як передбачено в багатьох основних користувальницьких клієнтах (таких як cc: Mail client), то Ви вже знайомі з поняттям автоматичної обробки поштових повідомлень, заснованих на їх змісті.

Ці procmail правила спеціально розроблені для «дезінфекції» Вашої електронної пошти на поштовому сервері навіть перш ніж Ваші користувачі спробують витягти свої повідомлення. Це не призначене кінцевим користувачам для установки на їх настільних системах Windows для персонального захисту.

 


 

Новини & Примітки

Поточна версія правил html-trap.procmail ruleset це: 1.148 
Це рекомендує Вам оновити Вашу копію якщо Ваша версія старіше, оскільки додані виправлення і фільтрація для деяких застосувань. Див. хронологію змін , щоб дізнатися докладніше.

Оголошує список з проблемами поштової безпеки був встановлений. Це, передусім, несе інформацію щодо нових застосувань і модифікацій sanitizer. Щоб підписатися, відправте повідомлення з темою "subscribe" на mailto:esa-l-request@spconnect.com?subject=subscribe. Це сильно зменшений список тільки для оголошень, не для загального обговорення.

Якщо Ви хочете приєднатися до списку розсилки обговорення, відправте повідомлення з темою "subscribe" на mailto:esd-l-request@spconnect.com?subject=subscribe. Це авторизований список, до якого Ви можете приєднатися. Це також доступно в архіві повідомлень.

1.142 виправлена слабка помилка в 1.141 яке робить ім'я файлу zipfile відповідним занадто енергійним.

1.141 тепер дозволяє переглянути вміст ZIP архівів. ЗВЕРНІТЬ УВАГУ: якщо Ви явно не визначаєте файл політики ZIPPED_EXECUTABLES, sanitizer буде за замовчуванням звертатися до Вашого файлу політик POISONED_EXECUTABLES для обробки вмісту ZIP архівів. Це швидше за все більш параноїдально, ніж Вам хочеться.

Див. сторінку Конфігурування Sanitizer щоб дізнатися більше.

 


 

ВАЖЛИВА ПРИМІТКА:

Якщо Ви завантажили і використовуєте 1.139 sanitizer, тут є виправлення щоб змусити відхиляти підроблені частини NovArg / MyDoom Received: заголовки і зупинити повідомлення неіснуючої адреси відправника про атаку. Будь ласка, застосуйте це виправлення до Вашого sanitizer,  використання нижчезазначених інструкцій та довідки зменшить кількість трафіку, який генерує цей монстр ...

 [ HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) | FTP Mirror 1 (US: UT) ]

Інструкції по установці:

Скопіюйте файл .diff в директорію, в якій існує Ваш sanitizer і запустіть нижчеперелічені команди:

cp html-trap.procmail html-trap.procmail.old

patch < smarter-reply.diff


 

1.139 Sanitizer включає визначення атак переповнення буфера Microsoft Office VBA. Див. the EEye alert щоб дізнатися більше.

SoBig.F правила для прямих нападів і віддзеркалень знаходяться тепер в типовому файлі місцевих правил.

Будь ласка, див. типовой файл місцевих правил для правила, яке повинно виявити та ізолювати повідомлення, призначене для атак на Sendmail header parsing remote-root bugВАЖЛИВО: Це правило НЕ захищатиме машину, на якій воно встановлене. Ви все ще повинні оновлювати Ваш sendmail. Проте це може захистити вразливі машини, що знаходяться за машиною, на якій це запущено, даючи Вам час для їх поновлення.

Якщо Ви отримуєте помилки подібні "sendmail: illegal option -- U" див. сторінку конфігурації, як це налаштувати.

Якщо Ви відчуваєте проблему "Втраченого F" (де "F" в міжрядковому інтервалі "From" в повідомленні віддаляється), будь ласка зверніть увагу: це відома проблема в procmail. Це може бути виправлено в поточному випуску, ви можете оновити. Проблема відбувається, коли дія фільтра повертає помилку. У цій ситуації procmail може втратити перший байт повідомлення. ПЕРЕКОНАЙТЕСЯ, що ваш log file має дозвіл 622.Також ,ось коротке правило яке допоможе виправити це, додайте це в кінець Вашого /etc/procmailrc файлу.

(Заплановано для) розвитку 2.0 sanitizer почалось. Запланований список особливостей переглядає щось подібне цьому:

·        Обробка вкладень на основі файлу політик ($ MANGLE EXTENSIONS goes away)

• Підтримка інтернаціоналізаціі через GNU gettext або щось подібне

• Правильна обробка закодованих імен файлів

• Згортання довжини заголовка і HTML- шкідливого коду в головному perl сценарії, для зведення до мінімуму ініціалізації процесу perl

• perl сценарій буде відділений (більше не буде вбудованим)

• Переміщення від mimencode і mktemp до MIME :: Base64 і File :: MkTemp

• Реєстрація безпосередньо в повідомленні (додавання нового вкладення тексту MIME показує, що трапилося в процесі обробки) зі здатністю додавати певні файли примітки

• Інформаційний обмін в MS-TNEF вкладеннях. Я сподіваюся мати повну політику і підтримку макросканування, але політика ймовірно повинна буде застосовуватися до MS-TNEF вкладення в цілому (наприклад, якщо одна з частин повинна бути вилучена, то буде видалено все цілком).

• Додаткове декодування BASE64 тексту і HTML вкладень, так щоб вони могли бути піддані спам фільтрації після sanitizer.

Про вихід бета-версій буде повідомлено за списком розсилки

Зі мною можна зв'язатися mailto:jhardin@impsec.org - ви можете також відвідати мою домашню сторінку.

Деякі люди запитують мене, чому я не призначаю ціну за цей пакет програм. Я припускаю, що це насамперед внаслідок того, що я не думаю, що будь-хто може піддатися цим нападам просто тому що вони не хочуть або не можуть дозволити собі купувати щось щоб захистити себе, але це також має відношення до того факту, що я розглядаю це як цікавий інтелектуальний виклик, спосіб отримати знання і віддати його співтовариству.
Однак, якщо Ви відчуваєте бажання платити за отримання того що поліпшило Ваше життя, тоді не соромтеся  відвідати мій personal wish list або my Amazon wish list, або надішліть мені пожертвування через PayPal і нажаль, що ще ніхто не створив TequilaPal.


$Id: procmail-security.html,v 1.180 2004-11-10 18:37:13-08 jhardin Exp jhardin $ 
Contents Copyright (C) 2003 by John D. Hardin - All Rights Reserved. 
The primary Sanitizer home page is at 
http://www.impsec.org/email-tools/procmail-security.html