John Hardin

http://www.impsec.org/email-tools/procmail-security.html

(перевод Е. Кочетов saaw@mail.ru )

Улучшенная безопасность электронной почты с Procmail -

E-mail Sanitizer ("дезинфектор" - прим. К.Е.)

Главная страница


Добро пожаловать на домашнюю страницу Procmail Email Sanitizer. Sanitizer это инструмент для предотвращения нападений на защиту Вашего компьютера через почтовые отправления. Это оказывается очень эффективным против почтовых червей Microsoft Outlook которым уделяется большое внимание в популярных изданиях и которые вызывают наибольшие опасения.

Sanitizer предназначен прежде всего администраторам почтовых систем. Вообщем это не предназначено для конечных пользователей если они не управляют собственными почтовыми системами, тогда скорее всего просто запросы их почтовой программы к извлечению сообщений от почтового сервера, управляемого кем-то другим.

Если Вы здесь потому, что получаете сообщения информирующие, что часть отправленной Вами почты была отклонена, или потому что URL для этого вэб-сайта появляется в части принимаемой Вами почты, или потому что Вы удивляетесь, почему Ваши почтовые вложения внезапно называются DEFANGED, пожалуйста прочтите это введение в Sanitizer - это должно ответить на Ваши вопросы. Дайте мне знать. если этого не будет.

Пожалуйста, обратите внимание, что sanitizer это НЕ традиционный вирусный сканер. Он не полагается на "сигнатуры" для обнаружения нападения и не имеет проблем с "окнами уязвимости" которые всегда имеются в защите на основе сигнатур; пожалуй это позволяет Вам предписывать политики типа "письмо не может быть подлинным", и "макрос во вложении Microsoft Office document не должен обращаться к системному реестру Windows", и "электронная почта не должна содержать вложений исполняемого файла Windows", и изолирует сообщения, которые нарушают эту политику.


Оглавление сайта:


Фильтрация электронной почты для защиты

Procmail - программа, которая обрабатывает почтовые сообщения, просматривая специфическую информацию в заголовках или теле каждого сообщения, и предпринимает действия в зависимости от того, что она находит. Если Вы знакомы с понятием "правила" как предусмотрено во многих основных пользовательских клиентах (таких как cc:Mail client), то Вы уже знакомы с понятием автоматической обработки почтовых сообщений основанной на их содержимом.

Эти procmail правила специально разработаны для "дезинфекции" Вашей электронной почты на почтовом сервере даже прежде чем Ваши пользователи попытаются извлечь свои сообщения. Это не предназначено конечным пользователям для установки на их настольных системах Windows для персональной защиты.


Новости & Примечания

Текущая версия правил html-trap.procmail ruleset это: 1.148
Это рекомендует Вам обновить Вашу копию если Ваша версия старше, поскольку добавлены исправления и фильтрация для некоторых применений. См. хронологию изменений чтобы узнать подробнее.

Объявляющийся список по проблемам почтовой безопасности был установлен. Это прежде всего несет информацию относительно новых применений и модификаций sanitizer. Чтобы подписаться, отправьте сообщение с темой "subscribe" на mailto:esa-l-request@spconnect.com?subject=subscribe. Это сильно уменьшенный список только для объявлений, не для общего обсуждения.

Если Вы хотите присоединиться к списку рассылки обсуждения, отправьте сообщение с темой "subscribe" на mailto:esd-l-request@spconnect.com?subject=subscribe. Это авторизованный список к которому Вы можете присоединиться. Это также доступно в архиве сообщений.

1.142 исправлена слабая ошибка в 1.141 которое делает имя файла zipfile соответствующим слишком энергичным.

1.141 теперь позволяет просматривать содержимое ZIP архивов. ОБРАТИТЕ ВНИМАНИЕ: если Вы явно не определяете файл политик ZIPPED_EXECUTABLES, sanitizer будет по умолчанию обращаться к Вашему файлу политик POISONED_EXECUTABLES  для обработки содержимого ZIP архивов. Это скорее всего более параноидально, чем Вам хочется. См. страницу Конфигурирование Sanitizer чтобы узнать больше.


ВАЖНОЕ ПРИМЕЧАНИЕ:
Если Вы загрузили и используете 1.139 sanitizer, здесь исправление чтобы заставить отклонять подделанные части NovArg/MyDoom Received: заголовки и остановить уведомление несуществующего адреса отправителя об атаке. Пожалуйста, примените это исправление к Вашему sanitizer использование нижеприведенных инструкций и справки уменьшит количество трафика, который генерирует этот монстр...

[ HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) | FTP Mirror 1 (US: UT) ]

Инструкции по установке:

Скопируйте файл .diff в директорию в которой существует Ваш sanitizer и запустите нижеперечисленные команды:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff

1.139 Sanitizer включает определение атак переполнение буфера Microsoft Office VBE. См. the EEye alert чтобы узнать больше.

SoBig.F правила для прямых нападений и отражений находятся теперь в типовом файле местных правил.

Пожалуйста см. типовой файл локальных правил для правила, которое должно обнаружить и изолировать сообщения, предназначенные для атак на Sendmail header parsing remote-root bug. ВАЖНО: Это правило НЕ будет защищать машину на которой оно установлено. Вы все еще должны обновлять Ваш sendmail. Тем не менее это может защитить уязвимые машины находящиеся за машиной, на которой это запущено, давая Вам время для их обновления.

Если Вы получаете ошибки подобные "sendmail: illegal option -- U" см. страницу конфигурации как это настроить.

Если Вы испытываете проблему "Потерянного F" (где "F" в межстрочном интервале "From" в сообщении удаляется), пожалуйста обратите внимание: это известная проблема в procmail. Это может быть исправлено в текущем выпуске, вы можете обновить. Проблема происходит, когда дейтвие фильтра возвращает ошибку. В этой ситуации procmail может потерять первый байт сообщения. УБЕДИТЕСЬ что ваш log file имеет разрешение 622. Также, вот короткое правило которое поможет исправить это, добавьте это в конец Вашего /etc/procmailrc файла.

(Запланировано для) развитие 2.0 sanitizer началось. Запланированный список особенностей просматривает что-то подобное этому:

О выходе бета-версий будет сообщено по списку рассылкиBeta announcements will be made to the mailing list.

Со мной можно связаться mailto:jhardin@impsec.org - вы можете также посетить мою домашнюю страничку.

Некоторые люди спрашивают меня, почему я не назначаю цену за этот пакет программ. Я предполагаю, что это прежде всего вследствие того, что я не думаю, что любой может быть подвергнуться этим нападениям просто потому что они не хотят или не могут позволить себе покупать что-то чтобы защитить себя, но это также имеет отношение к тому факту, что я рассматриваю это как интересный интеллектуальный вызов, способ получить знание и отдать его сообществу.
Однако, если Вы испытываете желание платить за получение того что улучшило Вашу жизнь, тогда не стесняйтесь посещать мой personal wish list или my Amazon wish list, или отправьте мне пожертвования через PayPal and lament that nobody's done TequilaPal yet.


$Id: procmail-security.html,v 1.180 2004-11-10 18:37:13-08 jhardin Exp jhardin $
Contents Copyright (C) 2003 by John D. Hardin - All Rights Reserved.
The primary Sanitizer home page is at http://www.impsec.org/email-tools/procmail-security.html

... мой офис - моя крепость

Helping OC out: gratuitous scientology link

Используются технологии uCoz