English Version: http://www.impsec.org/email-tools/procmail-security.html

Sporirea securității pe E-Mail cu ajutorul Procmail Email Sanitizer

Bine ați venit pe pagina de start a Email Sanitizer. Sanitizer este un instrument pentru prevenirea atacurilor asupra securității computerului prin intermediul mesajelor de pe e-mail. S-a dovedit a fi foarte eficient împotriva „viermilor” din e-mailurile de pe Microsoft Outlook care au ajuns in atenția presei și care au cauzat probleme destul de mari.

Publicul țintă a Sanitizer este format din administratorii sistemelor de e-mail. Acesta nu este destinat, în general, pentru utilizatorii finali, cu excepția cazului în care administrează propriile sisteme de e-mail, mai degrabă decât a spune pur si simplu programul lor de e-mail pentru a prelua mesajele de pe un server de mail administrat de către altcineva.

Dacă esti aici pentru că ai primit un mesaj care spune că o parte de e-mail trimis de tine a fost respinsă, sau pentru că URL-ul pentru acest site apare într-un e-mail pe care le-ați primit, sau pentru că vă întrebați de ce un fisier din atașamentele e-mailului este numite brusc DEFANGED, vă rugăm să citiți această introducere la Sanitizer – ar trebui să răspundă la întrebările dumneavoastră. Sa-mi spui dacă nu a fost asa.

Vă rugăm să rețineți că Sanitizer NU este un scaner tradițional de virusi. El nu se bazează pe “semnături” pentru a detecta atacurile și nu are “fereastre de vulnerabilitate”, probleme pe care securitatea bazată pe semnături le are dintotdeauna; mai degrabă vă permite să puneti în aplicare politici de genul “e-mailurile nu ar trebui sa fie scriptate” și “macro-uri în Microsoft Office fișiere atașate nu trebuie să acceseze registrul Windows”, și “e-mail-ul nu ar trebui să aibă pentru Windows atașamente de fișiere executabile”, și pune în carantină mesaje care încalcă aceste politici.

Indexul site-ului:

 

Filtrarea E-mailurilor pentru securitate

Procmail este un program care procesează mesajele din poșta electronică(Email) în căutarea anumitor informații în antete sau a corpului fiecărui mesaj, și i-a acțiuni bazate pe ceea ce găsește. Dacă sunteți familiarizat cu conceptul de “reguli”, acesta este prevazut în majoritatea mail-urilor clienților nostrii (cum ar fi cc: Mailul clientului), atunci sunteți deja familiarizat cu conceptul de procesare automată a mesajelor de tip e-mail în funcție de conținutul lor.

Combinatia Procmail ruleset si Perl script este special conceput pentru a “steriliza” un e-mail de pe serverul de e-mailuri, înainte ca utilizatorii sa încerce preluarea mesajelor. Acesta nu este destinat utilizatorilor, să instaleze pe sistemele lor de pe Windows pentru protecția personală.

 

Știri & Notite

Versiunea actuală a html-trap.procmail ruleset este: 1.151
Este recomandat să actualizați softul dacă versiunea dvs. este mai vechi, pentru rezolvarea anumitor bug-uri de filtrare iar versiuni mai noi vor fi adăugate. A se vedea istoricul modificărilor pentru detalii.
O sa utilizez in continuare Sanitizer în producție, chiar dacă dezvoltarea s-a potolit foarte mult în ultimii ani și este în mare parte condus acum de nevoile mele, mai degrabă, decât cererile de utilizator. Este încă util, și încă blochează tentativa de livrare malware, chiar exploateaza că scanerele de viruși încă nu detectează. Cu toate acestea, nu am păstrat site-ului activ zi de zi, așa cum fac acum. Vă sugerez dacă încă utilizați Sanitizer, sa aruncăm o privire la lansarea de dezvoltare (1.152pre8) pentru modificări și îmbunătățiri în curs de desfășurare, mai ales de actualizare a scanerului macro Office pentru malware deja descărcati.

 

Există o vulnerabilitate buffer overflow în biblioteca zipfile DUNZIP32.dll utilizat de mai multe programe comerciale, inclusiv Lotus Notes și Real Audio Player. Exploatarea pentru această vulnerabilitate este „IN SALBATICIE”. În cazul în care utilizați Notite sau alte softuri care se ocupă de arhive ZIP, contactați distribuitorul pentru a vedea dacă există o actualizare disponibilă.
Într-o încercare de a atenua această vulnerabilitate, in versiunea de dezvoltare a Sanitizer au fost implementate verificari de lungime ale numelor de fișier de pe numele de fișiere arhivate. Dacă nu doriți să încercați instantaneu pentru dezvoltare, un patch care adauga testele de lungime fermoarul-numele de fișier pentru a scana daca ZIP-ul existent este disponibil. Este împotriva 1.151, dar ar trebui să funcționeze pe orice versiune, care are scanare ZIP.

Există un mic patch pentru versiunile 1.151 și mai vechi care arata o metodă de obfuscating javascript încorporata. Pentru a aplica patch-ul, salvați patch-ul la directorul în care este salvat Sanitizer (în general / etc / procmail) și executați următoarea comandă:

          patch --backup <obfuscated_javascript.patch

Acest lucru va fi în următoarea versiune stabilă.
Esa-l si esd-l  (listele de mailuri) au fost restaurate, iar acum sunt găzduite de impsec.org. Multumiri lui Michael Ghens pentru găzduirea lui generoasa a listelor timp de cinci ani!
Există și o listă de mail-uri pentru a anunța problemele de securitate. Acestea vor transmite în principal informații cu privire la noile actualizări ale Sanitizer. Pentru a te abona, trimite un mesaj cu subiectul “abonare” la esa-l-request@impsec.org. Aceasta este o listă puternic moderată pentru anunțuri si nu pentru discuții generale.

Dacă doriți să va alăturati in lista de discuții Sanitizer, trimite un mesaj cu subiectul “abonare” la esd-l-request@impsec.org. Aceasta este o listă numai pentru membri ; pentru a posta pe acesta trebuie să va alăturati. Există, de asemenea, disponibila, o arhivă de mesaje.

1.142 repararea ununui bug minor în 1.141, care facea zipfile de potrivire a numelui de fișier sa fie prea mare.
1,141 acum permite scanarea conținutului de arhivă ZIP. ANUNȚ: dacă nu specificați în mod explicit un fișier de politică ZIPPED_EXECUTABLES, Sanitizer va fi implicit fișierul politicii POISONED_EXECUTABLES pentru procesarea continutului de arhivă ZIP. Acest lucru este, probabil, mult mai paranoic decat ai credea ca poate fi. A se vedea Configurarea paginii Sanitizer pentru mai multe detalii.

NOTĂ IMPORTANTĂ:
Dacă ați descărcat și utilizați Sanitizer versiunea 1,139 , aici este un patch pentru a ignora partea contrafacuta din NovArg / MyDoom Received: antete și oprirea notificarilor adreselor expeditorului inexistente despre atac. Vă rugăm să aplicați acest patch pentru Sanitizer utilizând instrucțiunile de mai jos pentru a ajuta la reducerea cantității mari de trafic generate de catre acest monstru …
Instructiuni de instalare:
Copiați fișierul .diff în directorul unde este instalat Sanitizer și rulați următoarele comenzi:

       cp html-trap.procmail html-trap.procmail.old

       patch < smarter-reply.diff

Versiunea 1.139 a Sanitizer include detectarea Microsoft Office VBE pentru atacuri buffer overflow. A se vedea alerta eEye pentru mai multe detalii.

 

SoBig.F reguli pentru atacurile directe și respingeri sunt în fișierul reguli-locale acum.
Vă rugăm să consultați fișierul local-rules pentru o comanda care ar trebui să detecteze și mesajele de carantină concepute pentru a ataca antetul Sendmail parsing remote-root bug. IMPORTANT: Această comanda NU va proteja device-ul pe care este instalat . Trebuie să actualizați Sendmail în continuare. Cu toate acestea, ar putea proteja aparatele vulnerabile în spatele aparatului cae ruleaza, oferindu-ti timp să le actualizezi.
Dacă primesti erori de genul “Sendmail: illegal option — U“,  intra pe pagina de configurare pentru a afla modul în care poti să-l repare.

 

Dacă vă confruntați cu problema “Dropped F” (în cazul în care “F” în frunte “De la” în mesaj, este șters), vă rugăm să rețineți: este o problemă cunoscută în procmail. Acesta poate fi reparata în versiunea curentă, poate doriți să faceți upgrade. Problema apare atunci când o acțiune filtru returnează o eroare. În această situație procmail poate pierde primul octet al mesajului. ASIGURATIVA ca fișierul jurnal are 622 de permisiuni. De asemenea, aici este o regulă scurta, care va ajuta la curatarea, adăugați-l la sfârșitul fișierului /etc/procmailrc.

 

(Planificarea) dezvoltarea Sanitizer versiunea 2.0 a început. Lista de caracteristici planificate arata cam asa:

  • Policy-file-based manipularea atașamentelor ($ MANGLE_EXTENSIONS merge mai departe)
  • Asisteanta internationala prin intermediul GNU sau ceva similar
  • Manipularea corespunzătoare a fișierelor cu nume codate
  • Plierea antet-lungime și codul HTML in script-ul principal, pentru a minimiza procesul de initializare
  • Scriptul „perl” va fi separat (nu mai este în linie)
  • Trecerea de la mimencode și mktemp la MIME::Base64 si File::MkTemp
  • Conectarea la mesajul în sine (adăugarea unui nou document MIME text atașat in listare, ceea ce sa întâmpla în timpul „curatatii”), cu posibilitatea de a adăuga fișiere de tip note specifice site-ului
  • Casuta de cautare în atașamentele MS-TNEF. Sper să aibă politică deplină și de sprijin la scanare macro, dar politica va trebui, probabil, să fie aplicate la atașamentele MS-TNEF în toto (de exemplu, în cazul în care o parte din el este gol, întregul lucru devine gol).
  • Optional, de-BASE64ing de text și atașamente HTML, astfel încât acestea să poată fi supuse filtrarii mesajelor spam după curatare.

Pot fi contactat la <jhardin@impsec.org> – ai putea vizita , de asemenea, pagina mea de start .

Auvik Network Monitoring