Aumentando a Segurança e-mail com Procmail

o E-mail Sanitizer

Bem-vindo à página inicial do E-mail Sanitizer. O Sanitizer é uma ferramenta para a prevenção de ataques a segurança do seu computador através de mensagens de e-mail . Ele provou ser muito eficaz contra os vermes de e-mail Microsoft Outlook que tenham obtido tanta atenção na imprensa popular e que têm causado tantos problemas.

Público-alvo do Sanitizer é administradores de sistemas de correio. Não é geralmente destinado a usuários finais, a menos que eles administram seus próprios sistemas de correio em vez de simplesmente dizer a seu programa de e-mail para recuperar mensagens de um servidor de correio administrada por outra pessoa.

Se você está aqui porque você tenha obtido uma mensagem dizendo que um pedaço de e-mail que você enviou foi rejeitada, ou porque o URL para este site aparece em um pedaço de correio que você recebeu, ou porque você está se perguntando por seu e-mail anexos são subitamente chamado defanged , por favor leia esta introdução ao Sanitizer - deve responder às suas perguntas. Deixe-me saber se isso não acontecer.

Por favor note que o desinfetante é NÃO um antivírus tradicional. Ele não depende de "assinaturas" para detectar ataques e não têm a "janela de vulnerabilidade" problemas que a segurança baseada em assinaturas sempre tem; em vez disso, permite aplicar políticas como "e-mail não deve ser baseado num guião" e "macros em anexos de documentos do Microsoft Office não deve acessar o registro do Windows", e "e-mail não deve ter o Windows anexos de arquivo executável" e coloca em quarentena as mensagens que violam essas políticas .

Índice do site:

Filtrando-mail para a Segurança

Procmail é um programa que processa mensagens de e-mail à procura de informações particular nos cabeçalhos ou no corpo de cada mensagem e adota as medidas com base no que ele encontra. Se você estiver familiarizado com o conceito de "regras", tal como previsto em muitos clientes de email do usuário importantes (como o cliente do cc: Mail), então você já está familiarizado com o conceito de processamento automático de mensagens de correio electrónico com base em seu conteúdo .

Este conjunto de regras procmail combinação e script Perl é projetado especificamente para "sanear" seu e-mail no servidor de correio, antes de seus usuários, mesmo tentar recuperar suas mensagens. É nãodestinado a usuários finais para instalar em seus sistemas de desktop do Windows para proteção pessoal.


Notícias e Notas

Aversão atual do html-trap.procmail conjunto de regras é: 1.151

É recomendado que você atualize sua cópia, se a sua versão é mais antiga, como correções de bugs e filtragem para exploits mais recentes terão sido adicionados.Veja o histórico de alterações para obter detalhes.

Eu tenho de continuar a usar o Sanitizer na produção, embora o desenvolvimento acalmou muito nos últimos anos e é impulsionada principalmente agora com as minhas necessidades, em vez de solicitações do usuário. Ele ainda é útil, e ainda blocos de tentativa de entrega de malware, mesmo de exploits que scanners de vírus ainda não detectam. Tenho, no entanto, não foi mantendo o site up-to-date, então eu estou fazendo isso agora. Eu sugiro que se você ainda está usando o Sanitizer você dê uma olhada na versão de desenvolvimento (1.152pre8) para mudanças e melhorias em curso, mais notavelmente atualização do scanner macro Escritório de malware baixado.

Ha uma vulnerabilidade de estouro de buffer na biblioteca zipfile DUNZIP32.dll usado por muitos programas comerciais, incluindo Lotus Notes e Real Player Áudio.Exploits para esta vulnerabilidade está em estado selvagem. Se você usar notas ou algum outro software que lida com arquivos ZIP, entre em contato com o fornecedor para ver se há uma atualização disponível. 

Em uma tentativa de mitigar essa vulnerabilidade, a versão de desenvolvimento do desinfetante implementou controlos comprimento de nome de arquivo sobre os nomes dos ficheiros arquivados. Se você não quiser experimentar o instantâneo de desenvolvimento, um patch que adiciona os testes de comprimento-de nome de arquivo compactado para a verificação ZIP existente está disponível. É contra 1.151 mas deve funcionar em qualquer versão que tem a digitalização ZIP.

Há um pequeno patch para versões 1.151 e anteriores que defangs um método de ofuscar javascript incorporado. Para aplicar o patch, salve o patch para o diretório onde o desinfetante é salvo (normalmente / etc / procmail) e execute o seguinte comando:

patch --backup <obfuscated_javascript.patch

Este será na próxima versão estável.

O SEC-l e ESD-l listas de discussão foram restaurados e agora estão hospedados por impsec.org. Graças a Michael Ghens por sua generosa hospedagem das listas por cinco anos!

Há um anúncio na lista de discussão para as questões de segurança de e-mail. Ele vai levar informações principalmente sobre novas explorações e atualizações do desinfetante. Para se inscrever, envie uma mensagem com o assunto "subscribe" para esa-l-request@impsec.org . Esta é uma lista fortemente moderado para anúncios apenas, não discussão geral.

Se você quer se juntar à lista de discussão desinfetante discussão, enviar uma mensagem com o assunto "subscribe" para esd-l-request@impsec.org . Este é um dos membros-somente lista; para enviar a ele você deve aderir. Há também um arquivo de mensagens disponíveis.

1.142 corrige um bug menor em 1.141 que faz a correspondência filename zipfile muito ganancioso.

1.141 agora permite a digitalização de conteúdos do arquivo ZIP. AVISO: se você não especificar explicitamente um arquivo de política ZIPPED_EXECUTABLES, o desinfetante será o padrão para o seu arquivo de política POISONED_EXECUTABLES para o processamento de conteúdo de arquivos ZIP. Este é provavelmente mais paranóico do que você deseja ser. Consulte o Configurando o Sanitizer página para mais detalhes.

NOTÍCIA IMPORTANTE:

Se você tiver baixado e estão usando os 1.139 desinfetante, aqui é um patch para torná-lo ignorar a parte forjada de Novarg / MyDoom Received: e parar de notificar endereços de remetentes inexistentes sobre o ataque. Por favor, aplicar esse patch para o seu desinfetante usando as instruções abaixo e ajudar a reduzir a quantidade insana de tráfego este monstro está gerando ...

HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Espelho 3 (UE: NO) | HTTP Espelho 4 (UE: NL) | HTTP Espelho 5 (AU) | HTTP Espelho 6 (AU) | HTTP Espelho 7 (US: WA) ]

Instruções de instalação:

Copie o arquivo .diff para o diretório onde suas vidas desinfetante e execute os seguintes comandos:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff

A 1.139 Sanitizer inclui a detecção do Microsoft Office VBE ataques de buffer overflow. Veja o alerta eEye para mais detalhes.

Regras Sobig.F para ataques diretos e saltos estão em arquivo-regras locais de amostra agora.

Por favor, veja o arquivo-regras locais da amostra para uma regra que deve detectar e mensagens de quarentena projetados para atacar o cabeçalho Sendmail analisar bug remoto-root . IMPORTANTE: Esta regra não proteger a máquina em que está instalado. Você ainda deve atualizar seu sendmail. Pode, no entanto, proteger as máquinas vulneráveis atrás da máquina que está sendo executado em, dando-lhe tempo para atualizá-lo.

Se você estiver recebendo erros como " sendmail: opção ilegal - U " ver a página de configuração para saber como corrigi-lo.

Se você estiver enfrentando o problema "Caiu F" (onde o "F" no líder "De" na mensagem está a ser eliminado), por favor, note: este é um problema conhecido no procmail. Pode ser corrigido na versão atual, você pode querer atualizar. O problema ocorre quando uma ação de filtro retorna um erro. No que procmail situação pode perder o primeiro byte da mensagem. Verifique se o seu arquivo de log tem 622 permissões. Além disso, aqui é uma regra curta que vai ajudar a limpá-lo , adicioná-lo ao final do seu /etc/procmailrcarquivo.

(Planejamento para) desenvolvimento do desinfetante 2.0 já começou. A lista de recursos planejados é algo como isto:

  • Baseado em políticas em arquivo anexo de manipulação ($ MANGLE_EXTENSIONS vai embora)
  • Apoio à internacionalização via GNU gettext ou algo semelhante
  • Tratamento adequado dos nomes de arquivos codificados
  • Dobrar o cabeçalho de comprimento e code-defanging HTML no script perl principal, para minimizar initializations processo perl
  • O script perl será separado (não mais em linha)
  • Mover-se de mimencode e mktemp para MIME :: Base64 e File :: mktemp
  • Registrando em a própria mensagem (adicionando um novo anexo de texto MIME listando o que aconteceu durante a sanitização) com a capacidade de adicionar arquivos de notas específicas do local
  • Perscrutando anexos MS-TNEF. Espero ter política completa e suporte de digitalização macro, mas a política provavelmente terá que ser aplicado à fixação MS-TNEF in toto (por exemplo, se uma parte dela deve ser despojado, a coisa toda fica despojado).
  • Opcional de-BASE64ing de texto e HTML anexos, de modo que eles podem estar sujeitos a filtragem de spam após o desinfetante.

Anúncios beta serão feitos para a lista de discussão.

I pode ser contatado em <jhardin@impsec.org> - você também pode visitar a minha página inicial .

Várias pessoas têm me perguntado por que não cobrar por este pacote. Acho que isso é principalmente devido ao fato de que eu não acho que ninguém deve ser exposto a esses ataques, simplesmente porque eles não querem ou não podem pagar para comprar algo para se proteger, mas também tem a ver com a fato de eu ver isso como um desafio interessante intelectual, uma forma de ganhar reconhecimento, e uma maneira de dar a volta à comunidade. 
No entanto, se você sentir vontade de pagar para receber algo de valor que melhorou a sua vida, então sinta-se livre para visitar minha lista de desejos pessoais ou minha lista de desejos Amazônia , ou enviar-me uma doação via PayPal e lamentar que ninguém fez TequilaPal ainda.

Origem: http://www.impsec.org/email-tools/procmail-security.html