Sanitizer - E-mail Filtering Script (Czech only)

Na ÚVT je připraven skript pro posílení antivirové ochrany elektronické pošty (sanitizer). Skript není antivirus, nespouští žádný antivirus, jen vyhledává podezřelé přílohy (známá jména, dvojí koncovka, speciální řetězec apod.). Funguje jen na maily, které se ukládají na serveru do mailboxu, takže

  • funguje pro lidi, kteří čtou poštu na serveru přes elm/pine (ale těm asi MS viry nevadí);
  • funguje pro lidi, kteří si z MS prostředí stahují poštu přes POP/IMAP - valná většina MS uživatelů;
  • nefunguje na odcházející maily;
  • nefunguje na příchozí maily, které se přeposílají někam dál.

Na serveru, jehož uživatelé mají službu využívat, musí být nainstalován program procmail a perl a v /etc/sanitizer musí být příslušné soubory ftp://ftp.ics.muni.cz/pub/sanitizer.

Uživatel, který chce sanitizer používat, nechť si dá na serveru do svého ~/.forward řádek odkazující se na procmail - např.

|/packages/run/procmail-3.22/bin/procmail

a do svého ~/.procmailrc si dá řádek

INCLUDERC=/etc/sanitizer/procmail.rc

Jak to funguje:

  1. Skript má řadu vyjmenovaných koncovek, přílohy s těmito koncovkami přejmenuje tak, aby je nešlo snadno spustit (a.exe -> a.123-DEFANG-exe), a navíc tyto přílohy pouští do dalších testů. Pro spuštění příslušného souboru je potřeba jej po uložení na disk přejmenovat na původní jméno. Seznam takto upravovaných jmen souborů je uveden v souboru /etc/sanitizer/procmail.rc jako proměnná MANGLE_EXTENSION.

    V současné době jsou přejmenovávány následující přípony jmen souborů:

    html?
    exe
    com
    cmd
    bat
    pif
    sc[rt]
    lnk
    dll
    ocx
    vb[se]?
    hta
    p[lm]
    sh[bs]
    hlp
    chm
    eml
    ws[cfh]
    ad[ep]
    jse?
    md[abew]
    ms[ip]
    reg
    as[dfx]
    cil
    pps
    wm[szd]
    vcf
    nws
    \{[-0-9a-f]+\}

  2. Přílohy, které odpovídají vzorům v /etc/sanitizer/poisoned, jsou považovány za virus, v současné konfiguraci jsou ještě více upraveny (aby je nebylo možné spustit), ale dojdou původnímu adresátovi s varováním. Navíc přijde varování odesilateli mailu a postmasterovi.

    V současné době se jedná o následující typy souborů:

    *.asd
    *.bat
    *.chm
    *.com
    *.cil
    *.dll
    *.hlp
    *.hta
    *.js
    *.lnk
    *.nws
    *.ocx
    *.pif
    *.reg
    *.scr
    *.sh[bs]
    *.vb
    *.vb[se]
    *.ws[cfh]
    *.[a-z][a-z].(?!(doc$|xls$))
    *.[a-z][a-z]\s+.(?!(doc$|xls$))
    *.[a-z][a-z][a-z0-9].exe
    *.[a-z][a-z][a-z0-9].(?!(doc$|xls$))
    *.[a-z][a-z][a-z0-9]\s+.(?!(doc$|xls$))
    *\s+.exe

    a některá další jména souborů využívaných viry. Přesný seznam je v /etc/sanitizer/poisoned.
  3. Přílohy, které odpovídají vzorům v /etc/sanitizer/stripped, jsou smazány, dozví se to jenom příjemce.

    V současné době se jedná o následující:

    *.vbs

Je pravděpodobné, že jména souborů, které jsou zpracovávány, se budou časem měnit, podle aktuální virové situace a zkušenosti uživatelů.

Na závěr ještě připomenutí, že se NEJEDNÁ o náhradu antivirového programu na lokálním počítači, ale o jeho doplnění dalším prostředkem antivirové ochrany.

Podrobnější informace k tomuto nástroji jsou k nalezení na odkaz do nového oknahttp://www.impsec.org/email-tools/sanitizer-configuration.html.

Konzultace: Bohuslav Moučka, Radim Peša

 
 
top