Jačanje e-mail sigurnost sa Procmail: E-mail Sanitizer

Source: https://www.impsec.org/email-tools/procmail-security.html

Početna stranica

Dobrodošli na početnu stranicu E-mail Sanitizer. Je Sanitizer je alat za sprečavanje napada na sigurnost vašeg računala putem e-mail poruke. Dokazano je da je vrlo efikasan protiv crvi Microsoft Outlook e-mail koje su dobili toliko pažnje u popularnoj štampi i koje su izazvale toliko problema.
U Sanitizer je namijenjen publici je administratorima mail sistema. To se obično ne namijenjen za krajnje korisnike, ukoliko ne upravljaju vlastitim mail sistema, a ne samo govori njihov mail program da preuzmete poruke mail server upravlja neko drugi.

Ako ste ovdje jer ste dobili poruku u kojoj piše da je odbijeno neku poštu ste poslali, ili zato što je URL za ove web stranice se pojavljuje u komadu mail ste dobili, ili zato što se pitate zašto je vaš e-mail prilozi se iznenada pod nazivom DEFANGED, pročitajte ovaj uvod u Sanitizer – treba odgovoriti na vaša pitanja. Javi mi ako se to ne desi.

Imajte na umu da je sanitizer NIJE tradicionalni virus skener. To se ne oslanja na “potpisa” za otkrivanje napada i nema “prozor ranjivosti” Problemi da je sigurnost potpis na bazi uvijek ima; a to vam omogućava da sprovode politiku kao što je “e-mail ne treba scenario” i “makroi u prilozima Microsoft Office dokument treba pristupiti Windows registra”, i “e-pošte ne bi trebali imati Windows priloge izvršnu datoteku”, i karantin poruka koje krše te politike.

Index:

Filtriranje E-mail za sigurnost

Procmail je programa koji obrađuje e-mail poruke u potrazi za određenim informacijama u zaglavlja ili tijela svake poruke, a traje akcija na osnovu onoga što nađe. Ako ste upoznati sa konceptom “pravila” kao što je predviđeno u mnogim velikim korisnik mail klijenata (kao što je cc: Mail klijent), onda ste već upoznati sa konceptom automatski obrade e-mail poruke na osnovu njihovog sadržaja.

Ova kombinacija procmail skup pravila i Perl skripta je posebno dizajniran za “dezinfekciju” e-pošte na serveru, prije nego što vaši korisnici ni pokušao da preuzme svoje poruke. To nije namijenjen za krajnje korisnike instalirati na svoje desktop sisteme Windows za ličnu zaštitu.

Novosti i bilješke

Trenutnu verziju HTML-trap.procmail skup pravila je: 1.151
Preporučuje se da ažurirate svoj primjerak ako je verzija starija, jer će dodane su ispravke grešaka i filtriranje za novije podvige. Pogledajte povijest promjena za detalje.

Nastavila sam koristiti Sanitizer u proizvodnji, iako je razvoj znatno smirila u posljednjih nekoliko godina i uglavnom prešao sada i moje potrebe, a ne zahteva korisnika. Ipak je korisno, i dalje blokira pokušaj malware isporuke, čak i od exploita taj virus skeneri još ne otkriva. Ja sam, međutim, nije vođenje web up-to-date, tako da to radim. Ja predlažem da ako se i dalje koristi Sanitizer vas pogled na razvoj otpuštanje (1.152pre8) za tekuće promjene i poboljšanja, prije svega ažuriranje Ureda makro skener za preuzete malware.

Tu je buffer overflow ranjivost u DUNZIP32.dll zipfile biblioteka koje koriste mnogi komercijalni programi, uključujući i Lotus Notes i Real Audio Player. Podvizi za ovu ranjivost su u divljini. Ako koristite Napomene ili neki drugi softver koji rukuje ZIP arhiva, obratite se prodavcu da vidimo da li je dostupno ažuriranje.
U pokušaju da ublaži ovu ranjivost, razvoj verzija sanitizer je implementirao filename dužina provjere na arhivirane imena datoteka. Ako ne želite da probate razvoj snimak, patch koji dodaje testove dužina zipped-filename to je dostupan postojeće ZIP skeniranja. To je protiv 1.151, ali to bi trebalo raditi na bilo izdanje koje ima poštanski skeniranje.

Tu je i mala zakrpa za verzije 1.151 i ranije da defangs metoda zamagljivanju ugrađenih JavaScript. Da biste se prijavili flaster, osim zakrpu na direktorij gdje je spasio dezinficijensa (obično / etc / procmail) i pokrenite sljedeću naredbu:

patch --backup <obfuscated_javascript.patch

To će biti u narednih stabilno izdanje.
ESA-l i ESD l mailing listama su obnovljena i sada su domaćin impsec.org. Zahvaljujući Michael Ghens za njegovu velikodušnu hosting liste za pet godina!

Tu je najava mailing listu za sigurnost e-mail pitanja. To će prije svega imati informacije o novim podvizima i ažuriranja sanitizer. Da biste se pretplatili, pošaljite poruku na temu “pretplatiti” na [email protected]. Ovo je jako moderirao popis za najavama samo, ne opštu diskusiju.

Ako želite da se pridruže sanitizer diskusija mailing liste, pošaljite poruku na temu “pretplatiti” na [email protected]. Ovo je samo za članove liste; da postavite da ga morate pridružiti. Tu je i arhiva poruka na raspolaganju.

1.142 popravci manji bug u 1.141 što čini zipfile filename odgovarajući previše pohlepan.

1.141 sada omogućava skeniranje ZIP arhive sadržaja. NAPOMENA: ako ne eksplicitno navesti datoteku ZIPPED_EXECUTABLES politike, Sanitizer će default sa svojim POISONED_EXECUTABLES datoteku politike za obradu ZIP arhivu sadržaja. Ovo je vjerojatno više paranoičan nego što želite da bude. Pogledajte Konfiguriranje Sanitizer stranicu za više detalja.

VAŽNA OBAVIJEST:

Ako ste preuzeli i koriste 1.139 Sanitizer, ovdje je patch da to zanemari kovani dijelu NovArg / MyDoom Primljeno: zaglavlja i zaustaviti obavještavanje nepostojeći korisnik adresama o napadu. Molimo Vas da prijave ovaj patch sa svojim sanitizer koristeći upute u nastavku i pomoći da se smanji lud količinu saobraćaja ovo čudovište stvara …

[HTTP Mirror 1 (SAD: WA) | HTTP Mirror 2 (SAD: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (SAD: WA)]

Uputstva za instalaciju:

Kopirajte .diff datoteku u direktorij gdje ti sanitizer živote i izvedite sljedeće naredbe:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff

Na 1.139 Sanitizer uključuje otkrivanje Microsoft Office VBE buffer overflow napada. Pogledajte EEye popustu za više detalja.

Sobig.f pravila za direktne napade i jastuci su sada u datoteci uzorka lokalnih pravila.

Molimo pogledajte uzorak lokalnih pravila datoteke za pravilo da treba otkriti i karantin poruka dizajniran da napadnu Sendmail zaglavlje gramatičku analizu daljinskog korijen bug. VAŽNO: Ovo pravilo neće zaštititi stroj na kojem je instaliran. Ipak morate ažurirati sendmail. To, međutim, može zaštititi ugrožene mašine iza mašina na kojoj je pokrenut, dajući vam vremena da ih ažurirati.

Ako su sve greške poput “sendmail: ilegalna opcija – U” pogledajte stranicu konfiguracije kako da se to popravi.

Ako imate je “pao F” ​​problema (gdje je “F” u vodećim “From” u poruci se briše), imajte na umu: to je poznat problem u procmail. To može biti fiksna u trenutnom izdanju, možda želite nadograditi. Problem nastaje kada akciju filter vraća grešku. U toj situaciji procmail može izgubiti prvi bajt poruke. Pobrinite se da vaša datoteka dnevnika ima 622 dozvole. Također, ovdje je kratak pravilo koje će vam pomoći da počisti, dodajte ga na kraj/etc/procmailrc datoteke.

(Planiranje) razvoj 2.0 sanitizer je počela. Planirani popis funkcija izgleda otprilike ovako:

  • Politika-file-based prilog rukovanje ($ MANGLE_EXTENSIONS nestane)
  • Internacionalizacija podrške putem GNU gettext ili nešto slično
  • Pravilno rukovanje kodiranih imena fajlova
  • Folding zaglavlje dužine i HTML-defanging kod u glavni perl skriptu, kako bi se smanjila Perl proces inicijalizacije
  • Perl skripta će biti odvojena od (više ne inline)
  • Kreće od mimencode i mktemp da MIME :: Base64 i File :: mktemp
  • Prijave u samu poruku (dodavanjem novog MIME tekst vezanost listing ono što se dogodilo u sanaciju) uz mogućnost da dodate komentar datoteke site-specific
  • Viri u prilozima MS-TNEF. Nadam se da ću imati punu politiku i podršku za skeniranje makro, ali politika će vjerovatno morati primijeniti na MS-TNEF attachment in toto (npr ako je jedan dio toga će biti oduzeta, cijela stvar bude oduzeto).
  • Opcionalno de-BASE64ing teksta i HTML priloge, tako da oni mogu biti predmet spam filtriranje nakon sanitizer.

Beta najavama će biti na mailing listu.

Ja se mogu kontaktirati na <[email protected]> – mogli posjetiti i moj dom stranici.

Nekoliko ljudi su me pitali zašto ne naplaćuju za ovaj paket. Pretpostavljam da je to prije svega zbog činjenice da ja ne mislim da iko treba biti izložena na ove napade, jednostavno zato što ne žele ili ne mogu priuštiti da kupi nešto da bi se zaštitili, ali ima veze sa činjenica da sam to gledaju kao zanimljiv intelektualni izazov, na način da se dobije priznanje, kao i način da se vrati u zajednicu.
Međutim, ako se osjećate kao što su plaćanje za primanje nešto od vrijednosti koja je poboljšala svoj život, onda slobodno posjetite moj lični listi želja ili moje Amazon listu želja, ili pošaljite mi donaciju putem PayPal i naricati da niko još uradio TequilaPal.

Najbolje su sa bilo kojim preglednika

$ Id: procmail-security.html, v 1.211 2017/04/14 11: 44: 55-07 jhardin Exp jhardin $
Sadržaj Autorsko pravo (C) 1998-2017 John D. Hardin – Sva prava pridržana. Prevođenje ohrabrio, molimo Vas da obavijestite me tako da mogu pisati veze sa glavne stranice.
Primarne Sanitizer početnoj stranici na http://www.impsec.org/email-tools/procmail-security.html

… moj ured je u mom podrumu …