Libertonia || Virus, correo y bloqueos


Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios

Virus, correo y bloqueos
Por RinzeWind departamento hasta-los-oo , Sección Internet Puesto a las Mon Sep 29th, 2003 at 10:39:24 AM CET

Desde hace un tiempo, seguro que no soy el único que disfruto de la visita diaria de multitud de estos nuevos virus que están inundando el correo de media Internet. La cosa no pasaría de una simple molestia si no fuese porque cada adjunto ocupa ~ 150 KB, con lo que ya no molesta: jode He estado buscando por ahí una seria de reglas que seguramente sean útiles a la hora de bloquear estos virus en el servidor de correo antes de que el mensaje sea enviado. Si no usas Postfix, lo que viene a continuación quizá no te interese mucho.

En la página dedicada a Postfix de Security Sage he encontrado esta pequeña joya del filtrado que nos ayudará a no desquiciarnos (lo cual es de agradecer). Los pasos son bien sencillos:

Activar en el archivo main.cf el análisis de adjuntos (Postfix 2.x), con una línea del estilo de:
```
mime_header_checks = regexp:/etc/postfix/mime_header_checks.regexp
```
En el archivo que hayamos designado (en este caso mime_header_checks.regexp), incluimos esta lista de expresiones regulares a rechazar. Esto cumple dos finalidades: por un lado evita que el virus llegue a nosotros y por otra parte avisa al desafortunado infectado de su situación (bueno, esto no tiene por qué ser así, pero vamos a suponer que sí). La orden REJECT es útil aquí porque simplemente genera un mensaje de rechazo en el servidor, no devuelve un correo a la dirección que aparece en el From:, que generalmente es falsa/no es del remitente real

Si no usamos Postfix 2.x, se puede alcanzar el mismo objetivo mediande header_checks. El cómo llegar a lograrlo se deja como ejercicio al lector :-)

< Aprobadas las patentes en Europa (17 comments) | Usuario número 1000. Y el ganador es... (11 comments) >

Enlaces Relacionados

· Postfix
· Security Sage
· esta lista
· More on Internet
· Also by RinzeWind

Menu

· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login


Nueva cuenta
Usuario:
Contraseña:

Virus, correo y bloqueos | 10 comentarios (9 temáticos, 1 editoriales, 0 ocultos)

qmail y qpsmtpd (5.00 / 1) (#10)
por atordo a las Tue Sep 30th, 2003 at 07:03:17 AM CET
(Información Usuario)

Para qmail está bastante bien qpsmtpd . Es un reemplazo para qmail-smtpd, así que no hace falta tener el qmail con el parche QMAILQUEUE que te piden casi todos los filtros.

Lo bueno es que está escrito en perl y funciona con un sistema de plugins en el que es muy sencillo añadir cualquier tipo de filtro (a nada que controles un poco el perl). Viene con unos cuantos, como comprobación de usuarios/dominios, bloqueo por listas negras vía DNS (RFC-Ignorant, ORDB, etc), comprobación por programas externos (Clam antivirus, SpamAssassin), y algunos más exóticos como leer la configuración remotamente por HTTP o soltar una frasecilla del fortune al cerrar la sesión SMTP.

Lo malo es que está escrito en perl y funciona con un sistema de plugins, lo que no lo hace precisamente rápido. Así que no creo que sea muy recomendable para servidores que manejen grandes volúmenes de correo.

Para el tema de la historia, me hice el siguiente plugin (fusilando uno que viene con el programa):

sub register {
  my ($self, $qp) = @_;
  $self->register_hook("data_post", "check_kakas");
}

sub check_kakas {
  my ($self, $transaction) = @_;

  # make sure we read from the beginning;
  $transaction->body_resetpos;

  my $line_number = 0;

  while ($_ = $transaction->body_getline) {
    last if $line_number++ > 40;

    return (DENY, "Attached file type not allowed")
       if m/^Content-Type:.*name.*\.(exe|bat|scr|com|pif)/i;

  }

  return (DECLINED);
}

Como veis, la expresión regular está directamente plagiada de RinzeWind (la leí por ecol), y basta alterarla para filtrar lo que interese.

Otra Forma (4.50 / 4) (#1)
por sinner a las Fri Sep 26th, 2003 at 06:13:24 PM CET
(Información Usuario) http://www.escomposlinux.org/sinner/

En Postfix, yo uso otra forma. No es mejor ni peor. Es diferente.

en /etc/postfix/main.cf:

# Reject emails with executable attachements (exe, pif, scr...)
body_checks = regexp:/etc/postfix/body_checks

En /etc/postfix/body_checks

/^(.*)name\=\"(.*)\.(com|pif|vbs|vbe|exe|bat|cmd|scr|lnk|vbs|js)\"$/ REJECT For security reasons we reject attachments of this type

Salut,
Sinner

--
Sinner from the Prairy
Pogüered bai Mandrake
BOFHers Syndicate http://bofhers.org

Sin postfix, desde el propio Kmail (4.50 / 2) (#8)
por ifanlo a las Mon Sep 29th, 2003 at 02:39:29 PM CET
(Información Usuario)

Para simples usuarios, que no tengan servidor de correo, servirá lo que he explicado en Badopi:

http://www.badopi.org/node/view/239

Me está funcionando de maravilla. Desde el viernes, no me ha entrado NI UNO. Y sin gastar ancho de banda.

¡Coño! gracias ;-) (none / 0) (#9)
por trinux a las Mon Sep 29th, 2003 at 02:55:50 PM CET
(Información Usuario) http://solognu.wordpress.com/

Por fin alguien piensa en los luser :-D

[ Padre ]

Es bueno añadir este filtro (4.33 / 3) (#7)
por Mulder a las Mon Sep 29th, 2003 at 11:28:28 AM CET
(Información Usuario)

Muchos virus vienen disfrazados de ficheros que pueden ser cualquier cosa, por ejemplo un .mid, que según esa lista están permitidos pero su tipo mime los hace tan ejecutables y dañinos como los demás. Asi que recomiendo añadir también estas líneas de filtrado:

# Filtrar por Content-Type
/^Content-(Disposition|Type):.*\application\ x-msdownload.*/ REJECT
/^Content-(Disposition|Type):.*\application\ download.*/ REJECT

La cosa marcha (4.00 / 2) (#2)
por RinzeWind (chema AT sl-form DOT com) a las Sat Sep 27th, 2003 at 09:31:30 AM CET
(Información Usuario) http://chema.sl-form.com

Puse el sistema de filtrado ayer en mi sistema. Anteriormente, me limitaba a unas tristes líneas en mi .procmailrc:

:0HB:
* ^Content-Type:.*name.*\.(exe|bat|scr|com|pif)
virus

Con resultados alucinantes:

$ cat .log.procmail | grep virus | wc -l
557

Y desde ayer con el filtro nuevo (configurado poco antes de mandar la noticia):

# cat /var/log/mail.log | grep "reject: header" | wc -l
57

Ya me he ahorrado ~ 9 megas :-)

--
Las Penas del Agente Smith

La noche me confunde :-) (3.00 / 1) (#3)
por slashem a las Sat Sep 27th, 2003 at 01:28:43 PM CET
(Información Usuario)

Estoy un poco liado. Os explico mi situación. Tengo una conexión RTB ( no hay dinero pa más ) y me bajo el correo con fetchmail. tengo el postix instalado pero creo que no actua a la hora de "bajar".

Más o menos lo que necesito es que busque en el servidor si contiene las extensiones dichas y en ese caso no bajarlo, ahorrandome el ratito largo de espera. ¿ Como hago esto ?

algo debe haber (5.00 / 2) (#4)
por ridiculum a las Sat Sep 27th, 2003 at 03:00:01 PM CET
(Información Usuario)

Recuerdo haber visto en freshmeat un programa escrito en perl que borraba los mensajes esos de los virus, pero ahora mismo no lo veo. El programa es reciente, por que lo vi ayer o antes de ayer. El que si he visto es este:

kShowmail 3.0.6-beta :kShowmail is a KDE tool for watching for email on POP3 servers. Headers and complete email messages can be displayed, and email can be deleted without downloading.

[ Padre ]

KShowmail en KDE-Hispano (5.00 / 1) (#5)
por melenas a las Sun Sep 28th, 2003 at 02:53:44 AM CET
(Información Usuario)

Si usas Debian Woody puedes usar Kshowmail utilizando el repositorio de KDE-Hispano

deb http://es.kde.org stable main

Ahora mismo está caput, a ver si se soluciona en las siguientes horas.

P.D: Lo sé, lo sé, no dejo de dar por culo con lo de KDE, pero es que no puedo evitarlo XDDD

FDO. ER_MELENAS No te preguntes sólo que puede hacer el S.L. por ti sino también que puedes hacer tú por él.
[ Padre ]

Virus, correo y bloqueos | 10 comentarios (9 temáticos, 1 editoriales, 0 ocultos)

Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda