Qmail-Scanner

qmail-scanner jest dodatek, który pozwala na serwer pocztowy qmail skanować gatewayed adres do pewnych cech (np skaner zawartości). To jest zwykle używany do jego anty-wirus i anty-spam funkcji zabezpieczających, w tym przypadku jest używany w połączeniu z skanery zewnętrznych.
Qmail-Scanner Aplikacja umożliwia także miejsce (na poziomie serwera / strony), aby utworzyć "bloki Polityka": czyli reagować na e-mail, który zawiera określone ciągi w poszczególnych nagłówków lub szczególnych nazw lub typów załączników (np * .VBS załączniki).
Jego cechy pomaga ISP archiwalnych i korporacji na całym świecie z nowym lub do czasu ustawodawstwem oraz wymogami regulacyjnymi. To może archiwizować wszystkie przetworzone wiadomości e-mail do archiwum maildir. Jest to idealne rozwiązanie do celów tworzenia kopii zapasowych z powodów politycznych audytu. W przeciwieństwie do niektórych rozwiązań serwerowych opartych na systemie Windows, nagłówki poczty koperta ("RCPT TO:" i "MAIL FROM:" nagłówków) są przechowywane w stanie nienaruszonym - dołączone do dołu każdej wiadomości - potwierdzającego prawdziwe adresy nadawcy i docelowe.
Archiwizacja również obsługuje filtrowanie do podzbioru adresów (np tylko archiwum "support@domain.name" maile zamiast wszystkich). Ponadto obszerne streszczenia pojedynczych linii generowane dla każdej wiadomości przez qmail-scanner, mogą być wystarczające dla wypełnienia zobowiązań firmy - zamiast bardziej intensywnego pełnego dysku archiwizacji. Jak zwykle, skontaktuj się z prawnikiem do odpowiednich definicji.
Qmail-skanera jest zintegrowany z serwerem pocztowym na niższym poziomie niż w niektórych innych skanerów antywirusowych uniksowych, w wyniku gruntownego pokrycia. Jest zdolny do skanowania nie tylko lokalnie wysłanych / odebranych wiadomości e-mail, ale również e-mail, która przecina serwer w charakterze przekaźnika. Qmail-scanner wykorzystuje również bogactwo meta-informacji dostarczonych przez qmail (takie jak adres IP klienta, oraz czy klient ma prawo do przekaźnika).
Oto kilka kluczowych cech "Qmail Scanner":
· Obsługuje prawie wszystkie komercyjne skanery (Unix) wirusów, a także niezwykle popularny skaner Open Source ClamAV.
· Można wywołać więcej niż jednego programu antywirusowego dla każdej wiadomości e-mail
· Posiada własny skaner wewnętrznego, które mogą być wykorzystywane do egzekwowania polityki, lub kwarantannie wirusy, że AV obecnie nie może wykryć
· Skaner wewnętrzna może być również stosowany do wiadomości e-mail kwarantanny na podstawie typów załączników, lub e-mail z niektórych nagłówków wiadomości ... trzeba zatrzymać pliki * .mp3 lub "Temat: Iloveyou" e-mail i wyłącza się na sieci LAN - może to zrobić! :-)
· Skaner wewnętrzny może wywołać "greylist" działanie zamiast kwarantanny. Ten jest przeznaczony dla sytuacji awaryjnych, gdzie aktualna AV Polityka i statyczne bloki nie są odpowiednie. na przykład Nowy wirus pocztowy oparte wychodzi z losowymi nazwami plików. Twój AV nie wykrywa go, i nie można globalnie zablokować pliki ZIP bez ranienia ważnych użytkowników. "Greylist" działanie spowoduje qmail-scanner, aby wyjść z SMTP czasowej awarii zamiast dostarczenia wiadomości. Ważne e-maile będą po prostu requeued i może przepływać przez później, gdy Twoje AV wykryje wirusa, i podjąć decyzję o usunięciu politykę greylist.
· Wewnętrzne silnika skanuje wiadomości w formacie dla słabo, które są znane być wykorzystywane przez trojany / virii zarazić klientów. Jako taka, jest niezależna od skanera antywirusowego, a może z powodzeniem działać na poczet przyszłych virii / trojany. Takie wiadomości są kwarantannie natychmiast. Wiadomo zablokować taką ważną virii jak Klez i Aliz, a jako efekt uboczny, zatrzymuje sporo spamu też! Kontrole formatu to:
· Złamane nagłówki kontynuacja MIME
· Stosowanie uwag w standardowych nagłówków (np "Content-T (xxxxxx) RODZAJ:" jest * identyczne * do "Content-Type:" zgodnie z RFC - ale jakiś virii stosowania tego jak to obejścia niektórych skanerów antywirusowych). Obowiązuje stosowanie tego nigdy nie widziałem na wolności - więc jest zablokowane
· Powtórzeń nagłówków MIME sprawia QS zmienić nazwę tych ostatnich, aby je zniweczyć
· Granice MIME ponad 250 znaków są zablokowane
· Różne definicje szczególnego przywiązania nazwy pliku powoduje jego zablokowanie
· Dwukrotnie definiowania sama granica MIME jest zablokowany
· Niektóre typy MIME zawierające okna rozszerzenia wykonywalne są blokowane (np "audio / wav" z pliku "wav.exe" mógł być tylko wirusów)
· Złamane nagłówki w załącznik MIME są zablokowane
· Okna wykonywalne załączniki, które nie są oznaczone jako typu MIME "application / ....." są zablokowane (np zmiana nazwy notepade.exe do notepade.gif i wysyłanie go jako załącznik w formacie GIF będą poddane kwarantannie, jak qmail-scanner zdać sobie sprawę, że jest to plik wykonywalny udawanie czegoś innego).
· Nazwy plików załączników ponad 256 znaków są zablokowane
· Niektóre dwojaką nazwy plików są zablokowane (np file.gif.exe). To stara, aby nie blokować wspólnych wariantów błąd
· Rozszerzenia plików CLSID są blokowane
· Pliki zip chronione hasłem może być zablokowane, jeśli chcesz. To zatrzyma wszelkie przyszłe wirusy nadziewane wewnątrz chronionych hasłem plików ZIP z dotarcia, ale oczywiście będzie również zatrzymać uzasadnionego użycia. Domyślnie wyłączona, ale być może warto włączyć podczas nowej epidemii, a po wyłączeniu ponownie pojawia się aktualizacja AV, które mogą go złapać.
· Domyślnie zawsze uruchomiony dowolny AV może masz na wiadomości, następnie uruchamia skaner wewnętrzny (Polityka / perlscan) sprawdza. Oznacza to, że jeśli zablokować pliki ".pif" ze względu na nich normalnie zawierające wirusy, a następnie wszystkie pliki, które zawierają .pif wirus znany do systemu AV, zostaną oznaczone jako "wirusy", i każdy, które zostały brakowało (być może były one Day-Zero wirusów) są następnie oznaczone jako zostały zablokowane przez "polityki". To zróżnicowanie jest następnie wykorzystywana przez system ostrzegania. Domyślnie jest to nie powiadamia nadawcę, że wirus został znaleziony, ale nadal może powiadomić ich, gdy był "Polityka" bloku.
· Kwarantanna wiadomości e-mail znajdzie się w sprzeczności z wyżej podsystemów. Wirusy są poddawane kwarantannie w maildir nazwie "wirusy", polityka / bloki na "/" i polityki (potencjalnie) wysoko oceniane ze spamem w "spam /"
· Czy można zintegrować z SpamAssassin w celu zapewnienia kompleksowej tagowanie antyspamowych dla całej witryny. Zazwyczaj używa obejmuje również za pomocą qmail-scanner, jako "przód" dla serwerów poczty Enterprise, takich jak notatki i Papierów Wartościowych. Qmail-Skaner wykonuje całą brudną robotę - (mam nadzieję) nie pozostawiając nic, ale czyste mailem do zaplecza :-)
· Auto-wykrywa-mail od "Naczelnik" -Style i listy dyskusyjnej adresów - i nie wysyła raporty do nich wirusów alarmowych (tj próbuje działać bardziej jak odpowiedzialny obywatel netto)
· Ze względu na fakt, że ponad 99,9% wszystkich wirusów przenoszonych przez e-mail wysłanej obecnie na podstawie podrobionych domyślne informacje o nadawcy, nie alarmując QS nadawcy, że komunikat został poddany kwarantannie, o ile nie było powodu Polityka / Perlscan bloku. To może być odwrócił się do "starego" stylu za pomocą "--notify nadawcę" zamiast nowszej zalega z "--notify psender" (czyli tylko zawiadomić nadawcę dla bloków politycznych)
· Wie o virii które wykuć Od nagłówków - tak, że wirus wydaje się pochodzić z jakiś biedny niewinny. Qmail-scanner nie będzie wysyłać powiadomienia do nadawcy dla tych typów virii. W domyślnym jest i tak nie zgłaszają, to naprawdę staje się skuteczne tylko w przypadku korzystania z opcji "--notify nadawcy".
· Każda wiadomość jest oznaczona za pomocą nowego odebrane: nagłówek z raportu wirusa pokazuje, czy jest czysty czy nie i numery wersji skanera wirusów / etc
· [Domyślnie wyłączone] Wiadomości zaklasyfikowane jako "poważnego SPAM" w opcji "--sa" (-kwarantanny w zasadzie o naprawdę wysoki wynik SA) zostaną poddane kwarantannie się w "maildir" folderu poczty (./spam/). Ten podział na własnej maildir pozwala strony do wystąpienia z własnych metod postępowania fałszywych alarmów. Jednak ...
· "-z" Opcja oczyszczania usunie wiadomości z podfolderów kwarantanny starszych niż 14 dni - w celu zapewnienia, że ​​nie rosną zbyt duże. Jeśli chcesz, aby utrzymać je dłużej, po prostu skrypt coś przenieść je do innego katalogu na dobę / maildir. Istnieje skrypt logrotate w katalogu contrib do automatyzacji tego (dla tych systemów, które mogą z niego korzystać - jak RedHat / CentOS)
· Czy można opcjonalnie dodać opis w nagłówku: X-qmail-scanner, aby każdy e-mail, który przechodzi przez system, aby użytkownicy mogli zobaczyć, że skaner został przejechany ich wiadomości.
· Wiadomości złowiona przez qmail-scanner generować wiadomości e-mail (obecnie obsługuje angielski, włoski, afrikaans, polski, szwedzki, czeski, niemiecki, hiszpański, turecki, litewski, francuski, portugalski, holenderski i chiński wiadomości) do skonfigurowanego połączenia nadawcy , odbiorcy i "kwarantanny-admin", wyjaśniając, dlaczego ich adres wiadomość została zablokowana.
· Czy można archiwizować wszystkie lub niektóre przetworzone e-mail (który nie został poddany kwarantannie) do wiadomości maildir archiwum. Przydatne podczas debugowania aplikacji poczty e-mail, w celu tworzenia kopii zapasowych, a także ze względów polityki audytu. Obecnie nagłówki poczty koperta ("RCPT TO:" i "MAIL FROM:" nagłówków) są dołączane do dołu każdej wiadomości. Ta opcja obsługuje miano z wyrażenia regularnego w tym przypadku tylko koperty nagłówki, które pasują do wyrażenia są archiwizowane (np można archiwizować "(Wsparcie | sprzedaży) @ domain.name" zamiast wszystkich wiadomości e-mail)
· Raporty przez syslog lub do pliku, opis jednej linii z każdej przetworzonej wiadomości, podając szczegółowe informacje, takie jak nazwy plików linii tematu, załączników, rozmiary itp
· Redundant skanowania. Nie tylko rozpakować przed uruchomieniem każdego komunikatu nad nim skanery, może również skanować oryginalny "raw" wiadomości e-mail, jak również rozpakowane komponenty (tj jeśli uważasz, że skaner ma lepszą zwłaszcza wewnętrznego analizowania MIME niż qmail-scanner)
· Raportowanie: w katalogu contrib jest qs2mrtg.pl. Perl skrypt do monitorowania syslog'u plików rekordy qmail-scanner. Następnie wykresy jak qmail-scanner przetwarza wiadomości e-mail. Tworzy różne wykresy dla wychodzącej poczty przychodzącej vs, jak również przepływ spamem i wirusami.
Wymagania:
· Netqmail 1.05 (lub qmail-1.03 z łatami)
· Tworzenie osobnego konta, na jakich uruchomić qmail-scanner: domyślnie nazwy użytkownika i grupy "qscand". Dla dodatkowego bezpieczeństwa, stworzyć go na normalny katalogu domowym (np "/ home / qscand"), ale z "fake" powłoki (np "/ bin / false") - jako że nigdy nie zalogował się bezpośrednio.
· Reformime z maildrop 1.3.8+
· Perl 5.005_03 +
· Czas Perl :: HiRes moduł
· Perl moduł DB_File (większość dystrybucji przyjść z nim zainstalowane fabrycznie, chociaż ostatnie Perl nie)
· Perl Sys :: Syslog (większość dystrybucji wyposażone jest zainstalowany fabrycznie)
· Moduł MIME :: Perl Base64 (większość dystrybucji wyposażone jest zainstalowany fabrycznie)
· Opcjonalnie: Mark Simpson TNEF Unpacker. Może dekodować tych irytujących załączników MS-TNEF MIME, że serwery pocztowe Microsoft po prostu lubią używać. Jeśli nie masz tego, istnieje kilka rodzajów e-mail, że qmail-scanner, w zasadzie nie będzie w stanie wyodrębnić załączników. Jednak twój AV może bardzo dobrze być w stanie sobie z nimi radzić
· Opcjonalnie: uudecode (część sharutils na systemach RedHat stylu)
· Opcjonalnie: rozpakuj

Co nowego w tym wydaniu:.

• Niektóre drobne błędy zostały ustalone
• Nowe funkcje obejmują obsługę i wsparcie rejestru DLP Cymru Malware Hash zespołu.