април 21, 2017

Подобрување на E-Пошта Безбедност со Procmail (Е-пошта дезинфекциско средство)

Source: https://www.impsec.org/email-tools/procmail-security.html

Добредојдовте на почетната страна на E-пошта дезинфекциско средство. На дезинфекциско средство е алатка за спречување на напади врз безбедноста на вашиот компјутер преку e-пошта пораки. Тоа се покажа како многу ефикасен против e-пошта црви на Microsoft Outlook кои имаат добивано и толку многу внимание во популарните печатени медиуми и кои предизвикаа толку многу проблеми.

наменети публиката на дезинфекциско средство е Администраторите на пошта системи. Тоа не е генерално се наменети за крајните корисници, освен ако не се администрираат сопствените пошта системи, наместо едноставно да кажувам нивните поштова програма за добивање на пораките од серверот на e-пошта спроведено од страна на некој друг.

Ако сте тука, бидејќи сте добиле порака дека парче mail ви испрати е одбиено, или поради тоа што URL за овој веб-сајт се појавува во едно парче од пошта сте примени, или затоа што сте се прашувате зошто вашата e-пошта додатоци одеднаш се DEFANGED име, ве молиме да го прочитате овој вовед во дезинфекциско средство – тоа треба да одговори на вашите прашања. Дозволете ми да знам ако тоа не го прави тоа.

Ве молиме имајте во предвид дека sanitizer НЕ е традиционален вирус скенерот. Тоа не се потпира на “потписи” за откривање на напади и нема “прозорец на ранливост” проблеми кои потпис-базирани безбедност секогаш; а тоа ви овозможува да спроведуваат политики како “е-пошта нема да биде испишана”, и “макроа во прилозите документ на Microsoft Office не треба да пристапите на регистарот на Windows” и “е-мејл не треба да има Windows додатоци извршна датотека”, и карантин пораки кои ги кршат овие политики .


Индекс на сајтот:


Филтрирање на е-мејл за безбедност

Procmail е програма која ги обработува e-пошта пораки во потрага за одредени информации во наслови или тело на секоја порака, и превзема активности врз основа на она што се наоѓа. Ако сте запознаени со концептот на “правила”, како што е предвидено во многу големи клиенти корисник mail (како cc:Mail клиент), тогаш веќе се запознаени со концептот на автоматски обработка е-мејл пораки врз основа на нивната содржина.

Оваа комбинација procmail правило собата и Perl скрипта е специјално дизајниран да “дезинфенкцирам” вашата e-mail сервер за пошта, пред вашите корисници дури и се обиде да се добие нивните пораки. Тоа не е наменет за крајните корисници да се инсталира на нивната работна околина Windows системите за лична заштита.


Вести и белешки

Сегашната верзија на html-trap.procmail правило собата е: 1.151
Се препорачува да се ажурира вашата копија ако вашата верзија е постара, како што ќе се додаде поправени грешки и филтрирање за нови подвизи. Види историјата на промени за детали.Сум се продолжи да се употребува дезинфекциско средство во производството иако развој смирија многу во изминатите неколку години и е главно управувано сега со моите потреби, наместо барања на корисникот. Тоа се уште е корисно, и се уште го блокира обидот за малициозен софтвер за испорака, па дури и на експлоатира дека вирусот скенери ‘уште не се открие. Јас сум, сепак, не биле одржување на веб-до-дата, па јас го правам тоа сега. Јас Ви предлагам, ако се уште се користи дезинфекциско средство да ја погледнете на верзија во развој ( 1.152pre8 ) за тековните промени и подобрувања, особено за ажурирање на макро скенер Office за преземале малициозен софтвер.


Ете го бафер претекување ранливост во DUNZIP32.dll zip датотека библиотека користи од страна на многу комерцијални програми, вклучувајќи и Lotus Notes и Real Audio Player. Експлоатира за оваа ранливост се ВО ДИВИНАТА. Ако користите Notes или некој друг софтвер кој се справува ZIP архиви, контактирајте со вашиот продавач за да се види дали има достапни на ажурирање.
Во обид да се ублажи овој ранливоста, развој верзија на sanitizer спроведе проверки име на датотека должина на архивираните датотеки. Ако не сакате да се обиде слика развој, печ, кој додава тестови компресирани-име на датотека должина на постојните ZIP скенирање е на располагање. Тоа е против 1.151, но тоа треба да работат на било која порака која има ZIP скенирање.

Постои мала далноводи за верзии 1.151 и порано дека дефанги метод на пробивам вградени JavaScript. Да се применуваат на далноводи, освен на далноводи во директориумот каде што е зачувана на вашиот впие (обично /etc/procmail) и извршете ја следнава команда:

patch --backup <obfuscated_javascript.patch

Ова ќе биде во следното стабилно издание.

esa-l и esd-l мејлинг-листи биле вратени, а сега се хостирани од страна impsec.org. Благодарение на Мајкл Генс за дарежлив хостинг на листите за пет години!

Постои најави мејлинг листа за прашања мејл за безбедност. Тоа ќе го носат пред се информации за нови подвизи и ажурирање на дезинфекциско средство. За да се претплатите, испрати порака со наслов “subscribe” на esa-l-request@impsec.org. Ова е силно модерирани листа за најавите само, а не општа дискусија.

Ако сакате да се приклучат на sanitizer дискусија мејлинг листа, испрати порака со предмет “subscribe” на esd-l-request@impsec.org. Ова е само за членови листа; за да испраќате таму мора да се приклучат. Постои, исто така, архива на пораки достапен.

1.142 поправа мали грешки во 1.141 што го прави zip датотека датотеката појавување премногу алчен.

1.141 сега овозможува скенирање на ZIP содржината архива. НАПОМЕНА: доколку не се експлицитно наведете ZIPPED_EXECUTABLES политика датотека, sanitizer ќе стартува со вашиот POISONED_EXECUTABLES политика датотека а обработка на содржината ZIP архива. Ова е веројатно повеќе параноични отколку што сакаат да бидат. види ја Конфигурирање на Sanitizer страница за повеќе детали.


ВАЖНА НАПОМЕНА:

Ако сте ја преземале и се со користење на 1.139 sanitizer, тука е далноводи да се направи тоа се игнорира фалсификувани дел NovArg/MyDoom Received: заглавија и да престане да го извести испраќачот непостоечки адреси за нападот. Ве молиме применуваат овој patch на вашиот sanitizer со помош на упатствата подолу и да помогне да се намали лудо износ на сообраќај е генерирање на ова чудовиште…[ HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) ]

Инструкции за инсталација:

Копирајте го .diff датотека во директориумот каде што вашиот sanitizer животи и извршете ја следнава команда:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff


1.139 Sanitizer вклучува откривање на Microsoft Office VBE бафер претекување напади. Види EEye алармирање за повеќе детали.

SoBig.F правила за директни напади и одбиени се во примерок датотека локалните правила сега.

Ве молиме погледнете примерок датотека локалните правила по правило кое треба да се открие и карантин пораки дизајнирани да го нападне Sendmail глава парсирање далечинско корен бубачки. ВАЖНО: ова правило ќе се НЕ заштити машина е инсталиран. Се уште треба да се ажурира вашиот sendmail. Тоа, сепак, заштита на ранливите машини зад машината тоа е водење на, кои ви даваат време да ги ажурира.

Ако се добива грешки како “sendmail: illegal option -- U” види конфигурација страница за тоа како да го поправам.

Ако се соочуваат со “Dropped F” проблема (де “F” во водечката “From” во пораката се брише), Ве молиме запомнете: ова е познат проблем во procmail. Тоа може да се дефинира во тековната порака, можеби ќе сакате да се надополни. Проблемот се јавува кога акција филтер враќа грешка. Во таа ситуација procmail може да го изгуби првиот бајт на пораката. БИДЕТЕ СИГУРНИ дека вашата датотека има 622 дозволи. исто така, тука е краток правило дека ќе помогне да се исчисти, да го додадете на крајот на вашиот /etc/procmailrc датотека.

(Планирање за) развој на 2.0 sanitizer започна. Планирани функција листа изгледа нешто како ова:

  • Креаторите на датотека со седиште во прилог ракување ($ MANGLE_EXTENSIONS оди)
  • Поддршка интернационализација преку GNU gettext или нешто слично
  • Правилно ракување со кодирани имиња на датотеки
  • Преклопување на глава должина и HTML-defanging код во главниот Perl скрипта, да се минимизираат Perl иницијализација процес
  • perl сценариото ќе бидат одделени од (не на интернет)
  • Движејќи се од mimencode и mktemp на MIME::Base64 и File::MkTemp
  • Влезете во самата порака (додавање нова MIME текст прилог листата што се случи за време на дезинфекција) со можноста за додавање на сајт-специфични белешка датотеки
  • Гледајќи во MS-TNEF додатоци. Се надевам дека ќе имаме целосна политика и макро поддршка скенирање, но сепак, политиката најверојатно ќе мора да се примени за прикачување на MS-TNEF како резултат (на пример, ако еден дел од тоа е да се биде одземен, целата работа добива одземени).
  • Факултативна де-BASE64ing на текст и HTML додатоци, така што тие можат да бидат предмет на spam филтрирањето по sanitizer.

Бета најавите ќе бидат направени на мејлинг листата.

<jhardin@impsec.org> 

Главна страница

 

$Id: procmail-security.html,v 1.211 2017-04-14 11:44:55-07 jhardin Exp jhardin $
Contents Copyright (C) 1998-2017 by John D. Hardin – All Rights Reserved.