Qmail-Scanner è un add-on che consente a un server di posta elettronica per la scansione e-mail Qmail gatewayed per talune caratteristiche (ad esempio uno scanner di contenuti). Viene in genere utilizzato per le sue proprietà anti-virus e funzioni di protezione anti-spam, nel qual caso viene utilizzato in combinazione con gli scanner esterni.
Qmail-Scanner applicazione consente anche un sito (a / livello di sito server) per creare "blocchi privacy": cioè reagire a e-mail che contiene stringhe specifiche in particolare intestazioni, o particolari nomi di file allegati o tipi (ad esempio * VBS allegati).
Le sue caratteristiche di archiviazione aiuta gli ISP e aziende in tutto il mondo a disposizioni legislative nuove o in corso, e di regolamentazione. Può archiviare tutte le email trasformato in una maildir archivio. Questo è l'ideale per scopi di backup per motivi di politica di controllo. A differenza di alcune soluzioni server basate su Windows, l'intestazione della busta di posta (il "RCPT TO:" e "posta da:" header) sono mantenuti intatti - allegato alla parte inferiore di ogni messaggio - conferma veri indirizzi di mittenti e di destinazione.
Archiviazione supporta anche il filtraggio di un sottoinsieme di indirizzi (ad esempio solo di archivio "support@domain.name" e-mail invece di tutti). Inoltre, le ampie sintesi a riga singola generate per ogni messaggio da Qmail-Scanner può essere sufficiente per le aziende a soddisfare i loro obblighi - invece del più intensivo del disco di archiviazione completa. Come al solito, contattare un avvocato per le definizioni corrette.
Qmail-Scanner è integrato nel server di posta ad un livello inferiore rispetto ad altri programmi antivirus basati su Unix, con conseguente copertura più approfondita. È in grado di scansione non solo inviati / ricevuti email, ma anche e-mail che attraversa il server a titolo staffetta a livello locale. Qmail-Scanner sfrutta anche la ricchezza delle meta-informazioni fornite da Qmail (come l'indirizzo IP del client, e se il cliente è autorizzato a trasmettere).
Qui sono alcune caratteristiche chiave di "Qmail Scanner":
· Supporta quasi tutti gli scanner (Unix) virus commerciali così come il sempre popolare scanner open source ClamAV.
· Può chiamare più di un programma antivirus per ogni messaggio di posta elettronica
· Ha il suo scanner interno che può essere utilizzata per la politica di esecuzione, o mettere in quarantena i virus che l'AV al momento non in grado di rilevare
· Lo scanner interno può essere utilizzato anche per e-mail in quarantena in base a tipi di allegati, o e-mail con alcune intestazioni e-mail ... Necessità di fermare i file * .mp3 o "Oggetto: ILOVEYOU" email salire e scendere la vostra LAN - può fare! :-)
· Lo scanner interno può innescare una azione "greylist" invece di una quarantena. Ciò è progettata per le situazioni di emergenza in cui l'AV corrente e blocca Privacy statici non sono appropriati. es un nuovo virus basato ZIP-esce con nomi casuali. L'AV non è in grado di rilevare, e non si può bloccare a livello globale i file ZIP senza danneggiare gli utenti validi. Un'azione "greylist" causerà Qmail-Scanner per uscire con un guasto temporaneo SMTP invece di consegnare il messaggio. E-mail valide verranno semplicemente riaccodato e possono fluire attraverso più tardi una volta l'AV in grado di rilevare il virus, e si decide di rimuovere il criterio greylist.
· Scansioni motore interno per i messaggi mal formattati che sono noti per essere utilizzati da trojan / virii per infettare i clienti. Come tale, questo è indipendente da qualsiasi programma antivirus, e in grado di operare con successo contro i futuri virii / trojan. Tali messaggi vengono messi in quarantena immediatamente. Conosciuto per bloccare tale virii importante come Klez e Aliz, e come effetto collaterale, si ferma una discreta quantità di spam troppo! Controlli Formato includono:
· Rotti intestazioni continuazione MIME
· Uso di commenti all'interno intestazioni standard (ad esempio, "Content-T (xxxxxx) ipo:" è identica * * a "Content-Type:" secondo le RFC - ma alcuni usano virii questo come si aggira alcuni scanner anti-virus). Uso valido di questo non si vede mai in natura - in modo che sia bloccato
· Ripetute occorrenze di intestazioni MIME rende QS rinominare i secondi per annullare loro
· Confini MIME oltre 250 caratteri vengono bloccati
· Diverse definizioni di un particolare file allegato fa sì che sia bloccato
· Doppio definisce lo stesso limite di MIME è bloccato
· Alcuni tipi MIME contenenti finestre Estensione, sono esplicitamente bloccati (ad esempio un "audio / wav" di filename "wav.exe" potrebbe essere solo un virus)
· Intestazioni rotto all'interno di un allegato MIME sono bloccati
· Finestre allegati eseguibili che non sono contrassegnati come di tipo MIME "application / ....." sono bloccati (ad esempio ridenominazione notepade.exe a notepade.gif e invio come allegato GIF sarebbero messi in quarantena, come Qmail-Scanner sarebbe rendersi conto che è un eseguibile che finge di essere qualcosa d'altro).
· I nomi dei file allegati oltre 256 caratteri vengono bloccati
· Alcuni nomi di file a doppia canna sono bloccati (ad esempio file.gif.exe). Si cerca di non bloccare le varianti errore comune
· Le estensioni dei file CLSID sono bloccati
· File zip protetti da password possono essere bloccati se lo si desidera. Ciò fermare eventuali virus futuri ripiene all'interno dei file zip protetto da password da ottenere attraverso, ma naturalmente sarebbe anche fermare qualsiasi utilizzo legittimo. Spento per impostazione predefinita, ma forse utile per accendere durante una nuova epidemia, e si spegne di nuovo una volta che un aggiornamento AV si verifica che può prenderlo.
· Default sempre l'esecuzione di qualsiasi AV si può avere più di messaggi, poi corre lo scanner interno controlli (Policy / perlscan). Questo significa che se si blocca file ".PIF" a causa della loro normalmente contenenti virus, quindi tutti i file .PIF che fanno contenere un virus conosciuto per il vostro sistema AV sarà contrassegnato come "virus", e qualsiasi che sono stati mancati (forse erano un virus Day-Zero) vengono poi contrassegnati come essere bloccati da "politica". Questa differenziazione viene poi utilizzato dal sistema di allarme. Il valore predefinito di non notificare al mittente che è stato trovato un virus, ma può ancora comunicare loro, quando era un blocco di "policy".
· Messaggi di posta elettronica in quarantena si trova a violare i sottosistemi di cui sopra. I virus vengono messi in quarantena in una maildir chiamato "virus /", politici blocchi in "Politica /" e (potenzialmente) SPAM-alto valutato in "spam /"
· Può essere integrato con SpamAssassin per fornire completa etichettatura anti-spam per un intero sito. Utilizza in genere anche include l'utilizzo di Qmail-scanner come "front end" per i server di posta aziendali, come Notes ed Exchange. Qmail-Scanner fa tutto il lavoro sporco - (si spera) senza lasciare nulla ma di posta pulita per il backend :-)
· Rileva automaticamente e-mail da indirizzi -style "postmaster" e mailing-list - e non inviare i rapporti di allarme virus per loro (cioè i tentativi di agire più come un cittadino responsabile rete)
· A causa del fatto che oltre il 99,9% di tutti i virus dalla posta elettronica sono ora inviata utilizzando dati del mittente falsificato, per default QS per non allertare il mittente che un messaggio è stato messo in quarantena, a meno che non era dovuto a un / blocco Perlscan politica. Questo può essere girato di nuovo allo stile "vecchio" utilizzando "mittente --notify" invece del più recente di default "psender --notify" (cioè solo informare il mittente per i blocchi politici)
· Conosce del virii che forgia il Da header - in modo che il virus sembra provenire da qualche povero innocente. Qmail-scanner non inviare avvisi al mittente per questi tipi di virii. Poiché il valore predefinito è di non comunicare in ogni caso, questo avviene veramente solo effetto se si utilizza l'opzione "mittente --notify".
· Ogni messaggio viene etichettato con un nuovo Ricevuto: intestazione con un rapporto di virus che indica se è pulito o meno e di scansione anti virus numeri di versione / etc
· [Disabilitato di default] Messaggi classificati come "SPAM grave" con l'opzione "--sa-quarantena" (in pratica con un punteggio molto alto SA) verrà messo in quarantena fuori in una cartella di posta "maildir" (./spam/). Questa separazione nella propria maildir permette ai siti di venire con i propri metodi di gestione di falsi positivi. Tuttavia ...
· L'opzione pulizia "z" eliminerà i messaggi in sottocartelle quarantena più vecchi di 14 giorni - per assicurarsi che non cresca troppo grande. Se si desidera mantenere più a lungo, semplicemente scritto qualcosa per spostarli quotidianamente in un'altra directory / maildir. C'è uno script logrotate nella directory contrib per automatizzare questo (per quei sistemi che possono usarlo - come Redhat / CentOS)
· Può opzionalmente aggiungere un'intestazione descrittiva: X-Qmail-Scanner per ogni e-mail che passa attraverso il sistema per permettere agli utenti di vedere che uno scanner ha investito i loro messaggi.
· I messaggi catturati da Qmail-Scanner generano un messaggio di posta elettronica (attualmente disponibile in inglese, italiano, Afrikaans, Polacco, Svedese, ceco, tedesco, spagnolo, turco, lituano, francese, portoghese, olandese e cinese messaggi) ad una combinazione configurabile del mittente , destinatari e un indirizzo di "quarantena-admin" spiega perché il loro messaggio è stato bloccato.
· Può archiviare alcune o tutte le email lavorato (che non è stato messo in quarantena) in una maildir archivio. Utile durante il debug di applicazioni basate su email, a scopo di backup, e per ragioni di politica di controllo. Attualmente l'intestazione della busta di posta (il "RCPT TO:" e "posta da:" header) vengono aggiunte al fondo di ogni messaggio. Questa opzione supporta chiamato con una espressione regolare nel qual caso solo busta intestazioni che corrispondono all'espressione vengono archiviati (ad esempio, in grado di archiviare "(sostegno | vendita) @ domain.name" invece di tutte le email)
· Report via syslog o in un file, una descrizione di una riga di ogni messaggio elaborato, dando informazioni dettagliate quali oggetto, i nomi dei file allegati, dimensioni, etc.
· Scansione ridondante. Non solo scompattare ogni messaggio prima di eseguire gli scanner su di esso, si può anche eseguire la scansione del messaggio, così come l'originale "raw" e-mail dei componenti non imballati (cioè se si pensa che un particolare scanner ha una migliore analisi MIME interna che Qmail-scanner)
· Report: nella directory contrib c'è qs2mrtg.pl. Uno script perl per monitorare i file syslog per i record qmail-scanner. E poi rappresenta graficamente come Qmail-Scanner sta elaborando la tua email. Crea diversi grafici per entrata vs email in uscita, così come il flusso di spam e virus.
Requisiti:
· Netqmail 1.05 (o qmail-1.03 con le patch)
· Creare un conto separato con il quale eseguire Qmail-Scanner: per impostazione predefinita il nome utente e groupname "qscand". Per maggiore sicurezza, crearla con una directory normale casa (ad esempio "/ home / qscand"), ma con un guscio "falso" (ad esempio "/ bin / false") - come è mai registrato in diretta.
· Reformime da Maildrop 1.3.8+
· Perl 5.005_03 +
· Modulo Perl Time :: HiRes
· Perl modulo DB_File (la maggior parte delle distribuzioni vengono con esso pre-installato, anche se l'ultima Perl non lo fa)
· Modulo Perl Sys :: Syslog (la maggior parte delle distribuzioni vengono con esso preinstallato)
· Modulo Perl MIME :: Base64 (la maggior parte delle distribuzioni vengono con esso preinstallato)
· Opzionale: TNEF unpacker di Mark Simpson. Può decodificare quei fastidiosi allegati MS-TNEF MIME che i server di posta Microsoft semplicemente amano usare. Se non si dispone di questo, ci sono diverse classi di e-mail che Qmail-scanner in fondo non sarà in grado di estrarre gli allegati. Tuttavia, l'AV potrebbe benissimo essere in grado di gestirli
· Opzionale: uudecode (parte di sharutils su sistemi stile Redhat)
· Opzionale: decomprimere
Cosa c'è di nuovo in questa versione:.
- sono stati risolti alcuni bug minori
- Le nuove funzionalità includono il supporto DLP e il sostegno del Registro squadra Cymru Malware Hash.
I commenti non trovato