Original:https://www.impsec.org/email-tools/procmail-security.html

Підвищення безпеки електронної пошти за допомогою Procmail

Поштовий дезінфектор електронної пошти

Додому



Ласкаво просимо на домашню сторінку санітарника електронної пошти. Sanitizer - це інструмент для запобігання нападам на безпеку вашого комп'ютера за допомогою електронних повідомлень. Він виявився дуже ефективним проти електронних поштових черв'яків Microsoft Outlook, які отримали настільки значну увагу у популярній пресі та викликали стільки неприємностей.

Призначена аудиторія Sanitizer - це адміністратори поштових систем. Він зазвичай не призначений для кінцевих користувачів, за винятком тих випадків, коли вони адмініструють власні поштові системи, а не просто повідомляють своїй поштовій програмі для отримання повідомлень від поштового сервера, яким керує хтось інший.

Якщо ви знаходитесь тут, тому що ви отримали повідомлення про те, що відправлений вами лист було відхилено або через те, що URL-адреса цього веб-сайту з'являється в одній поштовій пошті, яку ви отримали, або через те, що вам цікаво, чому ваша електронна адреса Додатки раптом називаються DEFANGED , будь ласка, прочитайте це вступне слово до Sanitizer - він повинен відповісти на ваші запитання. Дайте мені знати, якщо це не так.

Зверніть увагу, що дезінфікуючий засіб НЕ традиційний антивірусний сканер. Він не покладається на «підписи» для виявлення атак і не має проблем із «вікном уразливості», що завжди має безпека на основі підпису; Скоріше, це дозволяє застосувати такі правила, як "електронна пошта не повинна бути сценарієм", і "макроси у вкладеннях документів Microsoft Office не повинні мати доступу до реєстру Windows", а "електронна пошта не повинна містити вкладені файли для Windows", і карантин повідомлень, які порушують ці політики .


Індекс сайту:


Електронна пошта для безпеки

Procmail - це програма, яка обробляє повідомлення електронної пошти, які шукають певну інформацію в заголовках чи тілі кожного повідомлення, і вживає заходів на основі того, що він знаходить. Якщо ви знайомі з поняттям "правила", як це передбачено багатьма основними поштовими клієнтами (такими як клієнт cc: mail), то ви вже знайомі з концепцією автоматичної обробки повідомлень електронної пошти на основі їх вмісту .

Ця комбінація procmail-правил і скрипт Perl спеціально призначені для "очищення" вашої електронної пошти на поштовому сервері, перш ніж користувачі навіть намагаються завантажити свої повідомлення. Він не призначений для кінцевих користувачів для інсталяції на своїх настільних системах Windows для особистого захисту.


Новини та примітки

Поточна версія набору правил html-trap.procmai :1.151
Рекомендується оновлювати копію, якщо ваша версія старіша, оскільки будуть додані виправлення та фільтри для нових експлойтів. Переглянути докладну інформацію про історію змін.

Я продовжував використовувати Sanitizer у виробництві, хоча розвиток останніх років сильно затьмарював, і в більшості випадків це було засноване на моїх потребах, а не на запитах користувачів. Це все-таки корисно, і досі блокує спроби введення шкідливих програм, навіть тих експлойтів, які вірусні сканери ще не виявляють. Однак я не підтримував веб-сайт, тому я зараз роблю це. Я пропоную, якщо ви все ще використовуєте Sanitizer, ви поглянете на випуск розробки (1.152pre8) для поточних змін та вдосконалень, особливо оновлень оновленого сканера Office для завантажених шкідливих програм.


У бібліотеці ZIP-файлів DUNZIP32.dll, що використовується багатьма комерційними програмами, включаючи Lotus Notes та Real Audio Player, є уразливість до переповнення буфера . Використання цієї вразливості в ВІРІ. Якщо ви використовуєте "Нотатки" або якесь інше програмне забезпечення, що обробляє ZIP-архіви, зверніться до постачальника, щоб дізнатись, чи доступне оновлення.
У спробі пом'якшення цієї уразливості розробник версії sanitizer здійснив перевірку довжини файлу на архівовані імена файлів. Якщо ви не хочете спробувати знімок екрана розробки, доступний патч, який додає іспит з довжиною архіву з іменем файлу до існуючого ZIP сканування . Це проти 1.151, але він повинен працювати на будь-якому випуску з ZIP сканування.

Існує невеликий патч для версій 1.151 і раніше, що зачіпає метод засмічення вбудованого JavaScript. Щоб застосувати патч, збережіть патч до каталогу, де зберігається ваш санітарник (зазвичай /etc/procmail) та запустіть таку команду:

patch --backup <obfuscated_javascript.patch
Це буде в наступному стабільному випуску.

Списки розсилки esa-l та esd-l були відновлені, і тепер вони розміщені на impsec.org. Спасибі Майклу Гінсу за щедрий хостинг списків на п'ять років!

Існує список розсилки повідомлень для питань безпеки електронної пошти. Вона перш за все несе інформацію про нові експлуатації та оновлення дезінфікуючого засобу. Щоб підписатися, надішліть повідомлення з темою "підписатися" на esa-l-request@impsec.org . Це сильно модеризований список лише для оголошень, а не загальне обговорення.

Якщо ви хочете приєднатися до розсилки дізінфектора, надішліть повідомлення з темою "підписатися" на esd-l-request@impsec.org . Це список учасників; Щоб додати до нього, ви повинні приєднатися. Існує також архів повідомлень .

Клацніть нижче, щоб отримувати електронні листи, коли ця сторінка змінюється
... використовуючи ChangeDetection :


Заява про конфіденційність ChangeDetection

1.142 виправляє незначну помилку в 1.141, що змушує збігатись з жадібним ім'ям файлу з назвою zipfile.

1.141 тепер дозволяє сканувати вміст ZIP архівів. ПОВІДОМЛЕННЯ. Якщо ви не вказуєте явний файл політики ZIPPED_EXECUTABLES, засіб для дезінфікуючого закладання буде за замовчуванням використовувати ваш файл політики POISONED_EXECUTABLES для обробки вмісту ZIP-архіву. Це, мабуть, більш параноїк, ніж ви хочете бути. Див. Розділ Налаштування санітайзера Сторінку для більш детальної інформації.


ВАЖЛИВЕ ЗАУВАЖЕННЯ:
Якщо ви завантажили та використовуєте санітарник 1.139, ось патч, який буде ігнорувати підроблену частину заголовків NovArg / MyDoom Received: і припинити повідомляти неіснуючі адреси відправників про атаку. Будь ласка, застосуйте цей патч до свого дезінфікуючого засобу, скориставшись наведеними нижче інструкціями та допоможіть знизити божевільний обсяг трафіку, який цей монстр генерує ...

[ HTTP дзеркало 1 (США: WA) | HTTP дзеркало 2 (США: FL) | HTTP дзеркало 3 (ЄС: НІ) | HTTP дзеркало 4 (ЄС: НЛ) | HTTP Mirror 5 (AU) | HTTP дзеркало 6 (AU) | HTTP дзеркало 7 (США: WA) ]

Інструкції з Інсталяції:

Скопіюйте файл .diff до каталогу, де живе ваш дезінфікуювальник, і запустіть наступні команди:

cp html-trap.procmail html-trap.procmail.old 
patch < smarter-reply.diff

1.139 Sanitizer включає виявлення атак переповнення буфера Microsoft Office VBE. Докладніше про це дивіться в сповіщенні про EEye .

Правила SoBig.F для прямих атак і відмов є в зразку файлів місцевих правил зараз.

Будь ласка, перегляньте зразок файлу місцевих правил для правила, яке повинно виявити та карантинувати повідомлення, призначені для атаки на заголовок Sendmail, для обробки помилки дистанційного керування . ВАЖЛИВО: це правило НЕ захищатиме машину, на якій вона встановлена. Ви все одно повинні оновити ваш sendmail. Однак це може захистити вразливі машини за тією машиною, на якій вона працює, що дає вам час для їх оновлення.

Якщо ви отримуєте такі помилки, як " sendmail: illegal option -- U", перегляньте сторінку конфігурації, як це виправити.

Якщо ви зіткнулися з проблемою "Dropped F" (де "F" у провідному "From" у повідомленні видаляється), зверніть увагу: це відома проблема в procmail. Це може бути виправлено в поточному випуску, можливо, вам знадобиться оновити. Проблема виникає, коли дія фільтра повертає помилку. У цій ситуації procmail може втратити перший байт повідомлення. ЗРОБКАЙТЕ, що ваш файл журналу має 622 дозволу. Крім того, тут наведено коротке правило, яке допоможе очистити його , додати його до кінця файлу /etc/procmailrc .

(Planning for) розпочато розробку дезинфікуючого засобу 2.0 . Запланований список функцій виглядає приблизно так:

Бета-анонси будуть внесені до списку розсилки.

Мені можна зв'язатися з <jhardin@impsec.org> - ви також можете відвідати мою домашню сторінку .

Кілька людей запитали мене, чому я не плачу за цей пакет. Я думаю, це пов'язано, перш за все, з тим, що я не думаю, що кожен повинен піддаватися впливу цих нападів просто тому, що вони не хочуть або не можуть дозволити собі щось купувати, щоб захистити себе, але це також має відношення до Що я розглядаю це як цікаву інтелектуальну проблему, спосіб отримати визнання та спосіб відмовитися від спільноти.
Однак, якщо ви відчуваєте, що платите за отримання щось корисної, що покращило ваше життя, то не соромтеся відвідати мої особисті побажання чи список моїх побажань Amazon , або відправити мені пожертву через PayPal і плакати, що нікого ще не було зроблено TequilaPal.


Створено з VI Краще переглядати з будь-яким браузером

$ Id: procmail-security.html, v 1.214 2017-06-11 11: 32: 21-07 jhardin Exp jhardin $
Зміст Copyright (C) 1998-2017 by John D. Hardin - Всі права захищені. Заохочений переклад, будь ласка, повідомте мене, щоб я міг публікувати посилання з основного сайту.
Основна домашня сторінка Sanitizer знаходиться за адресою http://www.impsec.org/email-tools/procmail-security.html.

... Мій офіс знаходиться в моєму підвалі ...