Mejorar la Seguridad del Correo Electrónico con Procmail

E-mail Sanitizer

Source page: www.impsec.org/email-tools/procmail-security.html

Casa

Bienvenido a la página de inicio del Email Sanitizer. El Sanitizer es una herramienta para la prevención de  ataques a la seguridad de su ordenador a través de mensajes de correo electrónico. Ha demostrado ser muy eficaz contra los gusanos de correo electrónico de Microsoft Outlook que han recibido mucha atención en la prensa popular y que han causado tantos problemas.

El público objetivo de Sanitizer es administradores de sistemas de correo. No es la intención general para los usuarios finales, a menos que administran sus propios sistemas de correo en lugar de simplemente contar su programa de correo para recuperar mensajes de un servidor de correo administrada por otra persona.

Si no está aquí porque usted ha llegado un mensaje que dice que una pieza de correo que envió ha sido rechazada, o porque la dirección de esta página web aparece en una pieza de correo que haya recibido, o porque usted se pregunta por qué su correo electrónico adjuntos se nombran repente  DEFANGED, por favor, lea esta  introducción al Sanitizer  – debe responder a sus preguntas. Que me haga saber si no lo hace.

Tenga en cuenta que el Sanitizer es  NO  un antivirus tradicional. No se basa en “firmas” para detectar ataques y no tiene la “ventana de vulnerabilidad” problemas que la seguridad basada en firmas siempre tiene; sino que permite ejecutar políticas como “correo electrónico no debe ser escrito”, y “macros en documentos adjuntos de Microsoft Office no deben tener acceso al registro de Windows”, y “correo electrónico no debe tener Windows los archivos adjuntos ejecutables”, y pone en cuarentena los mensajes que violan las políticas.


Site Index:

Últimas noticias

Introducción

Amenazas basadas en correo electrónico para la seguridad informática

Obtención e instalación del Sanitizer

Configuración de la Sanitizer

Instalación del Sanitizer en un relé de correo entrante

Instalación del Sanitizer en un relé de correo saliente (versión I)

Sanitizer registro de cambios

Desmantelar los archivos adjuntos destrozados

Comentarios del usuario

La lista de correo

Los archivos de la lista de correothe Mailing List archives

• Descargar corriente Sanitizer (versión 1.151)

• Descargar versión de desarrollo del Sanitizer (versión 1.152pre8)

• Descargar corriente Sanitizer bola de alquitrán

• Descargar corriente escaneo no macro Sanitizer

• Descargar corriente lista de archivos envenenados recomendada

• Descargar corriente recomendado lista de archivos encriptados envenenados

• Descargar corriente ejemplo de script de reglas locales (identificación de gusano basada en firmas)

• Examine  el área de desarrollo

• Descargar conjunto de reglas de exploración postal de Yves Agostini. Ejecutarlo antes de pre-1.141 desinfectantes para escanear archivos adjuntos ejecutables para .ZIP.

• Descargar un parche para SpamAssassin 2.63  que permite  SpamAssassin reconocer y marcar adecuadamente HTML quitado los colmillos – utilizar si se está ejecutando SpamAssasin  después de  que el desinfectante.

• Descargar un parche para SpamBouncer 1.9  que permite  SpamBouncer reconocer y marcar adecuadamente HTML quitado los colmillos – utilizar si se está ejecutando SpamBouncer  después de  que el desinfectante. (Gracias a Joe Steele!)


Filtrado de correo electrónico para la seguridad

Procmail es un programa que procesa los mensajes de correo electrónico en busca de información particular en las cabeceras o el cuerpo de cada mensaje, y toma acciones sobre la base de lo que encuentra. Si está familiarizado con el concepto de “reglas” según se dispone en muchos de los principales clientes de correo del usuario (como el cc:cliente de correo), entonces ya está familiarizado con el concepto de procesamiento de mensajes de correo electrónico de forma automática en función de su contenido.

Este conjunto de reglas de combinación y procmail script de Perl está diseñado específicamente para “sanear” su correo electrónico en el servidor de correo, antes de que sus usuarios incluso intentan recuperar sus mensajes. Se  no  destinado a los usuarios finales a instalar en sus sistemas de escritorio de Windows para la protección personal.


Noticias y notas

La versión actual de la html-trap.procmail conjunto de reglas es: 1.151

Se recomienda que actualice su copia si su versión es anterior, como se habrán añadido correcciones y filtrado para nuevas hazañas. Ver  el historial de cambios  para obtener más detalles.

He estado continuar utilizando el desinfectante en la producción a pesar de que el desarrollo se ha tranquilizado mucho en los últimos años y está impulsada principalmente por ahora mis necesidades en lugar de las peticiones del usuario. Todavía es útil, y sigue impidiendo intento de entrega de malware, incluso de exploits que los escáneres de virus todavía no detectan. Tengo, sin embargo, no sido mantener el sitio actualizado, por lo que estoy haciendo ahora. Sugiero que si usted todavía está utilizando el desinfectante se echa un vistazo a  la versión de desarrollo  (1.152pre8) para los cambios y mejoras en curso, lo más notablemente posible la actualización del escáner macro oficina en busca de malware descargado.


Existe  una vulnerabilidad de desbordamiento de búfer en la biblioteca archivo zip DUNZIP32.dll  utilizado por muchos programas comerciales, incluyendo Lotus Notes y Real Audio Player. Exploits para esta vulnerabilidad son EN LA NATURALEZA. Si usa Notes o algún otro software que se encarga de archivos ZIP, en contacto con su proveedor para ver si hay una actualización disponible.
En un intento de mitigar esta vulnerabilidad, la versión de desarrollo del sanitizer  ha implementado controles de longitud de nombre de archivo en los nombres de los archivos archivados. Si no desea probar la instantánea de desarrollo,  un parche que añade las pruebas de longitud-de nombre de archivo comprimido al barrido ZIP existente  está disponible. Es contra 1.151 pero  debería  funcionar en cualquier versión que tiene el escaneo ZIP.

Hay un pequeño parche para las versiones 1.151 y anteriores que defangs un método de ofuscar javascript incrustado. Para aplicar el parche, almacenar el parche en el directorio donde se guarda el desinfectante (normalmente /etc/procmail) y ejecute el siguiente comando:

patch –backup <obfuscated_javascript.patch

Esto será en la próxima versión estable.

Las listas de correo de la esa-l y la esd-l se han restaurado y ahora son dirigidas por una impsec.org. Gracias a Michael Ghens por su generosa acogida de las listas durante cinco años!

Hay una  anuncios de la lista de correo  para los problemas de seguridad de correo electrónico. Se realizará principalmente información sobre las nuevas vulnerabilidades y actualizaciones del desinfectante. Para suscribirse, envíe un mensaje con el asunto “suscribirse” a  esa-l-request@impsec.org. Esta es una lista muy moderado para anuncios solamente, no discusión general.

Si desea unirse a la  lista de discusión desinfectante,  enviar un mensaje con el asunto “suscribirse” a  esd-l-request@impsec.org. Esta es una lista de los miembros de sólo; para publicar a ella que  debe  unirse. También hay  un archivo de mensajes disponibles.

1.142 corrige un error menor en 1.141 que hace que el nombre de archivo zip juego demasiado codicioso.

1.141 permite ahora escanear el contenido del archivo ZIP. AVISO: si no especifica explícitamente un ZIPPED_EXECUTABLES el archivo de políticas, el sanitizer predeterminado a su POISONED_EXECUTABLES archivo de política para el procesamiento de contenido de archivo ZIP. Esto es probablemente más paranoico de lo que desea ser. Vea el Configuración de la Sanitizer página para más detalles.


NOTICIA IMPORTANTE:

Si ha descargado y está utilizando el 1.139 sanitizer, aquí hay un parche para hacerla ignorar la parte forjada de NovArg/MyDoom Recibido: encabezados y dejar de notificar las direcciones inexistentes del remitente sobre el ataque. Por favor, aplique este parche a su desinfectante usando las siguientes instrucciones y ayude a reducir la cantidad insana de tráfico que este monstruo está generando…

HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) ]

Instrucciones de instalación:

Copie el archivo .diff en el directorio donde reside su sanitizer y ejecute los siguientes comandos:

cp html-trap.procmail html-trap.procmail.old patch < smarter-reply.diff


El 1.139 Sanitizer incluye la detección de Microsoft Office VBE ataques de desbordamiento de búfer. Ver  la alerta EEye para más detalles.

Sobig.F reglas para los ataques directos y rebota están en  el archivo-reglas locales muestra  ahora.

Por favor, vea  el archivo-reglas locales de la muestra  para una regla que se debe detectar y cuarentena los mensajes diseñados para atacar a la  cabecera Sendmail análisis de errores a distancia de la raízIMPORTANTE:  Esta regla  NO proteger la máquina en la que está instalado. No obstante, debe actualizar su Sendmail. Puede, sin embargo, proteger las máquinas vulnerables detrás de la máquina que se está ejecutando, dándole tiempo para actualizarlos.

Si usted está recibiendo errores como “sendmail: illegal option -- U” ver  la página de configuración de cómo solucionarlo.

Si usted está experimentando el problema “Nos dejó F” (donde en el mensaje que se está borrando la “F” en el principal “From”), tenga en cuenta: se trata de un problema conocido en procmail. Se podrá fijar en la versión actual, es posible que desee actualizar. El problema se produce cuando una acción de filtrado devuelve un error. En esa situación procmail puede perder el primer byte del mensaje. Asegúrese de que su archivo de registro tiene 622 permisos. Además,  aquí es una regla corta que ayudará a limpiarlo, añadirlo al final de su /etc/procmailrc archivo.

(Planificación de)  el desarrollo del desinfectante 2.0  ha comenzado. La lista de características planeado es como la siguiente:

• Manejo de archivos adjuntos basado en políticas ($MANGLE_EXTENSIONS desaparece)

• Soporte de internacionalización vía GNU gettext o algo similar

• Manejo adecuado de los nombres de archivo codificados

• Doblar el código de longitud de encabezado y HTML-defang en el script perl principal, para minimizar las inicializaciones del proceso perl

• El script perl se separará (ya no en línea)

• Pasando de mimencode y mktemp a MIME::Base64 y File::MkTemp

• Iniciar sesión en el propio mensaje (agregar un nuevo adjunto de texto MIME que muestra lo que sucedió durante la desinfección) con la capacidad de agregar archivos de nota específicos del sitio

• Mirando en los accesorios de MS-TNEF. Espero tener la política completa y el apoyo de escaneo de macro, pero la política probablemente tendrá que ser aplicado a la conexión de MS-TNEF entero (por ejemplo, si una parte de ella se va a despojar, todo se despoja).

• Opcional de-BASE64 archivos adjuntos de texto y HTML, por lo que puede ser objeto de filtrado de correo basura después de que el sanitizer.

Anuncios beta se harán a la lista de correo.


<jhardin@impsec.org>

Página principal

Contents Copyright (C) 1998-2017 by John D. Hardin – All Rights Reserved.

Leave a Reply