Posílení zabezpečení e-mailu s Procmail: E-mailovy sanitizer

Source page: http://www.impsec.org/email-tools/procmail-security.html

Vítejte na domovské stránce E-mailové Sanitizer. Sanitizer je nástroj pro předcházení útokům na zabezpečení počítače prostřednictvím e-mailových zpráv. To se ukázalo jako velmi účinný proti Microsoft Outlook e-mailových červů, kteří se dostali tolik pozornosti v populárním tisku a které způsobily tolik potíží.

Sanitační činidlo je určen publikum správci poštovních systémů. To není obecně určen pro koncové uživatele, pokud se spravují své vlastní poštovní systémy, spíše než jednoduše říkat svůj poštovní program přijímat zprávy z poštovního serveru spravuje někdo jiný.

Pokud jste zde, protože jste dostali zprávu, že kus mailu, který poslal byla zamítnuta, nebo proto, že URL pro tuto webovou stránku se objeví v kuse mailu, který jste obdrželi, nebo proto, že jste zvědaví, proč Váš e-mail přílohy jsou náhle jmenován DEFANGED, přečtěte si tento úvod do Sanitizer – to by měl odpovědět na vaše otázky. Dejte mi vědět, pokud se tak nestane.

Upozorňujeme, že sanitizer není tradiční virů. To se nespoléhá na „podpisy“ K odhalení útoky a nemá „okna zranitelnosti“ problémů, které bezpečnostní podpis na bázi vždy; spíše to umožňuje prosazovat zásady jako „e-mail by neměla být zapsána“ a „maker v Microsoft Office Document příloh by neměla přistupovat k registru systému Windows“ a „e-mailu by neměla mít Windows příloh spustitelný soubor“, a karantény zpráv, které porušují tyto zásady.


Index webu:


Filtrování e-mailů pro bezpečnost

Procmail je program, který zpracovává e-mailové zprávy hledat konkrétní informace v záhlaví nebo těla každé zprávy, a podniká akce na základě toho, co najde. Pokud jste obeznámeni s pojmem „pravidel“, jak je stanoveno v mnoha významných uživatel mailových klientů (například cc: Mail klient), pak jste již obeznámeni s pojmem automatické zpracování e-mailových zpráv na základě jejich obsahu.

Tato kombinace procmail ruleset a Perl skript je speciálně navržen tak, aby „dezinfikovat“ Váš e-mail na poštovním serveru, než si uživatelé dokonce pokoušet získat jejich zprávy. Není určen pro koncové uživatele k instalaci na svých stolních systémů Windows pro osobní ochranu.

Novinky a poznámky

Současná verze html-trap.procmail sady pravidel je: 1,151
Doporučuje se aktualizovat svou kopii, pokud je vaše verze starší, jak bude byly přidány opravy chyb a filtrování pro novější využije. Podívejte se na historii změn pro podrobnosti.

Byl jsem i nadále používat Sanitizer ve výrobě, přestože vývoj výrazně uklidnil v posledních několika letech a je většinou poháněn nyní podle mé potřeby, spíše než požadavky uživatelů. To je ještě užitečné a stále blokuje malware pokusil dodávku, a to i ze zneužití, které antivirové programy nejsou ještě detekovat. Jsem však nebyl udržování webové stránky, up-to-date, takže dělám teď. Navrhuji, pokud jste stále používáte Sanitizer jste se podívat na uvolnění rozvoje (1.152pre8) pro probíhající změny a vylepšení, nejvíce pozoruhodně aktualizace makro skeneru Úřad pro stáhli malware.


Tam je chyba zabezpečení přetečení vyrovnávací paměti v .zip archivu knihovny DUNZIP32.dll používá mnoho komerčních programů, včetně Lotus Notes a Real Audio Player. Využije k této zranitelnosti jsou ve volné přírodě. Pokud používáte Notes nebo nějaký jiný software, který zpracovává ZIP archivy, obraťte se na dodavatele, aby zjistili, zda je k dispozici aktualizace.
Ve snaze zmírnit tuto chybu, vývoj verze dezinfekčního zavedla název souboru kontrolu délky na archivovaných názvy souborů. Pokud si nepřejete, aby se pokusili o vývoj snímek, patch, který přidává délky zkoušky na zip-filename na stávající ZIP skenování je k dispozici. Je to proti 1,151, ale to by mělo fungovat na libovolném vydání, která má ZIP skenování. K dispozici je malá náplast pro verze 1.151 a starší, které defangs metodu plést vložený JavaScript. Chcete-li použít opravu, uložit opravu do adresáře, kde máte uloženou Sanitizer (obvykle/etc/procmail) a spusťte následující příkaz:

patch --backup <obfuscated_javascript.patch

To bude v příští stabilní verze.
Tyto e-mailové konference ESA l a ESD-L byly obnoveny a jsou nyní hostí impsec.org. Díky Michael Ghens za velkorysou hostování seznamů po dobu pěti let!

Je zde oznámení seznamu otázek e-mailové bezpečnostní konference. To bude v první řadě nesou informace o nových využije a aktualizacích dezinfekčního prostředku. Chcete-li objednat, odeslat zprávu s předmětem „předplatit“ na esa-l-request@impsec.org. Jedná se o silně moderovaný seznam pro oznámení, nikoliv obecnou diskusi.

Chcete-li vstoupit do mailing listu Sanitizer diskusní, odeslat zprávu s předmětem „předplatit“ na esd-l-request@impsec.org. To je jen pro členy seznamu; poslat na něj musíte připojit. K dispozici je také archiv zpráv k dispozici.

1.142 opravuje menší chyba v 1,141, která dělá .zip archivu souboru odpovídající příliš nenasytní.

1,141 nyní umožňuje prohledávání obsahu archivu ZIP. UPOZORNĚNÍ: Pokud nechcete explicitně soubor zásad ZIPPED_EXECUTABLES bude sanitizer výchozí souboru zásad POISONED_EXECUTABLES pro zpracování obsahu archivu ZIP. To je pravděpodobně více paranoidní než si přejete být. Viz Konfigurace na stránce Sanitizer pro více informací.


DŮLEŽITÉ OZNÁMENÍ:

Pokud jste stáhli a používáte 1.139 Sanitizer, tady je náplast, aby se to ignorovat kované část NovArg / Mydoom přijata: záhlaví a zastavit oznámení neexistující adresy odesílatelů o útoku. Prosím použít tuto opravu do svého dezinfekčního prostředku pomocí níže uvedených pokynů a pomoci snížit šílené množství provozu toto monstrum je generování …

[HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NE) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP zrcadlo 7 (US: WA)]

Instrukce k instalaci:

Zkopírujte soubor .diff do adresáře, kde se vaše Sanitizer životy a spustit následující příkazy:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff

1,139 Sanitizer zahrnuje detekci Microsoft Office VBE útoků buffer overflow. Podívejte se na záznam eEye další podrobnosti.

SoBig.F pravidla pro přímé útoky a odrazí se v ukázkovém souboru místní pravidla nyní.

Další informace naleznete v ochutnat místní souboru pravidel pro pravidlo, které by měly odhalit a karanténní zpráv, jejichž cílem je zaútočit na hlavičku Sendmail rozebrat dálkově kořenový chybu. Důležité: Toto pravidlo nebude chránit stroj v němž je nainstalován. Je třeba stále aktualizovat sendmail. To však může chránit zranitelné stroje za strojem to pokračuje dál, takže máte dostatek času na jejich aktualizaci.

Dostanete-li chyby jako „sendmail: ilegální volby – U“ naleznete na konfigurační stránce na tom, jak to opravit.

Pokud jste se setkali s „Klesl F“ problém (kde „F“ v hlavním „Z“ ve zprávě je vymazán), prosím, na vědomí: toto je známý problém v procmailu. To může být stanovena v aktuální verzi, můžete upgradovat. Problém nastane, pokud akční filtr vrátí chybu. V takovém případě může dojít ke ztrátě procmailem první byte zprávy. Ujistěte se, že soubor protokolu má 622 oprávnění. Také zde je krátké pravidlo, které pomohou vyčistit, přidejte ji na konec vašeho souboru / etc / procmailrc.

(Plánování) vývoj dezinfekčního 2.0 začala. Plánovaná seznam funkcí vypadá nějak takto:

  • Policy-file-based přílohu manipulaci ($ MANGLE_EXTENSIONS zmizí)
  • Internacionalizace podpora prostřednictvím GNU gettext nebo něco podobného
  • Správné nakládání s kódovanými názvy souborů
  • Skládací záhlaví délky a HTML defanging kód do hlavní perl skript, aby se minimalizovalo perl procesu inicializace
  • Perl skript bude oddělena (již inline)
  • Přechod od mimencode a mktemp MIME :: Base64 a File :: mktemp
  • Přihlášení do samotné zprávy (přidávání nové MIME textovou přílohu se seznamem, co se stalo během dezinfekce) s možností přidat site-specific poznámka soubory
  • Nahlížení do MS-TNEF příloh. Doufám, že mají plnou politiku a maker podporu skenování, ale politika bude pravděpodobně muset být aplikován na přílohu MS-TNEF jako celek (např. Pokud jedna část z nich má být odstraněny, celá věc dostane odstraněny).
  • Volitelné de-BASE64ing textových a HTML příloh, takže mohou být předmětem filtrování nevyžádané pošty po dezinfekčního prostředku.

Beta oznámení bude uveden odkaz na e-mailové konference.
I může být kontaktován na <jardin@impsec.org> – můžete také navštívit domovskou stránku.

Několik lidí se mě zeptal, proč nemám účtovat za tento balíček. Myslím, že je to především kvůli tomu, že jsem si nemyslím, že někdo by měl být vystaven na tyto útoky jednoduše proto, že nechtějí nebo si nemohou dovolit koupit něco, aby se chránili, ale také má do činění s skutečnost, že jsem to jako zajímavou intelektuální výzvou, je způsob, jak získat uznání, a způsob, jak dát zpět do komunity.
Nicméně, pokud máte pocit, že platit za příjem něco hodnotného, která zlepšila svůj život, pak neváhejte navštívit můj osobní seznam přání či můj Amazon seznamu přání, nebo mi poslat dar přes PayPal a nářek, že nikdo to dělá TequilaPal dosud.


$Id: procmail-security.html,v 1.1 2017-03-24 21:43:20-07 jhardin Exp jhardin $
Contents Copyright (C) 1998-2017 by John D. Hardin – All Rights Reserved. Translation encouraged, please notify me so I can post links from the main site.
The primary Sanitizer home page is at http://www.impsec.org/email-tools/procmail-security.html

 

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>