[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]

[Hilos de Discusión] [Fecha] [Tema] [Autor]

[Linux] filtro antivirus con procmail (funciona con SIRCAM)

Hola, hice un filtro para procmail, que es mas flexible (creo) que el que
sugieren en DGSCA e impideque cualquier usuario reciba attachments
ejecutables (que son potencialmente peligrosos)
esta chiquito, pero tarde un dia en hacerlo, espero que aprecien.
Comentarios, reported de implementacion y/o sugerencias son bienvenidas.

Este filtro debe de implementarse en servidores POP
Para usarlo nesecitan tener instalado y funcionando el procmail y que su
SMTP use procmail para entregar los correos locales.
El filtro se define en /etc/procmailrc, si no existe creanlo y asegurense de
que tenga permisos suficientes para que procmail pueda leerlo.
Igual crean un archivo donde se va a escribir el log del filtro y hagan que
procmail pueda escribir ahi
Definan una cuenta en la que deberan para los mensajes sospechosos, en mi
caso es "drop" y mi dominio de correo se llama "bregusa.i"
El codigo de /etc/procmailrc es asi:
===========INICIA
#mail filter definitions for procmail
#This variables content is used for logging propouses
SUBJECT=`formail -xSubject:`
FROM=`formail -xFrom:`
TO=`formail -xTo:`

#there is only one rule: no attached file shall pass if it's filename ends
as executable, it scans headers and body
:0 H B
#the next line is normally commented, modify the mail address and uncomment
it for testing/debuging propouses, so
#everything you do does not affect the rest of users until the rule is fine
#* ^Delivered-To: alk@bregusa.i

#we make sure that the current message does not go to our drop inbox, to
avoid mail loops
* !^Delivered-To: drop@bregusa.i
#we see if it is a normal plain text message or not
* ^Content-Type:.*|\n*.*boundary="."
#we track the attachment's filename Here you specify what extentions shall
be filtered (see the example for sintax)
* ^Content-Disposition:
attachment;.*|\n*.*filename=".*(\.exe|\.com|\.bat|\.pif|\.lnk)"
  {
  #say where the filtered messages shall be redirected
  :0 c
  ! drop@bregusa.i
  #write the log
  :0
  | echo "`date +"%d-%b-%Y %H:%M:%S"`: filtering mail: form $FROM to $TO
about \"$SUBJECT\" " >> /tmp/prcmltest
}

=========TERMINA
OJO: Este filtro pretende bloquear cualquier correo que lleve como
attachment un archivo con extencion ejecutable, no solo los virulentos.
Tambien parece haber unos bugs de naturaleza desconocida (aun) que se
manifiestan en lo siguiente:
1.si llega un correo en formato HTML con imagenes de fondo, el correo por
alguna razon pasa Y se manda una copia para el "drop"
2. si llega un correo con mas de un attachemnt, de los cuales por lo menos
uno no trae extencion sospechosa, el correo para como si nada...

Ahi, si alguen quiere contribuir para perefccionarlo, por favor haganlo.

Atte. Alexander
Gerente de sistemas
Bregusa Internacional SA. de CV
www.dasmico.com.mx
tel. (52) 5 677 2343
fax (52) 5 684 3728


Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/
[Hilos de Discusión] [Fecha] [Tema] [Autor]