[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Hola, hice un filtro para procmail, que es mas flexible (creo) que el que sugieren en DGSCA e impideque cualquier usuario reciba attachments ejecutables (que son potencialmente peligrosos) esta chiquito, pero tarde un dia en hacerlo, espero que aprecien. Comentarios, reported de implementacion y/o sugerencias son bienvenidas. Este filtro debe de implementarse en servidores POP Para usarlo nesecitan tener instalado y funcionando el procmail y que su SMTP use procmail para entregar los correos locales. El filtro se define en /etc/procmailrc, si no existe creanlo y asegurense de que tenga permisos suficientes para que procmail pueda leerlo. Igual crean un archivo donde se va a escribir el log del filtro y hagan que procmail pueda escribir ahi Definan una cuenta en la que deberan para los mensajes sospechosos, en mi caso es "drop" y mi dominio de correo se llama "bregusa.i" El codigo de /etc/procmailrc es asi: ===========INICIA #mail filter definitions for procmail #This variables content is used for logging propouses SUBJECT=`formail -xSubject:` FROM=`formail -xFrom:` TO=`formail -xTo:` #there is only one rule: no attached file shall pass if it's filename ends as executable, it scans headers and body :0 H B #the next line is normally commented, modify the mail address and uncomment it for testing/debuging propouses, so #everything you do does not affect the rest of users until the rule is fine #* ^Delivered-To: alk@bregusa.i #we make sure that the current message does not go to our drop inbox, to avoid mail loops * !^Delivered-To: drop@bregusa.i #we see if it is a normal plain text message or not * ^Content-Type:.*|\n*.*boundary="." #we track the attachment's filename Here you specify what extentions shall be filtered (see the example for sintax) * ^Content-Disposition: attachment;.*|\n*.*filename=".*(\.exe|\.com|\.bat|\.pif|\.lnk)" { #say where the filtered messages shall be redirected :0 c ! drop@bregusa.i #write the log :0 | echo "`date +"%d-%b-%Y %H:%M:%S"`: filtering mail: form $FROM to $TO about \"$SUBJECT\" " >> /tmp/prcmltest } =========TERMINA OJO: Este filtro pretende bloquear cualquier correo que lleve como attachment un archivo con extencion ejecutable, no solo los virulentos. Tambien parece haber unos bugs de naturaleza desconocida (aun) que se manifiestan en lo siguiente: 1.si llega un correo en formato HTML con imagenes de fondo, el correo por alguna razon pasa Y se manda una copia para el "drop" 2. si llega un correo con mas de un attachemnt, de los cuales por lo menos uno no trae extencion sospechosa, el correo para como si nada... Ahi, si alguen quiere contribuir para perefccionarlo, por favor haganlo. Atte. Alexander Gerente de sistemas Bregusa Internacional SA. de CV www.dasmico.com.mx tel. (52) 5 677 2343 fax (52) 5 684 3728 Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/