Qmail-Scanner er en add-on som gjør at en Qmail e-postserver for å skanne gatewayed epost for visse egenskaper (dvs. en innholds skanner). Det er vanligvis brukt for sin anti-virus og anti-spam-beskyttelse funksjoner, i så fall er det brukt i forbindelse med eksterne skannere.
Qmail-Scanner programmet kan også et nettsted (på en server / områdenivå) for å lage "-politikk blokker": dvs. reagerer på e-post som inneholder bestemte strenger i spesielle overskrifter, eller spesielle feste filnavn eller typer (f.eks * VBS vedlegg).
Dens arkivfunksjoner hjelper ISPer og selskaper rundt om i verden med ny eller ventende lovgivning og regelverk. Det kan arkivere alle behandles epost til et arkiv maildir. Dette er ideelt for sikkerhetskopiering for overvåkingspolicy grunner. I motsetning til visse Windows-baserte serverløsninger, de postkonvolutt overskrifter (den "RCPT til:" og "post fra:" headers) holdes intakt - føyd til bunnen av hver melding - bekrefter ekte avsenderen og destinasjonsadresser.
Arkivering støtter også filtrere til en undergruppe av adresser (for eksempel bare arkiv "support@domain.name" e-post i stedet for alle). I tillegg kan de omfattende én linje sammendrag generert for hver melding av Qmail-Scanner være nok for selskapene oppfyller sine forpliktelser - i stedet for den mer diskintensive fulle arkivering. Som vanlig, ta kontakt med en advokat for riktig definisjoner.
Qmail-Scanner er integrert i postserveren på et lavere nivå enn noen andre Unix-baserte virusprogrammer, noe som resulterer i mer grundig dekning. Det er i stand til å skanne ikke bare lokalt sendt / mottatt e-post, men også e-post som krysser server i et relé kapasitet. Qmail-Scanner utnytter også det vell av meta-informasjon gitt av Qmail (for eksempel klient IP-adresse, og hvorvidt klienten er lov å videresende).
Her er noen viktige trekk ved "Qmail Scanner":
· Støtter nesten alle kommersielle (Unix) virusskannere samt den stadig populære Open Source ClamAV skanner.
· Kan kalle mer enn en virusskanner for hver e-postmelding
· Har sin egen interne skanner som kan brukes for Policy håndheving, eller til karantene virus som AV øyeblikket ikke kan oppdage
· Den interne Skanneren kan også brukes til karantene epost basert på vedleggstyper, eller e-post med visse andre headere ... Trenger du å stoppe * .mp3-filer eller "Emne: ILOVEYOU" e-post å få på og av lokalnettet - kan gjøre! :-)
· Den interne skanneren kan utløse en "grålisting" handling i stedet for en karantene. Dette er laget for nødssituasjoner der din nåværende AV og statiske personvern blokkene ikke er hensiktsmessig. f.eks en ny ZIP-baserte virus kommer ut med tilfeldige filnavn. AV kan ikke oppdage det, og du kan ikke globalt blokkere ZIP-filer uten å såre gyldige brukere. A "grålisting" handling vil føre Qmail-skanner for å gå ut med en SMTP midlertidig svikt i stedet for å levere meldingen. Gyldige e-post vil bare bli requeued og kan strømme gjennom senere når AV kan oppdage virus, og du bestemmer deg for å fjerne grålisting politikk.
· Interne motor skanner for dårlig formaterte meldinger som er kjent for å bli brukt av trojanere / virii å infisere klienter. Som sådan, er dette uavhengig av eventuelle virus skanner, og kan med hell operere mot fremtidige virii / trojanere. Slike meldinger blir karantene umiddelbart. Kjent for å blokkere et slikt stort virii som Klez og Aliz, og som en bivirkning, stopper en god del spam også! Format sjekker inkluderer:
· Brutt MIME videreføring headers
· Bruk av kommentarer i standardhoder (f.eks "Content-T (xxxxxx) ype:" er * identisk * til "Content-Type:" i henhold til RFC - men noen virii bruk dette som det omgår noen anti-virusprogrammer). Gyldig bruk av dette er aldri sett i naturen - så den er blokkert
· Gjentatte forekomster av MIME-hoder gjør QS endre navn de sistnevnte for å oppheve dem
· MIME grenser enn 250 tegn er blokkert
· Ulike definisjoner av en bestemt vedlegg filnavn fører det til å bli blokkert
· Dobbelt definere samme MIME grensen er blokkert
· Visse MIME-typer som inneholder vinduer kjørbare utvidelser er spesielt blokkerte (f.eks en "audio / wav" av filnavn "wav.exe" kan bare være et virus)
· Brutt overskrifter innenfor et MIME vedlegg blokkeres
· Vinduer kjørbare vedlegg som ikke er merket å være av typen «application / ....." blokkeres (f.eks døpe notepade.exe å notepade.gif og sende det som en GIF vedlegg vil bli satt i karantene, som Qmail-skanner ville innse det er en kjørbar utgir seg for å være noe annet).
· Feste filnavn enn 256 tegn er blokkert
· Noen dobbeltløpet filnavn er blokkert (f.eks file.gif.exe). Den prøver ikke å blokkere vanlig feil varianter
· CLSID filtyper er blokkert
· Passordbeskyttede zip-filer kan bli blokkert hvis du ønsker det. Dette ville stoppe eventuelle fremtidige virus utstoppede inne passordbeskyttede zip-filer fra å komme gjennom, men selvfølgelig vil også stoppe noen legitim bruk. Slått av som standard, men kanskje nyttig å slå på under et nytt utbrudd, og slått av igjen når en AV-oppdatering oppstår som kan fange den.
· Som standard alltid kjører noen AV du kan ha over meldingene først, går deretter intern scanner (Policy / perlscan) sjekker. Dette betyr at hvis du blokkerer "PIF-" filer på grunn av dem som normalt inneholder virus, så eventuelle PIF- filer som ikke inneholder et virus kalt til AV-systemet vil bli flagget som "virus", og noen som var savnet (kanskje de var en Day-Zero virus) blir deretter merket som blir blokkert av "politikk". Denne differensiering blir deretter brukt av varselsystemet. Er førehands å ikke varsle avsenderen at et virus har blitt funnet, men kan likevel varsle dem når det var en "policy" blokk.
· Karantene eposter den finner å være i strid med de ovennevnte sub-systemer. Virus er satt i karantene i en maildir heter "virus /", beslutning blokker i "politikk /" og (potensielt) høye karakter SPAM inn "spam /"
· Kan integreres med Spamassassin å gi omfattende anti-spam tagging for et helt nettsted. Vanligvis bruker også inkluderer bruk Qmail-skanner som en "front end" for Enterprise-postservere som Notes og Exchange. Qmail-Scanner gjør alt det skitne arbeidet - (forhåpentligvis) forlater ikke annet enn ren mail for backend :-)
· Auto-registrerer e-post fra "postmaster" -stil og mailing-liste adresser - og ikke sende virus alert rapporter til dem (dvs. forsøker å opptre mer som en ansvarlig netto statsborger)
· På grunn av det faktum at over 99,9% av alle e-postvirus er nå sendt med falsk avsenderinformasjon, QS mislighold å ikke varsle avsenderen at en melding har blitt satt i karantene, med mindre det var på grunn av en Regler / Perlscan blokk. Dette kan slås tilbake til den "gamle" stil ved å bruke "--notify avsender" i stedet for den nyere standard av "--notify psender" (dvs. bare varsle avsender for politiske blokker)
· Knows av virii som smi Fra overskrifter - slik at viruset ser ut til å komme fra noen stakkars uskyldige. Qmail-Scanner vil ikke sende varsler til avsenderen for de typer av virii. Som standard er å ikke varsle uansett, dette bare virkelig får virkning hvis du bruker "--notify avsender" alternativet.
· Hver melding er merket via en ny mottatt: header med et virus rapport som viser om det er rent eller ikke, og virusskanner versjonsnummer / etc
· [Deaktivert som standard] Meldinger klassifisert som "seriøse SPAM" av "--sa-karantene" alternativet (i utgangspunktet ha en virkelig høy SA score) vil bli satt i karantene ut i en «maildir" postmappe (./spam/). Dette skillet i sin egen maildir lar nettsider for å komme opp med sine egne metoder for håndtering av falske positiver. Men ...
· Den "-z" opprydding alternativet vil slette meldinger i karantenemapper eldre enn 14 dager - for å sikre at det ikke blir for stor. Hvis du ønsker å holde dem lenger, å bare script noe flytte dem ut daglig til en annen mappe / maildir. Det er en logrotate script i contrib katalogen for å automatisere denne (for de systemer som kan bruke den - som Redhat / CentOS)
· Kan eventuelt legge en beskrivende overskrift: X-Qmail-skanner til hver e-post som passerer gjennom systemet for å tillate brukere å se at en skanner har kjørt over sine meldinger.
· Meldinger fanget av Qmail-skanner generere en e-postmelding (støtter foreløpig engelsk, italiensk, afrikaans, polsk, svensk, tsjekkisk, tysk, spansk, tyrkisk, litauisk, fransk, portugisisk, nederlandsk og kinesisk meldinger) til en konfigurerbar kombinasjon av avsender , mottakere og en "karantene-admin" adresse som forklarer hvorfor deres budskap ble blokkert.
· Kan arkivere noen eller alle behandlet epost (som ikke ble satt i karantene) i et arkiv maildir. Nyttig når debugging e-postbaserte apps, for sikkerhetskopiering, og for overvåkingspolicy grunner. I dag den post konvolutt overskrifter (den "RCPT til:" og "post fra:" headers) er vedlagt nederst i hver melding. Dette alternativet støtter bli kalt med et vanlig uttrykk i så fall bare konvolutt overskrifter som samsvarer med uttrykket blir arkivert (f.eks kan arkivere "(support | salg) @ domain.name" i stedet for all e-post)
· Rapporter via syslog eller til en fil, en en-linje beskrivelse av hver behandlet meldingen, noe som gir omfattende informasjon som emnefeltet, feste filnavn, størrelser, etc.
· Redundant skanning. Ikke bare pakke det hver melding før du kjører skannerne enn det, kan det også skanne den opprinnelige "rå" e-postmelding samt utpakket komponentene (dvs. hvis du tror en bestemt skanneren har bedre intern MIME parsing enn Qmail-skanner)
· Rapportering: i contrib katalogen er det qs2mrtg.pl. En perl script for overvåking av syslog filer for qmail-skanner poster. Det grafer så hvordan Qmail-skanner behandler din e-post. Det skaper ulike grafer for innkommende vs utgående e-post, samt flyten av spam og virus.
Krav:
· Netqmail 1,05 (eller qmail-1.03 med oppdateringer)
· Opprett en egen konto der for å kjøre Qmail-skanner: standard til brukernavn og gruppenavn "qscand". For ekstra sikkerhet, lage den med en vanlig hjemmekatalog (for eksempel "/ home / qscand"), men med en "fake" skall (for eksempel "/ bin / false") - som det aldri har logget inn direkte.
· Reformime fra maildrop 1.3.8+
· Perl 5.005_03 +
· Perl modul Tid :: HiRes
· Perl modul DB_File (de fleste distribusjoner kommer med det pre-installert, selv om den siste Perl ikke)
· Perl modul Sys :: Syslog (de fleste distribusjoner kommer med det forhåndsinstallert)
· Perl modul MIME :: Base64 (de fleste distribusjoner kommer med det forhåndsinstallert)
· Valgfritt: Mark Simpson TNEF unpacker. Kan dekode disse irriterende MS-TNEF MIME vedlegg som Microsoft postservere bare elsker å bruke. Hvis du ikke har dette, er det flere klasser av e-post som Qmail-Scanner i utgangspunktet ikke vil være i stand til å trekke vedlegg i. Men, kan det hende at AV meget vel være i stand til å håndtere dem
· Valgfritt: uudecode (del av sharutils på Redhat-style-systemer)
· Valgfritt: pakk
Hva er nytt i denne utgaven.
- Noen små bugs ble fikset
- Nye funksjoner inkluderer DLP støtte og Team Cymru Malware Hash Regi støtte.
Kommentarer ikke funnet