Qmail-Scanner é um add-on que permite que um servidor de e-mail Qmail a varredura de e-mail gatewayed para certas características (ou seja, um scanner de conteúdo). É normalmente utilizado para o seu anti-vírus e as funções de protecção anti-spam, no caso em que é usado em conjunto com scanners externos.
Aplicação-Scanner Qmail também permite que um site (em um nível / local do servidor) para criar "blocos de Política": ou seja, reagir ao e-mail que contém seqüências específicas de determinados cabeçalhos, ou determinados nomes de arquivos anexos ou tipos (por exemplo, * .vbs anexos).
Suas características de arquivamento ajuda a ISPs e empresas ao redor do mundo com a legislação nova ou pendentes, e os requisitos regulamentares. Ele pode arquivar todos os emails processados em um maildir arquivo. Isto é ideal para fins de backup, por razões de política de auditoria. Ao contrário de algumas soluções de servidores baseados no Windows, os cabeçalhos de correio envelope (o "RCPT TO:" e "e-mail de:" cabeçalhos) são mantidos intactos - anexada à parte inferior de cada mensagem - confirmando verdadeiros endereços de remetente e de destino.
O arquivamento também suporta filtragem a um subconjunto de endereços (por exemplo, arquivar apenas "support@domain.name" e-mails em vez de todos). Além disso, os extensos resumos de linha única gerados para cada mensagem por Qmail-Scanner pode ser suficiente para as empresas a cumprir as suas obrigações - em vez do uso intensivo de disco mais o arquivamento completo. Como de costume, entre em contato com um advogado para obter as definições adequadas.
Qmail-scanner é integrado ao servidor de correio em um nível inferior do que alguns outros scanners de vírus baseados em Unix, resultando em uma cobertura mais aprofundada. Ele é capaz de digitalização não apenas localmente enviou / recebeu e-mail, mas também de e-mail que atravessa o servidor em uma capacidade de relé. Qmail-scanner também aproveita a riqueza de meta-informação fornecida por Qmail (como endereço IP do cliente, e se ou não o cliente é permitido para retransmitir).
Aqui estão algumas características-chave de "Qmail Scanner":
· Suporta quase todos os scanners (Unix) de vírus comerciais, bem como o scanner de código aberto ClamAV sempre popular.
· Pode chamar mais de um scanner de vírus para cada mensagem de email
· Tem o seu próprio scanner interno que pode ser usado para a aplicação da política, ou colocar em quarentena vírus que seu AV atualmente não consegue detectar
· O scanner interno também pode ser usado para a quarentena e-mail baseado em tipos de anexos, ou e-mail com determinados cabeçalhos de e-mail ... Necessidade de parar arquivos * .mp3 ou "Assunto: ILOVEYOU" e-mail como chegar na e fora de sua LAN - pode fazer! :-)
· O scanner interno pode desencadear uma ação "greylist" em vez de uma quarentena. Isto é projetado para situações de emergência em seu AV atual e blocos Política estáticas não são apropriados. por exemplo um novo vírus baseados em ZIP sai com nomes aleatórios. Seu AV não pode detectá-lo, e você não pode bloquear globalmente arquivos ZIP sem ferir usuários válidos. A ação "greylist" irá causar Qmail-Scanner para sair com uma falha temporária SMTP em vez de entregar a mensagem. E-mails válidos serão simplesmente reenfileirada e pode fluir através de mais tarde uma vez que seu AV pode detectar o vírus, e você decide remover a política greylist.
· Varreduras internas de motores para as mensagens mal formatadas que são conhecidos para ser usado por trojans / vírus para infectar clientes. Como tal, este é independente de qualquer scanner de vírus, e pode operar com sucesso contra futuras virii / trojans. Tais mensagens são colocadas em quarentena imediatamente. Conhecido para bloquear tão importante como vírus Klez e Aliz, e como um efeito colateral, pára uma boa quantidade de spams também! Cheques formato incluem:
· Quebrados cabeçalhos continuação MIME
· Uso de comentários dentro de cabeçalhos padrão (por exemplo, "Content-T (xxxxxx) ype:" é idêntica * * com "Content-Type:" de acordo com as RFCs - mas alguns usam vírus isso, pois contorna alguns scanners anti-vírus). Válido uso deste nunca é visto na natureza - por isso é bloqueada
· Repetidas ocorrências de cabeçalhos MIME faz QS renomear estes últimos para anulá-los
· Limites MIME mais de 250 caracteres são bloqueados
· Diferentes definições do nome do arquivo anexo em particular faz com que ele seja bloqueado
· Duplo definir o mesmo limite de MIME é bloqueado
· Determinados tipos MIME que contêm janelas extensões executáveis são especificamente bloqueados (por exemplo, um "áudio / wav" do nome do arquivo "wav.exe" só poderia ser um vírus)
· Cabeçalhos quebrados dentro de um anexo MIME são bloqueados
· Janelas anexos executáveis que não são marcados como sendo do tipo MIME "application / ....." são bloqueados (por exemplo, renomear notepade.exe para notepade.gif e enviá-lo como um anexo GIF seria colocado em quarentena, como Qmail-Scanner iria perceber que é um executável que finge ser outra coisa).
· Os nomes de arquivo de anexo mais de 256 caracteres são bloqueados
· Alguns nomes de arquivos dois canos são bloqueados (por exemplo file.gif.exe). Ele tenta não bloquear variantes erro comum
· Extensões de arquivo CLSID são bloqueados
· Arquivos zip protegidos por senha podem ser bloqueados, se desejar. Isso iria parar qualquer vírus futuros de pelúcia dentro de arquivos zip protegidos por senha de começar completamente, mas é claro que também parar qualquer uso legítimo. Desativada por padrão, mas talvez útil para ligar durante um novo surto, e desligado novamente uma vez que uma atualização AV ocorre que pode pegá-lo.
· Padrão é sempre a correr qualquer AV que você possa ter sobre mensagens em primeiro lugar, em seguida, executa o scanner interno cheques (Política / perlscan). Isto significa que se você bloquear arquivos ".PIF" devido a eles normalmente contêm vírus, então nenhum ficheiros.PIF que fazem conter um vírus conhecido para o seu sistema AV será marcada como "vírus", e qualquer que foram perdidas (talvez fossem um vírus Day-Zero) são então marcados como bloqueados por "política". Esta diferenciação é, então, utilizada pelo sistema de aviso. O padrão é não notificar o remetente de que um vírus foi encontrado, mas ainda pode notificá-los quando era um bloco de "política".
· E-mails quarentenas ele encontra a violar os sub-sistemas acima. Os vírus são colocados em quarentena em um maildir chamado "vírus /",-blocos políticos em "/" política e (potencialmente) de alta classificado SPAM em "spam /"
· Pode integrar-se com SpamAssassin para fornecer marcação global anti-spam para um site inteiro. Normalmente usa também inclui o uso de Qmail-Scanner como um "front end" para servidores de correio corporativo, como Notes e Exchange. Qmail-scanner faz todo o trabalho sujo - (espero) não deixando nada além de correio limpo para o backend :-)
· Auto-detecta e-mail de endereços -estilo "postmaster" e-mailing list - e não envia relatórios de alerta de vírus a eles (ou seja, tenta agir mais como um cidadão responsável net)
· Devido ao fato de que mais de 99,9% de todos os vírus transmitidos pelo e-mail são agora enviado com informações do remetente forjado, padrões QS para não alertar o remetente que a mensagem foi colocada em quarentena, a menos que fosse devido a uma Política / bloco Perlscan. Isto pode ser voltou para o estilo "velho" usando "remetente --notify" em vez do mais recente padrão de "psender --notify" (ou seja, apenas notificar remetente para blocos de política)
· Sabe do vírus que forjar a partir de cabeçalhos - para que o vírus parece vir de um pobre inocente. Qmail-scanner não irá enviar alertas para o remetente para esses tipos de vírus. Como o padrão é não notificar qualquer maneira, isso leva realmente só terá efeito se você estiver usando a opção "remetente --notify".
· Cada mensagem é marcada através de uma nova recebida: cabeçalho com um relatório mostrando vírus se é limpa ou não, e os números de versão do scanner de vírus / etc
· [Desativado por padrão] Mensagens classificadas como "SPAM grave" pela opção "--sa-quarentena" (basicamente ter realmente um high score SA) será colocada em quarentena fora em uma pasta de correio "maildir" (./spam/). Esta separação em seu próprio maildir permite que os sites para chegar a seus próprios métodos de manipulação de falsos positivos. No entanto ...
· A opção de limpeza "-z" irá apagar mensagens em subpastas de quarentena com mais de 14 dias - para garantir que ele não cresce muito grande. Se você quiser mantê-los por mais tempo, simplesmente roteiro algo para movê-los diariamente para outro diretório / maildir. Existe um script logrotate no diretório contrib para automatizar esse (para aqueles sistemas que pode usá-lo - como Redhat / CentOS)
· Pode opcionalmente adicionar um cabeçalho descritivo: X-Qmail-Scanner para cada e-mail que passa através do sistema para permitir que os usuários vejam que um scanner tem atropelado suas mensagens.
· As mensagens detectadas pelo Qmail-Scanner gerar uma mensagem de e-mail (atualmente suporta Inglês, Italiano, Polonês, Africâner, sueco, checo, alemão, espanhol, turco, lituano, Francês, Português, holandês e chinês mensagens) a uma combinação configurável do remetente , os destinatários e um endereço "quarentena-admin", explicando por que a sua mensagem foi bloqueada.
· Pode arquivar alguns ou todos os emails processados (que não foi colocado em quarentena) em um maildir arquivo. Útil ao depurar aplicativos baseados em e-mail, para fins de backup, e por razões de política de auditoria. Atualmente, os cabeçalhos de correio envelope (o "RCPT TO:" e "e-mail de:" cabeçalhos) são acrescentados à parte inferior de cada mensagem. Esta opção oferece suporte a ser chamado com uma expressão regular em caso que só envelope cabeçalhos que correspondem à expressão são arquivados (por exemplo, pode arquivar "(suporte | vendas) @ domain.name" em vez de todos os e-mail)
· Relatórios via syslog ou em um arquivo, uma descrição de uma linha de cada mensagem processada, dando informações abrangentes, tais como linha de assunto, os nomes de arquivo de anexo, tamanhos, etc.
· Varredura redundante. Não se limita a desembalar cada mensagem antes de executar os scanners sobre ele, ele também pode fazer a varredura do original mensagem "cru" e-mail, bem como os componentes descompactado (ou seja, se você acha que um scanner especial tem melhor análise MIME interno do que Qmail-scanner)
· Relatórios: no diretório contrib há qs2mrtg.pl. Um script perl para monitorar seus arquivos syslog para registros qmail-scanner. Em seguida, os gráficos como Qmail-Scanner está processando seus e-mails. Ele cria gráficos diferentes para entrada vs e-mails enviados, bem como o fluxo de spam e vírus.
Requisitos:
· Netqmail 1,05 (ou qmail-1.03, com manchas)
· Criar uma conta separada sob o qual executar Qmail-Scanner: padrão para nome de usuário e groupname "qscand". Para segurança extra, criá-lo com uma inicial do normal (por exemplo, "/ home / qscand"), mas com um escudo "fake" (por exemplo "/ bin / false") - como ele nunca conectado ao diretamente.
· Reformime de Maildrop 1.3.8+
· Perl 5.005_03 +
· Perl módulo Time :: HiRes
· Perl módulo DB_File (a maioria das distribuições vêm com ele pré-instalado, embora o mais recente Perl não faz)
· Módulo Perl Sys :: Syslog (a maioria das distribuições vêm com ele pré-instalado)
· Perl módulo MIME :: Base64 (a maioria das distribuições vêm com ele pré-instalado)
· Opcional: unpacker TNEF de Mark Simpson. Pode decodificar esses irritantes anexos MS-TNEF MIME que servidores de email da Microsoft só gostam de usar. Se você não tem isso, existem várias classes de e-mail que Qmail-Scanner, basicamente, não será capaz de extrair anexos. No entanto, o seu AV poderia muito bem ser capaz de lidar com eles
· Opcional: uudecode (parte do sharutils em sistemas Red Hat de estilo)
· Opcional: descompacte
O que é novo nesta versão:.
- Alguns pequenos bugs foram corrigidos
- Os novos recursos incluem suporte DLP e apoio Secretaria da equipa Cymru Malware Hash.
Comentários não encontrado