Original article: http://www.impsec.org/email-tools/procmail-security.html

Mejoramiento de la seguridad del correo electrónico a través de Procmail

El desinfectante de correo electrónico

Página principal

Bienvenido a la página principal del Desinfectante de correo electrónico. El desinfectante es una herramienta para prevenir ataques a la seguridad de su computadora a través de mensajes de correo electrónico. Ha demostrado ser muy eficaz contra los gusanos de correo electrónico de Microsoft Outlook que han recibido tanta atención en la prensa popular y que han causado tantos problemas.

El público destinatario del desinfectante es el administrador de sistemas de correo. Generalmente, no se destina a los usuarios finales, a menos que administren sus propios sistemas de correo en lugar de decirle a su programa de correo que recupere mensajes de un servidor de correo administrado por otra persona.

Si estás aquí porque has recibido un mensaje diciendo que un correo que has enviado ha sido rechazado o porque la URL de esta página web aparece en un correo que has recibido o porque te preguntas por qué tus archivos adjuntos de correo electrónico de repente se llamen DEFANGED, entonces lea esta introducción al Desinfectante, donde encontrarás la respuestas a tus preguntas. Avísame si tiene unas preguntas no respondidas.

Tenga en cuenta que el desinfectante NO es un escáner de virus tradicional. No se basa en "firmas" para detectar ataques y no tiene los problemas de "ventana de vulnerabilidad" que la seguridad permanente basada en firmas; Sino, te permite aplicar políticas como "el correo electrónico no debe ser escrito" y "las macros de los archivos adjuntos de documentos de Microsoft Office no deben tener acceso al registro de Windows" y "el correo electrónico no debe tener archivos adjuntos ejecutables de Windows" y pone en cuarentena los mensajes que violan dichas directivas.

Índice del sitio:

        Últimas noticias

        Introducción

        Amenazas basadas en correo electrónico para la seguridad informática

        Obtención e instalación del desinfectante

        Configuración del desinfectante

        Instalación del desinfectante en un relé de correo entrante

        Instalación del desinfectante en un relé de correo saliente (versión I)

        El registro de cambios de desinfectante

        Desmutilación de adjuntos mutilados

        Comentarios del usuario

        La lista de correo

        Los archivos de la Lista de correo

        Descargue el desinfectante actual (versión 1.151)

        Descargue la versión de desarrollo del desinfectante (versión 1.152pre8)

        Descargue el archivo de desinfectante actual

        Descargue el desinfectante actual no-macroanálisis

        Descargue la lista actual de archivos envenenados recomendados

        Descargue la lista actual de archivos comprimidos envenenados recomendados

        Descargue el muestreo actual de escritura de Local Rules (identificación de gusano basada en firma)

        Navegar por el área de desarrollo

        Descargue el conjunto de reglas de escaneo de Yves Agostini. Ejecútalo antes de usar el desinfectante pre-1.141 para escanear los archivos adjuntos .ZIP.

        Descargue un parche para SpamAssassin 2.63 que permite a SpamAssassin reconocer y anotar adecuadamente HTML defanged; úselo si está ejecutando SpamAssassin después del desinfectante.

        Descargue un parche para SpamBouncer 1.9 que permite a SpamBouncer reconocer y anotar correctamente el uso de HTML defanged; en caso si está ejecutando SpamBouncer después del desinfectante. (Agradecemos a Joe Steele!)

Filtración de correo electrónico para con el fin de seguridad

Procmail es un programa que procesa mensajes de correo electrónico buscando información particular en los encabezados o el cuerpo de cada mensaje, y toma acciones basadas en lo que encuentra. Si está familiarizado con el concepto de "reglas" que se proporciona en muchos de los principales clientes de correo de usuario (como el cliente de cc: Mail), ya está familiarizado con el concepto de cómo procesar automáticamente mensajes de correo electrónico basados en su contenido.

Esta combinación de reglas de procmail y script Perl está específicamente diseñada para "desinfectar" su correo electrónico en el servidor de correo, antes de que sus usuarios incluso intenten recuperar sus mensajes. No está pensado para que los usuarios finales instalen en sus sistemas de escritorio Windows para protección personal.

Noticias y notas

La versión actual del conjunto de reglas html-trap.procmail es: 1.151

Se recomienda actualizar su copia en caso si su versión es antigua, ya que se han agregado correcciones de errores y filtrado para exploits más recientes. Consulte la historia de los cambios para obtener más detalles.

He estado seguido usando el desinfectante en la producción, aunque el desarrollo se ha calmado mucho en los últimos años y es impulsado principalmente por mis necesidades en lugar de las solicitudes de los usuarios. Todavía es útil, y aún bloquea el intento de entrega de malware, incluso de exploits que los escáneres de virus aún no detectan. Sin embargo, no he estado manteniendo la página web al día, así que lo estoy haciendo ahora. Le sugiero que si sigue usando el Desinfectante, consulte la versión de desarrollo (1.152pre8) para los cambios y mejoras en curso, especialmente la actualización del escáner de macros de Office para el malware descargado.

Hay una vulnerabilidad de desbordamiento de búfer en la biblioteca de archivos zip de DUNZIP32.dll utilizada por muchos programas comerciales, incluyendo Lotus Notes y Real Audio Player. Las vulnerabilidades de esta vulnerabilidad están EN EL SALVAJE. Si utiliza Notes o algún otro tipo de software que maneja archivos ZIP, póngase en contacto con su vendedor para ver si hay una actualización disponible.

En un intento de mitigar esta vulnerabilidad, la versión de desarrollo del desinfectante ha implementado controles de longitud de nombre de archivo en los nombres de archivo archivados. Si no desea probar la instantánea de desarrollo, está disponible un parche que añade las pruebas de longitud de nombre de archivo comprimido a la exploración ZIP existente. Es el contrario a la versión 1.151 pero debería funcionar en cualquier versión que tenga escaneo ZIP.

Hay un parche pequeño para las versiones 1.151 y anteriores que despoja un método de javascript incrustado ofuscante. Para aplicar el parche, guarde el parche en el directorio donde se guarda su desinfectante (normalmente / etc / procmail) y ejecute el siguiente comando:

patch --backup <obfuscated_javascript.patch

Esto será disponible en la próxima versión estable.

Las listas de correo de esa-l y esd-l han sido restauradas y ahora están alojadas en impsec.org. Gracias a Michael Ghens por su generosa acogida de las listas durante cinco años!

Hay una lista de correo de anuncios sobre los problemas de seguridad de correo electrónico. Principalmente llevará información sobre las nuevas explotaciones y actualizaciones del desinfectante. Para suscribirse, envíe un mensaje con el asunto "suscribirse" a esa-l-request@impsec.org. Esta es una lista fuertemente moderada para anuncios solamente y no es una discusión general.

Si desea unirse a la lista de discusión de desinfectante, envíe un mensaje con el asunto "suscribirse" a esd-l-request@impsec.org. Esta es una lista de miembros; Para poder publicar en él debe unirse. También hay un archivo de mensajes disponibles.

1.142 corrige un error menor en la versión 1.141 que hace que el nombre de archivo zipfile ser demasiado codicioso.

1.141 ahora es posible escanear el contenido del archivo ZIP. AVISO: si no especifica explícitamente un archivo de política ZIPPED_EXECUTABLES, el desinfectante predeterminará su archivo de políticas POISONED_EXECUTABLES para procesar el contenido del archivo ZIP. Esto es probablemente más paranoico de lo que desea ser. Consulte la página Configuración del desinfectador para obtener más detalles.

AVISO IMPORTANTE:

Si ha descargado y está usando el desinfectante 1.139, aquí hay un parche para hacer que ignore la parte forjada de NovArg / MyDoom Recibido: encabezados y las direcciones inexistentes que dejan de notificar sobre el ataque. Por favor aplique este parche a su desinfectante usando las instrucciones a continuación y que le ayuda a reducir la cantidad de tráfico inmensa que este monstruo está generando...

[ HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) ]

Instrucciones de instalación:

Copie el archivo .diff en el directorio donde reside su desinfectante y ejecute los siguientes comandos:

cp html-trap.procmail html-trap.procmail.old

patch < smarter-reply.diff

El desinfectante 1.139 incluye la detección de ataques de desbordamiento de búfer de Microsoft Office VBE. Vea la alerta EEye para más detalles.

Las reglas de SoBig.F para ataques directos y saltos están disponibles en el archivo de reglas locales de ejemplo.

Consulte el archivo de reglas locales de ejemplo para ver una regla que debe detectar y poner en cuarentena los mensajes diseñados para atacar el encabezado de Sendmail que analiza el error de raíz remota. IMPORTANTE: Esta regla NO protegerá la máquina en la que está instalada. Debe actualizar su sendmail. Sin embargo, puede proteger las máquinas vulnerables detrás de la máquina en la que se está ejecutando, dándole tiempo para actualizarlas.

Si obtiene errores como "sendmailillegal option -- U" consulte la página de configuración para saber cómo solucionarlo.

Si experimenta el problema "Caído F" (donde se elimina el "F" en el "De" principal del mensaje), tenga en cuenta que se trata de un problema conocido en procmail. Se puede corregir en la versión actual que tal vez desee actualizar. El problema se produce cuando una acción de filtro devuelve un error. En esa situación, procmail puede perder el primer byte del mensaje. Asegúrese de que su archivo de registro tenga 622 permisos. Además, aquí hay una regla corta que le ayudará a limpiarla, a añadirla al final de su archivo / etc / procmailrc.

(Planificación) del desinfectante 2.0 ya ha comenzado. La lista de funciones planificadas se parece a esto:

        Manejo de adjuntos basados en archivos de políticas ($ MANGLE_EXTENSIONS desaparece)

        Soporte de internacionalización vía GNU gettext o algo similar

        Manejo adecuado de los nombres de archivo codificados

        Doblar el código de longitud de encabezado y HTML-defanging en el script perl principal, para minimizar las inicializaciones del proceso perl

        El script perl se separará (ya no está en línea)

        Pasar de mimencode y mktemp a MIME :: Base64 y File :: MkTemp

        Iniciar sesión en el propio mensaje (agregar un nuevo adjunto de texto MIME que muestra lo que sucedió durante la desinfección) con la capacidad de agregar archivos de notas específicos de páginas web

        Mirar en los accesorios de MS-TNEF. Espero tener la política completa y el apoyo de escaneo de macro, pero la política probablemente tendrá que ser aplicado a la conexión de MS-TNEF en toto (por ejemplo, si una parte de ella se va a despojar, todo se despoja).

        Opción de BASE64ing de archivos adjuntos de texto y HTML, para que puedan sujetar a filtrado de spam después del desinfectante.

Los anuncios beta se harán a la lista de correo.

Se puede contactarme en <jhardin@impsec.org> - también puede visitar mi página principal.

Varias personas me han preguntado por qué no cobro por este paquete. Supongo que esto se debe principalmente al hecho de que no creo que nadie debe estar expuesto a estos ataques simplemente porque no quieren o no pueden permitirse comprar algo para protegerse, pero esto también tiene que ver con el hecho que veo esto como un desafío intelectual e interesante, una manera de ganar el reconocimiento y una manera de devolver a la comunidad.

Sin embargo, si le apetece pagar por recibir algo de valor que ha mejorado su vida, entonces siéntase libre de visitar mi lista de deseos personales o mi lista de deseos de Amazon, o envíame una donación a través de PayPal y lamento que nadie haya hecho TequilaPal todavía.



Most popular articles: