Не пропускать письма с файлами *.scr

0

1

Есть почтовый сервер sendmail с антивирусом clamav. В принципе антивирус работает хорошо и 95% вирусов отфильтровывает. Однако есть свежие вирусы, которые еще не попали в базу антивируса и вероятность, что свежий вирус пролезет и глупый пользователь его запустит не нулевая.

Очень часто вирусы это заархивированные *.scr файлы. Поскольку в реальной жизни пользователи никогда такими файлами не обмениваются, можно смело фильтровать все письма с такими вложениями. Хочу настроить некое правило или фильтр, которое будет резать такие письма, собственно вопрос как это сделать? Нужно чтобы фильтр смотрел вложения на предмет файлов *.scr, а также заглядывал во вложенные архивы, тоже проверяя наличие этих файлов. Порекомендуйте, пожалуйста решение.

Ссылка

←	Задержка нажатия мультимедиа кнопок

Несколько ipip туннелей

→

если есть procmail, то что-то вида:

:0 * ^Content-(Disposition|Type).name\s*=\s*"?(.*\.(bat|exe|scr))(\?=)?"?\s*(;|$) /dev/null

можно поставить amavisd-new:

там есть

$banned_filename_re = new_RE( qr'.\.(bat|exe|scr)$'i, qr'^\.(exe|zip|lha|tnef)$'i, # banned file(1) types );

а если голый Sendmail, то поставить как минимум - http://www.mimedefang.org/

rassu
(03.11.14 14:51:25 MSK)

Ответ на: комментарий от rassu 03.11.14 14:51:25 MSK

Почитал и не совсем понял, эти способы позволяют фильтровать письма с архивными вложениями.

Т.е. к письму прикреплен файл myfoto.rar, а в этом архиве foto.scr.

Мне нужно, чтобы фильтр смотрел не просто расширение прикрепленного файла (.rar), а в случае, если расширение является архивным, заглядывал внутрь архива и смотрел, что там за названия файлов и уже на основания названий файлов внутри архива принимал решение, что делать с письмом.

Вообще clamav распаковывает архивы и проверяет содержимое, хорошо бы в нем такую функцию сделать...

samson_b ★
(03.11.14 16:15:18 MSK) автор топика

Тогда вам надо писать свой фильтр, который будет разбирать архив на части, вернее даже просто листинг файлов делать и при совпадении - отклонять письмо.

rassu
(03.11.14 16:30:49 MSK)

Ответ на: комментарий от samson_b 03.11.14 16:15:18 MSK

в случае, если расширение является архивным, заглядывал внутрь архива и смотрел, что там за названия файлов

Один из прямых путей за-ddos-ить себя самого. ;)

ref: http://en.wikipedia.org/wiki/Zip_bomb

beastie ★★★★★
(03.11.14 16:36:55 MSK)

Ответ на: комментарий от rassu 03.11.14 16:30:49 MSK

Неужели до меня никто это не реализовал? :)

samson_b ★
(03.11.14 16:49:10 MSK) автор топика

Ответ на: комментарий от samson_b 03.11.14 16:49:10 MSK

Попробуй антивирус Бабушкина, он умеет распознавать вирусы по имени файла, возможно и по расширению умеет.

Lavos ★★★★★
(03.11.14 16:50:40 MSK)

Ссылка

Ответ на: комментарий от beastie 03.11.14 16:36:55 MSK

Один из прямых путей за-ddos-ить себя самого. ;)

Я понимаю о чем вы говорите, но во-первых мне совсем не обязательно распаковывать файлы из архива, достаточно просто получить список файлов в архиве и обработать его. во-вторых, уверен, можно оценить размер файла в архиве и распаковывать файлы только адекватного размера. Собственно в антивирусе clamav так и реализовано, там есть параметр, который ограничивает максимальный размер распаковываемого файла.

samson_b ★
(03.11.14 16:54:02 MSK) автор топика

Блин, хоть бы раз ко мне пришел спам с внедренным в него вирусом. Я бы посмотрел хоть...

~~Eddy_Em~~ ☆☆☆☆☆
(03.11.14 17:19:29 MSK)

Ответ на: комментарий от samson_b 03.11.14 16:54:02 MSK

то есть архив в архиве при этом спокойно будет пропущен, а если обрабатывать их циклически то можно наткнуться на Рекурсивный zip-архив

mm3 ★★★
(03.11.14 17:27:44 MSK)

Ответ на: комментарий от mm3 03.11.14 17:27:44 MSK

В конце концов можно ограничить глубину проверки вложенности. Например до 10 раз.

Кстати Amavisd-new умеет работать архивными файлами, сейчас его ковыряю.

samson_b ★
(03.11.14 18:08:41 MSK) автор топика

Ссылка

Ответ на: комментарий от Eddy_Em 03.11.14 17:19:29 MSK

Могу переслать :) Сейчас хорошие «вирусы-вымогатели» пошли, шифруют все ms office документы, что найдут на локальных и подключенных дисках, а оригиналы удаляют. Затем предлагают заплатить 5тр за возможность расшифровать файлы.

Вот пользователь бегает и рвет себе на ж**е волосы :) Нифига себе фоточку посмотрел с расширением .scr :))))

samson_b ★
(03.11.14 18:13:18 MSK) автор топика

Ответ на: комментарий от samson_b 03.11.14 18:13:18 MSK

И как они в генте запустятся?

Нифига себе фоточку посмотрел с расширением .scr

А что это за файлы-то?

~~Eddy_Em~~ ☆☆☆☆☆
(03.11.14 18:55:42 MSK)

Ответ на: комментарий от Eddy_Em 03.11.14 18:55:42 MSK

Никак она в генте не запустится, вирусня виндовая. scr судя по всему скрипт или скринсейвер :)

PS Фух, прикрутил с горем пополам Amavisd-new и заставил его шуршать по прикрепленным к письмам архивам. До 14-ти вложенностей будет распаковывать.

PPS Amavisd-new попил крови, конфиг мудреный, для sendmail 8.13 нужно старую версию ставить плюс конфиг допиливать, unrar 5-ый не работает в нем, пришлось откатывать на 4-ый.

посмотрю, как он будет работать...

samson_b ★
(03.11.14 23:02:08 MSK) автор топика

11 апреля 2016 г.

Ответ на: комментарий от samson_b 03.11.14 23:02:08 MSK