LINUX.ORG.RU
ФорумAdmin

Фильтрация аттачментов ......PLEASE HEEEEELP!!!!!


0

0

Доброго времени суток , уважаемые!!!
пытался настроить фильтрацию аттачментов (вложений ) при помоши procmail.Забил в procmailrc строки которые, по сообшению в форуме это делают,а в итоге получил -что письма с вложениями не доходят....
Они валятся в mqueue ,в файлик, а узеры олучить их не могуть!!!!!!!!!!!
Всё вроде бы как нада, а не работаеть..
Долбаный KAV пропустил сегодня I-worm.Tanatos.b ....
ПАМАГИТЕ!!!!!
А то руки опускаются......
Также процмайл выводит на консоль ,если с консоли кому-нить пысьмо оправляешь, строки-"skipped содержимое procmailrc"
Где моя глупость?
Может что-то нада прписывать в этом случае в sendmail.cf???????
Огромное спасибо зза помошь
Использовал вот эту конструкцию:

/etc/procmailrc

# filter out sircam and others :)
# see also http://linux.opennet.ru/base/sec/sircam.txt.html
:0 :
* ^Content-Type: multipart/mixed; \
boundary="----[0-9A-F]+_Outlook_Express_message_boundary"
* B ?? ^Content-(Type|Disposition):.*name=.*\
\.(doc|xls|ppt|pdf|zip|txt|gif|jpg|png|wav|mp3|scr)\.(com|bat|pif|lnk|exe|vbs)
/dev/null

Фильтр у тебя слабоват, не все вложения проверяет, есть ведь еще uue....

У меня работает вот такой фильтр(правда я в /dev/null не посылаю)

------ /etc/procmailrc ------

# 
# Mail-COP v.1.0c by McMCC
#
:0 B fi
* ^Content-Disposition.*filename="?.*\.(exe|com|cmd|bat|pif|sc[rt]|lnk|vb[se]
?|hta|p[lm]|sh[bs]?|hlp|chm|eml|ws[cfh]|ad[ep]|jse?|md[be]|ms[ip]|reg)"?
|execfilter


:0 B fi
* ^begin .*\.(exe|com|cmd|bat|pif|sc[rt]|lnk|vb[se]?|hta|p[lm]|sh[bs]?|hlp|chm|eml|ws[cfh
]|ad[ep]|jse?|md[be]|ms[ip]|reg)
* ^end
|execfilter

:0 B fi
* ^Content-Transfer-Encoding: base64
* ^Content-Disposition: attachment;
* filename="?.*\.(exe|com|cmd|bat|pif|sc[rt]|lnk|vb[se]?|hta|p[lm]|sh[bs]?|hl
p|chm|eml|ws[cfh]|ad[ep]|jse?|md[be]|ms[ip]|reg)"?
|execfilter

------- end /etc/procmailrc ------

--------  execfilter ----------------
#!/usr/bin/perl
#Mail-COP v.1.0c by McMCC

open (MAIL, '|formail -A "X-Content-Security: Attachment exec file!"');

while (<>) {

if(/Content-Type: application/ .. /name/){
    s/\.([eE][xX][eE]|[cC][oO][mM]|[cC][mM][dD]|[bB][aA][tT]|[pP][iI][fF]|[sS][cC][r
RtT]|
[lL][nN][kK]|[vV][bB][sSeE]?|[hH][tT][aA]|[pP][lLmM]|[sS][hH][bBsS]?|[hH][lL][pP
]|[cC][hH
][mM]|[eE][mM][lL]|[wW][sS][cCfFhH]|[aA][dD][eEpP]|[jJ][sS][eE]?|[mM][dD][bBeE]|
[mM][sS][
iIpP]|[rR][eE][gG])/.$1_warning/;
}

if(/Content-Disposition: attachment;/ ... /^$/) {
    s/\.([eE][xX][eE]|[cC][oO][mM]|[cC][mM][dD]|[bB][aA][tT]|[pP][iI][fF]|[sS][cC][r
RtT]|
[lL][nN][kK]|[vV][bB][sSeE]?|[hH][tT][aA]|[pP][lLmM]|[sS][hH][bBsS]?|[hH][lL][pP
]|[cC][hH
][mM]|[eE][mM][lL]|[wW][sS][cCfFhH]|[aA][dD][eEpP]|[jJ][sS][eE]?|[mM][dD][bBeE]|
[mM][sS][
iIpP]|[rR][eE][gG])/.$1_warning/;
}


if(/^begin/ .. /^end/) {
    s/begin\s*(\d+)\s*(.*)\.([eE][xX][eE]|[cC][oO][mM]|[cC][mM][dD]|[bB][aA][tT]|[pP
][iI]
[fF]|[sS][cC][rRtT]|[lL][nN][kK]|[vV][bB][sSeE]?|[hH][tT][aA]|[pP][lLmM]|[sS][hH
][bBsS]?|
[hH][lL][pP]|[cC][hH][mM]|[eE][mM][lL]|[wW][sS][cCfFhH]|[aA][dD][eEpP]|[jJ][sS][
eE]?|[mM]
[dD][bBeE]|[mM][sS][iIpP]|[rR][eE][gG])/begin $1 $2.$3_warning/;
}
print MAIL;
}

close MAIL;

----------- end execfilter ------------

У меня влажения просто переименовываются, к имени влажения добавляется
в конец _warning, но если тебе не нужно этого, то за место |execfilter
поставишь /dev/null

McMCC ★★★
()

s/влажения/вложения/g;

McMCC ★★★
()

Если касперский не лицензионный, то лучше смени на ДРвеб... он пофункциональнее будет!

anonymous
()

Спасибо огромное, McMCC!!!
Твой фильтр попробую, но кажется мне, что дело не в этом, а глючит какой-то мылер
Могет и процмайл....
Давеча натолкнулся на более мошьное оружие-перловый скрипт Bastion
Типа ещё и спам-киллер.
Лежит вот тут www.ant.kiev.ua/docum/bastion3.tar.gz
Так что спасибо всё равно, будем пробовать бастион, и всё остальное.
А каспер у мя с клучом, но всё равно он гад противный,раз в 3 месяца виря не того,пропускает...... :(((((
Пасибо ещё раз!!!

Bergamot
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.