Original Article:
"http://www.impsec.org/email-tools/procmail-security.html"
Mejoramiento
de la seguridad del correo electrónico a través de Procmail
El
desinfectante de correo electrónico
Página
principal
Bienvenido a la página principal del Desinfectante
de correo electrónico. El desinfectante es una herramienta para prevenir
ataques a la
seguridad de su computadora a través de mensajes de correo
electrónico. Ha demostrado ser muy eficaz contra los gusanos de
correo electrónico de Microsoft Outlook que han recibido tanta
atención en la prensa popular y que han causado tantos problemas.
El público destinatario del desinfectante es el
administrador de sistemas de correo. Generalmente, no se destina a los usuarios
finales, a menos que administren sus propios sistemas de correo en lugar de
decirle a su programa de correo que recupere mensajes de un servidor de correo
administrado por otra persona.
Si estás aquí porque has recibido un mensaje
diciendo que un correo que has enviado ha sido rechazado o porque la URL de
esta página web aparece en un correo que has recibido o porque te
preguntas por qué tus archivos adjuntos de correo electrónico de
repente se llamen DEFANGED, entonces lea esta introducción
al Desinfectante, donde encontrarás la respuestas a tus preguntas.
Avísame si tiene unas preguntas no respondidas.
Tenga en cuenta que el desinfectante NO es un
escáner de virus tradicional. No se basa en "firmas" para
detectar ataques y no tiene los problemas de "ventana de
vulnerabilidad" que la seguridad permanente basada en firmas; Sino, te
permite aplicar políticas como "el correo electrónico no
debe ser escrito" y "las macros de los archivos adjuntos de
documentos de Microsoft Office no deben tener acceso al registro de
Windows" y "el correo electrónico no debe tener archivos
adjuntos ejecutables de Windows" y pone en cuarentena los mensajes que
violan dichas directivas.
Índice del sitio:
Amenazas basadas en correo electrónico para la
seguridad informática
Obtención e instalación del desinfectante
Configuración del desinfectante
Instalación del desinfectante en un relé de
correo entrante
Instalación del desinfectante en un relé de
correo saliente (versión I)
El registro de cambios de desinfectante
Desmutilación de adjuntos mutilados
Los archivos de la Lista de correo
Descargue
el desinfectante
actual (versión 1.151)
Descargue
la versión de
desarrollo del desinfectante (versión 1.152pre8)
Descargue
el
archivo de desinfectante actual
Descargue
el desinfectante actual no-macroanálisis
Descargue
la lista actual de
archivos envenenados recomendados
Descargue
la lista actual
de archivos comprimidos envenenados recomendados
Descargue
el muestreo
actual de escritura de Local Rules (identificación de gusano basada en
firma)
Navegar
por el
área de desarrollo
Descargue
el conjunto de reglas de
escaneo de Yves Agostini. Ejecútalo antes de usar el desinfectante
pre-1.141 para escanear los archivos
adjuntos .ZIP.
Descargue
un parche para
SpamAssassin 2.63 que permite a SpamAssassin
reconocer y anotar adecuadamente HTML defanged; úselo si está
ejecutando SpamAssassin después del desinfectante.
Descargue
un parche
para SpamBouncer 1.9 que permite a SpamBouncer
reconocer y anotar correctamente el uso de HTML defanged; en caso si
está ejecutando SpamBouncer después del desinfectante.
(Agradecemos a Joe Steele!)
Filtración
de correo electrónico para con el fin de seguridad
Procmail es un programa que procesa mensajes de correo
electrónico buscando información particular en los encabezados o
el cuerpo de cada mensaje, y toma acciones basadas en lo que encuentra. Si
está familiarizado con el concepto de "reglas" que se
proporciona en muchos de los principales clientes de correo de usuario (como el
cliente de cc: Mail), ya está familiarizado con el concepto de cómo
procesar automáticamente mensajes de correo
electrónico basados en su contenido.
Esta combinación de reglas de procmail y script
Perl está específicamente diseñada para
"desinfectar" su correo electrónico en el servidor de correo,
antes de que sus usuarios incluso intenten recuperar sus mensajes. No
está pensado para que los usuarios finales instalen en sus sistemas de
escritorio Windows para protección personal.
Noticias
y notas
La versión actual del conjunto de reglas html-trap.procmail
es: 1.151
Se recomienda actualizar su copia en caso si su
versión es antigua, ya que se han agregado correcciones de errores y
filtrado para exploits más recientes. Consulte la historia de los
cambios para obtener más detalles.
He estado seguido usando el desinfectante en la
producción, aunque el desarrollo se ha calmado mucho en los
últimos años y es impulsado principalmente por mis necesidades en
lugar de las solicitudes de los usuarios. Todavía es útil, y aún
bloquea el intento de entrega de malware, incluso de exploits que los
escáneres de virus aún no detectan. Sin embargo, no he estado
manteniendo la página web al día, así que lo estoy
haciendo ahora. Le sugiero que si sigue usando el Desinfectante, consulte la versión de desarrollo (1.152pre8) para los cambios y mejoras en curso,
especialmente la actualización del escáner de macros de Office
para el malware descargado.
Hay una vulnerabilidad de desbordamiento de búfer
en la biblioteca de archivos zip de DUNZIP32.dll utilizada por muchos
programas comerciales, incluyendo Lotus Notes y Real Audio Player. Las
vulnerabilidades de esta vulnerabilidad están EN EL SALVAJE. Si utiliza
Notes o algún otro tipo de software que maneja archivos ZIP,
póngase en contacto con su vendedor para ver si hay una
actualización disponible.
En un intento de mitigar esta vulnerabilidad, la
versión de desarrollo del desinfectante ha implementado controles de
longitud de nombre de archivo en los nombres de archivo archivados. Si no desea
probar la instantánea de desarrollo, está disponible un
parche que añade las pruebas de longitud de nombre de archivo comprimido
a la exploración ZIP existente. Es el contrario a la versión
1.151 pero debería funcionar en cualquier versión que tenga
escaneo ZIP.
Hay un parche
pequeño para las versiones 1.151 y anteriores que despoja un
método de javascript incrustado ofuscante. Para aplicar el parche,
guarde el parche en el directorio donde se guarda su desinfectante (normalmente
/ etc / procmail) y ejecute el siguiente comando:
patch --backup <obfuscated_javascript.patch
Esto será disponible en la próxima
versión estable.
Las listas de correo de esa-l y esd-l han sido
restauradas y ahora están alojadas en impsec.org. Gracias a Michael Ghens
por su generosa acogida de las listas durante cinco años!
Hay una
lista de correo de anuncios sobre los problemas de seguridad de correo
electrónico. Principalmente llevará información sobre las
nuevas explotaciones y actualizaciones del desinfectante. Para suscribirse,
envíe un mensaje con el asunto "suscribirse" a
esa-l-request@impsec.org. Esta es una lista fuertemente moderada para anuncios
solamente y no es una discusión general.
Si desea unirse a la lista de discusión de
desinfectante, envíe un mensaje con el asunto "suscribirse" a
esd-l-request@impsec.org. Esta es una lista de miembros; Para poder publicar en
él debe unirse. También hay un archivo de mensajes disponibles.
1.142 corrige un error menor en la versión 1.141
que hace que el nombre de archivo zipfile ser demasiado codicioso.
1.141 ahora es posible escanear el contenido del archivo
ZIP. AVISO: si no especifica explícitamente un archivo de
política ZIPPED_EXECUTABLES, el desinfectante predeterminará su
archivo de políticas POISONED_EXECUTABLES para procesar el contenido del
archivo ZIP. Esto es probablemente más paranoico de lo que desea ser.
Consulte la página Configuración
del desinfectador para obtener más detalles.
AVISO IMPORTANTE:
Si ha descargado y está usando el desinfectante
1.139, aquí hay un parche para hacer que ignore la parte forjada de
NovArg / MyDoom Recibido: encabezados y las direcciones inexistentes que dejan
de notificar sobre el ataque. Por favor aplique este parche a su desinfectante
usando las instrucciones a continuación y que le ayuda a reducir la
cantidad de tráfico inmensa que este monstruo está generando...
[ HTTP
Mirror 1 (US: WA) | HTTP
Mirror 2 (US: FL) | HTTP
Mirror 3 (EU: NO) | HTTP
Mirror 4 (EU: NL) | HTTP
Mirror 5 (AU) | HTTP
Mirror 6 (AU) | HTTP
Mirror 7 (US: WA) ]
Instrucciones de instalación:
Copie el archivo .diff en el directorio donde reside su desinfectante
y ejecute los siguientes comandos:
cp html-trap.procmail
html-trap.procmail.old
patch < smarter-reply.diff
El desinfectante 1.139 incluye la detección de
ataques de desbordamiento de búfer de Microsoft Office VBE. Vea la
alerta EEye para más detalles.
Las reglas de SoBig.F para ataques directos y saltos
están disponibles en el archivo de
reglas locales de ejemplo.
Consulte el archivo de reglas locales de ejemplo para ver
una regla que debe detectar y poner en cuarentena los mensajes diseñados
para atacar el encabezado
de Sendmail que analiza el error de raíz remota. IMPORTANTE: Esta
regla NO protegerá la máquina en la que está instalada.
Debe actualizar su sendmail. Sin embargo, puede proteger las máquinas
vulnerables detrás de la máquina en la que se está
ejecutando, dándole tiempo para actualizarlas.
Si obtiene errores como "sendmail: illegal option -- U" consulte la página de configuración para saber
cómo solucionarlo.
Si experimenta el problema "Caído F"
(donde se elimina el "F" en el "De" principal del mensaje),
tenga en cuenta que se trata de un problema conocido en procmail. Se puede
corregir en la versión actual que tal vez desee actualizar. El problema
se produce cuando una acción de filtro devuelve un error. En esa
situación, procmail puede perder el primer byte del mensaje.
Asegúrese de que su archivo de registro tenga 622 permisos.
Además, aquí hay una regla corta que le ayudará a limpiarla, a añadirla al final de su archivo / etc /
procmailrc.
(Planificación) del desinfectante 2.0 ya ha comenzado. La lista de funciones planificadas se
parece a esto:
Manejo
de adjuntos basados en archivos de políticas ($ MANGLE_EXTENSIONS
desaparece)
Soporte
de internacionalización vía GNU gettext o algo similar
Manejo
adecuado de los nombres de archivo codificados
Doblar
el código de longitud de encabezado y HTML-defanging en el script perl
principal, para minimizar las inicializaciones del proceso perl
El
script perl se separará (ya no está en línea)
Pasar
de mimencode y mktemp a MIME :: Base64 y File :: MkTemp
Iniciar
sesión en el propio mensaje (agregar un nuevo adjunto de texto MIME que
muestra lo que sucedió durante la desinfección) con la capacidad
de agregar archivos de notas específicos de páginas web
Mirar
en los accesorios de MS-TNEF. Espero tener la política completa y el
apoyo de escaneo de macro, pero la política probablemente tendrá
que ser aplicado a la conexión de MS-TNEF en toto (por ejemplo, si una
parte de ella se va a despojar, todo se despoja).
Opción
de BASE64ing de archivos adjuntos de texto y HTML, para que puedan sujetar a
filtrado de spam después del desinfectante.
Los anuncios beta se harán a la lista de correo.
Se puede contactarme en <jhardin@impsec.org> -
también puede visitar mi página principal.
Varias personas me han preguntado por qué no cobro
por este paquete. Supongo que esto se debe principalmente al hecho de que no
creo que nadie debe estar expuesto a estos ataques simplemente porque no
quieren o no pueden permitirse comprar algo para protegerse, pero esto también
tiene que ver con el hecho que veo esto como un desafío intelectual e
interesante, una manera de ganar el reconocimiento y una manera de devolver a
la comunidad.
Sin embargo, si le apetece pagar por recibir algo de
valor que ha mejorado su vida, entonces siéntase libre de visitar mi lista de deseos personales o mi lista de deseos de Amazon, o envíame una donación a través de
PayPal y lamento que nadie haya hecho TequilaPal todavía.