Blockmail: um filtro de anexos de e-mail

Como a imensa maioria dos worms e vírus de e-mail no ambiente Windows se propaga através de anexos executáveis, este filtro torna-se uma excelente proteção contra esses ataques, com a vantagem de não precisar de atualização constante. Ele tem sem mostrado efetivo contra o Nimda, Sircam, Klez, Magister, BadTrans e outros.

[ Hits: 49.509 ]

Por: Joel Silva em 29/01/2004


Instalação



A instalação usada neste artigo foi realizada sob a seguinte plataforma:

Servidor UNIX (testado em Linux RedHat 6.*, 7.* e Conectiva)
Perl 5
MTA Sendmail ou Postfix
Procmail

A instalação requer os seguintes passos:

Certifique-se de que seu MTA entrega os e-mails locais via Procmail. Até onde eu sei, todos os Linux usam o Procmail. Ele é de fácil instalação no Solaris e outros Unixes.

Você pode obter o Blockmail para download a partir de: Busque e abra o arquivo blockmail.tgz usando o comando "tar xzvf" do Unix. Não abra esse arquivo no Windows, pois isso pode impedir o script Perl de executar (devido ao problema do CR-LF):

$ tar xzvf blockmail.tgz

Copie o arquivo blockmail.pl para /etc/procmail.d/blockmail.pl, com permissão 0755 (no diretório e no arquivo):

# cp blockmail.pl /etc/procmail.d/blockmail.pl
# chmod 0755 /etc/procmail.d/blockmail.pl


Edite o arquivo blockmail.pl para ajustar a configuração e as mensagens de aviso às suas necessidades.

Copie o arquivo procmailrc para /etc/procmailrc, com permissões 0644. Se esse arquivo já existir em seu servidor com algum conteúdo, concatene o conteúdo do arquivo desta distribuição no final do arquivo já existente no servidor:

# cat procmailrc >> /etc/procmailrc

No arquivo /etc/procmailrc, escolha uma das ações a tomar sobre os e-mails filtrados.

Voilà, deve estar funcionando, basta testar enviando um e-mail com anexo executável a um usuário local.

Verifique no arquivo /var/log/maillog se uma mensagem de erro similar a esta foi gerada (isso irá depender de sua configuração para o serviço syslog):

# tail -f /var/log/maillog
Jun 19 13:43:12 jupiter blockmail[30215]: blocked mail sent by [<none@nis.com.br>] from singer.nis.com.br (singer.nis.com.br [222.111.000.111]) to [maziero] with files [kitty.exe]

Página anterior     Próxima página

Páginas do artigo
   1. Blockmail
   2. Principais características
   3. Instalação
   4. Histórico
   5. Perguntas freqüentes
   6. Autoria
Outros artigos deste autor

Slackware 13 com Samba PDC completo

Instalando o Slackware com suporte HT - SMP

Instalando e gerenciando programas no Linux

Leitura recomendada

Datagramas IP (Protocolo Internet)

Roteamento no openVPN com redes iguais

Configuração básica de rede + proxy Linux

Ziproxy - Proxy de compactação e redução de imagens

Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze

  
Comentários
[1] Comentário enviado por fabio em 29/01/2004 - 01:04h

Primeiramente, meus parabéns ao Carlos Maziero pelo projeto. Gostaria de fazer minhas colocações, visto que também possuo uma pequena experiência nessa área e o bloqueio de SPAM e vírus torna-se vital para um bom provimento de serviço de e-mail aos clientes.

Um filtro em Perl funcionará muito bem em sistemas de pequeno/médio porte, como este que filtra 3.500 mensagens por dia, porém se você passar a receber algo acima de 100 mil mensagens por dia neste mesmo hardware, com certeza a máquina irá "sentar", pois a linguagem Perl, por ser interpretada, possui menor desempenho que uma linguagem compilada com o C por exemplo. É claro que AMO o Perl, mas chega um determinado ponto que para esse tipo de atividade ele se torna inviável.

Até hoje a melhor solução que encontrei para filtragem de SPAM e vírus foi o uso do MTA Exim, padrão do Debian, compilado com o patch exiscan, com antivírus clamav e antispam SpamAssassin.

Com relação à filtragem de anexos, bloqueio e aviso ao remetente, isso pode ser feito diretamente pelo procmailrc, não sendo necessário integração com filtros terceiros. Se o seu sistema de e-mail começar a tratar grande volume de mensagens por dia, também sugiro que o próprio MTA (Exim no meu caso) seja o responsável pela entrega das mensagens, pois usando o Procmail você está gerando um processo a mais para cada mensagem recebida. Se seu sistema recebe 500 mil e-mails por dia, serão 500 mil processos a mais por dia e este processos são críticos no que se diz respeito a consumo de CPU, pois estão ligados diretamente com escrita em disco (I/O) - gravação na caixa de entrada do usuário.

Bom, é isso. Espero que um dia possamos vencer a guerra contra os vírus e SPAM que andam infestando a internet.

[2] Comentário enviado por toffanello em 27/02/2004 - 12:42h

Na verdade é uma dúvida que tenho a respeito do blockmail. se alguem puder me responder seria grato.

posso configurar o blockmail em um smtp gateway?

Poderia estar utilizando este filtro para ao invés de bloquear a mensamgem com anexo, encaminhar o arquivo anexado em uma mensagem para um servidor de arquivos aonde eu possa recuperar o arquivo em posteriori?

se alguem puder me ajudar, enviem mensagens para o toffanello@uol.com.br.

obrigado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts