Blockmail: um filtro de anexos de e-mail

butters

Como a imensa maioria dos worms e vírus de e-mail no ambiente Windows se propaga através de anexos executáveis, este filtro torna-se uma excelente proteção contra esses ataques, com a vantagem de não precisar de atualização constante. Ele tem sem mostrado efetivo contra o Nimda, Sircam, Klez, Magister, BadTrans e outros.

[ Hits: 49.502 ]

Por: Joel Silva em 29/01/2004

0 0

Denuncie Favoritos Indicar Impressora

Instalação

A instalação usada neste artigo foi realizada sob a seguinte plataforma:

Servidor UNIX (testado em Linux RedHat 6.*, 7.* e Conectiva)
Perl 5
MTA Sendmail ou Postfix
Procmail

A instalação requer os seguintes passos:

Certifique-se de que seu MTA entrega os e-mails locais via Procmail. Até onde eu sei, todos os Linux usam o Procmail. Ele é de fácil instalação no Solaris e outros Unixes.

Você pode obter o Blockmail para download a partir de:

http://www.ppgia.pucpr.br/~maziero/.../download.php

Busque e abra o arquivo blockmail.tgz usando o comando "tar xzvf" do Unix. Não abra esse arquivo no Windows, pois isso pode impedir o script Perl de executar (devido ao problema do CR-LF):

$ tar xzvf blockmail.tgz

Copie o arquivo blockmail.pl para /etc/procmail.d/blockmail.pl, com permissão 0755 (no diretório e no arquivo):

# cp blockmail.pl /etc/procmail.d/blockmail.pl
# chmod 0755 /etc/procmail.d/blockmail.pl

Edite o arquivo blockmail.pl para ajustar a configuração e as mensagens de aviso às suas necessidades.

Copie o arquivo procmailrc para /etc/procmailrc, com permissões 0644. Se esse arquivo já existir em seu servidor com algum conteúdo, concatene o conteúdo do arquivo desta distribuição no final do arquivo já existente no servidor:

# cat procmailrc >> /etc/procmailrc

No arquivo /etc/procmailrc, escolha uma das ações a tomar sobre os e-mails filtrados.

Voilà, deve estar funcionando, basta testar enviando um e-mail com anexo executável a um usuário local.

Verifique no arquivo /var/log/maillog se uma mensagem de erro similar a esta foi gerada (isso irá depender de sua configuração para o serviço syslog):

# tail -f /var/log/maillog
Jun 19 13:43:12 jupiter blockmail[30215]: blocked mail sent by [<none@nis.com.br>] from singer.nis.com.br (singer.nis.com.br [222.111.000.111]) to [maziero] with files [kitty.exe]

Página anterior Próxima página

Páginas do artigo

   1. Blockmail
   2. Principais características
   3. Instalação
   4. Histórico
   5. Perguntas freqüentes
   6. Autoria

Outros artigos deste autor

Instalando e gerenciando programas no Linux

Slackware 13 com Samba PDC completo

Instalando o Slackware com suporte HT - SMP

Leitura recomendada

Configurando roteador com USB 3G

Como configurar um túnel com Vtun

Verificando a velocidade ADSL contratada (Velox)

Manter autenticado o Velox da Telemar

Enjaulando o Bind9 em um chroot

Comentários

[1] Comentário enviado por fabio em 29/01/2004 - 01:04h

Primeiramente, meus parabéns ao Carlos Maziero pelo projeto. Gostaria de fazer minhas colocações, visto que também possuo uma pequena experiência nessa área e o bloqueio de SPAM e vírus torna-se vital para um bom provimento de serviço de e-mail aos clientes.

Um filtro em Perl funcionará muito bem em sistemas de pequeno/médio porte, como este que filtra 3.500 mensagens por dia, porém se você passar a receber algo acima de 100 mil mensagens por dia neste mesmo hardware, com certeza a máquina irá "sentar", pois a linguagem Perl, por ser interpretada, possui menor desempenho que uma linguagem compilada com o C por exemplo. É claro que AMO o Perl, mas chega um determinado ponto que para esse tipo de atividade ele se torna inviável.

Até hoje a melhor solução que encontrei para filtragem de SPAM e vírus foi o uso do MTA Exim, padrão do Debian, compilado com o patch exiscan, com antivírus clamav e antispam SpamAssassin.

Com relação à filtragem de anexos, bloqueio e aviso ao remetente, isso pode ser feito diretamente pelo procmailrc, não sendo necessário integração com filtros terceiros. Se o seu sistema de e-mail começar a tratar grande volume de mensagens por dia, também sugiro que o próprio MTA (Exim no meu caso) seja o responsável pela entrega das mensagens, pois usando o Procmail você está gerando um processo a mais para cada mensagem recebida. Se seu sistema recebe 500 mil e-mails por dia, serão 500 mil processos a mais por dia e este processos são críticos no que se diz respeito a consumo de CPU, pois estão ligados diretamente com escrita em disco (I/O) - gravação na caixa de entrada do usuário.

Bom, é isso. Espero que um dia possamos vencer a guerra contra os vírus e SPAM que andam infestando a internet.

0 0

[2] Comentário enviado por toffanello em 27/02/2004 - 12:42h

Na verdade é uma dúvida que tenho a respeito do blockmail. se alguem puder me responder seria grato.

posso configurar o blockmail em um smtp gateway?

Poderia estar utilizando este filtro para ao invés de bloquear a mensamgem com anexo, encaminhar o arquivo anexado em uma mensagem para um servidor de arquivos aonde eu possa recuperar o arquivo em posteriori?

se alguem puder me ajudar, enviem mensagens para o toffanello@uol.com.br.

obrigado.

0 0