Qmail-scanner er en add-on, der muliggør en Qmail email-server til at scanne gatewayed mail for visse karakteristika (dvs. et indhold scanner). Det anvendes typisk til dets anti-virus og anti-spam beskyttelse funktioner, i hvilket tilfælde det anvendes i forbindelse med eksterne scannere.
Qmail-scanner applikation giver også et sted (ved en server / site-niveau) for at skabe "Politiske blokke": dvs. reagere på e-mail, der indeholder specifikke strenge i bestemte overskrifter eller særlige vedhæftede filnavne eller typer (f.eks * .vbs vedhæftede filer).
Dens arkivering funktioner hjælper internetudbydere og virksomheder rundt om i verden med nye eller afventer lovgivning og myndighedskrav. Det kan arkivere al forarbejdet email til et arkiv maildir. Dette er ideelt til backup formål for revision politiske grunde. I modsætning til visse Windows-baserede serverløsninger, de mail kuvert overskrifter (de "RCPT til:" og "mail fra:" headers) holdes intakt - vedlagt i bunden af hver besked - bekræfter sande afsender og destination adresser.
Arkivering også understøtter filtrering til en delmængde af adresser (f.eks kun arkiv "support@domain.name" e-mails i stedet for alle). Derudover kan de omfattende single-line resuméer genereret for hver meddelelse af Qmail-scanner være nok for virksomhederne at opfylde deres forpligtelser - i stedet for den mere disk-intensive fuld arkivering. Som sædvanlig, skal du kontakte en advokat for ordentlige definitioner.
Qmail-scanner er integreret i mailserveren på et lavere niveau end nogle andre Unix-baserede virusscannere, hvilket resulterer i mere grundig dækning. Det er i stand til at scanne ikke kun lokalt sendt / modtaget email, men også e-mail, der krydser serveren i et relæ kapacitet. Qmail-scanner udnytter også den rigdom af meta-oplysninger fra Qmail (såsom klientens IP-adresse, og hvorvidt klienten er tilladt at relæ).
Her er nogle vigtige funktioner i "Qmail Scanner":
· Understøtter næsten alle kommercielle (Unix) virusscannere samt den evigt populære Open Source ClamAV scanner.
· Kan kalde mere end én virus scanner for hver mail
· Har sin egen interne scanner, der kan bruges til Policy håndhævelse eller karantæne virus, AV øjeblikket ikke kan registrere
· Den interne scanner kan også bruges til karantæne email baseret på vedhæftede typer, eller e-mail med visse e-mail-overskrifter ... Behov for at stoppe * .mp3 filer eller "Emne: ILOVEYOU" email komme ind og slukke din LAN - kan gøre! :-)
· Den interne scanner kan udløse en "greylister" handling i stedet for en karantæne. Dette er designet til nødsituationer hvor din nuværende AV og statiske politiske blokke er ikke hensigtsmæssigt. f.eks en ny ZIP-baserede virus kommer ud med tilfældige filnavne. AV kan ikke registrere det, og du kan ikke globalt blokere ZIP-filer uden at såre gyldige brugere. A "greylister" handling vil forårsage Qmail-scanner for at afslutte med en SMTP midlertidig fejl i stedet for at levere budskabet. Gyldige emails vil simpelthen blive requeued og kan flyde gennem senere, når din AV kan påvise virus, og du beslutter at fjerne greylister politik.
· Interne motor scanner for dårligt formaterede meddelelser, der er kendt for at blive brugt af trojanere / virii at inficere klienter. Som sådan, det er uafhængig af enhver virus scanner, og kan med held operere mod fremtidige virii / trojanere. Sådanne meddelelser i karantæne med det samme. Kendt for at blokere sådanne store virii som Klez og Aliz, og som en sidegevinst, stopper en rimelig mængde af spam også! Format kontrol omfatter:
· Brudt MIME fortsættelse overskrifter
· Brug af bemærkninger inden standard overskrifter (f.eks "Content-T (xxxxxx) ype:" er * identisk * til "Content-Type:" ifølge de RFCs - men nogle virii brug dette, da det omgår nogle anti-virus scannere). Gyldig brug af dette ses aldrig i naturen - så den er blokeret
· Gentagne forekomster af MIME headers gør QS omdøbe sidstnævnte dem til at ophæve dem
· MIME grænser end 250 tegn er blokeret
· Forskellige definitioner af en bestemt vedhæftet filnavn får den til at være blokeret
· Dobbeltklik definere samme MIME grænsen er blokeret
· Visse MIME-typer, der indeholder vinduer eksekverbare udvidelser er specifikt blokeret (fx en "audio / wav" af filnavnet "wav.exe" kunne kun være en virus)
· Brudte overskrifter inden for en MIME vedhæftet fil er blokeret
· Vinduer vedhæftede eksekverbare filer, der ikke er markeret som værende af MIME-typen "application / ....." er blokeret (f.eks omdøbe notepade.exe at notepade.gif og sende det som en GIF vedhæftet ville blive karantæne, da Qmail-scanner ville indse det er en eksekverbar foregiver at være noget andet).
· Vedhæftede filnavne end 256 tegn er blokeret
· Nogle dobbeltløbet filnavne er blokeret (f.eks file.gif.exe). Det forsøger ikke at blokere almindelig fejl varianter
· CLSID filtypenavne er blokeret
· Password-beskyttet zip-filer kan blive blokeret, hvis du ønsker det. Dette ville stoppe eventuelle fremtidige vira proppet inde adgangskodebeskyttede zip-filer fra at komme igennem, men selvfølgelig ville også stoppe en legitim brug. Slået fra som standard, men måske nyttigt at tænde under et nyt udbrud, og slukkes igen, når en AV opdatering sker der kan fange den.
· Standard altid kører nogen AV, du måtte have over beskeder først, løber derefter den interne scanner (Politik / perlscan) kontrol. Dette betyder at hvis du blokere ".pif" filer på grund af dem der normalt indeholder virus, så eventuelle .pif filer, der indeholder en virus kendt for dit AV-system vil blive markeret som "virus", og enhver, der var gået glip af (måske de var en Dag-Zero virus) derefter mærkes som at blive blokeret af "politik". Denne differentiering anvendes derefter som varslingssystem. Det som standard til ikke at underrette afsenderen, at en virus er fundet, men kan stadig give dem, når det var en "politik" blok.
· Karantæner emails den finder i strid ovennævnte delsystemer. Vira karantæne i en maildir navnet "virus /", politiske blokke i "politik /" og (potentielt) high-rated SPAM i "spam /"
· Kan integreres med SpamAssassin at yde en omfattende anti-spam tagging for et helt websted. Typisk anvender også omfatter hjælp Qmail-scanneren som "frontend" for Enterprise mailservere som Notes og Exchange. Qmail-scanner gør alt det beskidte arbejde - (forhåbentlig) forlader intet men ren mail for backend :-)
· Auto-registrerer e-mail fra "postmester" -stil og mailing-liste-adresser - og sender ikke virus alarm rapporter til dem (dvs. forsøg på at handle mere som en ansvarlig net statsborger)
· På grund af det faktum, at over 99,9% af alle e-mail-bårne vira nu bliver sendt hjælp smedet afsenderoplysninger, QS som standard IKKE advare afsenderen, at en meddelelse er blevet sat i karantæne, medmindre det var på grund af en politik / Perlscan blok. Dette kan vendes tilbage til den "gamle" stil med "--notify afsender" i stedet for den nyere misligholdelse af "--notify psender" (dvs. kun anmelde afsenderen for politiske blokke)
· Kender af virii som smede Fra overskrifter - således at viruset synes at komme fra nogle fattige uskyldige. Qmail-scanner vil ikke sende beskeder til afsenderen for de typer af virii. Som standard er ikke at anmelde alligevel, det kun virkelig tager effekt, hvis du bruger "--notify afsender" valgmulighed.
· Hver meddelelse tagget via en ny Modtaget: header med en virus rapport, der viser, om det er ren eller ej, og virus scanner versionsnumre / etc
· [Deaktiveret som standard] Beskeder klassificeret som "alvorlig SPAM" af "--sa-karantæne" valgmulighed (dybest set at have en virkelig høj SA score) vil blive karantæne ud i en mail mappen "maildir" (./spam/). Denne adskillelse i sin egen maildir tillader sites til at komme med deres egne metoder til håndtering falske positiver. Men ...
· De "z" oprydning mulighed vil slette beskeder i undermapper karantæne ældre end 14 dage - for at sikre, at det ikke bliver for stor. Hvis du ønsker at holde dem længere, simpelthen script noget flytte dem ud dagligt til en anden mappe / maildir. Der er en logrotate script i contrib bibliotek for at automatisere denne (for de systemer, der kan bruge det - ligesom Redhat / CentOS)
· Kan eventuelt tilføje en beskrivende overskrift: X-Qmail-scanner til hver e-mail, der passerer gennem systemet til at give brugerne mulighed for at se, at en scanner har kørt over deres budskaber.
· Beskeder fanget af Qmail-Scanner generere en e-mail (i øjeblikket understøtter Engelsk, Italiensk, Afrikaans, Polsk, Svensk, Tjekkisk, tysk, spansk, tyrkisk, litauisk, fransk, portugisisk, hollandsk og kinesisk budskaber) til en konfigurerbar kombination af afsender , modtagere og en "karantæne-admin" adresse forklarer, hvorfor deres budskab blev blokeret.
· Kan arkivere nogle eller alle forarbejdede email (som ikke var i karantæne) til et arkiv maildir. Nyttig ved debugging email-baserede apps, som sikkerhedskopi, og revision politiske grunde. I øjeblikket mail kuvert overskrifter (de "RCPT til:" og "mail fra:" headers) er vedlagt i bunden af hver besked. Denne indstilling understøtter bliver kaldt med et regulært udtryk, i hvilket tilfælde kun kuvert overskrifter, der matcher udtrykket arkiveres (f.eks kan arkivere "(support | salg) @ domain.name" i stedet for alle e-mails)
· Rapporter via syslog eller til en fil, en one-line beskrivelse af hver forarbejdet meddelelse, der giver omfattende oplysninger såsom emnelinje, vedhæftede filnavne, størrelser, etc.
· Redundant scanning. Ikke alene udpakke hver meddelelse, før du kører af scannere end det, kan det også scanne den oprindelige "rå" e-mail, samt de udpakkede komponenter (dvs. hvis du tror en bestemt scanner har bedre intern MIME parsing end Qmail-scanner)
· Rapportering: i contrib biblioteket er der qs2mrtg.pl. En perl script til overvågning dine syslog filer til qmail-scanner poster. Derefter grafer hvordan Qmail-Scanner behandler dine e-mails. Det skaber forskellige grafer for indkommende vs udgående e-mail, samt strømmen af spam og virus.
Krav:
· Netqmail 1,05 (eller qmail-1,03 med patches)
· Opret en særskilt konto, hvorefter at køre Qmail-Scanner: standard brugernavn og GROUPNAME "qscand". For ekstra sikkerhed, skal du oprette den med en normal hjemmebibliotek (fx "/ home / qscand"), men med en "falsk" shell (fx "/ bin / false") - som det aldrig er logget ind direkte.
· Reformime fra Maildrop 1.3.8+
· Perl 5.005_03 +
· Perl modul Tid :: HiRes
· Perl-modul DB_File (de fleste distributioner kommer med det pre-installeret, selvom den seneste Perl ikke)
· Perl modul Sys :: Syslog (de fleste distributioner kommer med det pre-installeret)
· Perl modul MIME :: Base64 (de fleste distributioner kommer med det pre-installeret)
· Valgfrit: Mark Simpson TNEF unpacker. Kan afkode de irriterende MS-TNEF MIME vedhæftede filer, som Microsoft mailservere elsker bare at bruge. Hvis du ikke har dette, er der flere klasser af e-mail, Qmail-Scanner dybest set ikke vil være i stand til at udtrække vedhæftede filer i. Dog kan din AV meget vel være i stand til at håndtere dem
· Valgfrit: uudecode (del af sharutils på Redhat-stil-systemer)
· Valgfrit: unzip
Hvad er nyt i denne udgivelse:.
- Nogle mindre bugs blev fastsat
- Nye funktioner omfatter DLP support og Team Cymru Malware Hash Registry støtte.
Kommentarer ikke fundet