Qmail-Scanner

Qmail-Scanner е добавка, която дава възможност на Qmail имейл сървър, за да сканирате gatewayed имейл за определени характеристики (т.е. скенер съдържание). Той обикновено се използва за своята антивирусна и функции анти-спам защита, в който случай се използва във връзка с външни скенери.
Qmail-Scanner приложение също така дава възможност на място (в сървър / ниво сайт), за да се създаде "Политика блокове": т.е. реагира на приятел, който съдържа специфични стрингове в определени горни или конкретни прикрепване имена на файлове или видове (например * .vbs прикачени файлове).
Нейните архивни функции помага ISPs и корпорации по целия свят с нова или неприетото законодателство и регулаторни изисквания. Тя може да архивирате всичките преработени имейл в архив Maildir. Това е идеално за архивиране цели за мотивиране одит на политиката. За разлика от някои решения сървърни Windows-базирани, заглавията на пощата обвивката (на "RCPT до:" и "поща от:" хедъри) се пазят непокътнати - прикрепена към долната част на всяко съобщение - потвърждавайки истинските изпращачи и адреси дестинация.
Архивирането също поддържа филтриране на подмножество на адреси (например само Архив "support@domain.name" имейли, вместо всички). В допълнение, обширни резюмета на единична линия, генерирани за всяко съобщение от Qmail-Scanner може да бъде достатъчно за компаниите да изпълнят задълженията си - вместо по-диск-интензивно пълно архивиране. Както обикновено, се свържете с адвокат, за правилни определения.
Qmail-Scanner е интегриран в пощенския сървър по-ниско ниво, отколкото някои други Unix-базирани скенери за вируси, което води до по-задълбочено отразяване. Той е способен на сканиране не само на местно ниво, изпратено / получили имейл, но също така и електронна поща, която пресича сървъра в реле капацитет. Qmail-Scanner също лостове богатството на мета-данни, предоставени от Qmail (като клиент IP адрес, и дали клиентът има право да реле).
Ето някои основни характеристики на "Qmail Scanner":
· Поддържа почти всички търговски (Unix) скенери за вируси, както и все по-популярни Open Source ClamAV скенера.
· Могат да се обадя повече от един вирус скенер за всеки съобщение
· Разполага със собствен вътрешен скенер, който може да се използва за политически изпълнение, или да поставят под карантина вируси, които си AV в момента не могат да открият
· Вътрешният скенера може да се използва за поставяне под карантина имейл въз основа на вида на присъединяване, или електронна поща с определени имейл заглавки ... Need да спре * .mp3 файлове или "Относно: ILOVEYOU" имейл качването и извън вашата локална мрежа - може да направи! :-)
· Вътрешният скенерът може да предизвика "greylist" действия, вместо на карантина. Това е предназначен за аварийни ситуации, при които текущото си AV и статични блокове политика не са подходящи. например нов ZIP-базирани вирус излиза с произволни имена на файлове. Вашият AV не може да го открие, и няма да може глобално блокиране ZIP файлове, без да наранява валидни потребители. A "greylist" действия ще предизвика Qmail-Scanner, за да излезете с временен неуспех SMTP, вместо на предаване на съобщението. Валидни имейли просто ще бъдат requeued и могат да преминават през по-късно, след като си AV може да открие вирус, и решите да премахнете политиката на greylist.
· Сканирания Вътрешни двигател за лошо форматирани съобщения, които се знае, че са използвани от троянски коне / създават вируси да заразят клиенти. Като такъв, това е независимо от всеки вирус скенер, и може да работи успешно срещу бъдещи създават вируси / троянци. Такива съобщения се поставят под карантина веднага. Известна да блокира такива големи създават вируси като Klez и Ализ, и като страничен ефект, спира справедлива стойност на спам също! Проверки Format включват:
· Разбити заглавията MIME допълнителни
· Използване на забележки в стандартни заглавията (например "Content-T (XXXXXX) ype:" е * * идентична с "Content-Type:" според RFC-та - но някои създават вируси използват това като го заобикаля някои антивирусни скенери). Валиден използване на това никога не е виждал в дивата природа - така че е блокиран
· Повторни случаи на MIME заглавията прави QS преименувана в тези, които ще ги обезсилва
· MIME граници над 250 символа са блокирани
· Различните определения за конкретен закрепване Велик го кара да бъде блокиран
· Двукратно определяне същия MIME граница е блокирана
· Определени типове MIME съдържащи Windows изпълними разширения са специално блокирани (напр "аудио / WAV" на името на файла "wav.exe" може да бъде само един вирус)
· Разбити заглавията в рамките на MIME прикачен са блокирани
· Windows изпълними прикачени файлове, които не са отбелязани като на MIME тип "молба / ....." са блокирани (напр преименуване notepade.exe да notepade.gif и да го изпратите като прикачен GIF ще бъдат поставени под карантина, като Qmail-Scanner Ще разберем, че е изпълним който се представя за нещо друго).
· Прикрепване имена на файлове над 256 символа са блокирани
· Някои двуцевен имена на файлове са блокирани (напр file.gif.exe). Тя се опитва да не блокира общи варианти грешка
· CLSID файлови разширения са блокирани
· Защитени с парола файлове цип могат да бъдат блокирани, ако желаете. Това ще спре всякакви бъдещи вируси пълнени вътре, защитени с парола файлове цип от отскубне, но разбира се, също ще спре всяко легитимно използване. Изключен по подразбиране, но може би е полезно да се включите по време на ново огнище, и изключи отново, след като се появи AV актуализация, която може да го хване.
· По подразбиране е винаги работи всеки AV може да се наложи над съобщения първо място, след изчерпване на вътрешния скенера (Политика / perlscan) проверки. Това означава, че ако блокират файлове ".pif", дължащи се на тях обикновено съдържащи вируси, тогава никакви .pif файлове, които съдържат вирус, известен с вашия AV система ще бъде маркирана като "вируси", и всички, които са пропуснали (може би те са по- Ден-Zero вирус), след това са маркирани като бъдат блокирани от "политиката". След това тази диференциация се използва от системата за предупреждение. По подразбиране да не е уведомила подателя, че вирусът е бил намерен, но все пак може да ги уведомяват, когато е било блок "политика".
· Карантина имейли, които намира в нарушение на посочените по-горе подсистеми. Вирусите са поставени под карантина в Maildir име "вируси /", политическите блокове в "политика /" и (потенциално) високо оценени SPAM в "спам /"
· Може да се интегрира с SpamAssassin да предоставят изчерпателна маркиране анти-спам за целия сайт. Обикновено се използва също така включва използването на Qmail-Scanner като "предния край" за пощенските сървъри на предприятието, като отбелязва и Exchange. Qmail-Scanner върши цялата мръсна работа - (да се надяваме) не оставя нищо, но чиста поща за гръб :-)
· Auto-засича имейл от "пощите" -стил и мейлинг листа адреси - и не изпраща доклади за сигнализиране на вируса към тях (т.е. опитва да действа по-скоро като отговорен гражданин нетно)
· Поради факта, че над 99.9% от всички вируси имейл пренасяни сега са изпратени използване на фалшиви информация подател, QS подразбиране НЕ предупреждаване на подателя, че съобщението е поставен под карантина, освен ако то се дължи на политиката на / Perlscan блок. Това може да се обърна към "старите" стил с помощта на "--notify изпращач", вместо по-новата неизпълнение от страна на "--notify psender" (т.е. само уведомява подателя за политически блокове)
· Знае на създават вируси, които изкове От удара с глава - така че вирусът изглежда идват от грешка на невинен. Qmail-Scanner няма да изпраща сигнали до изпращача за тези видове се създават вируси. Тъй като по подразбиране е да не уведомява така или иначе, това само наистина да влезе в сила, ако използвате опцията "--notify изпращач".
· Всяко съобщение се маркира чрез нов Получени: глава доклад от вирус, показващ дали е чиста или не и скенер за вируси номерата на версиите / и т.н.
· [Изключена по подразбиране] Съобщения класифицирани като "сериозна SPAM" от "--sa-карантина" вариант (основно като SA полувремето наистина високо) ще бъдат поставени под карантина на разстояние в "Maildir" папка поща (./spam/). Това разделяне на собствения й Maildir позволява на сайтовете да излезе с техните собствени методи на работа с фалшиви положителни. Въпреки това ...
· На "-Z" опция за почистване ще изтриете съобщения в карантинната подпапки по-стари от 14 дни - за да се гарантира, че не расте твърде голям. Ако искате да ги запазите по-дълго, просто скрипт нещо, което да ги изнесат дневно в друга директория / Maildir. Налице е logrotate скрипт в директорията вноската за автоматизиране на този (за тези системи, които могат да я използват - като Redhat / CentOS)
· Може евентуално добавяне на описателен глава: X-Qmail-Scanner за всеки имейл, който преминава през системата, за да позволи на потребителите да виждат, че скенер е прегазен техните послания.
· Съобщения уловени от Qmail-Scanner генерират на имейл съобщение (в момента поддържа английски, италиански, африканс, полски, шведски, чешки, немски, испански, турски, литовски, френски, португалски, холандски и китайски съобщения) до конфигурируеми комбинация на подателя , получатели и "карантина-администратор" адрес обяснява защо тяхното послание беше блокиран.
· Да архивирате всички или някои преработени имейл (която не е под карантина) в архив Maildir. Полезно и при дебъгването имейл-базирани приложения, с цел поддръжка, както и за целите на одита на политиката. В момента заглавията на пощата обвивката (на "RCPT до:" и "поща от:" хедъри) са приложени към долната част на всяко съобщение. Тази опция поддържа се нарича с регулярен израз, в който случай само плик заглавията, които съответстват на експресията са архивирани (например да архивирате "(подкрепа | продажби) @ domain.name" вместо всичките имейл)
· Доклади чрез Syslog или във файл, описание от един ред на всяко обработено съобщение, давайки обширна информация като сюжетната линия, запор имена, размери и т.н.
· Redundant сканиране. Той не само разопаковам всяко съобщение, преди да пуснете скенерите над нея, тя може също така да сканирате оригинала "сурова" имейл съобщението, както и непакетирани компоненти (т.е. ако смятате конкретен скенер има по-добра вътрешна MIME разбор от Qmail-скенер)
· Отчитане: в директорията вноската има qs2mrtg.pl. A Perl скрипт за да наблюдава работата на Syslog файлове за записи Qmail-скенер. След това той изобразява как Qmail-Scanner обработва вашите имейли. Това създава различни графики за входяща срещу изходяща поща, както и потока на спам и вируси.
Изисквания:
· Netqmail 1.05 (или Qmail-1.03 с лепенки)
· Създаване на отделна сметка, при които да тече Qmail-Scanner: подразбиране потребителско име и _групата "qscand". За допълнителна сигурност, създайте го с нормална домашна директория (например "/ Начало / qscand"), но и с "фалшиви" Шел (например "/ BIN / невярно") - тъй като той никога не е логнат в директно.
· Reformime от Maildrop 1.3.8+
· Perl 5.005_03 +
· Perl модул за време :: наема
· Perl модул DB_File (повечето дистрибуции идват с нея инсталиран предварително, въпреки че най-късно Perl не го прави)
· Perl модул Sys :: Syslog (повечето дистрибуции идват с нея предварително инсталирана)
· Perl модул MIME :: Base64 (повечето дистрибуции идват с нея предварително инсталирана)
· По желание: TNEF unpacker Марк Симпсън. Може да декодира тези досадни MS-TNEF MIME прикачени файлове, че пощенските сървъри на Microsoft просто обичат да използват. Ако не разполагате с това, има няколко класа имейл, че Qmail-Scanner основно няма да бъде в състояние да извлече прикачени файлове. Все пак, си AV може много добре да бъде в състояние да се справя с тях
· По желание: uudecode (част от sharutils на системи Redhat стил)
· По желание: разархивирайте

Какво ново в тази версия:.

• Някои незначителни бъгове са фиксирани
• Новите функции включват поддръжка DLP и Team Cymru Malware Hash подкрепа вписванията.