Qmail-Scanner är ett tillägg som gör att en Qmail e-postserver för att skanna en brygga e-post för vissa egenskaper (dvs. ett innehåll scanner). Den används normalt för sin anti-virus och anti-spam skyddsfunktioner, i vilket fall den används tillsammans med externa skannrar.
Qmail-Scanner ansökan möjliggör också en plats (på en server / webbplats nivå) för att skapa "Politiska block": det vill säga reagerar till e-post som innehåller specifika strängar i synnerhet rubriker, eller särskilda fäst filnamn eller typer (t.ex. * VBS bilagor).
Dess arkivfunktioner hjälper Internetleverantörer och företag runt om i världen med nya eller pågående lagstiftning och myndighetskrav. Det kan arkivera alla bearbetas e-post till ett arkiv maildir. Detta är idealiskt för säkerhetskopiering för revisionspolitiska skäl. Till skillnad från vissa Windows-baserade serverlösningar, de postkuvert rubriker (den "RCPT till:" och "post från:" headers) hålls intakt - bifogas till botten av varje meddelande - bekräftar sanna avsändare och destinationsadresser.
Arkivering stöder också filtrering med en delmängd av adresser (t.ex. endast arkiv "support@domain.name" e-post i stället för alla). Dessutom kan de omfattande enradiga sammanfattningar genereras för varje meddelande av Qmail-skanner vara tillräckligt för företagen uppfyller sina skyldigheter - i stället för det mer diskintensiva fullständig arkivering. Som vanligt, kontakta en advokat för ordentliga definitioner.
Qmail-Scanner är integrerad i e-postservern på en lägre nivå än vissa andra Unix-baserade antivirusprogram, vilket resulterar i mer grundlig täckning. Det kan skanning inte bara lokalt skickat / tagit emot e-post, men även e-post som passerar servern i en reläkapacitet. Qmail-Scanner utnyttjar även den rikedom av metainformation från Qmail (såsom klient IP-adress, och om inte kunden får relä).
Här är några viktiga inslag i "Qmail Scanner":
· Stöder nästan alla kommersiella (Unix) virusskydd samt den ständigt populära Open Source ClamAV scanner.
· Kan ringa mer än ett virusskydd för varje e-postmeddelande
· Har en egen intern scanner som kan användas för policyefterlevnad, eller karantän virus som din AV närvarande inte kan detektera
· Den interna scanner kan också användas för att karantän e-post baserat på bilagetyperna, eller e-post med vissa e-postrubriker ... måste stanna * .mp3 filer eller "Ämne: ILOVEYOU" e-post att få till och från ditt LAN - kan göra! :-)
· Den interna scanner kan utlösa en "grey" åtgärder i stället för en karantän. Detta är utformad för nödsituationer där din nuvarande AV- och statiska Politiska blocken är inte lämpligt. t.ex. en ny ZIP-baserade virus kommer ut med slumpmässiga filnamn. Din AV kan inte upptäcka det, och du kan inte globalt blockera zip-filer utan att skada giltiga användare. En "grey" action kommer att orsaka Qmail-skanner för att avsluta med en SMTP tillfälligt fel i stället för att leverera meddelandet. Giltiga e-post kommer helt enkelt att requeued och kan strömma genom senare när din AV kan upptäcka viruset, och du bestämmer dig för att ta bort greypolicy.
· Interna motor söker efter dåligt formaterade meddelanden som är kända för att kunna användas av trojaner / virii att infektera kunder. Som sådan är detta oberoende av virusskydd, och kan framgångsrikt driva mot framtida virii / trojaner. Sådana meddelanden i karantän omedelbart. Kända för att blockera en sådan stor virii som Klez och Aliz, och som en bieffekt, stannar en hel del skräppost också! Format kontroller inkluderar:
· Brutna MIME fortsättnings rubriker
· Användning av kommentarer inom standard rubriker (t.ex. "Content-T (xxxxxx) yp:" är * identisk * att "Content-Type" i enlighet med RFC - men vissa virii använda detta som det kringgår vissa anti-virus scanners). Gäller användning av detta aldrig sett i det vilda - så det är blockerad
· Upprepade förekomster av MIME-huvuden gör QS döpa de senare att upphäva dem
· MIME gränser över 250 tecken blockeras
· Olika definitioner av en särskild fäst filnamn gör att det blockeras
· Dubbel definierar samma MIME gräns är blockerad
· Vissa MIME-typer som innehåller Windows körbara tillägg är speciellt blockerade (t.ex. en "audio / wav" av filnamnet "wav.exe" kunde bara vara ett virus)
· Brutna rubriker inom en MIME-bilaga blockeras
· Windows körbara bilagor som inte är märkta som av MIME-typ "application / ....." blockeras (t.ex. döpa notepade.exe att notepade.gif och skicka den som en GIF bifogad fil skulle hållas i karantän, som Qmail-skanner skulle inse att det är en körbar låtsas vara något annat).
· Fäst filnamn över 256 tecken blockeras
· Vissa dubbelpipiga filnamn blockeras (t.ex. file.gif.exe). Det försöker inte att blockera vanligt misstag varianter
· CLSID filnamnstillägg är blockerade
· Lösenordsskyddade zip-filer kan blockeras om du vill. Detta skulle stoppa alla framtida virus fyllda inuti lösenordsskyddade zip-filer från att komma igenom, men naturligtvis skulle också stoppa alla legitima användning. Avstängd som standard, men kanske bra att slå på under ett nytt utbrott, och stängs av igen när en AV-uppdatering sker som kan fånga den.
· Som standard alltid kör någon AV du kan ha över meddelanden först, sedan körs den interna scanner (Policy / perlscan) kontroller. Detta innebär att om du blockerar ".pif" filer på grund av dem normalt innehåller virus, sedan några .pif filer som inte innehåller ett virus känt till AV-systemet kommer att flaggas som "virus", och alla som missat (kanske de var en Dag-Zero virus) sedan taggade som blockeras av "politik". Denna differentiering används sedan av alarmeringssystemet. It som standard inte meddela avsändaren att ett virus har hittats, men kan ändå meddela dem när det var en "politik" block.
· Quarantines e-post den finner att strida mot ovanstående delsystem. Virus karantän i en maildir heter "virus /", politiska block i "politik /" och (potentiellt) högt rankade spam i "spam /"
· Kan integreras med Spamassassin för att ge omfattande anti-spam märkningen för en hel webbplats. Vanligtvis använder också ingår använder Qmail-skanner som en "front" för Enterprise-postservrar som Anteckningar och Exchange. Qmail-skanner gör allt det smutsiga arbetet - (förhoppningsvis) lämnar inget annat än ren post för backend :-)
· Auto-upptäcker e-post från "postmaster" -stil och sändlista adresser - och inte skicka rapporter virusvarning till dem (det vill säga försök att agera mer som en ansvarsfull netto medborgare)
· På grund av det faktum att över 99,9% av alla e-postburna virus nu skickas med smidda avsändarinformation, QS standard att inte varna avsändaren att ett meddelande har satts i karantän, om det inte var på grund av att en Policy / Perlscan blocket. Detta kan vridas tillbaka till "gamla" stil genom att använda "--notify avsändare" istället för den nyare standard för "--notify psender" (det vill säga endast anmäla avsändare för politiska block)
· Känner av virii som förfalska Från rubriker - så att viruset verkar komma från någon stackars oskyldiga. Qmail-Scanner kommer inte att skicka varningar till avsändaren för dessa typer av virii. Som standard är att inte anmäla alla fall, detta egentligen bara tar effekt om du använder "--notify avsändare" alternativet.
· Varje meddelande är märkt via en ny emottagen: header med ett virus rapport som visar om det är ren eller inte och virusskydd versionsnummer / etc
· [Inaktiverat som standard] Meddelanden som klassificeras som "allvarlig spam" av "--sa-karantän" alternativet (i princip har en riktigt hög SA poäng) kommer att karantän ut i en "maildir" postmapp (./spam/). Denna uppdelning i sin egen maildir låter platser att komma med sina egna metoder för hantering av falsklarm. Men ...
· Den "-Z" rensa alternativet tar bort meddelanden i karantän mappar som är äldre än 14 dagar - för att säkerställa att det inte blir för stor. Om du vill behålla dem längre, att helt enkelt manus något flytta dem dagligen till en annan katalog / maildir. Det finns en logrotate skript i contrib katalogen för att automatisera detta (för de system som kan använda den - som Redhat / CentOS)
· Kan eventuellt lägga till en beskrivande rubrik: X-Qmail-Scanner för att varje e-post som passerar genom systemet för att tillåta användare att se att en skanner har kört över sina meddelanden.
· Meddelanden som fångas av Qmail-skanner generera ett e-postmeddelande (för närvarande stöder engelska, italienska, afrikaans, polska, svenska, tjeckiska, tyska, spanska, turkiska, litauiska, franska, portugisiska, holländska och kinesiska meddelanden) till en konfigurerbar kombination av avsändaren , mottagare och en "karantän-admin" adress förklarar varför deras budskap var blockerad.
· Kan arkivera några eller alla bearbetade e-post (som inte var i karantän) i ett arkiv maildir. Användbart vid felsökning e-baserade program för säkerhetskopiering, och revisionspolitiska skäl. För närvarande post kuvert rubriker (den "RCPT till:" och "post från:" rubriker) läggs till botten av varje meddelande. Det här alternativet stöder kallas med ett reguljärt uttryck i vilket fall endast kuvert rubriker som matchar uttrycket arkiveras (t.ex. kan arkivera "(stöd | försäljning) @ domain.name" i stället för all e-post)
· Rapporter via syslog eller till en fil, en enradig beskrivning av varje bearbetad meddelande, ger omfattande information som ämnesraden, fäst filnamn, storlekar, etc.
· Redundant skanning. Inte bara packa varje meddelande innan du kör skannrar över det, kan det också skanna originalet "rå" e-postmeddelande liksom de uppackade komponenterna (dvs om du tror att en viss scanner har bättre intern MIME tolkning än Qmail-scanner)
· Rapportering: i contrib katalogen finns qs2mrtg.pl. En Perl-skript för att övervaka dina syslog filer för qmail-skanner register. Det grafer sedan hur Qmail-skanner bearbetar din e-post. Det skapar olika grafer för inkommande vs utgående e-post, liksom flödet av spam och virus.
Krav:
· Netqmail 1,05 (eller qmail-1,03 med patchar)
· Skapa ett separat konto som att köra Qmail-skanner: standard användarnamn och gruppnamn "qscand". För extra säkerhet, skapar det med en vanlig hemkatalog (t.ex. "/ home / qscand"), men med en "falsk" skal (t.ex. "/ bin / false") - som det aldrig har loggat in direkt.
· Reformime från maildrop 1.3.8+
· Perl 5.005_03 +
· Perlmodul Tid :: HiRes
· Perlmodul DB_File (de flesta distributioner kommer med det förinstallerade, även om den senaste Perl inte)
· Perlmodul Sys :: Syslog (de flesta distributioner kommer med det förinstallerat)
· Perlmodul MIME :: Base64 (de flesta distributioner kommer med det förinstallerat)
· Valfritt: Mark Simpson TNEF unpacker. Kan avkoda de irriterande MS-TNEF MIME-bilagor som Microsofts e-postservrar bara älskar att använda. Om du inte har detta, det finns flera typer av e-post som Qmail-skanner i princip inte kommer att kunna utvinna bilagor i. Men, kan din AV mycket väl kunna hantera dem
· Valfritt: uudecode (del av sharutils på Redhat stil system)
· Valfritt: packa
Vad är nytt i den här versionen.
- Vissa mindre buggar har åtgärdats
- Nya funktioner inkluderar DLP stöd och Team Cymru Malware Hash Registry stöd.
Kommentarer hittades inte