Meningkatkan E-Mail Security Dengan Procmail

E-mail Sanitizer

Selamat datang di halaman rumah dari Email Sanitizer. The Sanitizer adalah alat untuk mencegah serangan terhadap keamanan komputer Anda melalui pesan email . Hal ini telah terbukti sangat efektif terhadap cacing email Microsoft Outlook yang telah mendapatkan begitu banyak perhatian dalam pers populer dan yang telah menyebabkan begitu banyak kesulitan.

Audiens yang Sanitizer adalah administrator sistem email. Hal ini umumnya tidak ditujukan untuk pengguna akhir, kecuali mereka mengelola sistem email mereka sendiri daripada hanya mengatakan mail program mereka untuk mengambil pesan dari sebuah mail server yang dikelola oleh orang lain.

Jika Anda berada di sini karena Anda sudah mendapatkan pesan yang mengatakan bahwa sepotong surat yang Anda kirimkan telah ditolak, atau karena URL untuk situs web ini muncul dalam sepotong surat yang Anda terima, atau karena Anda bertanya-tanya mengapa email Anda lampiran tiba-tiba bernama defanged , silahkan baca ini pengenalan Sanitizer - itu harus menjawab pertanyaan Anda. Beritahu saya jika tidak.

Harap dicatat bahwa sanitizer adalah TIDAK virus scanner tradisional. Ini tidak bergantung pada "tanda tangan" untuk mendeteksi serangan dan tidak memiliki "jendela kerentanan" masalah yang keamanan berbasis signature selalu memiliki; melainkan memungkinkan Anda menerapkan kebijakan seperti "email tidak harus ditulis", dan "macro di Microsoft Office lampiran dokumen tidak mengakses registry Windows", dan "email tidak harus memiliki Windows file executable lampiran", dan mengkarantina pesan yang melanggar kebijakan tersebut .

Indeks situs:

Penyaringan Email Keamanan

Procmail adalah program yang memproses pesan email mencari informasi tertentu di header atau badan setiap pesan, dan mengambil tindakan berdasarkan apa yang ditemukan. Jika Anda akrab dengan konsep "aturan" sebagaimana diatur dalam banyak klien email pengguna utama (seperti cc yang: Mail client), maka Anda sudah akrab dengan konsep otomatis memproses pesan email berdasarkan konten mereka .

Kombinasi procmail ruleset dan script Perl dirancang khusus untuk "membersihkan" email Anda pada mail server, sebelum pengguna Anda bahkan mencoba untuk mengambil pesan mereka. Hal ini tidakdimaksudkan untuk pengguna akhir untuk diinstal pada sistem desktop Windows mereka untuk perlindungan pribadi.

 

Berita & Catatan

Versi saat ini dari html-trap.procmail ruleset adalah: 1,151 
Disarankan Anda memperbarui salinan Anda jika versi Anda lebih lama, seperti perbaikan bug dan penyaringan untuk eksploitasi yang lebih baru akan telah ditambahkan. Lihat sejarah perubahan untuk rincian.

Aku sudah terus menggunakan Sanitizer dalam produksi meskipun pembangunan telah tenang sangat dalam beberapa tahun terakhir dan sebagian besar didorong sekarang dengan kebutuhan saya daripada permintaan pengguna. Ini masih berguna, dan masih blok berusaha pengiriman malware, bahkan eksploitasi virus scanner belum mendeteksi. Saya telah, bagaimanapun, tidak menjaga website up-to-date, jadi aku melakukan itu sekarang. Saya menyarankan jika Anda masih menggunakan Sanitizer Anda lihat rilis pengembangan (1.152pre8) untuk perubahan yang sedang berlangsung dan perbaikan, terutama update dari Office scanner makro untuk malware didownload.

Ada kerentanan buffer overflow dalam DUNZIP32.dll perpustakaan zipfile digunakan oleh banyak program komersial, termasuk Lotus Notes dan Real Audio Player. Eksploitasi untuk kerentanan ini di alam liar. Jika Anda menggunakan Notes atau beberapa perangkat lunak lain yang menangani arsip ZIP, hubungi vendor Anda untuk melihat apakah ada update yang tersedia. 
Dalam upaya untuk mengurangi kerentanan ini, versi pengembangan sanitizer yang telah menerapkan pemeriksaan panjang nama file pada nama file diarsipkan. Jika Anda tidak ingin mencoba snapshot pengembangan, patch yang menambahkan zip-file tes panjang untuk pemindaian ZIP yang ada tersedia. Hal ini melawan 1,151 tetapi harus bekerja pada setiap rilis yang memiliki ZIP scanning.

Ada kecil patch untuk versi 1,151 dan sebelumnya yang defangs metode obfuscating tertanam javascript. Untuk menerapkan patch, menyimpan patch ke direktori dimana sanitizer Anda disimpan (biasanya / etc / procmail) dan jalankan perintah berikut:

patch --backup

Ini akan di rilis stabil berikutnya.

The esa-l dan esd-l mailing list telah dipulihkan dan sekarang diselenggarakan oleh impsec.org. Terima kasih kepada Michael Ghens hosting murah hati dari daftar selama lima tahun!

Ada pengumuman milis untuk masalah keamanan email. Ini terutama akan membawa informasi tentang eksploitasi baru dan update dari sanitizer tersebut. Untuk berlangganan, mengirim pesan dengan subjek "berlangganan" ke [email protected] . Ini adalah daftar kuat moderator untuk pengumuman saja, tidak diskusi umum.

Jika Anda ingin bergabung dengan sanitizer diskusi mailing list, kirim pesan dengan subjek "berlangganan" ke [email protected] . Ini adalah hanya untuk anggota daftar; untuk posting untuk itu Anda harus bergabung. Ada juga sebuah arsip dari pesan yang tersedia.

1,142 perbaikan bug minor di 1.141 yang membuat zipfile pencocokan nama file terlalu serakah.

1,141 sekarang memungkinkan pemindaian isi arsip ZIP. PEMBERITAHUAN: jika Anda tidak secara eksplisit menentukan file kebijakan ZIPPED_EXECUTABLES, sanitizer akan default ke file kebijakan POISONED_EXECUTABLES Anda untuk memproses isi arsip ZIP. Ini mungkin lebih paranoid dari yang Anda ingin menjadi. Lihat Konfigurasi Sanitizer halaman untuk lebih jelasnya.

 

PEMBERITAHUAN PENTING:

Jika Anda telah men-download dan menggunakan 1,139 sanitizer, di sini adalah patch untuk membuatnya mengabaikan bagian ditempa dari Novarg / MyDoom Diterima: header dan menghentikan memberitahukan alamat pengirim tidak ada tentang serangan itu. Silakan menerapkan patch ini untuk sanitizer Anda menggunakan petunjuk di bawah ini dan membantu mengurangi jumlah gila lalu lintas rakasa ini menghasilkan ...

HTTP Cermin 1 (US: WA) | HTTP Cermin 2 (US: FL) | HTTP Cermin 3 (EU: NO) | HTTP Cermin 4 (EU: NL) | HTTP Cermin 5 (AU) | HTTP Cermin 6 (AU) | HTTP Cermin 7 (US: WA) ]

Instruksi instalasi:

Salin file .diff ke direktori di mana kehidupan sanitizer Anda dan jalankan perintah berikut:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff

The 1,139 Sanitizer meliputi deteksi Microsoft Office VBE serangan buffer overflow. Lihat waspada eEye untuk lebih jelasnya.

Aturan Sobig.F untuk serangan langsung dan bouncing berada di sampel file lokal-aturan sekarang.

Silakan lihat contoh file lokal-aturan untuk aturan yang harus mendeteksi dan pesan karantina dirancang untuk menyerang kepala Sendmail parsing jauh-akar bug . PENTING: Aturan ini akan tidak melindungi mesin itu diinstal pada. Anda masih harus memperbarui sendmail Anda. Mungkin, bagaimanapun, melindungi mesin rentan di belakang mesin itu berjalan pada, memberikan Anda waktu untuk memperbaruinya.

Jika Anda mendapatkan error seperti " sendmail: Opsi ilegal - U " melihat halaman konfigurasi untuk bagaimana memperbaikinya.

Jika Anda mengalami masalah "Menjatuhkan F" (di mana "F" di terkemuka "Dari" di pesan sedang dihapus), harap dicatat: ini adalah masalah yang dikenal di procmail. Ini dapat diperbaiki dalam rilis saat ini, Anda mungkin ingin meng-upgrade. Masalah terjadi ketika sebuah tindakan filter kembali kesalahan. Dalam situasi procmail mungkin kehilangan byte pertama dari pesan. PASTIKAN file log Anda memiliki 622 izin. Juga, di sini adalah aturan singkat yang akan membantu membersihkannya , menambahkannya ke akhir Anda /etc/procmailrc berkas.

(Perencanaan) pengembangan 2,0 sanitizer telah dimulai. Daftar fitur yang direncanakan terlihat seperti ini:

  • Berbasis kebijakan-attachment file penanganan ($ MANGLE_EXTENSIONS hilang)
  • Dukungan internasionalisasi melalui GNU gettext atau sesuatu yang serupa
  • Penanganan yang tepat dari nama file encoded
  • Lipat header-panjang dan kode HTML-defanging ke script perl utama, untuk meminimalkan inisialisasi proses perl
  • Script perl akan dipisahkan (tidak lagi inline)
  • Pindah dari mimencode dan mktemp untuk MIME :: Base64 dan File :: mktemp
  • Login ke pesan itu sendiri (menambahkan lampiran MIME teks baru daftar apa yang terjadi selama sanitasi) dengan kemampuan untuk menambahkan situs-spesifik file catatan
  • Mengintip ke lampiran MS-TNEF. Saya berharap untuk memiliki kebijakan penuh dan dukungan scanning makro, tetapi kebijakan mungkin harus diterapkan pada lampiran MS-TNEF di toto (misalnya jika salah satu bagian dari itu harus dilucuti, seluruh hal akan dilucuti).
  • Opsional de-BASE64ing teks dan HTML lampiran, sehingga mereka dapat dikenakan penyaringan spam setelah sanitizer tersebut.

Pengumuman beta akan dilakukan ke milis.

Saya dapat dihubungi di  - Anda juga bisa mengunjungi halaman rumah saya .

Beberapa orang telah bertanya mengapa saya tidak mengenakan biaya untuk paket ini. Saya kira ini terutama karena fakta bahwa saya tidak berpikir siapa pun harus terkena serangan ini hanya karena mereka tidak mau atau tidak mampu untuk membeli sesuatu untuk melindungi diri mereka sendiri, tetapi juga harus dilakukan dengan fakta bahwa saya melihat ini sebagai tantangan yang menarik intelektual, cara untuk mendapatkan pengakuan, dan cara untuk memberikan kembali kepada masyarakat. 
Namun, jika Anda merasa seperti membayar untuk menerima sesuatu yang bernilai yang telah meningkatkan kehidupan Anda, maka jangan ragu untuk mengunjungi daftar keinginan pribadi saya atau daftar keinginan Amazon saya , atau mengirim saya sumbangan melalui PayPal dan ratapan yang tak ada yang dilakukan TequilaPal belum.

Source: http://www.impsec.org/email-tools/procmail-security.html