Sähköpostin turvallisuuden parantaminen Procmaililla: Sähköposti Sanitizer

Source: https://www.impsec.org/email-tools/procmail-security.html

Tervetuloa Email Sanitizerin kotisivulle. Sanitizer on työkalu, joka estää tietokoneesi tietoturvaan kohdistuvat hyökkäykset sähköpostiviestien välityksellä. Se on osoittautunut erittäin tehokkaaksi Microsoft Outlookin sähköpostimatoihin, jotka ovat saaneet niin paljon huomiota suosittua lehdistössä ja ovat aiheuttaneet niin paljon ongelmia.

Sanitizerin tarkoitus on hallinnoida postinjärjestelmiä. Sitä ei yleensä ole tarkoitettu loppukäyttäjille, elleivät ne hallinnoi omia postinjärjestelmiään sen sijaan, että ne kertovat pelkästään sähköpostiohjelmastaan ​​hakeakseen viestit jonkun muun hallinnoimasta postipalvelimesta.

Jos olet täällä, koska olet saanut viestin sanomasta, että lähettämäsi lähettämäsi postileima on hylätty tai koska tämän verkkosivuston URL-osoite näkyy lähettämässäsi postissa tai koska olet miettinyt, miksi sähköpostiosoitteesi Liitteet ovat yhtäkkiä nimeltään DEFANGED, lue tämä johdanto Sanitizer – sen pitäisi vastata kysymyksiisi. Kerro, tiedä jos se ei ole.

Huomaa, että puhdistusaine EI ole perinteinen virustarkistus. Se ei tue “allekirjoituksia” hyökkäysten havaitsemiseen eikä sillä ole “haavoittuvuusikkunaa” ongelmia, jotka allekirjoituspohjaisella turvallisuudella on aina; Sen sijaan sen avulla voit noudattaa käytäntöjä, kuten “sähköpostin ei pitäisi olla kirjoitettuna” ja “Microsoft Office -asiakirjojen liitetiedostojen makrot eivät saisi käyttää Windowsin rekisteriä” ja “sähköpostilla ei pitäisi olla Windowsin suoritettavia tiedosto liitetiedostoja” ja karanteeniin viestejä, jotka rikkovat kyseisiä käytäntöjä.


Sivustohakemisto:


Suojaus sähköpostin suojaamiseksi

Procmail on ohjelma, joka käsittelee sähköpostiviestejä, jotka etsivät tiettyjä tietoja kunkin viestin otsikoissa tai ruudussa, ja toteuttaa toimia sen perusteella, mitä se löytää. Jos olet perehtynyt käsitteeseen “säännöt”, kuten useissa tärkeissä sähköpostiasiakkaissa (kuten cc: Mail client), olet jo perehtynyt käsitteeseen käsitellä sähköpostiviestejä automaattisesti niiden sisällön perusteella.

Tämä yhdistelmä procmail ruleset ja Perl-skripti on suunniteltu erityisesti “puhdistamaan” sähköpostisi sähköpostipalvelimella, ennen kuin käyttäjät yrittävät jopa noutaa viestisi. Se ei ole tarkoitettu loppukäyttäjille asennettavaksi Windows-työasemajärjestelmään henkilökohtaiseen suojaukseen.


Uutiset & muistiot

Nykyinen versio html-trap.procmail-sääntöistä on: 1.151
On suositeltavaa päivittää kopiosi, jos versio on vanhempi, koska lisäresursseja ja suodatuksia uusille käyttökohteille on lisätty. Katso muutosten historia yksityiskohtiin.

Olen jatkanut Sanitizerin käyttöä tuotannossa, vaikka kehitys on viime vuosina hiljentynyt voimakkaasti, ja sitä useimmiten ohjaavat minun tarpeeni pikemminkin kuin käyttäjän pyyntöjä. Se on silti hyödyllinen, ja silti estää haittaohjelmien toimittamisen, jopa sellaisista hyökkäyksistä, joita viruskannerit eivät vielä tunnista. En ole kuitenkaan pitänyt verkkosivustoa ajan tasalla, joten teen sen nyt. Suosittelen, jos käytät edelleen Sanitizer-laitetta, tutustu kehitystiedoteeseen (1.152pre8) meneillään olevista muutoksista ja parannuksista, erityisesti Office makroskan skannaimen päivityksestä ladatuille haittaohjelmille.


Useita kaupallisia ohjelmia, kuten Lotus Notes ja Real Audio Player, käyttävät DUNZIP32.dll zipfile -kirjastossa on puskurin ylivuoto-heikkous. Hyökkäykset tämän haavoittuvuuden varalta ovat WILLD. Jos käytät Notes-tiedostoja tai jotain muuta ZIP-arkistoa käsittelevää ohjelmistoa, ota yhteyttä myyjään ja tarkista, onko saatavilla päivitys.
Haavoittuvuuden lievittämiseksi, saniteettivalmisteen kehitysversio on toteuttanut tiedostonimen pituuden tarkistukset arkistoitujen tiedostonimien yhteydessä. Jos et halua kokeilla kehityksen tilannekuvaa, korjaustiedosto, joka lisää zip-tiedostonimen pituustestit olemassa olevaan ZIP-skannaukseen, on käytettävissä. Se on 1.151: tä vastaan, mutta sen pitäisi toimia missä tahansa julkaisussa, jolla on ZIP-skannaus.

Versioille 1.151 on olemassa pieni korjaustiedosto, joka estää sulautetun javascriptin häiritsemisen. Voit korjata laastarin tallentamalla laastarin hakemistoon, jossa saniteettisi on tallennettu (tyypillisesti / etc / procmail) ja suorita seuraava komento:

patch --backup <obfuscated_javascript.patch

Tämä on seuraavassa vakaassa julkaisussa.

Esa-l- ja esd-l-postituslistoja on palautettu ja nyt isännöi impsec.org. Kiitos Michael Ghensille hänen listojensa ansiosta viideksi vuodeksi!

Sähköpostin tietoturvaongelmista on ilmoituksia postituslistalle. Se toimittaa ensisijaisesti tietoja uusien puhdistusaineiden hyödyistä ja päivityksistä. Voit tilata lähettämällä viestin aiheesta “subscribe” osoitteeseen esa-l-request@impsec.org. Tämä on erittäin voimakas luettelo vain ilmoituksista, ei yleistä keskustelua.

Jos haluat liittyä saniteettitilojen keskustelun postituslistalle, lähetä viesti aiheesta subscribe osoitteeseen esd-l-request@impsec.org. Tämä on vain jäsenten luettelo; Lähettääksesi sen sinun täytyy liittyä. Saatavilla on myös arkisto viesteistä.

1.142 korjaa pienen virheen 1.141: ssä, joka tekee zipfile-tiedostonimistä liian ahneiksi.

1.141 mahdollistaa ZIP-arkiston sisällön skannaamisen. ILMOITUS: Jos et nimenomaisesti määrittele ZIPPED_EXECUTABLES-käytäntötiedostoa, saniteetti on oletuksena POISONED_EXECUTABLES-käytäntöasiakirjasi ZIP-arkiston sisällön käsittelylle. Tämä on todennäköisesti paranoidisempi kuin haluat. Lisätietoja on Sanitizer-sivun määrittämisessä.


TÄRKEÄ ILMOITUS:

Jos olet ladannut ja käytät 1.139 saniteettia, tässä on korjaustiedosto, jotta se ei huomioisi NovArg / MyDoom Received: n otsikoita ja lopettaa ilmoittamasta olemassa olevia lähettäjän osoitteita hyökkäyksestä. Ole hyvä ja käytä tätä korjaustiedostoa saniteettilaitteeseesi alla olevien ohjeiden avulla ja vähennä hullun liikennemäärää, jonka hirviö synnyttää …

[HTTP-peili 1 (Yhdysvallat: WA) | HTTP-peili 2 (Yhdysvallat: FL) | HTTP-peili 3 (EU: NO) | HTTP-peili 4 (EU: NL) | HTTP-peili 5 (AU) | HTTP-peili 6 (AU) | HTTP-peili 7 (Yhdysvallat: WA)]

Asennusohjeet:

Kopioi .diff-tiedosto hakemistoon, jossa saniteettisi asuu ja suorittaa seuraavat komennot:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff

1.139 Sanitizer sisältää Microsoft Office VBE -puskurin ylivuoto-hyökkäysten havaitsemisen. Katso lisätietoja EEye-ilmoituksesta.

SoBig.F: n säännöt suorille hyökkäyksille ja päinvastoin ovat paikallisen sääntöjen tiedostona nyt.

Katso esimerkki paikallisohjaustiedostosta sääntöä varten, jonka pitäisi tunnistaa ja karanteeniin viestejä, jotka on suunniteltu hyökkäämään Sendmail-otsikkoa käsittelevään kauko-root-virheeseen. TÄRKEÄÄ: Tämä sääntö EI suojaa laitetta, johon se on asennettu. Sinun on edelleen päivitettävä sendmail. Se voi kuitenkin suojata haavoittuvia koneita sen koneen takana, jolle on aikaa päivittää.

Jos saat virheitä, kuten “sendmail: lainvastainen vaihtoehto – U”, katso määrityssivua sen korjaamiseksi.

Jos näyttöön tulee “Poistunut F” -ongelma (jossa viestin “From” johtava “F” poistetaan), huomioi: tämä on tunnettu ongelma procmailissa. Se voidaan korjata nykyisessä versiossa, jonka haluat päivittää. Ongelma ilmenee, kun suodatustoiminto palauttaa virheen. Tällöin procmail voi menettää viestin ensimmäisen tavun. VARMISTA, että lokitiedostosi on 622 käyttöoikeutta. Tässä on myös lyhyt sääntö, joka auttaa puhdistamaan sen, lisää se/etc/procmailrc -tiedoston loppuun.

(Suunnittelu) 2,0-saniteetin kehittäminen on alkanut. Suunniteltu ominaisuusluettelo näyttää tältä:

  • Politiikkatiedostoon perustuva liitteiden käsittely ($ MANGLE_EXTENSIONS poistuu)
  • Kansainvälistymistuki GNU gettextin kautta tai jotain vastaavaa
  • Koodattujen tiedostonimien asianmukainen käsittely
  • Kohdista otsikon pituus ja HTML-defragointikoodi tärkeimpään perl-skriptiin, minimoi perl-prosessin alustus
  • Perl-skripti erotetaan (ei enää linjassa)
  • Siirtyminen mimencode ja mktemp MIME :: Base64 ja File :: MkTemp
  • Kirjautuu itse viestiin (lisäämällä uusi MIME-tekstin liite, jossa luetellaan, mitä tapahtui sanituksen aikana) ja kyky lisätä sivustokohtaisia muistitiedostoja
  • Peeringin MS-TNEF-liitteisiin. Toivottavasti saan täyden politiikan ja makron skannauksen tuen, mutta käytäntöä on todennäköisesti sovellettava Toto-MS-TNEF-liitetiedostossa (esim. Jos osa siitä on poistettu, koko asia irrotetaan).
  • Valinnainen tekstin ja HTML-liitteiden poistaminen BASE64: stä, jotta ne voivat joutua roskapostin suodattamiseen saniteettisuojan jälkeen.

Beta-ilmoitukset lähetetään postituslistalle.

Tekijä voi ottaa yhteyttä osoitteeseen <jhardin@impsec.org> – voit myös käydä hänen kotisivullansa.

Useat ihmiset ovat pyytäneet minulta, miksi en veloita tästä paketista. Tämä johtuu ennen kaikkea siitä, että en usko, että joku olisi joutunut alttiiksi näille hyökkäyksille pelkästään siksi, että he eivät halua tai eivät ole varaa ostaa jotain suojellakseen itseään, mutta se liittyy myös Tosiasia, että katson tätä mielenkiintoisena henkisenä haasteena, keinona saada tunnustusta ja tapa palauttaa yhteisö.
Jos kuitenkin haluat maksaa siitä, että saat jotain arvokasta, joka on parantanut elämääsi, voit käydä henkilökohtaisessa toivelistallani tai Amazon-toivelistani tai lähettää minulle lahjoituksen PayPalin kautta ja valittaa siitä, että kukaan ei ole tehnyt TequilaPalia vielä.


Paras katseltu minkä tahansa selaimen avulla

$ Id: procmail-security.html, v 1.211 2017-04-14 11:44: 55-07 jhardin Exp jhardin $
Sisältö Copyright (C) 1998-2017 John D. Hardin – Kaikki oikeudet pidätetään. Käännös kannustetaan, ilmoittakaa minulle, jotta voin lähettää linkkejä pääkohdasta.
Ensisijainen Sanitizer-kotisivu on osoitteessa http://www.impsec.org/email-tools/procmail-security.html

… toimistoni on minun kellarissa …

 

Comments are closed, but trackbacks and pingbacks are open.