Перейти до змісту

Фільтрація прикріплених файлів на поштовику


AgentSmith13

Рекомендовані повідомлення

Опубліковано

Проблема - є поштовик, включено все, що тільки можна в плані фільтрації небажаних прикріплених до листів файлів - amavis, Clam з базами foxhole, header_checks Постфікса і т.д.

Засада в наступному - Клам не вміє перевіряти tar архіви, а Постфікс, скотиняка така - НЕ ріже по header_checks файл, якщо він названий кирилицею. Вірус приходить саме так - з назвою на зразок форма экспорт.tar або Документи_Логос-Спорт_Rar.tar

При відправці tar як з файлом .js всередині (для перевірки взятий і з справжнього вірусного листа, і "самокльоп" з банальними трьома одиничками всередині, аби розширення було), так і просто "нешкідливого", без вірусу, названого латиницею, ріже його, як має бути, з відповіддю message content rejected, і навіть не дає нічого відправити, кирилиця - йде без проблем. Тобто, не відпрацьовує по кирилиуі саме Постфікс.

Архів, названий хоч латиницею, хоч кирилицею так само з .js всередині, але вже у форматі 7z, rar чи zip - не доходить нікуди вже з відповіддю від сервака (антивіруса)

BANNED CONTENTS ALERT

Our content checker found
 banned name: .asc,?????_1.js

При відключенні правила блокувати tar у header_checks Постфікса - тар з вірусом йде і кирилицею, і латиницею. Тобто клам ТАР не перевіряє.

Нагуглити, як  - не зміг.

Як примусити або Клам/амавіс перевіряти таки tar чи просто без перевірки їх пускати під ніж, або Постфікс перевіряти розширення і реджектити файли, названі кирилицею? Бо після налаштування вищеописаного захисту ЖОДНОГО листа з шифрувальником, крім тих ТАРів, не бачив (а слали свого часу навіть в ISO з автозапуском скрипта, в надії на встановлений ДемонТулс чи Алкоголь у жертви, про прості архіви і тупо js прямо в листі - мовчу...), хотілося б придушити остаточно, а то приходить воно рідко, але "геній", що його відкриє, таки знайдеться колись. Та й не хотілося б, щоб з якогось компа з однією з 600+ скриньок, десь далеко в районі зараженого вірусом, йшла розсилка вже через наш сервер.

Фільтрувати по домену - безрезультатно - ru все в мене тотально закрите на прийом і відправку, так ці сцуки шлють з реальних електронок українських і не дуже фірм і держустанов навіть, і щоразу, навіть з однаковою темою, адреса нова. Навіть з японських і т.д. адрес колись лист бачив.

Опубліковано

Проблема вирішена - списався з розробником додаткових баз даних для Клам - http://sanesecurity.com/foxhole-databases/

, і він додав блокування архівів тар в foxhole_mail.cdb.

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



×
×
  • Створити...