Qmail-Scanner est un add-on qui permet à un serveur de messagerie Qmail pour numériser email par passerelle pour certaines caractéristiques (ie un scanner de contenu). Il est généralement utilisé pour ses propriétés anti-virus et les fonctions de protection anti-spam, auquel cas il est utilisé en conjonction avec les scanners externes.
Qmail-Scanner application permet également un site (un / niveau du site du serveur) pour créer des "blocs politiques":-à-dire réagir à l'email qui contient des chaînes spécifiques dans les en-têtes particuliers ou particuliers noms de fixation ou de types (par exemple * .VBS pièces jointes).
Ses caractéristiques d'archives aide les FAI et les sociétés partout dans le monde avec la législation nouvelle ou en cours, et les exigences réglementaires. Il permet d'archiver tous les messages traités dans un maildir archive. Ceci est idéal pour des fins de sauvegarde pour des raisons de stratégie d'audit. Contrairement à certaines solutions de serveurs Windows, les en-têtes de l'enveloppe de courrier (le «RCPT TO:" et "MAIL FROM:" têtes) sont conservés intacts - annexée au bas de chaque message - confirmant véritables adresses d'expéditeur et de destination.
Archivage prend également en charge le filtrage à un sous-ensemble d'adresses (par exemple archives seulement "support@domain.name" e-mails à la place de tous). En outre, les résumés seule ligne vastes générés pour chaque message par Qmail-Scanner peut être suffisant pour les entreprises à respecter leurs obligations - au lieu de plus de disque intensive archivage complet. Comme d'habitude, communiquez avec un avocat pour les définitions appropriées.
Qmail-Scanner est intégré dans le serveur de messagerie à un niveau inférieur à celui des autres scanners de virus basés sur Unix, résultant en une couverture plus approfondie. Il est capable de balayage non seulement envoyés / reçus courrier électronique, courriel, mais aussi qui traverse le serveur dans une capacité de relais localement. Qmail-Scanner exploite également la richesse de méta-informations fournies par Qmail (telles que l'adresse IP du client, et si oui ou non le client est autorisé à relayer).
Voici quelques caractéristiques principales de "Qmail Scanner":
· Prise en charge presque tous les scanners commerciaux (Unix) de virus ainsi que le scanner Open Source ClamAV toujours populaire.
· Possibilité d'appeler plus d'un scanner de virus pour chaque message électronique
· A son propre scanner interne qui peut être utilisé pour l'application de la politique, ou de mettre en quarantaine les virus que votre AV ne peut pas actuellement détecter
· Le scanner interne peut également être utilisé pour la quarantaine email fonction des types de fixation, ou par courriel à certaines têtes d'email ... devons cesser de fichiers * .mp3 ou "Subject: ILOVEYOU" email monter ou descendre votre réseau local - peut faire! :-)
· Le scanner interne peut déclencher une action "liste grise" au lieu d'une mise en quarantaine. Il est conçu pour les situations d'urgence où votre AV actuel et blocs politiques statiques ne sont pas appropriées. par exemple un nouveau virus basé ZIP sort avec les noms de fichiers aléatoires. Votre AV ne peut pas le détecter, et vous ne pouvez pas bloquer globalement fichiers ZIP sans blesser les utilisateurs valides. Une action "liste grise" provoquera Qmail-Scanner pour sortir avec une défaillance temporaire SMTP au lieu de livrer le message. Emails valides seront simplement requeued et peuvent circuler à travers plus tard une fois que votre AV peut détecter le virus, et vous décidez de supprimer la politique de la liste grise.
· Scans de moteur interne pour les messages mal formatés qui sont connus pour être utilisés par les chevaux de Troie / virii pour infecter les clients. En tant que tel, cela est indépendant de tout scanner de virus, et peut fonctionner avec succès contre de futures Virii / chevaux de Troie. Ces messages sont mis en quarantaine immédiatement. Connu pour bloquer tels virii majeure que Klez et Aliz, et comme un effet secondaire, arrête une bonne quantité de pourriels! chèques de format comprennent:
· Cassés têtes de continuation MIME
· Utilisation des commentaires dans les en-têtes standard (par exemple "Content-T (xxxxxx) ype:" * est identique à * "Content-Type:" selon les RFC - mais une certaine utilisation virii ce qu'elle contourne certains scanners anti-virus). Utilisation Valid de ce est jamais vu dans la nature - il est donc bloqué
· Occurrences répétées de têtes MIME rend QS renommer les derniers ceux de les annuler
· Limites MIME plus de 250 caractères sont bloqués
· Différentes définitions d'un attachement nom de fichier particulière l'amène à être bloqué
· Double définition de la même frontière de MIME est bloqué
· Certains types MIME contenant fenêtres extensions exécutables sont bloqués de manière spécifique (par exemple un "audio / wav" du nom de fichier "wav.exe" ne pouvait être un virus)
· Têtes cassées dans une pièce jointe MIME sont bloqués
· Fenêtres des pièces jointes exécutables qui ne sont pas marqués comme étant de type MIME "application / ....." sont bloquées (par exemple renommer notepade.exe à notepade.gif et l'envoi en pièce jointe GIF seraient mis en quarantaine, comme Qmail-Scanner rendrait compte qu'il est un exécutable semblant d'être autre chose).
· Les noms de fichiers de plus de 256 caractères fixation sont bloqués
· Certains noms de fichiers à deux coups sont bloquées (par exemple file.gif.exe). Il essaie de ne pas bloquer les variantes erreur commune
· Extensions de fichier CLSID sont bloqués
· Fichiers zip protégés par mot peut être bloquée si vous le souhaitez. Cela empêcherait tout virus futurs en peluche à l'intérieur des fichiers zip protégé par mot de passer à travers, mais bien sûr aussi cesser toute utilisation légitime. Désactivée par défaut, mais peut-être utile pour allumer lors d'une nouvelle épidémie, et éteint à nouveau une fois une mise à jour de AV produit qui peut l'attraper.
· Par défaut à toujours courir aucun AV vous pourriez avoir plus de messages d'abord, puis qui lance le scanner interne chèques (Politique / perlscan). Cela signifie que si vous bloquez les fichiers .pif "" en raison de leur contenant normalement virus, puis tous les fichiers .pif qui ne contiennent un virus connu à votre système AV sera signalé comme «virus», et tout qui ont été manqués (peut-être qu'ils étiez virus-Zero Day) sont alors étiqueté comme étant bloquées par «politique». Cette différenciation est ensuite utilisé par le système d'alerte. Il est par défaut de ne pas avertir l'expéditeur qu'un virus a été trouvé, mais peuvent encore notifier eux quand il était un bloc de «politique».
· E-mails en quarantaine trouve à contrevenir aux sous-systèmes ci-dessus. Les virus sont mis en quarantaine dans un maildir virus nommé "/", la politique des blocs dans "politique" et / (potentiellement) SPAM haute-classé en "Spam /"
· Pouvons intégrer avec SpamAssassin pour fournir complète anti-spam marquage pour un site entier. Typiquement utilise également inclut l'utilisation de Qmail-Scanner comme un "front end" pour les serveurs de messagerie de l'entreprise tels que Notes et Exchange. Qmail-Scanner fait tout le sale boulot - (espérons-le) ne laissant rien mais le courrier propre pour le backend :-)
· Auto-détecte email à partir d'adresses -style "postmaster" et de listes de diffusion - et ne pas envoyer de rapports d'alerte de virus à eux (c.-à-tente d'agir davantage comme un citoyen responsable net)
· En raison du fait que plus de 99,9% de tous les virus véhiculées par les mails sont maintenant envoyée en utilisant les informations d'expéditeur forgé, par défaut QS pour ne pas avoir alerté l'expéditeur que le message a été mis en quarantaine, sauf si elle était due à un / bloc Perlscan politique. Cela peut être retourné au style «vieux» en utilisant «l'expéditeur --notify" au lieu de la nouvelle défaut de "psender --notify" (soit seulement informer l'expéditeur pour les blocs politiques)
· Sait de l'virii qui forge l'De-têtes - de sorte que le virus semble provenir d'un pauvre innocent. Qmail-Scanner ne sera pas envoyer des alertes à l'expéditeur pour ces types de virii. Comme la valeur par défaut est de ne pas aviser de toute façon, cela ne prend que vraiment effet si vous utilisez l'option "expéditeur --notify".
· Chaque message est marqué par une nouvelle tête Received: un rapport du virus montre si elle est propre ou non et de scanner de virus numéros de version / etc
· [Désactivé par défaut] Les messages classés comme "SPAM grave" par l'option "--sa-quarantaine" (ayant essentiellement un score très élevé de SA) sera mis en quarantaine au loin dans un dossier de courrier "maildir" (./spam/). Cette séparation en son propre maildir permet aux sites à venir avec leurs propres méthodes de manipulation de faux positifs. Cependant ...
· L'option de nettoyage "z" va supprimer des messages dans les sous-dossiers de quarantaine plus de 14 jours - pour garantir qu'il ne soit pas trop grande. Si vous souhaitez les conserver plus longtemps, il vous suffit de script quelque chose pour les sortir tous les jours pour un autre répertoire / maildir. Il ya un script de logrotate dans le répertoire contrib pour automatiser ce (pour les systèmes qui peuvent l'utiliser - comme Redhat / CentOS)
· La possibilité d'ajouter un en-tête descriptif: X-Qmail-Scanner pour chaque e-mail qui passe à travers le système pour permettre aux utilisateurs de voir qu'un scanneur a écrasé leurs messages.
· Les messages interceptés par Qmail-Scanner génèrent un message électronique (soutient actuellement anglais, français, afrikaans, polonais, tchèques, messages Suédois Italien allemand, espagnol, turc, lituanien, français, portugais, néerlandais et chinois) à une combinaison configurable de l'expéditeur , les bénéficiaires et une adresse "quarantaine-admin» expliquant pourquoi leur message a été bloqué.
· Peut archiver certains ou tous les messages traités (qui n'a pas été mis en quarantaine) dans un maildir d'archives. Utile lors du débogage des applications par messagerie électronique, à des fins de sauvegarde, et pour des raisons de stratégie d'audit. Actuellement, les en-têtes de l'enveloppe de courrier (le «RCPT TO:" et "MAIL FROM:" têtes) sont ajoutés au bas de chaque message. Cette option prend en charge étant appelé avec une expression régulière que dans ce cas, enveloppe-têtes qui correspondent à l'expression sont archivés (par exemple, peut archiver "(Support | Ventes) @ domain.name" à la place de tous les courriels)
· Rapports via syslog ou à un fichier, une description d'une ligne de chaque message traité, donnant des informations détaillées telles que ligne d'objet, les noms de fichiers de fixation, tailles, etc.
· Balayage redondant. Non seulement elle déballer chaque message avant d'exécuter les scanners plus, il peut également numériser l'e-mail message original «brute» ainsi que les composants non emballés (par exemple, si vous pensez que d'un scanner particulier a une meilleure analyse MIME interne que Qmail-scanner)
· Rapports: dans le répertoire contrib il ya qs2mrtg.pl. Un script perl pour surveiller vos fichiers syslog pour les enregistrements qmail-scanner. Il graphes alors comment Qmail-Scanner est en train de traiter vos e-mails. Il crée différents graphiques pour entrant vs courrier sortant, ainsi que le flux de spam et les virus.
Exigences:
· Netqmail 1,05 (ou qmail-1.03 avec des taches)
· Créer un compte distinct sous lequel exécuter Qmail-Scanner: défaut nom d'utilisateur et nom de groupe "qscand". Pour plus de sécurité, créer avec un répertoire d'accueil normale (par exemple "/ home / qscand"), mais avec une coque "faux" (par exemple "/ bin / false") - comme il n'a jamais connecté à directement.
· Reformime de Maildrop 1.3.8+
· Perl 5.005_03 +
· Perl module Time :: HiRes
· Module Perl DB_File (la plupart des distributions viennent avec elle pré-installé, bien que la dernière Perl ne fait pas)
· Module Perl Sys :: Syslog (la plupart des distributions viennent avec elle pré-installé)
· Module Perl MIME :: Base64 (la plupart des distributions viennent avec elle pré-installé)
· En option: TNEF la unpacker de Mark Simpson. Peut décoder ces attachements ennuyeux MS-TNEF MIME que les serveurs de messagerie Microsoft aiment juste à utiliser. Si vous ne disposez pas de cela, il ya plusieurs classes de courriel que Qmail-Scanner sera fondamentalement pas être en mesure d'extraire les pièces jointes. Cependant, votre AV pourrait très bien être en mesure de les gérer
· En option: uudecode (partie de sharutils sur les systèmes Redhat style)
· En option: décompressez
Ce qui est nouveau dans cette version:.
- Quelques bugs mineurs ont été corrigés
- Les nouvelles fonctionnalités comprennent le soutien de DLP et Team Cymru Malware Hash support d'enregistrement.
Commentaires non trouvées