Friday

Amélioration de la sécurité du courrier électronique avec Procmail

l'assainisseur d'e-mail

Accueil


Bienvenue sur la page d'accueil de l'Email Sanitizer. Le désinfectant est un outil de prévention des attaques sur la sécurité de votre ordinateur via des messages électroniques. Il s'est avéré très efficace contre les mots de Microsoft Outlook qui ont attiré tant d'attention dans la presse populaire et qui ont causé tant de problèmes.

L'auditoire visé par l'assainisseur est les administrateurs des systèmes de messagerie. Il est généralement impossible d'utiliser un logiciel de messagerie pour récupérer les messages d'un serveur de messagerie administré par quelqu'un 'autre.

Si vous êtes ici parce que vous avez reçu un message indiquant qu'un courrier que vous avez envoyé a été rejeté, ou parce que l'adresse URL de ce site Web apparaît dans un courrier que vous avez reçu, ou parce que vous vous demandez pourquoi votre e-mail les pièces jointes sont soudainement nommées DEFANGED, veuillez lire cette introduction au Sanitizer - cela devrait répondre à vos questions. Faites-moi savoir si ce n'est pas le cas.

Veuillez noter que le désinfectant n'est PAS un scanner de virus traditionnel. Il ne s'appuie pas sur des «signatures» pour détecter les attaques et ne possède pas les problèmes de «fenêtre de vulnérabilité» que la sécurité basée sur les signatures a toujours; Les macros dans les pièces jointes Microsoft Office ne doivent pas accéder au registre Windows et les messages électroniques ne doivent pas contenir de pièces jointes exécutables Windows. Les messages qui ne respectent pas ces règles doivent être mis en quarantaine.



Index du site:



Filtrage des e-mails pour la sécurité

Procmail est un programme qui traite les messages électroniques à la recherche d'informations particulières dans les en-têtes ou le corps de chaque message, et prend des mesures en fonction de ce qu'il trouve. Si vous connaissez le concept de "règles" tel qu'il est fourni dans de nombreux clients de messagerie utilisateur importants (tels que le client cc: Mail), vous connaissez déjà le concept de traiter automatiquement les messages électroniques en fonction de leur contenu.

Cette combinaison de règles de procmail et de scripts Perl est spécialement conçue pour «désinfecter» votre courrier électronique sur le serveur de messagerie, avant même que vos utilisateurs tentent de récupérer leurs messages. Il n'est pas destiné aux utilisateurs finaux à installer sur leurs systèmes de bureau Windows à des fins de protection personnelle.


Nouvelles et notes

Il est recommandé de mettre à jour votre copie si votre version est plus ancienne, car des corrections de bogues et un filtrage pour les plus récents exploits auront été ajoutés. Voir l'historique des changements pour plus de détails.

J'ai continué à utiliser le Sanitizer en production, même si le développement s'est beaucoup calmé au cours des dernières années et est principalement motivé par mes besoins plutôt que par les demandes des utilisateurs. Il est toujours utile et bloque toujours la tentative de distribution de logiciels malveillants, même pour les exploits que les analyseurs de virus ne détectent pas encore. Cependant, je n'ai pas tenu le site à jour, alors je le fais maintenant. Je suggère que si vous utilisez toujours le Sanitizer vous jetez un oeil à la version de développement (1.152pre8) pour les changements et améliorations en cours, notamment la mise à jour du scanner de macros Office pour les logiciels malveillants téléchargés.



Il y a une vulnérabilité de dépassement de tampon dans la bibliothèque zipfile DUNZIP32.dll utilisé par de nombreux programmes commerciaux, y compris Lotus Notes et Real Audio Player. Exploits pour cette vulnérabilité sont dans la nature. Si vous utilisez Notes ou un autre logiciel qui gère les archives ZIP, contactez votre fournisseur pour savoir si une mise à jour est disponible.
Pour tenter d'atténuer cette vulnérabilité, la version de développement du désinfectant a implémenté des contrôles de longueur de nom de fichier sur les noms de fichiers archivés. Si vous ne souhaitez pas essayer l'instantané de développement, un correctif qui ajoute les tests de longueur de fichier zippé à l'analyse ZIP existante est disponible. C'est contre 1.151 mais il devrait fonctionner sur n'importe quelle version qui a l'analyse de ZIP.

Il y a un petit correctif pour les versions 1.151 et antérieures cela dénonce une méthode d'obscurcissement de javascript embarqué. Pour appliquer le correctif, enregistrez le correctif dans le répertoire où votre désinfectant est enregistré (généralement / etc / procmail) et exécutez la commande suivante:

        patch --backup <obfuscated_javascript.patch

Ce sera dans la prochaine version stable.

Les listes de diffusion esa-l et esd-l ont été restaurées et sont maintenant hébergées par impsec.org. Merci à Michael Ghens pour son généreux accueil des listes pendant cinq ans!

Il y a un annonces liste de diffusion pour les problèmes de sécurité de messagerie. Il portera principalement des informations sur les nouveaux exploits et les mises à jour du désinfectant. Pour vous abonner, envoyez un message avec le sujet "subscribe" à esa-l-request@impsec.org. Ceci est une liste fortement modérée pour les annonces seulement, pas de discussion générale.

Si vous voulez rejoindre le liste de diffusion de discussion de désinfectant, envoyer un message avec le sujet "subscribe" à esd-l-request@impsec.org. Ceci est une liste réservée aux membres. pour y poster, vous devez vous joindre. Il y a aussi une archive de messages disponibles.

1.142 corrige un bogue mineur dans 1.141 qui rend la recherche de nom de fichier zipfile trop gourmande.

1.141 permet maintenant l'analyse du contenu de l'archive ZIP. AVIS: si vous ne spécifiez pas explicitement un fichier de politique ZIPPED_EXECUTABLES, le désinfectant utilisera par défaut votre fichier de politique POISONED_EXECUTABLES pour traiter le contenu de l'archive ZIP. C'est probablement plus paranoïaque que vous ne le souhaitez. Voir le Configuration du désinfectant page pour plus de détails.


AVIS IMPORTANT:

Si vous avez téléchargé et utilisez le désinfectant 1.139, voici un correctif pour lui faire ignorer la partie contrefaite des en-têtes NovArg / MyDoom Received: et arrêter de notifier les adresses inexistantes de l'expéditeur à propos de l'attaque. Veuillez appliquer ce patch à votre désinfectant en suivant les instructions ci-dessous et aider à réduire la quantité de trafic que ce monstre génère ...

[HTTP Mirror 1 (États-Unis: WA) | HTTP Mirror 2 (États-Unis: FL) | HTTP Mirror 3 (UE: NON) | HTTP Mirror 4 (UE: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (États-Unis: WA)]

Instructions d'installation:

Copiez le fichier .diff dans le répertoire où réside votre désinfectant et exécutez les commandes suivantes:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff


Le 1.139 Sanitizer inclut la détection des attaques de dépassement de tampon de Microsoft Office VBE. Voir l'alerte oculaire pour plus de détails.

Règles SoBig.F pour les attaques directes et les rebonds sont en l'exemple de fichier de règles locales
à présent.

S'il te plait regarde l'exemple de fichier de règles locales pour une règle qui devrait détecter et mettre en quarantaine les messages destinés à attaquer le En-tête Sendmail analysant le bug de la racine distante. IMPORTANT: Cette règle ne protège PAS la machine sur laquelle elle est installée. Vous devez toujours mettre à jour votre sendmail. Il peut, cependant, protéger les machines vulnérables derrière la machine sur laquelle il s'exécute, vous donnant le temps de les mettre à jour.

Si vous obtenez des erreurs comme "sendmail: option illégale - U" voir la page de configuration pour savoir comment le réparer.

Si vous rencontrez le problème "Dropped F" (où le "F" dans le premier "De" dans le message est supprimé), s'il vous plaît noter: c'est un problème connu dans procmail. Il peut être résolu dans la version actuelle, vous pouvez vouloir mettre à jour. Le problème se produit lorsqu'une action de filtre renvoie une erreur. Dans cette situation, procmail peut perdre le premier octet du message. ASSUREZ-VOUS que votre fichier journal dispose de 622 autorisations. Aussi, voici une courte règle qui aidera à le nettoyer, ajoutez-le à la fin de votre fichier / etc / procmailrc.

(Planification pour) développement du désinfectant 2.0 a commencé. La liste des fonctionnalités prévues ressemble à ceci:


  • Gestion des pièces jointes basée sur les règles ($ MANGLE_EXTENSIONS disparaît)
  • Prise en charge de l'internationalisation via GNU gettext ou similaire
  • Gestion correcte des noms de fichiers codés
  • Pliage de la longueur de l'en-tête et du code HTML dans le script perl principal, pour minimiser les initialisations du processus Perl
  • Le script perl sera séparé (plus en ligne)
  • Passer de mimencode et mktemp à MIME :: Base64 et File :: MkTemp
  • Connexion au message lui-même (ajout d'une nouvelle pièce jointe MIME indiquant ce qui s'est passé pendant la désinfection) avec la possibilité d'ajouter des fichiers de notes spécifiques au site
  • Peering dans les pièces jointes MS-TNEF. J'espère avoir un support complet de la politique et de l'analyse des macros, mais la politique devra probablement être appliquée à la pièce jointe MS-TNEF dans son intégralité (par exemple, si une partie de celle-ci doit être effacée).
  • De-BASE64ing facultatif des pièces jointes de texte et de HTML, de sorte qu'ils puissent être soumis au filtrage de Spam après le désinfectant.

Des annonces bêta seront faites sur la liste de diffusion.

Je peux être contacté à <jhardin@impsec.org> - vous pourriez aussi visitez ma page d'accueil.

Plusieurs personnes m'ont demandé pourquoi je ne facturais pas pour ce forfait. Je suppose que cela est principalement dû au fait que je ne pense pas que quiconque devrait être exposé à ces attaques simplement parce qu'il ne veut pas ou ne peut pas se permettre d'acheter quelque chose pour se protéger, mais cela a aussi à voir avec le Je considère cela comme un défi intellectuel intéressant, un moyen d'être reconnu et un moyen de redonner à la communauté.
Cependant, si vous avez envie de payer pour recevoir quelque chose de valeur qui a amélioré votre vie, alors n'hésitez pas à visitez ma liste de souhaits personnelle ou ma liste de souhaits Amazon, ou envoyez-moi un don via PayPal et déplorez que personne n'a encore fait de TequilaPal.



Created with vi   Meilleure visualisation avec n'importe quel navigateur


$ Id: procmail-security.html, v 1.214 2017-06-11 11: 32: 21-07 jhardin Exp jhardin $
Sommaire Copyright (C) 1998-2017 par John D. Hardin - Tous droits réservés. Traduction encouragée, s'il vous plaît informez-moi afin que je puisse poster des liens depuis le site principal.
La page d'accueil principale Sanitizer est à http://www.impsec.org/email-tools/procmail-security.html

 
... mon bureau est dans mon sous-sol ...

Portion OC out: lien scientologie gratuit Plus linktivisme: Rob Enderle Jihad Watch


Article original sur l'anglais: http://www.impsec.org/email-tools/procmail-security.html





No comments:

Post a Comment