Izboljšanje Varnosti e-pošte s Storitvijo Procmail

E-mail Sanitizer

Domov

Dobrodošli na domačo stran Email Sanitizer. Sanitizer je orodje za preprečevanje napadov na varnost vašega računalnika preko e-poštnih sporočil. Izkazalo se je, da je zelo učinkovito proti e-poštnim črvom Microsoft Outlook, ki je v priljubljenem tisku pridobil toliko pozornosti in ki je povzročil toliko težav.

Namen ciljne skupine Sanitizerja je skrbnik poštnih sistemov. Na splošno ni namenjen končnim uporabnikom, razen če upravljajo svoje lastne poštne sisteme in ne preprosto sporočijo svojemu poštnemu programu, da pridobi sporočila s poštnega strežnika, ki jih upravlja nekdo drug.

Če ste tukaj, ker ste prejeli sporočilo, da je bil del pošte, ki ste ga poslali, zavrnjen ali ker se URL tega spletnega mesta pojavi v prejetem poštnem sporočilu ali ker se sprašujete, zakaj je vaš e-poštni naslov priloge so nenadoma poimenovane DEFANGED, prosimo, preberite ta uvod v Sanitizer – odgovori na vaša vprašanja. Povej mi, če ne.

Upoštevajte, da sanitizer NI tradicionalni virusni skener. Ne opira se na “podpise” za odkrivanje napadov in nima težav s “oknom občutljivosti”, ki jih ima varnost, ki temelji na podpisu; namesto da vam omogoča uveljavljanje pravilnikov, kot so “e-pošta ne bi smela biti skriptirana” in “makri v prilogah dokumenta Microsoft Office ne bi smeli dostopati do registra sistema Windows” in “e-pošta ne bi smela imeti pritrdilnih datotek sistema Windows” in sporočila karantene, ki kršijo te pravilnike.


Kazalo strani:


Filtriranje E-pošte za Varnost

Procmail je program, ki obdela e-poštna sporočila, ki iščejo določene podatke v glavi ali telo vsakega sporočila, in sprejme ukrepe, ki temeljijo na tem, kar najdejo. Če ste seznanjeni s konceptom “pravil”, kot je določeno v številnih glavnih uporabniških poštnih odjemalcih (na primer odjemalec cc: Mail), potem že poznate koncept samodejnega obdelovanja e-poštnih sporočil na podlagi njihove vsebine.

Ta kombinacija procmail ruleset in Perl skript je posebej zasnovana tako, da “ekološki” vaš e-poštni naslov na poštnem strežniku, preden si uporabniki celo poskušajo prenesti svoja sporočila. Končni uporabniki niso namenjeni za namestitev na osebni zaščitni sistem Windows.


Novice in Opombe

Trenutna različica pravilnika html-trap.procmail je: 1.151

Priporočljivo je, da posodobite svojo kopijo, če je vaša različica starejša, ker bodo dodani popravki in filtriranje za novejše izkoriščanje. Za podrobnosti si oglejte zgodovino sprememb.

Še naprej uporabljam Sanitizer v proizvodnji, čeprav se je razvoj zadnjih nekaj let zelo močno umiril in ga večinoma poganjajo moje potrebe in ne zahteve uporabnikov. Še vedno je koristno in še vedno blokira poskuse zlonamerne programske opreme, tudi pri izkoriščanju, ki jih optični skenerji še ne zaznajo. Vendar pa sploh nisem posodabljal spletne strani, zato zdaj delam to. Predlagam, če še vedno uporabljate Sanitizer, ki si ogledate razvojno izdajo (1.152pre8) za stalne spremembe in izboljšave, predvsem posodobitev skenerja Officea za preneseno zlonamerno programsko opremo.


V zbirki zipfile DUNZIP32.dll, ki jo uporabljajo številni komercialni programi, vključno z Lotus Notes in Real Audio Player, je ranljivost prelivnega medpomnilnika. Izkoristki za to ranljivost so IN THE WILD. Če uporabljate Notes ali drugo programsko opremo, ki obravnava ZIP arhive, se obrnite na prodajalca in preverite, ali je na voljo posodobitev.

V poskusu ublažitve te ranljivosti je razvojna različica sanitizera izvajala preverjanje dolžine datotek na arhiviranih imenih datotek. Če ne želite preizkusiti razvojnega posnetka, je na voljo popravek, ki dodaja preskuse dolžine zip-filename do obstoječega ZIP-skeniranja. To je proti 1.151, vendar mora delati na kateri koli izdaji, ki ima skeniranje ZIP.

Obstaja majhen popravek za različice 1.151 in prej, ki definira metodo zajebavanja vgrajenega javascripta. Če želite uporabiti obliž, shranite obliž v imenik, kjer je shranjen sanitizer (običajno /etc/procmail) in zaženite naslednji ukaz:

patch --backup <obfuscated_javascript.patch

To bo v naslednjem stabilnem sprostitvi.

Sezname seznama esa-l in esd-l so bile obnovljene, zdaj pa jih organizira impsec.org. Zahvaljujoč Michaelu Ghensu za njegovo velikodušno gostovanje seznamov za pet let!

Obstaja seznam poštnih sporočil za varnostne e-pošte. Prve bo prenašal podatke o novih izkoriščanjih in posodobitvah sanitizerja. Če želite naročiti, pošljite sporočilo z vsebino “naročite” na naslov esa-l-request@impsec.org. To je močno moderiran seznam samo za obvestila, ne splošna razprava.

Če se želite pridružiti seznamu poštnih seznamov za razpravo, pošljite sporočilo z naslovom »naročite« na esd-l-request@impsec.org. To je samo seznam članov; Če želite objaviti to, se morate pridružiti. Na voljo je tudi arhiv sporočil.

1.142 popravi manjšo napako v 1.141, zaradi česar se zipfile filename ujema s preveč pohlepno.

1.141 zdaj omogoča skeniranje vsebine ZIP arhiva. OBVESTILO: če ne izrecno določite datoteke pravilnika ZIPPED_EXECUTABLES, bo sanitizer privzeto v datoteko pravilnika POISONED_EXECUTABLES za obdelavo vsebine ZIP arhiva. To je verjetno bolj paranoičen, kot si želiš biti. Več informacij najdete na strani Konfiguriranje Sanitizer.


POMEMBNO OBVESTILO:

Če ste prenesli in uporabljate sanitarno črto 1.139, tukaj je popravek, ki bo ignoriral ponarejeni del glavnih elementov NovArg / MyDoom Received: in ustaviti obveščanje o neobstoječih naslovih pošiljateljev o napadu. Prosimo, uporabite ta popravek v sanitizerju z uporabo spodnjih navodil in pomagajte zmanjšati nenavaden znesek prometa, ki ga ta pošast povzroča…

HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) ]

Navodila za namestitev:

Kopirajte datoteko .diff v imenik, v katerem živi vaš sanitizer, in zaženite naslednje ukaze:

cp html-trap.procmail html-trap.procmail.old
patch < smarter-reply.diff

1.139 Sanitizer vključuje odkrivanje napadov prekinitve prenosa vmesnika Microsoft Office VBE. Oglejte si EEye opozorilo za več podrobnosti.

Pravila za direktne napade in odbore SoBig.F so zdaj v vzorčni datoteki lokalnih pravil.

Oglejte si vzorčno datoteko lokalnih pravil za pravilo, ki bi moralo zaznati in omejiti karantene sporočil, namenjenih za napadanje glave Sendmailove glave na oddaljeno root bug. POMEMBNO: to pravilo NE zaščiti naprave, na katerem je nameščena. Še vedno morate posodobiti svoj sendmail. Vendar lahko zaščiti ranljive stroje za stroj, na katerem teče, in jim omogočiti, da jih posodobijo.

Če dobite napake, kot so “sendmail: illegal option -- U“, si oglejte stran s konfiguracijo, kako jo popraviti.

Če imate težave z napako “Dropped F” (kjer je v sporočilu izbrisano sporočilo “F”), upoštevajte: to je znana težava v procmailu. V trenutni izdaji je morda določen, boste morda želeli nadgraditi. Težava se zgodi, ko dejstvo filtra vrne napako. V tem primeru lahko procmail izgubi prvi bajt sporočila. PREVERITE, da ima vaša datoteka dnevnika 622 dovoljenj. Tudi tukaj je kratko pravilo, ki bo pomagalo, da ga očistite, ga dodajte na konec datoteke /etc/procmailrc.

(Načrtovanje za) razvoj sanitizatorja 2.0 se je začelo. Seznam načrtovanih funkcij izgleda podobno temu:

  • Upravljanje priloge na podlagi pravilnika ($ MANGLE_EXTENSIONS izgine)
  • Podpora za internacionalizacijo prek GNU geta ali kaj podobnega
  • Ustrezno ravnanje z kodiranimi datotekami
  • Zlaganje kodne dolžine in HTML-kode v glavno perl skripto, da bi čim bolj zmanjšali inicializacijo procesa perl
  • Perl skript bo ločen (ni več v vrstici)
  • Premikanje iz mimencode in mktemp v MIME::Base64 in File::MkTemp
  • Prijava v samega sporočila (dodajte nov dodatek MIME za besedilo, kaj se je zgodilo med sanitacijo), z možnostjo dodajanja datotek za ugotavljanje lokacije
  • Poskrbite za priloge v MS-TNEF. Upam, da bom imel polno podporo za podporo pri politiki in makro skeniranju, vendar bo politiko verjetno treba uporabiti za prilogo MS-TNEF v toto (npr. Če je treba en del odstraniti, celotna stvar se odstrani).
  • Neobvezno de-BASE64povezovanje besedilnih in HTML prilog, tako da jih lahko po filtriranju podvrže filtriranju neželene vsebine.

Sporočila Beta bodo poslana na poštni seznam.

Lahko me kontaktirate na <jhardin@impsec.org> – obiščete lahko tudi mojo domačo stran.

Nekaj ljudi me je vprašalo, zakaj ne zaračunavam tega paketa. Predvidevam, da je to predvsem posledica dejstva, da ne mislim, da bi bilo treba k tem napadom nikomur izpostaviti preprosto zato, ker ne želijo ali si ne morejo privoščiti kaj kupiti, da bi se zaščitili sami, ampak tudi to dejstvo, da to gledam kot zanimiv intelektualni izziv, način pridobitve priznanja in način, kako se vrniti skupnosti.

Vendar, če se počutite kot plačilo za prejemanje nekaj vrednosti, ki je izboljšalo vaše življenje, se obrnite na svoj osebni seznam želja ali na moj Amazon seznam želja, ali pa mi pošljite donacijo prek PayPal in žalite, da še nihče ni naredil TequilaPal.


Created with vi

$ Id: procmail-security.html, v 1.214 2017-06-11 11: 32: 21-07 jhardin Exp jhardin $
Vsebina Copyright (C) 1998-2017 avtor John D. Hardin – Vse pravice pridržane. Prevajanje spodbuja, prosim, obvestite me, da lahko objavim povezave z glavne strani.
Glavna glavna stran Sanitizer je na http://www.impsec.org/email-tools/procmail-security.html

…moja pisarna je v moji kleti…

Original: https://www.impsec.org/email-tools/procmail-security.html