Qmail-Scanner is een add-on die het mogelijk maakt een Qmail e-mailserver te gatewayed email voor bepaalde kenmerken (dwz een inhoud scanner) te scannen. Het wordt meestal gebruikt voor de anti-virus en anti-spam beschermingsfuncties, waarbij het wordt gebruikt in combinatie met externe scanners.
Qmail-scanner applicatie maakt het ook mogelijk een site (op een server / site-niveau) op "Beleid blokken" te maken: dwz reageren op e-mail die specifieke strings in het bijzonder headers, of bepaalde bijlage bestandsnamen of types bevat (bijv * .VBS bijlagen).
De archivering functies helpt ISPs en bedrijven over de hele wereld met nieuwe of hangende wetgeving en regelgeving. Het kan alle verwerkte e-mail te archiveren in een archief maildir. Dit is ideaal voor back-up doeleinden controlebeleid redenen. In tegenstelling tot bepaalde Windows-gebaseerde server-oplossingen, de e-mail enveloppe headers (de "rcpt aan:" en "e-mail van:" headers) worden intact gehouden - toegevoegd aan de onderkant van elk bericht - bevestigt ware afzender en bestemmingsadressen.
Archivering ondersteunt ook filteren om een subset van adressen (bv alleen archive "support@domain.name" e-mails in plaats van alle). Bovendien kan de uitgebreide single-lijn samenvattingen gegenereerd voor elk bericht door Qmail-Scanner genoeg zijn voor bedrijven voldoen aan hun verplichtingen - in plaats van de meer disk-intensieve volledige archivering. Zoals gebruikelijk, contact opnemen met een advocaat voor een goede definities.
Qmail-scanner is geïntegreerd in de mailserver op een lager niveau dan andere Unix-gebaseerde virus scanners, waardoor grondiger dekking. Het is geschikt voor het scannen niet alleen lokaal verzonden / ontvangen email, maar ook dat de email server een relais capaciteit overschrijdt. Qmail-scanner maakt gebruik ook de rijkdom van de meta-informatie van Qmail (zoals client IP-adres, en of de klant mag aflossen).
Hier zijn een aantal belangrijke eigenschappen van "Qmail Scanner":
· Ondersteunt bijna alle commerciële (Unix) virus scanners, evenals de immer populaire open source ClamAV scanner.
· Kan noemen meer dan een virusscanner voor elke e-mailbericht
· Heeft een eigen interne scanner die kan worden gebruikt voor het beleid handhaving, of virussen die uw AV kan momenteel niet detecteren quarantaine
· De interne scanner kan ook worden gebruikt om e-mail in quarantaine op basis van typen bijlagen, of e-mail met bepaalde e-mail headers ... Behoefte om te stoppen * .mp3 bestanden of "Onderwerp: ILOVEYOU" e-mail op en af van uw netwerk - kan doen! :-)
· De interne scanner kan een 'greylist "actie in plaats van een quarantaine veroorzaken. Dit is bedoeld voor noodsituaties waarin uw huidige AV en statische Beleid blokken zijn niet geschikt. bijv. een nieuw ZIP-gebaseerde virus komt met willekeurige bestandsnamen. Uw AV kan niet detecteren, en je kunt de hele wereld niet ZIP-bestanden blokkeren zonder pijn geldig gebruikers. A "greylist" actie zal leiden tot Qmail-scanner om af te sluiten met een SMTP tijdelijke storing in plaats van het leveren van het bericht. Geldig e-mails zullen gewoon worden requeued en kan stromen door later zodra uw AV kan het virus op te sporen, en u besluit om de greylist beleid verwijderen.
· Interne motor scans voor slecht geformatteerde berichten die bekend zijn om te worden gebruikt door trojans / virii aan klanten te infecteren. Als zodanig, dit is onafhankelijk van een virus scanner, en kan succesvol te opereren tegen toekomstige virii / trojans. Dergelijke berichten worden onmiddellijk in quarantaine geplaatst. Bekend om dergelijke grote virii als Klez en Aliz blokkeren, en als neveneffect, stopt een behoorlijke hoeveelheid spam ook! Formaat controles zijn onder meer:
· Gebroken MIME voortzetting headers
· Gebruik van opmerkingen binnen de standaard headers (bijv "Content-T (xxxxxx) Ype:" is * * identiek aan "Content-Type:" volgens de RFC's - maar sommige virii gebruik dit als het omzeilt sommige anti-virus scanners). Geldige gebruik van dit wordt nooit in het wild gezien - dus het is geblokkeerd
· Herhaalde gevallen van MIME headers maakt QS de naam van de laatste degenen om hen teniet te doen
· MIME grenzen meer dan 250 tekens worden geblokkeerd
· Verschillende definities van een bepaalde bevestiging bestandsnaam zorgt ervoor dat het wordt geblokkeerd
· Dubbel-definiëren dezelfde MIME grens wordt geblokkeerd
· Bepaalde MIME-types met ramen uitvoerbare extensies worden specifiek geblokkeerd (bijvoorbeeld een 'audio / wav "van bestandsnaam" wav.exe "kon alleen een virus)
· Gebroken koppen binnen een MIME-attachment worden geblokkeerd
· Ramen uitvoerbare bijlagen die niet als zijnde van MIME type zijn gemarkeerd "application / ....." zijn geblokkeerd (bijv hernoemen notepade.exe om notepade.gif en op te sturen als een GIF-attachment zou in quarantaine worden geplaatst, zoals Qmail-Scanner zou beseffen dat het een uitvoerbaar voorwenden om iets anders).
· Bevestiging bestandsnamen meer dan 256 tekens worden geblokkeerd
· Sommige dubbelloops bestandsnamen worden geblokkeerd (bijv file.gif.exe). Het probeert veel voorkomende fout varianten niet te blokkeren
· CLSID bestandsextensies worden geblokkeerd
· Een wachtwoord beveiligd zip-bestanden kunnen worden geblokkeerd indien u dat wenst. Dit zou een eventuele toekomstige virussen gevuld in een wachtwoord beveiligd zip-bestanden van het krijgen door te stoppen, maar natuurlijk ook geen legitiem gebruik te stoppen. Standaard uitgeschakeld, maar misschien handig om tijdens een nieuwe uitbraak in te schakelen, en uitgezet weer eens een AV-update plaatsvindt die kunnen vangen.
· Standaard altijd actief alle AV u eerst op berichten hebt, dan loopt de interne scanner (Beleid / perlscan) controles. Dit betekent dat als u "PIF" bestanden te wijten aan hen normaal virussen bevatten blokkeren, dan is elke een.PIF bestanden bevatten een virus bekend om uw AV-systeem zal worden gemarkeerd als "virussen", en iemand die werden gemist (misschien waren ze een Day-Zero virus) worden dan gelabeld als geblokkeerd door "beleid". Dit onderscheid wordt vervolgens gebruikt door het waarschuwingssysteem. Het standaard de afzender die een virus is gevonden niet melden, maar kan ze nog steeds op de hoogte wanneer het een "beleid" block.
· Quarantines emails het vindt om de bovengenoemde subsystemen overtreden. Virussen worden in quarantaine geplaatst in een maildir naam "virussen /", beleid-blokken in "beleid /" en (potentieel) hoog gewaardeerde SPAM in "spam /"
· Kan worden geïntegreerd met SpamAssassin uitgebreide anti-spam tagging voor een hele site. Typisch gebruikt ook omvat met Qmail-Scanner als een "front end" voor Enterprise mailservers zoals Notes en Exchange. Qmail-scanner doet al het vuile werk - (hopelijk) het verlaten van niets maar schoon mail voor de backend :-)
· Auto-detecteert e-mail van "postmaster" -stijl en mailing-lijst adressen - en geen virus alert rapporten sturen naar hen (ie probeert te meer gedragen als een verantwoordelijke burger netto)
· Als gevolg van het feit dat meer dan 99,9% van alle e-mailvirussen nu verzonden met vervalste informatie over de afzender, QS standaard NIET waarschuwen de afzender dat een bericht in quarantaine is geplaatst, tenzij het was te wijten aan een beleid / Perlscan block. Dit kan terug worden gedraaid om de "oude" stijl met behulp van "--notify afzender" in plaats van de nieuwere standaard van "--notify psender" (dwz alleen afzender beleid blokken te melden)
· Kent de virii die vervalsen de Van headers - zodat het virus lijkt te komen uit een arme onschuldige. Qmail-scanner zal geen waarschuwingen te sturen naar de afzender van die soorten virii. Als de standaard is om toch niet te melden, dit duurt pas echt effect als u gebruik maakt van de optie "--notify afzender".
· Elk bericht is gecodeerd via een nieuwe Received: header met een virus rapport waaruit blijkt of het schoon is of niet en virusscanner versienummers / etc
· [Standaard uitgeschakeld] Berichten door de optie "--sa-quarantaine" (in feite met een echt hoge score SA) als "ernstig SPAM" geclassificeerd worden in quarantaine geplaatst uit in een "maildir" mail map (./spam/). Deze scheiding in zijn eigen maildir kunt plaatsen om te komen met hun eigen methoden van de behandeling van valse positieven. Maar ...
· De "-z" cleanup optie zal berichten in de quarantaine submappen die ouder zijn dan 14 dagen verwijderen - om ervoor te zorgen het niet te groot worden. Als u wilt om ze langer te houden, gewoon script iets om ze uit het dagelijks verplaatsen naar een andere directory / maildir. Er is een logrotate script in de contrib directory om dit te automatiseren (voor systemen die kunnen het gebruiken - net als Redhat / CentOS)
· Kan optioneel voeg een beschrijvende header: X-Qmail-scanner om elke e-mail dat door het systeem om gebruikers in staat om te zien dat een scanner over hun boodschappen heeft gelopen.
· Berichten gevangen door Qmail-Scanner genereren van een e-mailbericht (ondersteunt momenteel Engels, Italiaans, Afrikaans, Pools, Zweeds, Tsjechisch, Duits, Spaans, Turks, Litouws, Frans, Portugees, Nederlands en Chinees berichten) om een configureerbare combinatie van de verzender , ontvangers en een "quarantaine-admin" adres uit te leggen waarom hun boodschap werd geblokkeerd.
· Kan archiveren sommige of alle verwerkte e-mail (dat was niet in quarantaine geplaatst) in een archief maildir. Handig bij het oplossen van e-mail gebaseerde apps, voor back-up doeleinden, en controlebeleid redenen. Momenteel is de mail envelop headers (de "RCPT TO" en "post van" headers) worden toegevoegd aan de onderkant van elk bericht. Deze optie ondersteunt wordt genoemd met een reguliere expressie in dat geval alleen envelop headers die overeenkomen met de expressie worden gearchiveerd (bv kunnen archiveren "(support | verkoop) @ domain.name" in plaats van alle e-mail)
· Rapporten via syslog of om een bestand, een eenregelige beschrijving van elke verwerkte bericht, geven uitgebreide informatie zoals onderwerpregel, gehechtheid bestandsnamen, maten, etc.
· Redundant scannen. Niet alleen elk bericht uitpakken voordat u de scanners over het, het kan ook de originele "raw" e-mailbericht als de uitgepakte onderdelen te scannen (dwz als u denkt dat een bepaalde scanner heeft een betere interne MIME parsing dan Qmail-scanner)
· Rapportage: in de contrib directory er qs2mrtg.pl. Een perl script voor het bewaken van uw syslog-bestanden voor qmail-scanner verslagen. Het grafieken hoe Qmail-scanner is het verwerken van uw e-mails. Het creëert verschillende grafieken voor inkomende vs uitgaande e-mail, en de stroom van spam en virussen.
Vereisten:
· Netqmail 1,05 (of qmail-1.03 met patches)
· Maak een aparte rekening waaronder het Qmail-Scanner uitvoeren: standaard gebruikersnaam en groupname "qscand". Voor extra veiligheid, maak het met een normale home directory (bv "/ home / qscand"), maar met een "fake" shell (bijvoorbeeld "/ bin / false") - zoals het is nooit aangemeld bij direct.
· Reformime van Maildrop 1.3.8+
· Perl 5.005_03 +
· Perl module Time :: HiRes
· Perl module DB_File (de meeste distributies met het komen vooraf geïnstalleerd, hoewel de laatste Perl niet)
· Perl module Sys :: Syslog (de meeste distributies met het komen vooraf geïnstalleerd)
· Perl module MIME :: Base64 (de meeste distributies met het komen vooraf geïnstalleerd)
· Optioneel: Mark Simpson TNEF uitpakker. Kan decoderen die vervelende MS-TNEF MIME bijlagen die Microsoft mailservers hou gewoon te gebruiken. Als je dit niet hebt, zijn er verschillende klassen van de e-mail die Qmail-Scanner in principe niet in staat zijn om attachments te halen. Echter, kan uw AV heel goed in staat zijn om ze te behandelen
· Optioneel: uudecode (een deel van sharutils op Redhat-achtige systemen)
· Optioneel: unzip
Wat is nieuw in deze release:.
- Enkele kleine bugs werden vastgesteld
- Nieuwe functies zijn DLP ondersteuning en Team Cymru Malware Hash Registry support.
Reacties niet gevonden