Qmail-Scanner es un add-on que permite a un servidor de correo Qmail escanear email por puerta de enlace para ciertas características (es decir, un escáner de contenido). Se utiliza típicamente para sus funciones de protección anti-spam anti-virus y, en cuyo caso se utiliza en conjunción con los escáneres externos.
Aplicación del escáner Qmail permite también un sitio (a nivel de servidor / sitio) para crear "bloques Política": es decir, reaccionan a un correo electrónico que contiene cadenas específicas en las cabeceras de particulares, o determinados nombres de archivos adjuntos o tipos (por ejemplo, * .VBS archivos adjuntos).
Sus características de archivos ayuda a los ISPs y las empresas en todo el mundo con la legislación nueva o pendientes, y los requisitos reglamentarios. Se puede archivar todo el correo electrónico procesado en una maildir archivo. Esto es ideal para realizar copias de seguridad por razones de política de auditoría. A diferencia de algunas soluciones de servidores basados en Windows, los encabezados de sobres de correo (la "RCPT TO:" y "correo de:" encabezados) se mantienen intactas - anexa a la parte inferior de cada mensaje - confirmando verdaderas direcciones de origen y de destino.
Archivado también admite el filtrado a un subconjunto de direcciones (por ejemplo, sólo archivar mensajes de correo electrónico en lugar de todos "support@domain.name"). Además, los extensos resúmenes de una sola línea generados por cada mensaje por Qmail-Scanner puede ser suficiente para que las empresas cumplan con sus obligaciones - en lugar de la más completa archivado intensivo del disco. Como es habitual, póngase en contacto con un abogado para las definiciones adecuadas.
Qmail-scanner está integrado en el servidor de correo en un nivel más bajo que otros escáneres de virus basados en Unix, lo que resulta en una cobertura más completa. Es capaz de escanear no sólo localmente enviado / recibido el correo electrónico, sino también de correo electrónico que cruza el servidor en calidad de relevo. Qmail-Scanner también aprovecha la riqueza de meta-información proporcionada por Qmail (como la dirección IP del cliente, y si se permite o no el cliente para transmitir).
Aquí están algunas características clave de "Qmail Scanner":
· Es compatible con casi todos los escáneres comerciales virus (Unix), así como el siempre popular escáner de código abierto ClamAV.
· Puede llamar a más de un escáner de virus para cada mensaje de correo
· Tiene su propio escáner interno que se puede utilizar para la aplicación de la política, o para poner en cuarentena los virus que el AV actualmente no puede detectar
· El escáner interna también se puede utilizar para la cuarentena de correo electrónico basado en tipos de archivos adjuntos, o por correo electrónico con ciertos encabezados de correo electrónico ... Necesidad de parar archivos * .mp3 o "Subject: ILOVEYOU" e-mail subir y bajar su LAN - puede hacer! :-)
· El escáner interno puede desencadenar una acción de "lista gris" en lugar de una cuarentena. Esto está diseñado para situaciones de emergencia en el AV actual y bloques Política estáticas no son apropiadas. por ejemplo un nuevo virus basado en postal sale con nombres de archivo aleatorios. Su AV no puede detectarlo, y no se puede bloquear globalmente archivos ZIP sin herir a los usuarios válidos. Una acción "lista gris" hará Qmail-scanner para salir con un fallo temporal SMTP en vez de entregar el mensaje. Correos electrónicos válidos serán simplemente requeued y pueden fluir a través de más adelante una vez que su AV puede detectar el virus, y usted decide quitar la política de lista gris.
· Exploraciones internas del motor para los mensajes de mal formateados que son conocidos para ser utilizado por troyanos / virii para infectar clientes. Como tal, esto es independiente de cualquier escáner de virus, y puede operar con éxito contra futuras virii / troyanos. Estos mensajes se ponen en cuarentena inmediatamente. Conocido bloquear tales virii importante como Klez y Aliz, y como efecto secundario, se detiene una buena cantidad de correo no deseado también! Formato de cheques incluyen:
· Cabeceras de continuación MIME rotos
· Uso de comentarios dentro de las cabeceras estándar (por ejemplo, "Content-T (xxxxxx) ipo:" es idéntica * * a "Content-Type:" de acuerdo a las RFC - pero algunos utilizan virii esto, ya que evita algunos escáneres antivirus). Uso válido de esto nunca se ve en la naturaleza - por lo que ha bloqueado
· Ocurrencias repetidas de cabeceras MIME hace que QS cambiar el nombre de estos últimos para anular ellos
· Límites MIME más de 250 caracteres se bloquean
· Diferentes definiciones de un nombre de archivo adjunto particular hace que se bloquee
· Doble que define el mismo límite MIME se bloquea
· Ciertos tipos MIME que contienen ventanas extensiones ejecutables se bloquean específicamente (por ejemplo, un "audio / wav" del nombre de archivo "wav.exe" sólo podía ser un virus)
· Cabeceras rotos dentro de un archivo adjunto MIME se bloquean
· Ventanas adjuntos ejecutables que no están marcados como de tipo MIME "application / ....." están bloqueados (por ejemplo, el cambio de nombre a notepade.exe notepade.gif y enviarla como un archivo adjunto GIF serían puestos en cuarentena, como Qmail-Scanner se daría cuenta de que es un ejecutable que pretende ser otra cosa).
· Nombres de archivos adjuntos más de 256 caracteres se bloquean
· Algunos nombres de archivo de dos cañones están bloqueados (por ejemplo file.gif.exe). Se trata de no bloquear variantes error común
· Extensiones de archivo CLSID se bloquean
· Archivos zip protegidos con contraseña se pueden bloquear si lo desea. Esto dejaría de cualquier virus futuros rellenos dentro de archivos zip protegido por contraseña de conseguir a través, pero por supuesto también se detendría cualquier uso legítimo. Desactivada de forma predeterminada, pero tal vez útil para encender durante un nuevo brote, y se volvió de nuevo una vez que se produce una actualización de AV que puede atraparlo.
· Defecto es siempre corriendo cualquier AV que pueda tener sobre los mensajes en primer lugar, a continuación, se ejecuta el escáner interno cheques (Política / perlscan). Esto significa que si usted bloquea los archivos ".PIF" debido a que contienen normalmente los virus, entonces cualquier archivo .PIF que hacen contener un virus conocido a su sistema AV se marcará como "virus", y cualquier que se perdió (tal vez era un Día-Zero virus) son entonces etiquetados como ser bloqueado por "política". Esta diferenciación se usa entonces por el sistema de alerta. Su valor predeterminado es no notificar al remitente que se ha encontrado un virus, pero aún pueden notificarles cuando era un bloque de "política".
· Pone en cuarentena los mensajes de correo electrónico que encuentra contravenir los subsistemas anteriores. Los virus son puestos en cuarentena en una maildir llamado "virus /", bloques políticos en la "política /" y (potencialmente) de alta puntuación de SPAM al "spam /"
· ¿Puede integrarse con SpamAssassin para proporcionar amplia marcado anti-spam para un sitio completo. Normalmente utiliza también incluye el uso de Qmail-scanner como un "front-end" para servidores de correo de la empresa, tales como Notes y Exchange. Qmail-scanner hace todo el trabajo sucio - (esperemos) dejando nada más que el correo limpio para el backend :-)
· Auto-detecta correo electrónico de direcciones al estilo de "postmaster" y mailing-list - y no envía informes de alerta de virus a ellos (es decir, los intentos de actuar más como un ciudadano responsable neta)
· Debido al hecho de que el 99.9% de todos los virus transmitidos por correo electrónico se envía ahora el uso de la información del remitente falsificada, incumplimientos QS de NO alertar al remitente de que un mensaje ha sido puesto en cuarentena, a menos que se debió a un / bloque Perlscan Política. Esto puede dar marcha atrás al estilo "viejo" mediante el uso de "emisor --notify" en lugar de la más reciente por defecto de "psender --notify" (es decir, sólo notificar al remitente para los bloques políticos)
· Conoce la virii que forjar el De cabeceras - por lo que el virus parece provenir de un pobre inocente. Qmail-scanner no enviará alertas al remitente para esos tipos de virii. Como el valor por defecto es no notificar todos modos, esto sólo realmente tiene efecto si está utilizando la opción "remitente --notify".
· Cada mensaje se marca a través de un nuevo Recibido: encabezado con un informe de virus que señale si está limpio o no, y de escáner de virus números de versión / etc
· [Deshabilitado por defecto] Mensajes clasificados como "SPAM grave" por la opción "--sa-cuarentena" (básicamente tener una puntuación muy alta SA) se pondrán en cuarentena fuera en una carpeta de correo "maildir" (./spam/). Esta separación en su propio maildir permite a los sitios para llegar a sus propios métodos de manejo de los falsos positivos. Sin embargo ...
· La opción de limpieza "-z" eliminará los mensajes de las subcarpetas de cuarentena mayores de 14 días - para asegurarse de que no crezca demasiado grande. Si desea mantener por más tiempo, simplemente la escritura algo que los mueve a diario a otro directorio / maildir. Hay un script logrotate en el directorio contrib automatizar este (para aquellos sistemas que pueden utilizar - como RedHat / CentOS)
· Opcionalmente se puede añadir una cabecera descriptiva: X-Qmail-scanner a cada correo electrónico que pasa a través del sistema para que los usuarios puedan ver que hay un escáner atropellar a sus mensajes.
· Mensajes capturados por Qmail-Scanner generan un mensaje de correo electrónico (en la actualidad soporta Inglés, Afrikaans,, polaco, checo, alemán, mensajes, español, turco, lituano, francés, portugués, holandés y chino Sueco Italiano) a una combinación configurable del remitente , los beneficiarios y una dirección "cuarentena-admin", explicando por qué su mensaje fue bloqueado.
· Puede archivar algunos o todos los correos electrónicos procesados (que no estaba en cuarentena) en una maildir archivo. Útil para depurar aplicaciones basadas en correo electrónico, para fines de copia de seguridad, y por razones de política de auditoría. Actualmente las cabeceras del sobre de correo (la "RCPT TO:" y "correo de:" encabezados) se añaden a la parte inferior de cada mensaje. Esta opción admite ser llamado con una expresión regular en cuyo caso sólo sobrassada cabeceras que coinciden con la expresión se archivan (por ejemplo, puede archivar "(apoyo | ventas) @ domain.name" en lugar de todo el correo electrónico)
· Informes vía syslog o en un archivo, una descripción de una línea de cada mensaje procesado, dando amplia información como línea de asunto, nombres de archivos adjuntos, tamaños, etc.
· Exploración redundante. No sólo desempaquetar cada mensaje antes de ejecutar los escáneres más de él, sino que también puede escanear el mensaje original "en bruto" de correo electrónico, así como los componentes no envasados (es decir, si cree un escáner en particular tiene un mejor análisis MIME interna que Qmail-scanner)
· Presentación de informes: en el directorio contrib hay qs2mrtg.pl. Un script de perl para el seguimiento de los archivos de registro del sistema para los registros qmail-scanner. Luego representa gráficamente cómo Qmail-scanner está procesando sus correos electrónicos. Crea diferentes gráficos para entrante vs correo electrónico saliente, así como el flujo de spam y virus.
Requisitos:
· Netqmail 1.05 (o qmail-1.03 con parches)
· Crear una cuenta separada bajo el que se ejecutará Qmail-Scanner: por defecto es nombre de usuario y nombre de grupo "qscand". Para mayor seguridad, cree que con un directorio de inicio normal (por ejemplo, "/ home / qscand"), pero con una concha "falso" (por ejemplo, "/ bin / false") -, ya que nunca ha iniciado sesión en forma directa.
· Reformime de Maildrop 1.3.8+
· Perl 5.005_03 +
· Módulo Perl Time :: HiRes
· Perl módulo DB_File (la mayoría de las distribuciones vienen con él pre-instalado, aunque la última Perl no lo hace)
· Módulo Perl Sys :: Syslog (la mayoría de las distribuciones vienen con él preinstalado)
· Perl módulo MIME :: Base64 (la mayoría de las distribuciones vienen con él preinstalado)
· Opcional: TNEF desencajonadora de Mark Simpson. Puede decodificar esos molestos archivos adjuntos MS-TNEF MIME que los servidores de correo de Microsoft les encanta usar. Si usted no tiene esto, hay varias clases de correo electrónico que Qmail-scanner, básicamente, no será capaz de extraer los archivos adjuntos. Sin embargo, el AV podría muy bien ser capaz de manejarlos
· Opcional: uudecode (parte de sharutils en los sistemas de estilo Redhat)
· Opcional: descomprimir
¿Qué hay de nuevo en esta versión:.
- Algunos errores menores fueron fijadas
- Las nuevas características incluyen soporte DLP y apoyo Registro Equipo Cymru Malware Hash.
Comentarios que no se encuentran