Qmail-Scanner

Qmail-сканер надбудову, яка дозволяє поштовий сервер Qmail для сканування електронної пошти для gatewayed певними характеристиками (тобто сканера вмісту). Це, як правило, використовується для його анти-вірусу і анти-спам захисту, функцій в цьому випадку він використовується в поєднанні із зовнішніми сканерами.
Qmail-Scanner додаток також дозволяє сайт (на сервері / рівень сайту), щоб створити "Політика": блоки тобто реагувати на електронній пошті, який містить конкретні рядки зокрема заголовків або особливі імена вкладень або видів (наприклад, * .vbs вкладення).
Його архівні особливості допомагає провайдерам і корпораціям по всьому світу з нової або відкладеного законодавства, та нормативних вимог. Це може архівувати всю оброблену електронну пошту в архів MAILDIR. Це ідеально підходить для резервного копіювання з причин політики аудиту. На відміну від деяких серверних рішень на базі Windows, пошта конверт заголовки ("RCPT TO:" і "MAIL FROM:" заголовками), збережені - додається в нижній частині кожного повідомлення - підтвердження справжніх відправника та адреси призначення.
Архівування також підтримує фільтрацію на підмножини адрес (наприклад, тільки архів "support@domain.name" листи замість всіх). Крім того, великі резюме однолінійні, отримані для кожного повідомлення по Qmail-Scanner може бути достатньо для компаній виконати свої зобов'язання - замість більш дискових операцій введення-повній архівації. Як звичайно, зверніться до адвоката для власних визначень.
Qmail-Scanner інтегрований в поштовий сервер на більш низькому рівні, ніж деякі інші антивірусні Unix-заснованих, в результаті більш ретельного покриття. Він здатний сканувати не тільки локально переданих / отриманих електронною поштою, але і по електронній пошті, що перетинає сервер в ємності реле. Qmail-Scanner також використовує багатство мета-інформації, наданої Qmail (такі, як IP-адресу клієнта, і клієнт, чи має або не передавати).
Ось деякі ключові особливості "Qmail сканера":
· Підтримує практично всі комерційні (Unix) вірусні сканери, а також всі популярні сканер з відкритим кодом ClamAV.
· Може викликати більше одного антивірусного сканера для кожного поштового повідомлення
· Має свій власний внутрішній сканер, який може бути використаний для виконання політики, або на карантин вірусів, які ваш AV-в даний час не можуть виявити
· Внутрішній сканер також може бути використаний для карантину електронній пошті за видами вкладень, або електронною поштою з деякими заголовками поштових ... потрібно зупинити * .mp3 файли або "Тема: ILOVEYOU" електронний отримувати на і поза локальної мережі - можна зробити! :-)
· Внутрішній сканер може викликати "сірого списку" дія замість карантину. Це призначено для надзвичайних ситуацій, де зараз А.В. і статичні блоки даних не підходять. наприклад Новий вірус архів основі виходить з випадковими іменами. Ваше А.В. не може його виявити, і ви не можете глобально блокувати ZIP файли, не пошкоджуючи дійсні користувачі. "Сірого списку" дія викличе Qmail-Scanner, щоб вийти з тимчасовим збоєм SMTP замість доставки повідомлення. Допустимі листи будуть просто requeued і може протікати через пізніше, коли ваш AV може виявити вірус, і ви вирішите видалити політику сірого списку.
· Внутрішні Використовується для пошуку погано відформатованих повідомлень, як відомо, використовується троянів / вірусах заразити клієнтів. Таким чином, це не залежить від будь-якого антивірусного сканера, і може успішно діяти проти майбутніх віруси / троянів. Такі повідомлення будуть поміщені на карантин відразу. Відомий блокувати таку важливу віруси яка Klez і Aliz, і, як побічний ефект, зупиняє неабияку кількість спаму теж! Формат перевіряє включають в себе:
· Неправильні заголовки MIME продовження
· Використання коментарів у стандартних заголовків (наприклад, "Content-Т (хххххх) ип:" це * * ідентичний для "Content-Type:" відповідно до RFC, але якийсь - віруси використання це, оскільки це обходить деякі антивірусні сканери). Дійсно використання цього ніколи не бачив в дикій природі - так він заблокований
· Повторні входження заголовків MIME робить QS перейменувати останньому з них, щоб звести нанівець їх
· Межі MIME більше 250 символів заблоковані
· Різні визначення конкретного файлу вкладення змушує його бути заблокований
· Двічі визначенні ж MIME-кордон заблокована
· Певні типи MIME, які містять виконувані вікна розширень спеціально заблоковані (наприклад, "аудіо / WAV" з файлу "wav.exe" може бути тільки вірус)
· Неправильні заголовки всередині прихильності MIME заблоковані
· Windows виконувані вкладення, які не зазначені як типу MIME "додаток / ....." заблоковані (наприклад, перейменування notepade.exe в notepade.gif і відправлення його в якості вкладень GIF буде карантин, а Qmail-Scanner зрозуміли б, що це виконуваний вигляд, що щось ще).
· Монтаж імена понад 256 символів заблоковані
· Деякі двоствольну імена заблоковані (наприклад, file.gif.exe). Він намагається не блокувати загальні варіанти від помилок
· Розширення CLSID файлів блокуються
· Захищені паролем архівні файли можуть бути заблоковані, якщо хочете. Це зупинить будь-які майбутні віруси начинкою всередині захищених паролем поштових файлів з доходять, але, звичайно, також буде зупинити будь-які законні використання. За замовчуванням відключена, але, можливо, корисно звернутися під час нового спалаху, і вимкнений знову, як тільки оновлення А.В. відбувається, що може зловити його.
· По замовчуванням завжди працює будь AV ви можете мати більш повідомлень, а потім запускає внутрішній сканер перевіряє (політика / perlscan). Це означає, що якщо ви будете блокувати ".PIF" файли через них, як правило, містять віруси, то будь-які файли, які роблять .PIF містити вірус, відомий аудіо-відео системи буде позначено як "вірусів", і кожен, що були пропущені (можливо, вони були День Зеро вірус), потім помічені як блокується "політики". Ця диференціація потім використовується в системі аварійного оповіщення. За умовчанням це не повідомляючи відправника, що вірус був знайдений, але все ще може повідомити їх, коли це було "політика" блок.
· Карантинні листа він знаходить порушувати вищевказані підсистеми. Віруси карантин в MAILDIR назвою "віруси" /, політичних блоків в "політиці" і / (потенційно) з високим рейтингом спаму в "спам /"
· Може інтегруватися з SpamAssassin, щоб забезпечити всебічну анти-спам позначки для всього сайту. Зазвичай використовується також включає в себе використання Qmail-Scanner, як "переднього кінця" для корпоративних поштових серверів, таких як Нот і біржі. Qmail-Scanner робить всю брудну роботу - (сподіваюся), не залишаючи нічого, крім чистої пошти для серверної :-)
· Авто-виявляє лист від "наглядач" стилі і в список розсилки адреси - і не відправляти звіти вірус Повідомлення для них (тобто намагається вести себе як відповідальний громадянин чистої)
· У зв'язку з тим, що на 99,9% всіх поштових вірусів, які переносяться-тепер, відправлених з використанням підробленого інформацію про відправника, QS за замовчуванням не попереджаючи відправника, що повідомлення було карантину, якщо це не було пов'язано з Політика / Perlscan блоку. Це може бути знову повернувся до "старої" стилі, використовуючи "--notify відправника" замість нової дефолту "--notify psender" (тобто тільки повідомити відправника для політики блоків)
· Знає про віруси, які підробити З заголовків - так, що вірус, здається, прийшли з деяких бідних безневинних. Qmail-Scanner не відправлятиме повідомлення відправнику для цих типів віруси. Як за замовчуванням, щоб не повідомити в будь-якому випадку, це тільки дійсно набуває чинності, якщо ви використовуєте опцію "--notify відправника".
· Кожне повідомлення позначено за допомогою нового Надійшла до редакції: заголовок зі звіту вірус, який показує, чи є це чисто чи ні, і вірус сканер номери версій / і т.д.
· [За замовчуванням відключені] повідомлення класифікуються як "серйозної" СПАМ опцією "--sa-карантинного" (в основному мають дуже високу оцінку SA) буде карантин геть в "MAILDIR" пошти папки (./spam/). Це розділення в своїй MAILDIR дозволяє сайти, щоб придумати свої власні методи обробки помилкових спрацьовувань. Однак ...
· "-z" Варіант очищення буде видаляти повідомлення в карантині подпапки старше 14 днів - для того щоб він не ростуть занадто великий. Якщо ви хочете, щоб тримати їх довше, просто скрипт щось, щоб перемістити їх щодня в іншу директорію / MAILDIR. Існує сценарій Logrotate в каталозі CONTRIB автоматизувати це (для тих систем, які можуть використовувати його - як Redhat / CentOS)
·, Можна додати описовий заголовок: X-Qmail-Scanner на кожен лист, який проходить через систему, щоб бачити користувачі, сканер працювати над їх повідомлень.
· Повідомлення, перехоплені Qmail-Scanner генерувати повідомлення електронної пошти (у даний час підтримує англійська, італійська, африкаанс, польська, шведська, чеська, німецька, іспанська, турецька, литовський, французька, португальська, голландська і китайський повідомлення) до настроюваної комбінації відправника одержувачі і «карантин-адміністратор" Адреса пояснюючи, чому їх повідомлення було заблоковано.
· Може архів або деякі все оброблені електронної пошти (який не був карантин) в архів MAILDIR. Корисно при налагодженні електронній базі додатків, для цілей резервного копіювання, а також з міркувань політики аудиту. В даний час поштовий конверт заголовки ("RCPT TO:" і "MAIL FROM:" заголовків) додаються в нижній частині кожного повідомлення. Ця опція підтримує називають регулярним виразом в цьому випадку тільки конверт заголовки, які відповідають вираз архівуються (наприклад, можна заархівувати "(підтримки | продажів) @ domain.name" замість всієї електронної пошти)
· Звіти через Syslog або у файл, описи одного-лінії кожного обробленого повідомлення, даючи велику інформацію, наприклад, тема лінії, кріплення, розмірів файлів, і т.д.
· Резервний сканування. Він не тільки розпакувати кожне повідомлення перед запуском сканери над ним, він також може сканувати оригінал "сирий" повідомлення електронної пошти, а також розпаковані компоненти (тобто, якщо ви думаєте, особливо сканер має кращу внутрішню MIME синтаксичнийаналіз, ніж Qmail-сканера)
· Звітність: в каталозі CONTRIB є qs2mrtg.pl. Perl скрипт для моніторингу системного журналу файли для Qmail-Scanner записів. Потім графи, як Qmail-Scanner обробляє ваші листи. Це створює різні графіки для вхідного проти вихідної пошти, а також потік спаму і вірусів.
Вимоги:
· Netqmail 1.05 (або 1.03 Qmail-патчів)
· Створити окрему обліковий запис, за яких працювати Qmail-Scanner: за замовчуванням в ім'я користувача та ім'я групи "qscand". Для забезпечення додаткової безпеки, створіть його з нормальною домашньої директорії (наприклад, "/ Дім / qscand"), але з "фальшивої" оболонки (наприклад, "/ бен / брехня"), - а це ніколи не зареєстровані в безпосередньо.
· Reformime від поштову адресу для 1.3.8+
· Perl 5.005_03 +
· Perl модуль Time :: HiRes
· Perl модуль DB_File (більшість дистрибутивів з ним заздалегідь встановлений, хоча останнє Perl немає)
· Модуль Perl Sys :: Syslog (більшість дистрибутивів з ним попередньо встановлена)
· Perl модуль MIME :: Base64 (більшість дистрибутивів з ним попередньо встановлена)
· Додатково: TNEF распаковщик Марка Сімпсона. Може декодувати ці надокучливі вкладення MS-TNEF MIME, що поштові сервери Microsoft просто люблять використовувати. Якщо у вас немає цього, є кілька класів електронній пошті, що Qmail-Scanner в принципі не зможе витягти вкладення. Тим не менш, ваша А.В. цілком може бути в змозі впоратися з ними
· Додатково: uudecode (частина sharutils систем Redhat стилі)
· Додатково: розпакувати

Що нового У цьому випуску :.

• Деякі незначні помилки були виправлені
• Нові функції включають в себе підтримку DLP і підтримку команди камрі шкідливих Hash реєстру.