Qmail-Scanner ist ein Add-on, dass ermöglicht eine Qmail E-Mail-Server, um E-Mail-gatewayed für bestimmte Eigenschaften (dh einem Gehalt Scanner) zu scannen. Es wird in der Regel für ihre Anti-Viren- und Anti-Spam-Schutzfunktionen, in welchem Fall sie in Verbindung mit externen Scanner verwendet wird.
Qmail-Scanner-Anwendung ermöglicht auch eine Website (auf einem Server / Website-Ebene), um "Policy-Bausteine" zu erstellen: dh zu reagieren, um eine E-Mail, dass bestimmte Zeichenfolgen in bestimmten Kopf- oder besondere Befestigungsdateinamen oder Typen enthält (zB * .vbs-Anhänge).
Sein Archiv-Funktionen hilft ISPs und Unternehmen auf der ganzen Welt mit neuen oder anhängigen Rechtsvorschriften und regulatorischen Anforderungen. Es kann alle verarbeiteten E-Mail in ein Archiv maildir zu archivieren. Dies ist ideal für Backup-Zwecke für Überwachungsrichtlinien Gründen. Im Gegensatz zu bestimmten Windows-basierte Server-Lösungen, die Mail-Umschlag-Header (die "RCPT TO:" und "Mail von:" Header) sind intakt gehalten - Bestätigung wahren Absender und Ziel-Adressen - an der Unterseite jeder Nachricht angehängt.
Archivieren unterstützt auch Filterung auf eine Teilmenge von Adressen (zB nur Archiv "support@domain.name" E-Mails anstelle von allen). Darüber hinaus können die umfangreichen einzeiligen Zusammenfassungen für jede Nachricht von Qmail-Scanner erzeugt genug sein für die Unternehmen ihren Verpflichtungen nachkommen - statt der festplattenintensive vollständige Archivierung. Wie üblich, kontaktieren Sie einen Anwalt für die ordnungsgemäße Definitionen.
Qmail-Scanner in den Mail-Server auf einem niedrigeren Niveau als einige andere Unix-basierte Virenscanner integriert, was zu einer gründlicheren Abdeckung. Es ist in der Lage Scannen nicht nur lokal gesendete / empfangene E-Mail, aber auch per E-Mail, die den Server in einem Relais Kapazität kreuzt. Qmail-Scanner nutzt auch die Fülle von Meta-Informationen, die von Qmail vorgesehen (wie Client-IP-Adresse, und ob der Client darf Relais).
Hier sind einige der wichtigsten Features von "Qmail Scanner":
· Unterstützt fast alle kommerziellen (Unix) Virenscanner sowie die allseits beliebten Open Source ClamAV Scanner.
· Kann mehr als einen Virenscanner für jede Mail-Nachricht rufen
· Hat seinen eigenen internen Scanner, der für die Durchsetzung von Richtlinien verwendet werden kann, oder um Viren, die Ihren AV derzeit nicht erkennen, können unter Quarantäne
· Die interne Scanner kann auch in die Quarantäne E-Mail auf Anhangstypen verwendet werden, basierend, oder E-Mail mit bestimmten E-Mail-Kopfzeilen ... Need zu * .mp3-Dateien oder zu stoppen "Subject: ILOVEYOU" E-Mail erhalten in den und aus Ihrem LAN - tun kann! :-)
· Die interne Scanner kann eine "Greylist" Aktion statt einer Quarantäne auslösen. Dies wird für Notfallsituationen, wo Ihre aktuelle AV-Politik und statische Blöcke nicht geeignet sind konzipiert. z.B. eine neue ZIP-basierten Virus kommt mit zufälligen Dateinamen. Ihr AV kann nicht erkennen, und Sie nicht global ZIP-Dateien blockieren können, ohne zu verletzen gültige Benutzer. A "Greylist" Aktion führt dazu, Qmail-Scanner mit einem SMTP vorübergehenden Ausfall anstelle der Lieferung der Nachricht zu beenden. Gültige E-Mails werden einfach erneut in die Warteschlange und kann durch spätere, sobald Ihr AV fließen kann das Virus zu erkennen und zu entscheiden, um die Greylist-Richtlinie zu entfernen.
· Interne Motor Scans für schlecht formatierte Nachrichten, die bekanntermaßen von Trojanern / virii verwendet, um Kunden zu infizieren. Als solches ist dies unabhängig von einem Virenscanner und erfolgreich gegen zukünftige virii / Trojaner zu betreiben. Solche Nachrichten werden sofort unter Quarantäne gestellt. Bekannt, solche großen virii wie Klez und Aliz blockieren, und als Nebenwirkung, hält eine ganze Menge Spam auch! Format Kontrollen umfassen:
· Gebrochen MIME-Header Fortsetzung
· Verwendung von Kommentaren innerhalb von Standard-Kopfzeilen (zB "Content-T (xxxxxx) ype:" ist gleich * * auf "Content-Type:" nach den RFCs - aber einige virii Verwendung wie ihm umgeht einige Anti-Viren-Scanner). Valid Verwendung dies nie in freier Wildbahn zu sehen - es ist also blockiert
· Wiederholte Vorkommen von MIME-Header macht QS benennen Sie die letztere, um sie aufzuheben
· MIME Grenzen mehr als 250 Zeichen werden blockiert
· Unterschiedliche Definitionen eines bestimmten Anlagedateinamen bewirkt, dass es blockiert werden
· Doppel definieren die gleiche MIME Abgrenzung gesperrt
· Bestimmte MIME-Typen enthält ausführbare Windows-Datei-Erweiterungen sind speziell blockiert (zB ein "Audio / wav" der Dateiname "wav.exe" könnte nur ein Virus sein)
· Gebrochen Header in einem MIME-Anhang blockiert werden
· Windows ausführbare Anhänge, die nicht als von MIME-Typ gekennzeichnet sind "application / ....." werden blockiert (zB notepad.exe Umbenennung in notepade.gif und als GIF-Anlage sendet, es wäre unter Quarantäne gestellt werden, wie Qmail-Scanner würde erkennen, es ist eine ausführbare Datei vorgeben, etwas anderes zu sein).
· Befestigung Dateinamen über 256 Zeichen blockiert werden
· Einige doppelläufige Dateinamen werden blockiert (zB file.gif.exe). Er versucht nicht häufiger Fehler Varianten blockieren
· CLSID Dateierweiterungen blockiert werden
· Passwort-geschützte Zip-Dateien können blockiert werden, wenn Sie es wünschen. Dies würde alle zukünftigen Viren innerhalb passwortgeschützte ZIP-Dateien ab, durch gefüllte stoppen, aber natürlich auch jede legitime Nutzung zu stoppen. Standardmäßig deaktiviert, aber vielleicht nützlich, um während eines neuen Ausbruch wenden und wieder abgeschaltet, wenn ein AV-Aktualisierung auftritt, kann es zu fangen.
· Standardmäßig immer mit einer beliebigen AV Sie über Nachrichten zuerst haben kann, dann läuft die interne Scanner (Politik / perlscan) überprüft. Das bedeutet, wenn Sie blockieren "PIF" Dateien durch, um sie in der Regel Viren enthalten, werden alle PIF-Dateien, die einen Virus enthalten, um Ihren AV-System bekannt machen wird als "Viren" gekennzeichnet werden, und alle, die verpasst wurden (vielleicht waren sie ein Day-Zero-Virus) werden dann als von "Politik" blockiert markiert. Diese Unterscheidung wird dann durch das Alarmsystem verwendet wird. Der Standardwert ist nicht den Absender zu benachrichtigen, dass ein Virus gefunden wurde, aber trotzdem benachrichtigen, wenn es sich um eine "Politik" Block.
· Quarantäne-E-Mails sie feststellt, um die oben genannten Teilsysteme verstoßen. Viren werden in einem maildir Namen "Viren /", die politischen Blöcke in "Politik /" und (potentiell) Hoch bewertet SPAM in Quarantäne "Spam /"
· Kann mit Spamassassin zu integrieren, um umfassende Anti-Spam-Tagging für ein ganzes erstellen. In der Regel verwendet auch das Verwenden Qmail-Scanner als "Front-End" für Enterprise-Mail-Servern, wie beispielsweise Notes und Exchange. Qmail-Scanner macht die ganze Drecksarbeit - (hoffentlich) so dass nichts, aber sauber mail für das Backend :-)
· Automatische Erkennung von E-Mail von "Postmaster" -Stil und Mailing-Liste Adressen - und stellt Viruswarnung Berichte nicht senden, um sie (dh versucht, mehr wie ein verantwortungs net Bürger zu handeln)
· Aufgrund der Tatsache, dass mehr als 99,9% aller E-Mail-Viren sind jetzt mit gefälschten Absenderinformationen, QS ist standardmäßig NICHT Alarmierung der Absender, dass eine Nachricht unter Quarantäne gestellt, es sei denn aufgrund einer Politik / Perlscan Block gesendet wurde. Dies geht zurück auf die "alten" Stil mit "--notify Absender" statt der neueren Verzug "--notify psender" (dh nur Sender für die politischen Blöcke benachrichtigen) eingeschaltet werden
· Knows des virii die Schmiede der Aus-Header - so dass das Virus scheint sich von einem armen unschuldigen kommen. Qmail-Scanner nicht Warnungen zu senden an den Absender für diese Art von virii. Da der Standardwert ist, sowieso nicht melden, diese nur dann wirklich wirksam wird, wenn Sie mit der Option "--notify Absender" werden.
Header mit einem Virus-Bericht hervorgeht, ob es sauber ist oder nicht, und Virenscanner Versionsnummern / etc: · Jede Meldung ist über eine neue Received getaggt
· Meldungen wie "schwerer SPAM" mit der Option "--sa-Quarantäne" (im Grunde eine wirklich hohe Punktzahl SA) eingestuft [standardmäßig deaktiviert] wird off in eine "maildir" Mail-Ordner unter Quarantäne gestellt werden (./spam/). Diese Trennung in die eigene maildir ermöglicht Webseiten zu kommen mit ihren eigenen Methoden zur Handhabung von False Positives. Allerdings ...
· Die "-Z" Bereinigung Option werden Nachrichten in den Quarantäneordnern älter als 14 Tage zu löschen - um sicherzustellen, dass es nicht zu groß werden. Wenn Sie sie länger behalten wollen, einfach Skript etwas zu ihnen täglich in ein anderes Verzeichnis / maildir zu bewegen. Es gibt eine logrotate Skript im contrib Verzeichnis, dies zu automatisieren (für diese Systeme, die es verwenden kann - wie Redhat / CentOS)
Jede E-Mail, die das System durchläuft, damit die Benutzer zu sehen, dass ein Scanner über ihre Botschaften laufen X-Qmail-Scanner: · Kann optional einen beschreibenden Header hinzuzufügen.
· Meldungen von Qmail-Scanner gefangen erzeugen eine E-Mail (unterstützt derzeit Englisch, Italienisch, Afrikaans, Polnisch, Schwedisch, Tschechisch, Deutsch, Spanisch, Türkisch, Litauisch, Französisch, Portugiesisch, Niederländisch und Chinesisch-Nachrichten) auf eine konfigurierbare Kombination des Absenders , Empfänger und eine "Quarantäne-admin" Adresse zu erklären, warum die Nachricht blockiert wurde.
· Können einige oder alle verarbeiteten E-Mail (also nicht unter Quarantäne gestellt wurde) in ein Archiv maildir zu archivieren. Nützlich bei der Fehlersuche E-Mail-basierte Anwendungen, für Backup-Zwecke, und für die Überwachungsrichtlinie Gründe. Derzeit werden die Mail-Umschlag-Header (die "RCPT TO:" und "Mail von:" Header) sind an der Unterseite jeder Nachricht angehängt. Diese Option unterstützt, die mit einem regulären Ausdruck bezeichnet in diesem Fall nur Umschlag Header, die den Ausdruck entsprechen, werden archiviert (zB archivieren "(Support | Vertrieb) @ domain.name" anstelle von allen E-Mail)
· Berichte über syslog oder in eine Datei, eine einzeilige Beschreibung jedes verarbeitete Nachricht, so dass umfangreiche Informationen wie Betreff, Befestigungsdateinamen, Größe, etc.
· Redundante Abtastung. Nicht nur, dass sie jede Nachricht zu entpacken, bevor Sie die Scanner über sie, es kann auch scannen Sie das Original "raw" E-Mail-Nachricht als auch die entpackten Komponenten (dh wenn Sie denken, eine bestimmte Scanner verfügt über eine bessere interne MIME-Parsing als Qmail-Scanner)
· Berichterstattung: im contrib-Verzeichnis gibt es qs2mrtg.pl. Ein Perl-Skript für die Überwachung Ihrer syslog-Dateien für qmail-scanner Aufzeichnungen. Es Graphen dann, wie Qmail-Scanner ist die Bearbeitung Ihrer E-Mails. Es erzeugt verschiedene Graphen für eingehende vs ausgehenden E sowie den Fluss von Spam und Viren.
Anforderungen:
· Netqmail 1,05 (oder qmail-1.03 mit Patches)
· Ein separates Konto, unter dem qmail-scanner laufen: standardmäßig auf Benutzernamen und Gruppennamen "qscand". Für zusätzliche Sicherheit, erstellen Sie es mit einem normalen Home-Verzeichnis (zB "/ home / qscand"), aber mit einer "fake" Shell (zB "/ bin / false") - wie es noch nie in direkt angemeldet.
· Reformime von Maildrop 1.3.8+
· Perl 5.005_03 +
· Perl-Modul Time :: HiRes
· Perl-Modul DB_File (die meisten Distributionen mit ihm vorinstalliert, obwohl die neuesten Perl nicht)
· Perl-Modul Sys :: Syslog (die meisten Distributionen mit ihm vorinstalliert)
· Perl-Modul MIME :: Base64 (die meisten Distributionen mit ihm vorinstalliert)
· Optional: Mark Simpson TNEF Entpacker. Kann diese nervigen MS-TNEF MIME-Anhänge, die Microsoft Mail-Server nur die Liebe zu verwenden zu decodieren. Wenn Sie nicht über diese, gibt es mehrere Klassen von E-Mail, die Qmail-Scanner im Grunde nicht in der Lage, um Anlagen in extrahieren. Allerdings könnte Ihr AV sehr gut in der Lage, sie zu handhaben
· Optional: uudecode (Teil sharutils auf Redhat-style-Systeme)
· Optional: Entpacken
Was ist neu in dieser Pressemitteilung:.
- Einige kleinere Fehler wurden behoben
- Den neuen Funktionen gehören Unterstützung und DLP-Team Cymru Malware Hash Registry-Support.
Kommentare nicht gefunden