Blockmail: um filtro de anexos de e-mail

Como a imensa maioria dos worms e vírus de e-mail no ambiente Windows se propaga através de anexos executáveis, este filtro torna-se uma excelente proteção contra esses ataques, com a vantagem de não precisar de atualização constante. Ele tem sem mostrado efetivo contra o Nimda, Sircam, Klez, Magister, BadTrans e outros.

[ Hits: 48.234 ]

Por: Joel Silva em 29/01/2004


Histórico



2.0 beta 4, aug 2nd, 2002
- Correção de um erro na detecção de boundaries que permitia a passagem de anexos vindos de alguns clientes (detectado por Fernando Giorgetti).

2.0 beta 3 jul 1st, 2002
- Função &logMsg() modificada para receber mais parâmetros.
- Possibilidade de logar todos os anexos encontrados ($logAttach).
Esquema de aviso simplificado: apenas um tipo de mensagem é enviado, para todos os endereços na lista @warnList.
Pequenas modificações no código, para melhorar o desempenho ou tornar o código mais "elegante".
Mensagens no syslog mais específicas.

2.0 beta 2 jun 13, 2002
- Ajustado para detectar cabeçalhos MIME incorretos, com linhas de continuação sem espaços brancos iniciais.
Implementação da lista de usuários não filtrados.
Pequenos ajustes para melhorar o desempenho.

2.0 beta 1 jun 03, 2002
Reescrita geral da versão 1.*, com diversas novidades:
  • parser MIME completo (ao menos bem melhorado...)
  • entende as codificações Base64 e Quoted Printable
  • gera mensagem no syslog
  • avisa remetente, destinatário e postmaster
  • usa o campo "Return-path:" do cabeçalho ao invés de "From:" para enviar o e-mail de aviso ao remetente, pois alguns vírus adulteram o campo "From:"
  • mais algumas possibilidades de configuração
  • expressão regular no arquivo procmail foi removida


1.2, jul 23, 2001
- Expressão regular do filename modificada para considerar nomes de arquivos sem as aspas "" (como usado pelo worm sirCam).
- Datas de recusa do e-mail no arquivo de log.
- Incluída a extensão "htt" (contrib [email protected]).

1.1, apr 25, 2001
- Expressão regular do filename modificada na regra e no script, para incluir variantes da inclusão de anexos no formato MIME (bug indicado por [email protected]).

1.0, nov 20, 2000
- Primeira versão distribuída externamente.

0.0, apr 01, 2000
- Primeira versão operacional, de uso interno.

Página anterior     Próxima página

Páginas do artigo
   1. Blockmail
   2. Principais características
   3. Instalação
   4. Histórico
   5. Perguntas freqüentes
   6. Autoria
Outros artigos deste autor

Instalando o Slackware com suporte HT - SMP

Slackware 13 com Samba PDC completo

Instalando e gerenciando programas no Linux

Leitura recomendada

Instalando o XMMS Coverviewer no Slackware 10.2

Varnish: Uma camada de velocidade

FreeBSD + Asterisk

DNS com BIND

Servidor Web com NetBSD (Apache + PHP + MySQL + *)

  
Comentários
[1] Comentário enviado por fabio em 29/01/2004 - 01:04h

Primeiramente, meus parabéns ao Carlos Maziero pelo projeto. Gostaria de fazer minhas colocações, visto que também possuo uma pequena experiência nessa área e o bloqueio de SPAM e vírus torna-se vital para um bom provimento de serviço de e-mail aos clientes.

Um filtro em Perl funcionará muito bem em sistemas de pequeno/médio porte, como este que filtra 3.500 mensagens por dia, porém se você passar a receber algo acima de 100 mil mensagens por dia neste mesmo hardware, com certeza a máquina irá "sentar", pois a linguagem Perl, por ser interpretada, possui menor desempenho que uma linguagem compilada com o C por exemplo. É claro que AMO o Perl, mas chega um determinado ponto que para esse tipo de atividade ele se torna inviável.

Até hoje a melhor solução que encontrei para filtragem de SPAM e vírus foi o uso do MTA Exim, padrão do Debian, compilado com o patch exiscan, com antivírus clamav e antispam SpamAssassin.

Com relação à filtragem de anexos, bloqueio e aviso ao remetente, isso pode ser feito diretamente pelo procmailrc, não sendo necessário integração com filtros terceiros. Se o seu sistema de e-mail começar a tratar grande volume de mensagens por dia, também sugiro que o próprio MTA (Exim no meu caso) seja o responsável pela entrega das mensagens, pois usando o Procmail você está gerando um processo a mais para cada mensagem recebida. Se seu sistema recebe 500 mil e-mails por dia, serão 500 mil processos a mais por dia e este processos são críticos no que se diz respeito a consumo de CPU, pois estão ligados diretamente com escrita em disco (I/O) - gravação na caixa de entrada do usuário.

Bom, é isso. Espero que um dia possamos vencer a guerra contra os vírus e SPAM que andam infestando a internet.

[2] Comentário enviado por toffanello em 27/02/2004 - 12:42h

Na verdade é uma dúvida que tenho a respeito do blockmail. se alguem puder me responder seria grato.

posso configurar o blockmail em um smtp gateway?

Poderia estar utilizando este filtro para ao invés de bloquear a mensamgem com anexo, encaminhar o arquivo anexado em uma mensagem para um servidor de arquivos aonde eu possa recuperar o arquivo em posteriori?

se alguem puder me ajudar, enviem mensagens para o [email protected]

obrigado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts