8 Serveis de correu electrònic
El servidor POP3 permet als usuaris que estan donats d'alta al sistema descarregar-se els emails del seu compte local de correu mitjançant un client POP3.
S'ha de tenir en compte que els missatges en aquest protocol viatgen en text pla, si es disposa d'un sniffer a la xarxa es possible capturar el contingut del missatge de correu així com del login i password del compte POP3.
#show
pop3_server
pop3_server {
max_users 5
--
enabled
interfaces eth0
ip_allowed -
users {
-
}
}
Si vol activar o
desactivar el servidor POP3,
#set
pop3_server enable
#set
pop3_server disable
Si no l'activa no
permetrà cap tipus de connexió al servidor POP3.
El funcionament és equivalent al control d'accés de les interfícies de la pàgina .
#set pop3_server interfaces eth0
#del pop3_server interfaces eth1
El funcionament és equivalent al control d'accés per IP de la pàgina .
#set pop3_server ip_allowed 62.0.0.3
#del pop3_server ip_allowed 62.0.0.4
Els usuaris que vulguin
utilitzar aquest servei a part de tenir accés al servei hauran de disposar d'un compte POP3 al sistema.
Les comptes POP3 permeten als usuaris descarregar-se el correu local al seu ordinador. Els comptes d'usuari estan formats per un login i un password. El valor max_users és una limitació de software que indica el màxim número d'usuaris que permet registrar NSSOS.
#set
pop3_server users username pep password cappape
#set
pop3_server users username pep disable
#set
pop3_server users username pep enable
#del
pop3_server users username pep
#set
pop3_server users username pep password pepfapape
Existeixen noms
d'usuaris que en cap cas es podran donar d'alta al sistema ja que
estan reservats per utilització interna del NSS, alguns
exemples són : 'admin',
'root' ...
Aquest servei permet
centralitzar diverses comptes de correu POP3 en un de sol. El
sistema recull periòdicament els emails de les comptes de
correu POP3 especificades per cada usuari i els emmagatzema a la
compta local d'aquest. Posteriorment els usuaris es poden baixar
tots aquests missatges accedint a la compta POP3 local del NSS .
#show
mail_collection
mail_collection {
frequency */5 * * * *
--
enabled
users {
ava.pop3.tinet.org {
enabled
name albert
server pop3.tinet.org
user ava
passwd ********
}
albert.pop3.tinet.org
{
disabled
name ava.pop3.tinet.org
server pop3.tinet.org
user albert
passwd -
}
}
}
La limitació de software frequency especifica l'interval de temps que ha de passar perquè el
sistema realitzi la descàrrega dels missatges. El valor per
defecte del sistema correspon són 5 minuts.
#set
mail_collector enable
#set
mail_collector disable
Per dur a terme la recol·lecció d'emails per un cert usuari local cal anteriorment haver creat un compte d'usuari POP3, en cas contrari el comportament del sistema es inesperat. Per configurar les comptes remotes s'ha de definir un registre users per cada parella. D'aquesta manera si un usuari disposa de N comptes remotes s'hauran de generar N registres users. Per la creació d'un registre users necessita la següent informació :
A continuació es detallen els camps d'un registre users :
ava.pop3.tinet.org { :Usuari_remot.Servidor remot (compte remota)
enabled :Estat del compte
name albert :Nom d'usuari del compte local
server pop3.tinet.org :Servidor POP3 remot
user ava :Nom d'usuari del servidor POP3 remot
passwd ******** :Password compte remot
}
Si afegeix 2 comptes
remotes iguals per diferents usuaris el sistema efectuarà
el fetch dels missatges a la primera compta definida
#set
mail_collection name albert server pop3.tinet.org user ava passwd secret
#set
mail_collection name ava.pop3.tinet.org server pop3.tinet.org user
albert disable
Si vol modificar el
password d'un compte ha d'identificar el name
(usuari local) a més del servidor i usuari remot del
compte.
#set
mail_collection name ava.pop3.tinet.org server pop3.tinet.org user
albert passwd noupassword
cal fer notar que el name en la comanda anterior
correspon al nom del registre users i no a l'usuari local.
#del
mail_collection name ava.pop3.tinet.org server pop3.tinet.org user
albert
#del
mail_collection user nomusuari server servidor
#ls
mail_collection
El proxy POP3 funciona de manera transparent als usuaris i permet analitzar i aplicar filtres antivirus i antispam als correus electrònics que són descarregats d'un servidor POP3 i "passen" pel sistema NSS .
Quan s'activa aquest servei el sistema NSS es capaç d'interceptar les connexions POP3 (que utilitzen el port 110 TCP) i les redirecciona al port 8110 TCP local on escolta el proxy. A continuació el proxy del sistema realitza la connexió amb el servidor POP3 original i es descarrega els missatges. Una vegada els missatges són analitzats i tractats
pel sistema són retornats "nets" al host que havia realitzat la connexió.
Aquest procés
és transparent a l'usuari, així que aquest es pensarà
que es ell qui és connecta directament al servidor POP3.
La configuració del
proxy POP3 és molt senzilla.
#set
pop3_proxy enable
#set
pop3_proxy antispam enable
#set
pop3_proxy disable
#set
pop3_proxy antispam disable
Existeixen 2 maneres per
administrar els usuaris d'aquest servei.
Especifica que totes les
connexions que arribin al sistema per les interfícies
especificades s'habilitarà el servei proxy POP3.
#set
pop3_proxy interfaces eth1
Alternativament és
posible especificar adreces IP concretes o bé xarxes amb el
format NETWORK/NETMASK indicant que s'activarà el
servei de proxy POP3 a les connexions que provinguin d'aquestes
adreces IP especificades.
#set
pop3_proxy ip_allowed 192.168.11.0/24
El proxy POP3 permet múltiples configuracions si té en compte que pot configurar les interfícies i pot decidir si el servidor POP3 del NSSOS estarà activat. Depenent d'aquests paràmetres pot establir múltiples configuracions per aquest servei. A continuació s'exposaran les configuracions més habituals que permet el sistema NSSOS.
Observant la il·lustració 3. Suposi que té corrent el servidor POP3 al sistema i que aquest escolta per la interfície eth0 i vol examinar (amb antivirus i antispam) els correus que els usuaris es descarreguin del compte local del NSSOS mitjançant POP3.
#set
pop3_proxy enable
#set
pop3_proxy interfaces eth0
#set
pop3_proxy antispam enable
Observant la il·lustració 3. Si vol que el sistema detecti les connexions POP3 que realitzen els usuaris de la xarxa 192.168.3.0/24 a un servidor remot (Recol·l ecció d'emails i servidor POP3
deshabilitats), i efectuï filtratge solament de virus .
#set
set pop3_proxy enable
#set
pop3_proxy interfaces eth1
#set
pop3_proxy antispam disable
Les notificacions dels missatges en els quals s'han trobat virus i/o SPAM es realitzen "al vol" en el moment que es baixen els correus del servidor POP. És a dir el correu generat no és un correu que s'ha enviat una altra vegada per SMTP sinó una modificació del correu original que el proxy POP3 ha interceptat i ha modificat.
Quan el proxy del NSSOS identifica un virus en un email, envia una notificació al suposat destinatari del correu amb l'objectiu informar-li del possible emisor del correu infectat i el tipus de virus detectat. El missatge de correu rebut per l'usuari serà semblant al següent :
Return-Path: <root@NSS1T.esolit.com>
Received: (from root@localhost) by NSS1T.esolit.com (8.11.6/2.0.0) id j7JCXqU13464; Fri, 19 Aug 2005 14:33:52 +0200
Data: Fri, 19 Aug 2005 14:33:52 +0200
De: root <root@NSS1T.esolit.com>
Message-Id: <200508191233.j7JCXqU13464@NSS1T.esolit.com>
Per a: sergi@NSS1T.esolit.com
Assumpte: [Virus] found in a mail to you: Eicar-Test-Signature
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="iso-8859-1"
X-Evolution-Source: pop://sergi@62.0.0.1
Hello sergi. This message body was generated automatically by NSS, which runs on NSS1T
for scanning all incoming email. It replaces the body of a message
sent to you that contained a VIRUS! Instead of the infected email
this message has been sent to you. Contact your administrator at
albert.ventura@esolit.com. You may look at the message header of
this message for the complete email header information of the
infected message. Virus name: Eicar-Test-Signature (Supposed)
Sender of the email: root <root@NSS1T.esolit.com> Sent To:
sergi@NSS1T.esolit.com On Date: Fri, 19 Aug 2005 14:34:12 +0200
Subject: hola Connection data: POP3 to 62.0.0.1 –
NSSOS etiqueta un correu com SPAM quan aquest supera un cert llindar de punts. Les notificacions de SPAM com el cas de les notificacions de virus van dirigides al destinatari de correu. El sistema notifica amb un email a l' usuari que ha rebut SPAM. Aquesta notificació inclou el motiu d'obtenció de punts del missatge a més d'una còpia del missatge original.
Received: from localhost by NSS1T with SpamAssassin (version 3.0.2); Fri, 19 Aug 2005 14:45:57 +0200
Assumpte: V14GR4 ORDER NOW !!! FREE !!!!
Data: Mon, 3 Jun 2025 16:47:57 +0902 (09:45 CEST)
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16) on NSS1T
X-Spam-Status: Yes, score=26.0 required=5.0 tests=BEST_PORN, BLANK_LINES_90_100, CUM_SHOT, DATE_IN_FUTURE_96_XX, DRUGS_DIET, DRUGS_ERECTILE, DRUGS_ERECTILE_OBFU, DRUGS_MANYKINDS, DRUGS_MUSCLE, DRUGS_PAIN, DRUG_ED_SILD, EMAIL_ROT13, FREE_PORN, HARDCORE_PORN, HELO_DYNAMIC_DHCP, HELO_DYNAMIC_IPADDR, HOT_NASTY, INVALID_MSGID, LIVE_PORN, LONGWORDS, MANY_EXCLAMATIONS, OBSCURED_EMAIL, PLING_PLING, SUBJ_ALL_CAPS, SUBJ_HAS_SPACES, WEIRD_QUOTING autolearn=spam version=3.0.2
X-Spam-Level: ************************** <
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_4305D485.CE509723"
X-Evolution-Source: pop://sergi@62.0.0.1
Message-Id: <1124448778.3126.44.camel@worki4>
Spam detection software, running on the system "NSS1T", has identified this incoming email as possible spam. The original message has been attached to this so you can view it (if it isn't spam) or label similar future email. If you have any questions, see the administrator of that system for details. Content preview: sildenafil Cialis Levitra phendimetrazine diethylpropion, generic of Tenuate #adipex #xenical #tenuate #Meridia #bontril #ionamin #vicodin #tramadol #fioricet #celebrex #imitrex #vioxx #flexeril """"""""zxrggyre^riv-vap(pbz [...] Content analysis details: (26.0 points, 5.0 required)
pts rule name description
-----------------------------------------------
2.8 HELO_DYNAMIC_IPADDR Relay HELO'd using suspicious hostname (IP addr1)
0.1 HELO_DYNAMIC_DHCP Relay HELO'd using suspicious hostname (DHCP)
0.6 SUBJ_HAS_SPACES Subject contains lots of white space
1.4 DATE_IN_FUTURE_96_XX Date: is 96 hours or more after Received: date
0.4 SUBJ_ALL_CAPS Subject is all capitals
0.3 BEST_PORN BODY: Possible porn - Best, Largest, Most Porn
2.0 WEIRD_QUOTING BODY: Weird repeated double-quotation marks
0.7 HARDCORE_PORN BODY: Possible porn - Hardcore Porn
0.0 FREE_PORN BODY: Possible porn - Free Porn
1.7 CUM_SHOT BODY: Possible porn - Cum Shot
0.6 HOT_NASTY BODY: Possible porn - Hot, Nasty, Wild, Young
0.4 LIVE_PORN BODY: Possible porn - Live Porn
0.4 DRUG_ED_SILD BODY: Talks about an E.D. drug using its chemical name
3.2 OBSCURED_EMAIL BODY: Message seems to contain rot13ed address
1.5 EMAIL_ROT13 BODY: Body contains a ROT13-encoded email address
1.8 BLANK_LINES_90_100 BODY: Message body has 90-100% blank lines
0.4 DRUGS_DIET Refers to a diet drug
0.0 DRUGS_ERECTILE Refers to an erectile drug
0.2 DRUGS_MUSCLE Refers to a muscle relaxant
0.0 DRUGS_PAIN Refers to a pain relief drug
1.4 INVALID_MSGID Message-Id is not valid, according to RFC 2822
0.4 PLING_PLING Subject has lots of exclamation marks
0.0 MANY_EXCLAMATIONS Subject has many exclamations
0.8 DRUGS_ERECTILE_OBFU Obfuscated reference to an erectile drug
2.3 LONGWORDS Long string of long words
2.7 DRUGS_MANYKINDS Refers to at least four kinds of drugs
Delivered-To: 3-proves@esolit.com
Received: from mad.esolit.com [62.193.234.54] by localhost with POP3 (fetchmail-5.9.0) for sergi@localhost (single-drop); Fri, 19 Aug 2005 14:45:45 +0200 (CEST)
Received: (qmail 28005 invoked from network); 19 Aug 2005 10:38:12 -0000
Received: from 229.red-80-24-10.pooles.rima-tde.net (HELO dsl-200-95-109-107.prod-infinitum.com.mx??200.95.109.107?) (80.24.10.229) by esolit.com with SMTP; 19 Aug 2005 10:38:12 -0000
Assumpte: V14GR4 ORDER NOW !!! FREE !!!!
X-Mailer: Microsoft Outlook <
Data: Mon, 3 Jun 2025 16:47:57 +0902 (09:45 CEST)
Status:
X-P3Scan: Version 2.1 by <laitcg@cox.net>/<folke@ashberg.de>
Message-Id: <1124448778.3126.45.camel@worki4>
Mime-Version: 1.0
Sildenafil Cialis Levitra phendimetrazine diethylpropion, generic of Tenuate #adipex #xenical #tenuate #Meridia #bontril #ionamin #vicodin #tramadol #fioricet #celebrex #imitrex #vioxx #flexeril """"""""zxrggyre^riv-vap(pbz
NSSOS disposa d'un subsistema de servidor de correu integrat : Aquest servidor permet l'entrega de missatges de correu des d'una aplicació client al NSSOS o bé permet fer el reenviament d' emails a altres servidors si així es configura.
L'entrega dels missatges es realitza mitjançant el protocol SMTP essent aquesta la principal funció del servidor.
Per configurar correctament el servidor amb un escenari d'Internet és necessari adquirir un domini amb la adreça IP pública d'Internet del NSSOS. En tot cas es possible la configuració del servidor
de correu en un entorn "tancat" local.
#
show mail_server
mail_server {
max_domains 1
--
enabled
interfaces eth1 eth0
ip_allowed -
delivery directly
domain {
-
}
}
Observi
la limitació de software max_domains 1 indicant
el nombre de dominis que el servidor de correu és capaç
de tractar.
Pot establir diferents
nivells d'accés al servidor d'email.
#set
mail_server enable
Si no l'activa no
permetrà accedir al servidor de correu des de cap host
Per determinar els usuaris
autoritzats per connectar-se el servidor de correu ho pot fer de
les següents maneres :
El funcionament és
semblant als anteriors capítols. En aquest cas pot determinar
els hosts als quals li permet connectar-se al servidor.
#set
mail_server interfaces eth1
#del
mail_server interfaces eth1
Permet definir hosts específics o xarxes amb el format NETWORK/NETMASK els quals es podran connectar al servidor de correu. El funcionament és equivalent als capítols anteriors.
#set
mail_server ip_allowed 62.0.43.34
#del
mail_server ip_allowed 62.0.43.23
Abans de continuar amb aquest apartat val la pena recordar que una direcció de correu està formada pels següents camps:
usuari@..subdomini.domini
Per exemple la direcció de correu ' ava@tinet.org' tindrà els camps de la direcció d'email definits de la següent manera :
Quan arriba un missatge de correu al NSSOS, el servidor de correu analitza la direcció d'email del destinatari i extreu el domini destí del correu. NSSOS en funció d'aquest domini i la configuració del servidor de correu pot entregar el missatge d'alguna de les següents maneres.
Si vol configurar NSSOS de manera que quan aquest rebi un correu electrònic destinat a un cert domini procedeixi a emmagatzemar-lo al compte local d'usuari del sistema necessita definir un domini local. Quan defineix un domini al sistema s'estableix per defecte com a domini local, els correus dirigits a usuaris d'un domini local definit que arribin al NSS seran entregats a la bústia de correu POP3 local dels mateixos. Aquests missatges posteriorment podran ser descarregats pels usuaris utilitzant una aplicació client POP3.
#set
mail_server domain domainname "NSS1T.esolit.com"
#show
mail_server
mail_server {
max_domains 1
--
enabled
interfaces eth1 eth0
ip_allowed -
delivery directly
domain {
domainname NSS 1T.esolit.com {
local
}
}
}
Observi que
'NSS1.esolit.com' s'ha establert com un domini local.
#del
mail_server domain domainname "NSS 1T.esolit.com"
Si vol configurar un domini remot com a local simplement torni a definir-lo i el sistema l'establirà automàticament local.
Aquest mode d'entrega correspon al mode normal dels funcionament dels servidors de correus. L'entrega directa permet configurar NSSOS de manera que quan rebi un correu destinat a un domini no local definit s'efectuï una consulta DNS d'aquest domini obtenint d'aquesta manera la adreça IP del servidor de correu on el missatge serà enviat.
#set
mail_server delivery directly
Si vol que el NSS realitzi funcions de servidor
intermediari de correu reenviant els missatges que li arriben a altres servidors especificats, ho pot fer a través de la definició d'una ruta per defecte d'emails o bé a través de la definició de rutes específiques d'emails.
La configuració de
rutes específiques d'email es realitza a través de la
definició de dominis remots. Els dominis remots són
dominis que NSSOS és capaç d'identificar i permeten
establir una ruta pels missatges destinats a usuaris d'aquests
dominis.
#set
mail_server domain domainname unaltrecompany.com forward_to
smtp.servidor.ct
#del
mail_server domain domainname unaltrecompany.com
Permet establir una ruta
per defecte per a tots els missatges de correu que arribin al
NSSOS i aquest no sàpiga on enviar-lo
#set
mail_server delivery NSS2.proves.ct
#set
mail_server delivery directly
Amb l'objectiu de
sintetitzar el mode de funcionament del servidor de correu, a
continuació es detalla l'algorisme de funcionament en alt
nivell del mateix.
adreça_correudestinatari;
adreça_correu
remitent;
mail correu_entrant;
domini dom;
usuari usr;
host
servidor_mail;
algorisme
MAIL_SERVER és
destinatari=extreure_adr_destí(correu_entrant);
remitent=extreure_adr_font(correu_entrant);
dom=extreure_domini(destinatari);
usuari=extreure_usuari(destinatari);
si (és_domini_definit(dom))
si(és_local(dom))
entrega_compte_local(usuari);
sinó
servidor=extreure_camp_forward_to(dom);
forward_missatge(servidor);
&fisi
sinó
si (delivery==directly)
ip=consulta_DNS(domini);
si (ip!= NULL)
forward_missatge(ip);
sinó
enviar_missatge_error(remitent);
fisi
sinó
forward_missatge(delivery);
fisi
fisi
fi algorisme MAIL_SERVER
A part del control d'accés al servidor que controla la connexió al servidor d' email, NSSOS bé configurat de manera que no permet efectuar l'enviament d'emails des de hosts arbitraris. El motiu és evitar que el servidor sigui font de SPAM.
Per defecte el servidor permet fer relay
de missatges des dels següents hosts :
L'enviament de missatges a un domini declarat ( ja sigui local o remot) no es considera relay, així doncs NSSOS permet l'enviament de missatges a aquests dominis des de qualsevol host.
El servidor deixarà
enviar emails als hosts anteriors sempre que el control d'accés
vist anteriorment els ho permeti. En cas contrari no es permetrà
ni tan sols la connexió al sistema de correu del NSS.
Els missatges d'error retornats des de servidors amb
remitents desconeguts enviats des del NSSOS seran enviats l'administrador del sistema per tal que pugui resoldre el problema si s'escau. Si es coneix la direcció de correu del remitent
aleshores s'entregaran a aquesta direcció
De la mateixa manera com
és habitual el sistema enviarà notificacions d'error
als usuaris que intentin enviar correu a usuaris inexistents
localment al NSSOS. En el cas que el remitent sigui també
inexistent s'enviarà un missatge de notificació a
l'administrador.
Aquest servei li permet
analitzar els missatges de correu lliurats al servidor de correu
local i aplicar el filtratge i/o modificació o bé
eliminació dels mateixos.
La configuració
d'aquest servei es realitza mitjançant regles les quals
permeten configurar les diferents opcions que ofereix el servei.
El servei del de
filtratge d'emails queda habilitat automàticament quan
habilita el servidor de correu
del NSSOS.
#show
mail_filter
mail_filter {
av enabled
antispam enabled
antispam_action attachment
antispam_subject {
-
}
antispam_is_spam {
-
}
antispam_not_spam {
-
}
iframe {
from *@* yes
}
ocode {
-
}
attachment {
deny .ppt$ No es permet rebre missatges amb fitxers amb format power point,
si vols pot comprimir-lo amb un ZIP
allow .exe$ permetem exe
}
attachment_hardcoded {
deny .{150,} Very long filename, possible OE attack
allow \.jpg$ -
allow \.gif$ -
allow \.url$ -
allow \.vcf$ -
allow \.txt$ -
allow \.zip$ -
..
..
}
deliver_clean {
from 10.0.0. yes
}
sender {
from 10.0.0. yes
from *@* yes
}
attachment_subject {
from 10.0.0. yes avondicehola
}
notices {
from *@* yes
from 10.0.0. yes
}
log_files {
-
}
av_subject {
from 10.0.0. yes VIRUS
}
}
Són les polítiques que estableixen la configuració per defecte de cada opció de configuració. El funcionament és el següent : primer s'avaluen les regles que ha definit l'usuari per cada opció, si el missatge no satisfà cap de les regles d'usuari s'aplicaran les polítiques per defecte del sistema. A diferència de les polítiques del sistema del tallafocs aquestes regles són Hardcoded. Si desitja canviar el comportament d'alguna opció del sistema ho haurà de fer a través de les regles d'usuari.
Les regles d'usuari li
permeten ajustar el comportament del sistema per cada una de les
opcions de configuració del filtratge d'emails. A més
el format de cada regla pot variar en funció de l'opció.
Les regles d'usuari
s'avaluen de manera seqüencial per cada opció segons la
seva definició en memòria.
En el moment que les característiques d'un missatge
coincideix amb una de les regles s'aplicarà l'acció
que indica la regla ,en cas contrari s'aplicaran les polítiques
per defecte del sistema.
Com s'ha dit anteriorment
cada opció es configura amb regles de sintaxi diferent ja
que les característiques són ben diferents en cada cas.
De totes maneres existeixen alguns paràmetres que es
repeteixen en la configuració de les opcions, per aquest
motiu a continuació s'explicarà el significat d'alguns
paràmetres comuns en la definició de regles .
Aquest tipus de paràmetre correspon a una expressió regular sovint anomenada patró que defineix un conjunt de cadenes de
text sense enumerar els seus elements. El el sistema de filtratge d'emails utilitza patrons per definir grups d'usuaris, ja sigui mitjançant dominis, adreces IP, o bé per identificar noms de fitxer. La construcció d'expressions regulars es realitza a partir dels següents caràcters especials :
'^' : Indica començament
de línia.
'$' : Indica final de
línia.
'+' : Indica repetició
del patró almenys una vegada.
Es podria aprofundir
més en expressions regulars però sortiria de
l'objectiu d'aquest manual, així doncs es recomana al lector
que vulgui aprofundir en el tema que busqui informació en
altres manuals i/o llibres.
A continuació li
mostrem exemples d'utilització d'expressions regulars per
definir diversos element :
| Element |
Expressió regular |
| Usuari individual |
usuari@sub.domini.com |
| 1 usuari a qualsevol domini |
usuari@* |
| Qualsevol usuaris d'un domini |
*@sub.domini.com |
| Qualsevol usuari de qualsevol subdomini de 'domini.com' |
*@*.domini.cim |
| Qualsevol expressió regular amb perl
|
/patró/ |
| Qualsevol IP de la xarxa 192.168.0.0 |
192.168. |
Qualsevol IP del rang de xarxes:
192.168.14-192.168.17 |
/^192.168.1[4567]./ |
| Qualsevol adreça |
*@* |
| Valor per defecte (qualsevol adreça |
default (l'usuari no haurà d'utilitzar aquest valor sinó *@* en les seves regles) |
Aquest paràmetre
permet decidir si una regla d'usuari coincideix en funció
del remitent o del destinatari del missatge de correu. El camp
direction que apareix a la definició de la regla i pot
contenir un dels següents valors :
És la única
opció possible si la direcció és una adreça
IP
To : El
destinatari del missatge de correu pertany a una de les adreces
especificades.
FromOrTo : O bé
el remitent o bé el destinatari de correu pertanyen a una de
les adreces especificades.
FromAndTo : El
remitent i el destinatari de correu han de pertànyer al les
d'adreces especificades.
Per eliminar una regla
d'usuari de les que a continuació es detallaran haurà
d'introduir tots els camps que la componen i l'identifiquen precedits
de la comanda del en detriment de la comanda set.
A continuació
aprendrà a configurar les diferents opcions que permeten
configurar el servei del filtratge de correus. Les opcions de
configuració s'agrupen amb els següents apartats.
Tot seguit li mostrarem
els possibles atacs de codi maliciós que NSSOS és
capaç de detectar. La política per defecte del sistema
és la eliminació de tots missatges de correu amb codi
maliciós detectat. Si es desitja que el sistema tingui la
possibilitat de filtrar haurà de definir una regla d'usuari
amb la següent sintaxi:
set mail_filter
deliver_clean direction regexp yes/no
#set
mail_filter deliver_clean from *@example.com yes
Després
d'executar la comanda anterior la "sort" dels l'emails
dependrà de les regles definides a les d'opcions de
filtratge que s'especifiquen a continuació.
Les opcions de filtratge de codi HTML queden habilitades quan el servidor de correu s'activa:
#set
mail_server enable
Un iframe és codi HTML que efectua
la inclusió del contingut d'una pàgina web en
una altra permetent la previsualització de la primera. Aquest
possible avantatge es pot convertir en un seriós problema de
seguretat en els clients de correu que per defecte interpretin codi
HTML en els seus missatges
Per permetre que alguns usuaris puguin rebre correus amb iframes ho pot fer amb una regla d'usuari amb la sintaxi següent :
set mail_server
iframe direction regexp [yes|no|disam]
yes : Indica
que s'acceptaran iframes.
no : Indica que
s'eliminaran els missatges que continguin iframes.
disarm : Indica
que s'efectuarà l'eliminació dels iframes dels
l'emails .
#set
mail_filter iframe fromandto 192.168.3. yes
El comportament per
defecte del NSSOS és la eliminació de tots els correus
electrònics que continguin iframes. Si es desitja
expressament que alguns usuaris puguin descarregar-se correus amb
iframes ho haurà d'especificar expressament a través de la la creació
de regles d'usuari vistes l'apartat anterior.
Es tracta de codi HTML
que permet incrustar i executar elements alternatius a les pàgines
web tals com : vídeo, àudio, applets...
L'execució
d'aquests elements requereix normalment la instal·lació
de controls ActiveX i deix als usuaris desprotegits sobretot davant les
vulnerabilitats específiques de Microsoft.
La creació de
regles es realitzarà com en el cas dels iframes :
set mail_server
ocodes direction regexp [yes|no|disarm]
#set
mail_filter ocode to 192.168.3. yes
El comportament per defecte del NSSOS és la eliminació de tots els correus electrònics que continguin ocodes. Si desitja expressament que els usuaris puguin descarregar-se correus amb ocodes ho haurà d'especificar expressament mitjançant la definició regles d'usuari de l'apartat anterior.
Una de les utilitzacions més esteses de l'email és l'enviament de fitxers adjunts. Anteriorment això no era possible degut a que Internet es basava en la transferència de dades en ASCII de 7 bits. Durant aquests anys s'han anat implementant protocols que permeten enviar arxius binaris en format de 7 bits per email .
La inclusió
d'aquests arxius binaris en els emails
implica una certa amenaça pels usuaris ja que poden
executar codi arbitrari a la seva màquina, amb la
possibilitat que aquest esdevingui un virus, trojà, o
qualsevol altre programa amb codi maliciós que pugui
comprometre la seguretat de la xarxa.
Aquesta opció es
diferencia del filtratge antivirus en que en el filtratge de fitxers
adjunts el sistema no analitza el fitxers en busca de virus, sinó
que analitza el nom i la extensió dels mateixos. Aquest servei
queda activat automàticament quan s'habilita el servidor de
correu :
#set
mail_server enable
La creació de regles d'usuari per configurar aquesta opció es fa amb la següent sintaxi :
set mail_filter attachment allow/deny regexp usertext
A continuació
s'explica el significat dels paràmetres específics
d'aquesta opció:
#set
mail_filter attachment deny \.ppt$ No es permet rebre ...
Si vol modificar
l'assumpte dels missatges d'advertència haurà
d'utilitzar una regla amb la següent sintaxi :
set mail_filter attachment_subject direction regexp yes/no text
#set
mail_filter attachment_subject fromorto *@* yes atencio
En aquest moment
l'assumpte del missatge de correu de de warning serà 'atenció+ assumpte_anterior'. A més no es poden incloure majúscules ni caràcters especials al camp text.
NSSOS bé configurat
per defecte de manera que pot identificar la majoria de fitxers
possiblement maliciosos pels usuaris aquests són :
'.exe','.com'..
Si vol acceptar
expressament algun d'aquests fitxers ho haurà de fer amb la
creació de regles d'usuari.
#set
mail_filter attachment allow \.exe$
#show
mail_filter
attachment_hardcoded {
deny .{150,} Very long filename, possible OE attack
allow \.jpg$ - Acceptem arxius .jpg
allow \.gif$ - Acceptem arxius .gif
allow \.url$ - Acceptem arxius .url
allow \.vcf$ - Acceptem arxius .vcf
allow \.txt$ - Acceptem arxius .txt
allow \.zip$ - Acceptem arxius .zip
allow \.t?gz$ - Acceptem arxius .tgz
allow \.bz2$ - Acceptem arxius .bz2
allow \.Z$ - Acceptem arxius .z
allow \.rpm$ - Acceptem arxius .rpm
allow \.gpg$ - Acceptem arxius .gpg
allow \.pgp$ - Acceptem arxius .pgp
allow \.sit$ - Acceptem arxius .sit
allow \.asc$ - Acceptem arxius .asc
allow \.hqx$ - Acceptem arxius .hqx
allow \.sit.bin$ - Acceptem arxius .sit.bin
allow \.sea$ - Acceptem arxius .sea
deny pretty\s+park\.exe$ Pretty Park virus
deny happy99.exe$ Happy virus
deny \.ceo$ WinEvar virus attachment
deny \.reg$ Possible Windows registry attack
deny \.chm$ Possible compiled Help file-based virus
deny \.cnf$ Possible SpeedDial attack
deny \.hta$ Possible Microsoft HTML archive attack
deny \.ins$ Possible Microsoft Internet Comm. Settings attack
deny \.jse?$ Possible Microsoft JScript attack
deny \.lnk$ Possible Eudora *.lnk security hole attack
deny \.ma[dfgmqrstvw]$ Possible Microsoft Access Shortcut attack
deny \.pif$ Possible MS-Dos program shortcut attack
deny \.scf$ Possible Windows Explorer Command attack
deny \.sct$ Possible Microsoft Windows Script Component attack
deny \.shb$ Possible document shortcut attack
deny \.shs$ Possible Shell Scrap Object attack
deny \.vb[es]$ Possible Microsoft Visual Basic script attack
deny \.ws[cfh]$ Possible Microsoft Windows Script Host attack
deny \.xnk$ Possible Microsoft Exchange Shortcut attack
deny \.com$ Windows/DOS Executable Executable DOS/Windows programs are dangerous in email
deny \.exe$ Windows/DOS Executable Executable DOS/Windows programs are dangerous in email
deny \.scr$ Possible virus hidden in a screensaver
deny \.bat$ Possible malicious batch file script
deny \.cmd$ Possible malicious batch file script
deny \.cpl$ Possible malicious control panel item
deny \.mhtml$ Possible Eudora meta-refresh attack
deny \{[a-hA-H0-9-]{25,}\}$ Filename trying to hide its real extension<
deny \s{10,} Filename contains lots of white space
allow (\.[a-z0-9]{3})\1$ -
deny \.[a-z][a-z0-9]{2,3}\s*\.[a-z0-9]{3}$ Found possible filename hiding
}
Com
pot observar el camp attachment_hardcoded conté
expressions regulars que indiquen els fitxers que NSSOS elimina
per defecte. Quan un missatge és analitzat i
s'ha identificat un fitxer adjunt dels descrits anteriorment es
notifica a l'usuari destinatari del correu de la següent forma
:
De: Unknown <albert@NSS1.proves.ct>
Per a: sergi@NSS1.proves.ct <sergi@NSS1.proves.ct>
Assumpte: {Alert?}
Data: Wed, 31 Aug 2005 13:30:12 +0200
Warning: This message has had one or more attachments removed
Warning: (hola.ppt).
Warning: Please read the "VirusWarning.txt" attachment(s) for more information.
Hola com estàs?
Com s'observa l'assumpte
ha estat modificat per '{alert?}'. Al cos del missatge s'ha afegit
una advertència indicant que s'ha eliminat el fitxer
'hola.ppt' adjunt i que es consulti el fitxer adjunt
'VirusWarning.txt' el qual descriu el motiu d'aquesta acció.
El contingut d'aquest fitxer és el següent :
This is a message from the MailScanner E-Mail Virus Protection Service
------------------------------------------------
The original e-mail attachment "hola.ppt"
is on the list of unacceptable attachments for this site and has been
replaced by this warning message.
If you wish to receive a copy of the original attachment, please
e-mail helpdesk and include the whole of this message
in your request. Alternatively, you can call them, with
the contents of this message to hand when you call.
At Wed Aug 31 15:22:13 2005 the virus scanner said:
MailScanner:No es permet rebre missatges amb fitxers de power point (hola.ppt)
Note to Help Desk: Look on NSS1T in /var/spool/MailScanner/quarantine/20050831 (message j7VDMDA09915).
--
Postmaster
NSS1T
esolit.com
MailScanner thanks transtec Computers for their support
NSSOS disposa d'un
antivirus preinstal·lat que és capaç
d'identificar un gran nombre de virus, tot hi així l'usuari
té la possibilitat d'instal·lar-ne un altre a través
de mòduls addicionals.
#set
mail_filter av enable
Un
cop activat el sistema escaneja els correus en busca de virus, si
n'identifica algun i ha activat la opció de filtratge
d'emails llavors pot configurar el comportament del sistema
mitjançant les regles que a continuació li mostrem. Si
no ha activat filtratge d'emails el
missatge serà automàticament eliminat pel NSSOS.
Si vol modificar
l'assumpte d'un missatge de correu en el que s'ha identificat un
virus pot utilitzar una regla d'usuari amb la següent sintaxi
:
set mail_filter
av_subject direction regexp yes/no usertext
Els camps d'aquesta regla
han estat explicat en anteriors capítols.
#set
mail_filter av_subject fromorto *@* yes es un virus
Recordar que no es
poden introduir caràcters especials o majúscules per
definir l'assumpte del missatge.
Quan el sistema detecta un
fitxer amb virus i ha habilitat la opció de filtratge
notificarà a l'usuari destinatari del email
amb un missatge similar al següent :
Return-Path: <fals@compania.com>
Received: from 10.0.0.6 ([10.0.0.6]) by NSS1T.esolit.com (8.11.6/2.0.0) with ESMTP id j829xLH11888 for <sergi@NSS1.proves.ct>; Fri, 2 Sep 2005 11:59:21 +0200
Assumpte: eicar
De: remitent fals <fals@compania.com>
Per a: sergi@NSS1.proves.ct <sergi@NSS1.proves.ct>
Content-type: text/plain; charset="ISO-8859-1"
Data: Fri, 02 Sep 2005 08:51:50 +0200
Message-Id: <1125643910.3193.1.camel@worki4>
Mime-Version: 1.0
X-Mailer: Evolution 2.0.2 (2.0.2-3)
Content-Transfer-Encoding: 7bit
X-NSS-MailFilter-Information: Please contact the ISP for more information
X-NSS-MailFilter: Found to be infected
X-NSS1T-MailScanner-From: fals@compania.com
Status:
X-Evolution-Source: pop://sergi@62.0.0.1
Warning: This message
has had one or more attachments removed
Warning: (the entire
message).
Warning: Please read the "VirusWarning.txt"
attachment(s) for more information.
This is a message from the
MailScanner E-Mail Virus Protection
Service
--------------------------------------------------
The original e-mail attachment "the entire message"
was believed to be infected by a virus and has been replaced by this warning
message.
If you wish to receive a copy of the *infected* attachment, please
e-mail helpdesk and include the whole of this message
in your request. Alternatively, you can call them, with
the contents of this message to hand when you call.
At Fri Sep 2 11:59:21 2005 the virus scanner said:
ClamAV: msg-11863-1.txt contains Eicar-Test-Signature
Note to Help Desk: Look on NSS1T in /var/spool/MailScanner/quarantine/20050902 (message j829xLH11888).
--
Postmaster
NSS1T
esolit.com
MailScanner thanks transtec Computers for their support
Observi que l'assumpte
de l'email
no es modifica en la política per defecte. NSSOS avisa al
destinatari que s'ha descarregat un correu
amb un possible virus.
Aquesta opció permet configurar el sistema de manera que quan detecti un correu amb fitxers adjunts maliciosos o bé fitxers amb virus generi automàticament un email alertant el remitent d'aquest fet.
La direcció
d'email del remitent del missatge coincideix amb la direcció
d'administració del NSS.
Pot configurar aquesta
notificació mitjançant la següent regla d'usuari.
Per habilitar que NSSOS
notifiqui al remitent quan aquest detecti un virus ho pot dur a terme
a través d'una regla d'usuari que té la següent
sintaxi:
set mail_filter
sender direction regexp yes/no
#set
mail_filter sender to @prova.com yes
De: MailScanner <adm@NSS1.proves.ct>
Per a: albert@NSS1.proves.ct
Assumpte: Warning: E-mail viruses detected
Data: Fri, 2 Sep 2005 13:50:51 +0200
------------------------------------------------
Our e-mail content detector has just been triggered by a message you sent:
To: sergi@NSS1.proves.ct
Subject: prova attachements fan servir sender????
Date: Fri Sep 2 13:50:46 2005
One or more of the attachments (hola.ppt) are on
the list of unacceptable attachments for this site and will not have
been delivered.
Consider renaming the files to avoid this constraint.
The virus detector said this about the message:
Report: Report: MailScanner: No es permet rebre missatges amb fitxers de power point(hola.ppt)
--
MailScanner
Email Virus Scanner
NSS1T
esolit.com
MailScanner thanks transtec Computers for their support
De: MailScanner <adm@NSS1.proves.ct>
Per a: albert@NSS1.proves.ct
Assumpte: Warning: E-mail viruses detected
Data: Fri, 2 Sep 2005 16:22:14 +0200
---------------------------------------------------
Our virus detector has just been triggered by a message you sent:-
To: sergi@NSS1.proves.ct
Subject: prova si sender es per a virus
Date: Fri Sep 2 16:22:10 2005
Any infected parts of the message (msg-23412-1.txt)
have not been delivered.
This message is simply to warn you that your computer system may have a virus
present and should be checked.
The virus detector said this about the message:
Report: Report: ClamAV: msg-23412-1.txt contains Eicar-Test-Signature
--
MailScanner
Email Virus Scanner
NSS 1T
esolit.com
El comportament per
defecte és no informar al remitent. El motiu és que els
virus acostumen a falsejar la direcció d'origen dels emails .
Si vol que el sistema notifiqui al remitent ho ha de fer a través
d'una regla d'usuari.
Aquesta opció li
permet configurar el sistema de manera que quan aquest detecti un
correu amb qualsevol contingut maliciós l'administrador rebi
una notificació per email
d'aquest procés.
Perquè el sistema
realitzi aquesta tasca s'ha de definir una regla de la següent
manera :
set mail_filter
notices direction regexp yes/no
#set
mail_filter notices to pitu@prova.com yes
De: MailScanner <adm@NSS1.proves.ct>
Per a: albert@NSS1.proves.ct
Assumpte: Virus Detected
Data: Fri, 2 Sep 2005 16:28:26 +0200
---------------------------------------------------
The following e-mails were found to have: Virus Detected
Sender: albert@NSS1.proves.ct
IP Address: 10.0.0.6
Recipient: sergi@NSS1.proves.ct
Subject: prova attachements fan servir sender????
MessageID: j82ESHc23460
Quarantine: /var/spool/MailScanner/quarantine/20050902/j82ESHc23460
Report: MailScanner: No es permet rebre missatges amb fitxers amb format power point, si vols pot comprimir-lo amb un ZIP (hola.ppt)
Sender: albert@NSS1.proves.ct
IP Address: 10.0.0.6
Recipient: sergi@NSS1.proves.ct
Subject: prova si sender es per a virus
MessageID: j82ESGc23457
Quarantine:
Report: ClamAV: msg-23415-2.txt contains Eicar-Test-Signature
--
MailScanner
Email Virus Scanner
www.mailscanner.info
Com pot observar un e-mail d'aquest tipus pot reportar múltiples deteccions de codi maliciós. El sistema també reporta a l'administrador si identifica e-mails amb codi maliciós. Per exemple si el sistema detecta un iframe notificarà a l'administrador de la següent manera :
Return-Path: <albert.ventura@esolit.com>
Delivered-To: 3-albert.ventura@esolit.com
Received: (qmail 21175 invoked from network); 14 Oct 2005 10:58:04 -0000
Received: from 229.red-80-24-10.staticip.rima-tde.net (HELO localhost.localdomain) (80.24.10.229) by mad.esolit.com with SMTP; 14 Oct 2005 10:58:04 -0000
Received: (from root@localhost) by localhost.localdomain (8.11.6/2.0.0) id j9EAw7v08133; Fri, 14 Oct 2005 12:58:07 +0200
Data: Fri, 14 Oct 2005 12:58:07 +0200
Message-Id: <200510141058.j9EAw7v08133@localhost.localdomain>
De: MailScanner <albert.ventura@esolit.com>
Per a: albert.ventura@esolit.com
Assumpte: Other Bad Content Detected
Content-type: text/plain; charset=ISO-8859-1
X-Evolution-Source: pop://albert.ventura@mad.esolit.com
Mime-Version: 1.0
The following e-mails were found to have: Other Bad Content Detected
Sender: sergi@NSS1.proves.ct
IP Address: 10.0.0.6
Recipient: sergi@NSS1.proves.ct
Subject: provaiframe
MessageID: j9EAvs908121
Quarantine:
Report: MailScanner: Found dangerous IFrame tag in HTML message
Report: MailScanner: Found dangerous IFrame tag in HTML message
--
MailScanner
Email Virus Scanner
www.mailscanner.info
Per defecte no es
notifica l'administrador en la detecció de codi maliciós.
El correu SPAM pot ocasionar molts problemes a Internet i als sistemes que es connecten a La xarxa, ja sigui per la saturació de l'ample de banda, lentitud dels servidors o bé per la pèrdua de temps que comporta pels usuaris haver de triar i eliminar aquest tipus de correu molest.
Per minimitzar el tràfic SPAM es recomana als usuaris no fer cadenes de missatges i si es publica la direcció de correu en alguna pagina web es recomana utilitzar 'at' en comptes de '@' per evitar així que la nostra direcció sigui recol·lectada per spammers. Els administradors també han de posar de la seva part en configurar correctament els servidors de correu a més es
recomana no contestar correu a una direcció de SPAM.
Si tot aplicant les mesures cautelars anteriors els usuaris estan rebent contínuament correu brossa, NSSOS proporciona un servei de filtratge antispam.
El funcionament és
el següent : el sistema efectua una quantificació dels
missatges amb punts. Quan un missatge supera un cert llindar es
cataloga com SPAM. La quantificació es basa en funció
de certs paràmetres del missatge com per exemple els fitxers
adjunts, les adreces font i destí del correu, la inclusió
de certs patrons en el missatge etc.
#set
mail_filter antispam enable
#set
mail_filter antispam disable
Quan el servei és
activat automàticament s'aplicaran els filtres per defecte
definits.
Aquesta opció li permet establir l'acció
que realitzarà el sistema quan identifiqui un email com SPAM. Val a dir s'ha d'haver activat la opció antispam
El format de creació
d'una regla d'aquest tipus és :
set mail_filter antispam_action action
A continuació es
descriu els diferents valors que pot tenir el camp action :
deliver : El
sistema lliura el missatge al destinatari sense notificar que el
missatges conté SPAM.
delete : El
missatge és eliminat i no és lliurat al destinatari
en cap cas.
notify : S'envia automàticament al destinatari de correu un missatge informant que ha rebut un correu amb SPAM. El missatge serà semblant al següent :
De: MailScanner <albert.ventura@esolit.com>
Per a: sergi@NSS1.proves.ct
Assumpte: {Spam not delivered} V14GR4 ORDER NOW !!! FREE !!!!
Data: Thu, 1 Sep 2005 14:09:27 +0200
Our UCE (spam) detectors have been triggered by a message you received:-
From: fals@compania.com
Subject: V14GR4 ORDER NOW !!! FREE !!!!
Date: Thu Sep 1 14:09:26 2005
This message has not been delivered. The detectors that were triggered are spam, SpamAssassin.
The message to you has been detected as spam based on either its contents or the mail server which
sent the message to us, or both.
We do not accept unsolicited commercial (spam) e-mail and actively work to stop it.
If you have any questions about this, or you believe you have received this message in error,
please contact the site system administrators.
Your system administrators will need the following information:
Server name: NSS 1T
Message id: j81C9NF30710
Date code: 20050901
--
MailScanner
Email Virus Scanner
NSS 1T
esolit.com
MailScanner thanks
transtec Computers for their support
#set
mail_filter antispam_action attachment
#set
mail_filter antispam_action deliver
La política per
defecte és eliminar el missatge detectat com SPAM.
Aquesta opció li permet especificar quins missatges no seran identificats mai com SPAM en funció de les adreces font i destí. Segurament voldrà incloure en aquesta llista les adreces IP de les xarxes connectades al NSSOS o les IP del seu domini.
Ho pot fer definint una
regla amb els següents paràmetres :
set
mail_filter antispam_not_spam direction regexp yes/no
#set
mail_filter from antispam_not_spam *@partner.com yes
Per defecte no hi ha cap
host inclòs en aquesta llista. Això vol dir que
qualsevol missatge identificat com SPAM se li aplicarà l'acció
configurada mitjançant la opció action.
NSSOS permet
especificar que els missatges amb certs remitents o destinataris
siguin catalogat sempre com SPAM, independentment del seu contingut.
Ho pot fer amb una regla
de la següent sintaxi :
set mail_filter
antispam_is_spam direction regexp yes/no
#set
mail_filter antispam_is_spam from 65.21.32.2
Inicialment NSSOS no té
cap adreça a la la llista negra. Això vol dir que
qualsevol missatge identificat com SPAM se li aplicarà l'acció
configurada mitjançant la opció action .
Capitol 7 |
Index |
Tornar al començament | Capitol 9
| 
