Verbeter email veiligheid met Procmail, de Email Reiniger

Home

original page:https://www.impsec.org/email-tools/procmail-security.html

 

 

Welkom op de homepagina van de Email Reiniger. De Reiniger is een hulpmiddel voor het voorkomen van aanvallen op de veiligheid van jouw computer door middel van email berichten. Het heeft zich reeds zeer succesvol bewezen tegen de Microsoft Outlook wormen die de laatste tijd zoveel aandacht hebben gekregen in de populaire media en die voor zoveel problemen hebben gezorgd.

 

De doelgroep van de Reiniger zijn de beheerders van mail systemen. Het is over het algemeen niet bedoelt voor eindgebruikers, tenzij ze hun eigen mail systeem beheren in plaats van simpelweg hun mailprogramma te vertellen berichten van een server die beheerd wordt door iemand anders te halen.

 

Als je hier terecht bent gekomen omdat je een bericht hebt gehad dat een mail die je hebt gestuurd geweigerd is, of omdat de URL voor deze website verschijnt in een mail die je hebt ontvangen, of omdat je je afvraagt waarom de bijlagen van je mails ineens DEFANGED heten, lees dan alsjeblieft eerst deze introductie tot de Reiniger – dit zou al je vragen moeten beantwoorden. Laat het me weten als dat niet zo is.

 

Houd er alsjeblieft rekening mee dat de reiniger GEEN traditionele virusscanner is. Het is niet afhankelijk van “handtekeningen” om aanvallen op te sporen en heeft niet de kwetsbare problemen die handtekening-gebaseerde beveiliging altijd heeft; het laat je meer gebruik maken van dingen als “email zou niet gescript moeten zijn”, en “macros in Microsoft Office document bijlagen zouden geen toegang mogen hebben tot de Windows register”, en “email mag geen bijlagen hebben die door Windows uit te voeren zijn”, en quarantaine berichten die dit beleid schenden.

 

Site Index:

 

Filter Email voor veiligheid

Procmail is een programma dat email berichten verwerkt en zoekt naar specifieke informatie in de titels of tekst van ieder bericht, en actie onderneemt gebaseerd op wat het vindt. Als je bekend bent met het concept van “regels” waar veel grote mail cliënten van voorzien zijn (zoals de cc:Mail cliënt), dan ben je tevens reeds bekend met het concept van de automatische verwerkte email berichten gebaseerd op hun inhoud.

 

De combinatie van de procmail regels en het Perl script is specifiek ontworpen om jouw email te “reinigen” op de mailservers, voordat je gebruikers ook maar proberen hun berichten te krijgen. Het is niet bedoelt voor eindgebruikers om op hun Windows desktopsystemen te installeren voor persoonlijk gebruik.

Klik hieronder om

een email te ontvangen

wanneer deze pagina verandert

Top of Form

…met gebruik vanChangeDetection:

 

ChangeDetection privacy statement

 

Bottom of Form

 

 

 

Nieuws & Aantekeningen

De huidige verse van de html-trap.procmail regels is: 1.151

Het wordt aangeraden om jouw versie te updaten als deze ouder is, gezien foutjes zijn gemaakt en er nieuwe filters toegevoegd zijn. Bekijk hier de geschiedenis van aanpassingen voor details.

 

Ik laat de Reiniger constant in productie ook al heeft de ontwikkeling zich in de laatste paar jaar verminderd en wordt dat nu vooral gedreven door wat nodig is in plaats van waar gebruikers om vragen. Het is nog steeds enorm nuttig, en blokkeert nog steeds malware, zelfs van uitbaters die virus scanners nog niet detecteren. Ik heb echter de website al een tijd niet meer up-to-date gehouden, dus dat doe ik nu. Ik stel voor dat wanneer je de Reiniger nog steeds gebruikt, je een kijkje neemt naar de ontwikkelingen (1.152pre8) voor doorgaande veranderingen en verbeteringen, met name van de Office macro scanner voor gedownloade malware.

 

 

Er is een overloopkwetsbaarheid van de buffer in de zipfile-bibliotheek DUNZIP32.dll die door veel commerciële programma’s wordt gebruikt, waaronder Lotus Notes en Real Audio Player. Exploitanten van deze beveiligingslek zijn IN THE WILD. Als u Notes of een andere software gebruikt die ZIP-archieven verwerkt, neemt u contact op met uw leverancier om te zien of er een update beschikbaar is.

In een poging om dit beveiligingslek te repareren, controleert de ontwikkelingsversie van de Reiniger de lengte van bestandsnamen met de gearchiveerde bestandsnamen. Als u de ontwikkeling snapshots niet wilt is er een patch beschikbaar die de zip-bestandsnaamlengtetest toevoegt aan de bestaande ZIP-scanning. Het is tegen 1.151, maar het zou moeten werken op elke release met ZIP-scanning.

 

Er is een kleine patch voor versies 1.151 en eerder beschikbaar, dat de methode van verwarrende ingebedde javascript repareert. Om deze patch toe te voegen sla je de patch op in de directory waar jouw reiniger is opgeslagen (voornamelijk /etc/procmail) en voer het volgende commando in:

 

patch –backup <obfuscated_javascript.patch

 

Dit wordt de eerstvolgende stabiele uitgave.

 

De esa-1 en esd-1 mailing lijsten zijn gerestaureerd en worden nu gehost door impsec.org. Met dank aan Michael Ghens voor zijn genereuze hulp voor het hosten van de lijst voor de komende vijf jaar!

 

Er is een aankondigingsmailingslijst voor problemen in de email veiligheid. Het zal voornamelijk informatie bevatten over nieuwe exploitanten en updates van de reiniger. Stuur een bericht met als onderwerp “aanmelden” naar esa-1-request@impsec.org om jezelf aan te melden. Deze lijst wordt nauwkeurig bijgehouden zodat er alleen aankondigingen op staan en geen discussies.

 

Als je je bij de reinigers discussie mailing lijst wilt voegen, stuur dan een bericht met als onderwerp “aanmelden” naar esd-1-request@impsec.org. Dit is een leden-only lijst; om hier te kunnen reageren moet je lid zijn. Er is ook een archief van berichten beschikbaar.

 

1.142 repareert een kleine bug in 1.141 dat te exact is met het vergelijken van zipfile namen.

 

1.141 staat nu het scannen van ZIP archief inhouden toe. OPMERKING: als je niet uitdrukkelijk een ZIPPED_EXECUTABLES beleidsbestand uitvoert, zal de reiniger je POISONED_EXECUTABLES beleidsbestand standaard maken voor het verwerken van de ZIP archief inhoud. Dit is waarschijnlijk meer paranoïde dan dat je zou willen. Bekijk het Aanpassen van de Reiniger pagina voor meer details.

 

 

BELANGRIJKE OPMERKING:

 

Als je de reiniger versie 1.139 hebt gedownload en gebruikt, kan je hier een patch vinden zodat het samengestelde onderdeel van NovArg/MyDoom negeert wordt. Ontvangen: headers en stop met het melden van niet-bestaande afzenderadressen over de aanval. Pas deze patch toe aan je reiniger met gebruik van de onderstaande instructies en help de krankzinnige hoeveelheid verkeer die dit monster genereert te verminderen…

HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) ]

Installatie instructies:

 

Kopieer het .diff bestand naar de directory waar jouw reiniger opgeslagen staat en voer het volgende commando in:

cp html-trap.procmail html-trap.procmail.oldpatch < smarter-reply.diff

 

De 1.139 Reiniger bevat detectie van overstroomaanvallen van de Microsoft Office VBE buffer. Zie het EEye alert voor meer details.

 

SoBig.F regels voor directe aanvallen en bounces staan nu in het voorbeeld voor lokale regels bestand.

 

Bekijk alsjeblieft eerst het voorbeeld voor lokale regels bestand voor een regel die de detectie en quarantaine berichten ontworpen om het Stuurmail header parsing remote-root bug aan te vallen. BELANGRIJK: Deze regel zal de machine waarop het geïnstalleerd is NIET beschermen. Je moet je stuurmail alsnog updaten. Het kan daarentegen kwetsbare machines achter de machine beschermen, zodat je tijd hebt om hem te updaten.

Als je foutmeldingen krijgt zoals “sendmail: illegal option — U” bekijk dan de configuratie pagina om het te repareren.

Als je ervaren bent met het “Dropped F” probleem (waarin de “F” in de leidende “From” in het bericht wordt verwijderd), houd er dan rekening mee dat dit een bekend probleem is in procmail. Het wordt waarschijnlijk gerepareerd in de huidige versie, dus je wilt misschien updaten. Het probleem doet zich voor wanneer er een filter actie een foutmelding terugstuurt. In deze situatie kan procmail de eerste byte van het bericht verliezen. VERZEKER jezelf ervan de je log bestand 622 toestemmingen heeft. Tevens kan je hier een korte regel vinden die je kan helpen om het op te ruimen, voeg het toe aan het einde van je /etc/procmailrc bestand.

 

(Het plannen voor) de ontwikkeling van de 2.0 Reiniger is begonnen. De lijst met geplande features ziet er als volgt uit:

 

  • Op beleidsbestanden gebaseerde verwerking van bijlagen ($MANGLE_EXTENSIONS) verdwijnt.
  • Internationalisatie van ondersteuning via GNU gettext of iets gelijkwaardigs.
  • Fatsoenlijke afhandeling van gecodeerde bestandsnamen.
  • Vouw de header-lengte en HTML-defanging code in het belangrijkste perl-script, om initialisatie van perl-processen te minimaliseren.
  • Het perl script wordt afgescheiden (niet langer inline).
  • Verhuizen van mimencode en mktemp naar MIME::Base64 en File::MkTemp
  • Inloggen in berichten zelf (door een nieuw MIME tekst bijlage toe te voegen die een vermelding maakt van wat er gebeurt tijdens de reiniging) met de mogelijkheid om site-specifieke notitie bestanden toe te voegen.
  • Kijken naar MS-TNEF bijlagen. Ik hoop een volledige beleid en macro scanning ondersteuning te hebben, maar het beleid zal waarschijnlijk toegepast moeten worden op de MS-TNEF bijlagen in toto (bijvoorbeeld wanneer een onderdeel ervan wordt gestript, wordt het hele ding gestript).
  • Optionele de-BASE64ing van tekst en HTML bijlagen, zodat ze onderdeel kunnen zijn van de spam filtering na de reiniging.

 

Beta aankondigingen worden gedaan in de maillijst.

 

Je kan contact met mij opnemen via jhardin@impsec.org – of je kan mijn website bezoeken.

 

Verschillende mensen hebben me gevraagd waarom ik geen geld vraag voor deze dienst. Ik geloof dat dit voornamelijk komt door het feit dat ik denk dat niemand bloot zou mogen staan aan deze aanvallen simpelweg omdat ze niet voor bescherming kunnen of willen betalen, maar het heeft ook te maken met het feit dat ik dit zie als een interessante intellectuele uitdaging, een manier om herkenning te krijgen, en een manier om terug te geven aan de samenleving.

Als je echter wilt betalen om iets van waarde te ontvangen, iets dat je leven heeft verbeterd, ben je welkom om mijn persoonlijke wenslijst of mijn Amazon wenslijst te bekijken, of me een donatie te sturen via PayPal en ik betreur het dat niemand TequilaPal doet momenteel.