mazani podezrelych priloh
Michal Bukovský
michal na trilogic.cz
Pátek Září 26 11:20:49 CEST 2003
On Fri, 26 Sep 2003, Lubos Kaspar wrote:
> >
> > snazim se o to, aby se na postovnim serveru mazaly maily s podezrelymi
> > priponami .exe apod., nez se dostanou ke klientum.
>
> Pekna cenzura, ze? To je skoro jako za totality, kdyz byly rusicky
a) Firemni server - tady neni _zadne_ opodstatneni takove maily prijimat,
server je provozovan pro firemni korespondenci a ne pro preposilani
KRAVIN v .exe, .mpg, ....
Mimo to nejde jen o to, ze uzivatele MS produktu budou zavirovany, ale o
zvyseny trafic a pripade vytaceneho spojeni, _prime_ ztraty.
Zde by mel opodstatneni AV sw, ale i toto, muze byt dobra ochrana, ktera
je soucasti cele AV startegie.
b) Verejny sever - mozna, ale i tady by se dalo diskutovat jestli
mail je zrovna vhodny na posilani necoho jako .exe, na to jsou jine
programy a protokoly a ne SMTP.
> "diverznich" rozhlasovych vysilani nebo kdyz na tzv. poste Praha 120
> filtrovali "podezrele" zasilky z nepratelskeho zahranici... Pan spravce
> postovniho serveru se pasuje na boha, nebot jen on vi, co je pro jeho
> ovecky dobre... :-(
V pripade firmeniho serveru (vetsiny), na tzv. boha je spravce pasovan
svym zamestnatelem, ktery si vetsinou preje, aby jeho sit byla viru
prosta! Tudiz si muze diktovat, co a jak bude pres SMTP chodit - je to
jen pracovni nastroj, stejne jako kladivo, nebo lopata.
> Nemeli by uzivatele MS-systemu pozadovat opravu bezpecnostnich bugu od
> dodavatele (kdyz mu plati tak horentni sumy za jeho blativy SW)?
Meli, ale stejnak je lepsi takoveto veci co nejdrive zastavit.
> > ...
> > * Content-Disposition: attachment
> > * name=.*\.(com|exe|pif|scr|bat|lnk|shf|vbs)
>
> Jeste je tam treba doplnit 'doc' - nebo ze by wordovske makroviry
> nebyly nebezpecne? Proc zrovna exe se maji chytat znasilnenym MTA a
> doc az nejakym antivirem na cilovem MS-OS?
Hm nevzpominam si zrovna, ze by se v posledni dobe nejak moc sirily
makroviry v .doc souborech, zato blbosti, jako SoBig, Gibe, MSBlaster
je docela dost.
> Krome toho je prece notoricky znamo, ze pripona
> ve jmenu souboru vubec nemusi korespondovat s obsahem a ze MS-systemy
> nejdriv zabiraji na nejaka "magic numbers" v obsahu souboru a pripona
> je jen naslednym pomocnym voditkem pro rozhodnuti, jaky program na ten
> ktery soubor pustit.
To je sice pravda, ale _vetsina_ viru v dnesni dobe ma prave tyto
pripony, ...
> BTW: Kdyz uz se to tu hemzi bojovniky proti MS-virum, copak je to
> ted za modu? V poslednich dnech chodi dost dvojic nejakych
> nejapnosti, nejspis viru (nekdy je subject prazdny, nekdy je tam neco
> jako "MS security patch"), protoze od stejneho odesilatele prijde
> jeden (dlouhy kodovane asi 2200 radku) s kecy typu "MS customer..."
> a nejakym exe a druhy (dlouhy kodovane asi 1900 radku) jen s binarnim
> obsahem, resp. s kratkym zavadejicim oznamenim o nedorucitelnosti
> neceho.
Gibe.f
> Doporucuji presunout se s podobnymi problemy do nejake konference (resp.
> skupiny news) zamerene svym zalozenim na boj s MS-viry. Tato to neni.
No nevim, podle je tohle presne konfertence, kde resit _jak_ nastavit
filtraci v postfixu, qmailu, sendmailu, ...
PS: Nas firemni SMTP odmita _veskere_ MS spustitelne pripony na SMTP urovni
a od odladeni reguralniho vyrazu do postfixu, timto opatrenim prosly
dva maily, ktere nasledny ClamAV oznacil, jako vir. Sef je velice
spokojen, protoze na MS stanicich, se jiz od te doby _neobjevil_
vir.
--
Michal Bukovský <michal.bukovsky na trilogic.cz>
:wq
Další informace o konferenci Sendmail