mazani podezrelych priloh

Michal Bukovský michal na trilogic.cz
Pátek Září 26 11:20:49 CEST 2003 

On Fri, 26 Sep 2003, Lubos Kaspar wrote:

> > 
> > snazim se o to, aby se na postovnim serveru mazaly maily s podezrelymi
> > priponami .exe apod., nez se dostanou ke klientum.
> 
> Pekna cenzura, ze? To je skoro jako za totality, kdyz byly rusicky

a) Firemni server - tady neni _zadne_ opodstatneni takove maily prijimat,
   server je provozovan pro firemni korespondenci a ne pro preposilani 
   KRAVIN v .exe, .mpg, .... 
   Mimo to nejde jen o to, ze uzivatele MS produktu budou zavirovany, ale o 
   zvyseny trafic a pripade vytaceneho spojeni, _prime_ ztraty.
   Zde by mel opodstatneni AV sw, ale i toto, muze byt dobra ochrana, ktera 
   je soucasti cele AV startegie.
   
b) Verejny sever - mozna, ale i tady by se dalo diskutovat jestli 
   mail je zrovna vhodny na posilani necoho jako .exe, na to jsou jine
   programy a protokoly a ne SMTP.

> "diverznich" rozhlasovych vysilani nebo kdyz na tzv. poste Praha 120
> filtrovali "podezrele" zasilky z nepratelskeho zahranici... Pan spravce
> postovniho serveru se pasuje na boha, nebot jen on vi, co je pro jeho
> ovecky dobre... :-(

V pripade firmeniho serveru (vetsiny), na tzv. boha je spravce pasovan 
svym zamestnatelem, ktery si vetsinou preje, aby jeho sit byla viru
prosta! Tudiz si muze diktovat, co a jak bude pres SMTP chodit - je to
jen pracovni nastroj, stejne jako kladivo, nebo lopata.

> Nemeli by uzivatele MS-systemu pozadovat opravu bezpecnostnich bugu od
> dodavatele (kdyz mu plati tak horentni sumy za jeho blativy SW)?

Meli, ale stejnak je lepsi takoveto veci co nejdrive zastavit.

> > ...
> >         * Content-Disposition: attachment
> >         * name=.*\.(com|exe|pif|scr|bat|lnk|shf|vbs)
> 
> Jeste je tam treba doplnit 'doc' - nebo ze by wordovske makroviry
> nebyly nebezpecne? Proc zrovna exe se maji chytat znasilnenym MTA a
> doc az nejakym antivirem na cilovem MS-OS?

Hm nevzpominam si zrovna, ze by se v posledni dobe nejak moc sirily 
makroviry v .doc souborech, zato blbosti, jako SoBig, Gibe, MSBlaster 
je docela dost.


> Krome toho je prece notoricky znamo, ze pripona
> ve jmenu souboru vubec nemusi korespondovat s obsahem a ze MS-systemy
> nejdriv zabiraji na nejaka "magic numbers" v obsahu souboru a pripona
> je jen naslednym pomocnym voditkem pro rozhodnuti, jaky program na ten
> ktery soubor pustit.

To je sice pravda, ale _vetsina_ viru v dnesni dobe ma prave tyto
pripony, ...

> BTW: Kdyz uz se to tu hemzi bojovniky proti MS-virum, copak je to
>      ted za modu? V poslednich dnech chodi dost dvojic nejakych
>      nejapnosti, nejspis viru (nekdy je subject prazdny, nekdy je tam neco
>      jako "MS security patch"), protoze od stejneho odesilatele prijde
>      jeden (dlouhy kodovane asi 2200 radku) s kecy typu "MS customer..."
>      a nejakym exe a druhy (dlouhy kodovane asi 1900 radku) jen s binarnim
>      obsahem, resp. s kratkym zavadejicim oznamenim o nedorucitelnosti
>      neceho.

Gibe.f

> Doporucuji presunout se s podobnymi problemy do nejake konference (resp.
> skupiny news) zamerene svym zalozenim na boj s MS-viry. Tato to neni.

No nevim, podle je tohle presne konfertence, kde resit _jak_ nastavit
filtraci v postfixu, qmailu, sendmailu, ...

PS: Nas firemni SMTP odmita _veskere_ MS spustitelne pripony na SMTP urovni 
    a od odladeni reguralniho vyrazu do postfixu, timto opatrenim prosly
	dva maily, ktere nasledny ClamAV oznacil, jako vir. Sef je velice
	spokojen, protoze na MS stanicich, se jiz od te doby _neobjevil_
	vir.

--
Michal Bukovský <michal.bukovsky na trilogic.cz>
:wq

Další informace o konferenci Sendmail