Re: [Exim-users] exe in zip
acl_smtp_mime = acl_check_mime
begin acl
acl_check_mime:
deny message = A .zip attachment contains a Windows-executable file - \
blocked because we are afraid of new viruses \
not recognized [yet] by antiviruses.
condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
condition = ${if def:sender_host_address}
!authenticated = *
decode = default
log_message = forbidden binary in attachment:
filename=$mime_filename, \
recipients=$recipients
condition = ${if match{${run{/usr/local/bin/unzip -l \
$mime_decoded_filename}}}\
{\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js\
|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys|btm|dat|msi|prf|vb)\n\N}}
Спасибо - именно это решение я и находил, я думал может быть есть решение
более красивое. Но раз нет - значит нет. У меня сервер не нагруженный -
переживет
Кламав я так понимаю не распаковывает второй архив что-ли? Но с этим
архивом в архиве можно разобраться - его можно просто заблокировать.
Можно в список расширений добавить zip, но сначала проверить,
не бывает ли zip в конце какой-то строки в начале или конце вывода unzip
-l.
да - я именно так и собираюсь сделать.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] exe in zip
Hello! On Mon, 02 Feb 2015 at 15:46:53 (+0200), Vasiliy P. Melnik wrote: Вот и возник вопрос - как блокировать прохождение письма, если в атаче зип-архив. Неожиданный вопрос %-\ Особенно на фоне фразы cab-ы у меня и так закрыты. Кламав я так понимаю не распаковывает второй архив что-ли? Зависит от настроек clamd. -- George L. Yermulnik [YZ-RIPE] ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] exe in zip
Hello!
On Mon, 02 Feb 2015 at 16:02:05 (+0200), l...@lena.kiev.ua wrote:
condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
Имхо, ${if match{${lc:$mime_filename}}{\N\.zip$\N}} читабельнее. Но о
вкусах не спорят =)
--
George L. Yermulnik
[YZ-RIPE]
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] exe in zip
как блокировать прохождение письма, если в атаче
зип-архив.
acl_smtp_mime = acl_check_mime
begin acl
acl_check_mime:
deny message = A .zip attachment contains a Windows-executable file - \
blocked because we are afraid of new viruses \
not recognized [yet] by antiviruses.
condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
condition = ${if def:sender_host_address}
!authenticated = *
decode = default
log_message = forbidden binary in attachment: filename=$mime_filename, \
recipients=$recipients
condition = ${if match{${run{/usr/local/bin/unzip -l \
$mime_decoded_filename}}}\
{\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js\
|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys|btm|dat|msi|prf|vb)\n\N}}
в письмах, которые я видел обычно идет архив в архиве
- двойное архивирование.
В run можно вписать распаковку и проверку.
Кламав я так понимаю не распаковывает второй архив что-ли? Но с этим
архивом в архиве можно разобраться - его можно просто заблокировать.
Можно в список расширений добавить zip, но сначала проверить,
не бывает ли zip в конце какой-то строки в начале или конце вывода unzip -l.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
[Exim-users] exe in zip
Здравствуйте. В последнее время активизировался шифровальщик, распространяется через почту в виде cab или zip-а. С первым случаем все понятно - cab-ы у меня и так закрыты. А вот с зипом сложнее - архивы надо пересылать. Вот и возник вопрос - как блокировать прохождение письма, если в атаче зип-архив. И кстати - в письмах, которые я видел обычно идет архив в архиве - двойное архивирование. Кламав я так понимаю не распаковывает второй архив что-ли? Но с этим архивом в архиве можно разобраться - его можно просто заблокировать. Это не вызовет проблем. Пока все решения, которые я нахожу в интернете связаны с запуском внешнего скрипта. Ну как-бы можно и так - но вдруг есть более красивые решения ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] exe in zip
Здравствуйте, Lena.
Вы писали 2 февраля 2015 г., 22:02:05:
condition = ${if match{${run{/usr/local/bin/unzip -l \
а оно устойчиво к mailbomb?
--
С уважением,
Alexander mailto:t...@irk.ru
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] exe in zip
Tue, Feb 03, 2015 at 13:26:35, tit wrote about Re: [Exim-users] exe in zip:
condition = ${if match{${run{/usr/local/bin/unzip -l \
а оно устойчиво к mailbomb?
-l это листинг состава, не распаковка и даже не проверка.
Если его можно чем-то задосить, то разве что миллионом однобайтовых
файлов внутри архива...
-netch-
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
