El 2004-10-16 a las 22:48 +0200, Camaleón escribió:
Rechaza cualquier correo que contenga ejectuables, aunque vengan dentro de un fichero zip.
Pues si hace eso, creo me despiden...
:-P
X'-) Te entiendo perfectamente. Pero no los borra, los pone en cuarentena. Eso tiene la alternativa de simplemente hacer análisis de virus, con el amavis. la configuración mia tiene: # @bypass_virus_checks_acl = qw( . ); # uncomment to DISABLE anti-virus code @bypass_spam_checks_acl = qw( . ); # uncomment to DISABLE anti-spam code #Cer: el original solo miraba SPAM. Yo solo quiero mirar virus, spam lo hago por usuario - yo. Fíjate que la configuración es MUY ambigua y confusa, para programadores. Para _activar_ la detección de virus, hay que _comentar_ la linea, con un "#" delante. Y para activar la detección de spam, hay que comentar la otra linea. Justo al revés de lo intuitivo. Por defecto viene al revés, analiza spam pero no virus. ¿porqué? Pues porque directamente rechaza los ejecutables, así que analizar virus es inutil. O sea, si quieres que no rechace los ejecutables hay que poner el comentario en lo de virus, como yo arriba. Entonces hay que quitar lo del rechazo de ejecutables, que creo recordar era esta linea: #Cer $bypass_decode_parts = 1; # (defaults to false) Ahora bien... ¿como creo yo que debiera funcionar? 1) Detectar ejecutables. 1.1) Si contiene ejecutables (aunque sea en un zip), investigar virus. 1.1.1) Si tiene virus, rechazar. Informar unicamente al usuario local, sea el remitente, o el destinatario, pero sólo al local, nunca al remoto. 1.1.2) Si no tiene virus, poner en cuarentena. Hacer el mismo aviso que 1.1.1, al usuario local unicamente. 1.2) Si no contiene ejecutables, dejar pasar el fichero. Tal como viene, en cuanto detecta un ejecutable, lo rechaza, sea o no un virus - salvo que venga en un zip con password. ¿No recuerdas un bombardeo de virus que venía precisamente en un fichero zip con password, con la password en el texto? Se hubiera saltado esta protección... pero los antivirus lo detectaban. ¿No es tan sencillo, verdad?
Me parece un poco exagerado borrar un adjunto que contenga un .zip. ¿Qué pasará cuando los virus se puedan incrustar dentro de .pdf sencillo (sin macros ni javascript ni esas cosas)? ¿borraremos todos los .pdf?
Sólo los zips que contengan ejecutables. El que un fichero sea ejcutable lo determina la salida del comando "file". Ojo, que los pdf con formularios rellenables (pe) pueden llevar macros...
Es tentador, pero no puedo hacerlo.
Los adjuntos ejecutables (y los "incrustados") los filtro con Postfix directamente (header_checks), pero los .zip no los he puesto... todavía.
Es lo mismo que hago yo. Pero date cuenta que un unico ejecutable que se te cuele, y que esté infestado y no lo sepas (o sea un troyano no descubierto), te puede hacer una buena gamberrada. Los usuarios de correo no tienen porqué mandarse ejecutables en el correo, ni tienen porqué instalar programas en sus ordenadores, de ninguna clase, en una empresa. Claro, que yo también me he instalado programas en el trabajo :-P
O sea, que aquí debes poner por lo menos tu propia red privada, y creo que la IP de tu puerta a internet, la de la maquina que corre el servidor de correo externo.
La red privada la tengo puesta, y después tengo la IP de los servidores MX de Terra (213.4.129.130), pero no funciona.
Creo que es la IP de tu servidor de correo propio, el del postfix, el que tienes que poner.
Sé que el "quid" de todo está en esta página:
http://wiki.apache.org/spamassassin/WhitelistFromRcvdAndTrust
No lo he mirado...
Pero no sé cómo ejecutar el comando ese que pone de < tstmsg > ... voy a hacer pruebas.
El objetivo es el siguiente:
- Si un usuario (legal) que aparece en la lista blanca (usuario@terra.es) me manda un correo, quiero que SA le haga la prueba de USER_IN_WHITELIST y le de -100 puntos, aunque sea un mensaje muy enrevesado.
Ten en cuenta este comentario: # If ALL recipients of the message either white- or blacklist the sender, # spam scanning (calling the SpamAssassin) is bypassed, saving on time. Es una nota del amavis new, pero creo que el SA hace lo mismo. Es decir, si alguien está en una de las dos listas, no mira nada más.
- Si un usuario (no legal = spammer) que aparece en la lista blanca (spammer@terra.es) me manda un correo, quiero que SA no le haga la prueba de USER_IN_WHITELIST y no le de -100 puntos y le asigne la puntuación correspondiente (para lo cual tendrá que echar mano del trusted_networks).
Si un usuario está en la lista blanca, aunque sea un spammer, entra directamente, sin más. Si está en la de whitelist_from_rcvd, sólo lo considerá como "blanco" si ha llegado a través del relay del servidor correspondiente a su dominio. Si no coincide, no lo considerará blanco, y le aplicará el resto de reglas.
Este método no afecta a los usuarios que como tú (por ejemplo) quisieran enviar un correo legítimo, porque las reglas bayesianas no te afectarían puesto que tu correo es legal, no spam, y le asignaría una puntuación (más o menos) de 2 ~ 3 puntos, por lo que pasaría el filtro.
Vale, pero si me pones en la lista de "whitelist_from_rcvd", es como si no hicieras nada. Probablemente pase, pero la regla en si no hace nada conmigo. Es decir, estoy en la lista blanca, pero no coincide el received: dirá que lo he falseado.
No lo veo claro.
¿Lo ves más claro ahora?
:)
Má o meos. :-)
Ah. Mmm. ¿Seguro que se les aplican el resto de reglas? Si es así... Mmm, puede estar bien... :-???
Exacto... a eso me refiero. Sólo quiero castigar a los malosos, no a la gente de bien.
O:-)
Ya, ya...
Ah, y gracias por el interés. Tus explicaciones siempre vienen muy bien, son extensas y muy educativas. ¿No has pensado en la enseñanza?
;-)
Je, doy clases cuando me salen :-p -- Saludos Carlos Robinson