Hola gente de la lista tengo no una si no varias consultas q hacerles respecto a la configuracion de postfix y filtros antivirus, miren lo q me han pedido q implemente es lo siguiente: Consulta 1: cuando un persona manda un email con virus..q el antivirus en el server (debo usar amavis u otra alternativa) mas sophos elimine el virus y envie el correo al destinatario. Actualmente en mi server si llega un mail con virus le indica al remitente y al postmaster q enviaron un correo con virus y el correo en si se va a una zona de cuarentena y ahi queda... Consulta 2. Si alguien envia un archivo .pif .bat, etc tambien sean removidos.. OJO removidos.. y que al destinatario le llegue el texto del correo sin los attachments.. y que al final del correo diga algo asi como "por politica del dpto. de sistemas blah blah blah.. pongase en contacto con el Dpto. de Sistemas" Consulta 3 Como poner footer a todos los mails de salida osea todos los mails que se mandan con Postfix que salgan con un texto al final del mail con una nota legal y un texto de la empresa. Bueno señores ahora un compañero de otra empresa me dice que todo eso lo ha hecho con un servidor exchange asi q si exchage puede postfix tiene q poder.. ¿verdad? Bueno gente salu2, y espero sus respuestas. _______________________________________________________________ Yahoo! Messenger Nueva versión: Webcam, voz, y mucho más ¡Gratis! Descárgalo ya desde http://messenger.yahoo.es
El jue, 31-10-2002 a las 14:00, eli garcia escribió:
Hola gente de la lista tengo no una si no varias consultas q hacerles respecto a la configuracion de postfix y filtros antivirus, miren lo q me han pedido q implemente es lo siguiente:
No se si podes hacerlo tal cual con como lo estas haciendo actualmente especialmente porque no se exactamente lo que estas haciendo actualmente ni probablemente tenga experiencia en especificamente eso, pero en fin, intentare responder respecto a programas y configuraciones que si conozco y vos ves coom adaptas todo. Lo que uso actualmente, para que tengas una referencia, es anomy sanitizer que puede invocar a un antivirus (p/ej avp) para la tarea de determinar que un archivo esta infectado o no.
Consulta 1: cuando un persona manda un email con virus..q el antivirus en el server (debo usar amavis u otra alternativa) mas sophos elimine el virus y envie el correo al destinatario. Actualmente en mi server si llega un mail con virus le indica al remitente y al postmaster q enviaron un correo con virus y el correo en si se va a una zona de cuarentena y ahi queda...
Queres esto? En principio la mayoria de los "virus" que llegan son en realidad gusanos, es decir, no hay limpieza que valga, el antivirus va a terminar borrando el archivo. Los archivos "legales" infectados que podes tener son en promedio muy pocos, y que realmente se puedan limpiar tal vez pueden ser aun menos. Lo que yo hago con sanitizer es "extraer" el attach, enviando el mensaje a su destinatario pero ese attach substituido por otro que le dice que venia tal archivo asociado que tenia virus y que quedo bajo determinado nombre en el area de cuarentena. Una variante que en cierto momento considere a este respecto (tambien tenia que considerar los falsos positivos, archivos corruptos o archivos que filtraba basado en su extension, tipo .pif o .scr de forma generica) es que en vez de dar el nombre del archivo en si, es una URL para obtener ese archivo si la persona lo quiere, y esa URL era basicamente una invocacion de un CGI que ahi podia hacer un chequeo adicional, limpieza, o pedir una determinada clave para obtener ese archivo si estaba realmente infectado. Una cosa menos compleja podria ser dejar el area de cuarentena accesible via web, colocando un cgi/script en php que permita acceder a esos archivos bajo riesgo de quien quiera acceder (nuevamente, aca el colocar clave era interesante tambien). Por ultimo, ojo con los reportes a quien envia los virus, no siempre el From: que tenes en el cabezal del mensaje es la direccion de quien envio el virus, pero en muchos el 1er from si es el correcto. Me han llegado muchos reportes de virus que "envie" que en realidad envio otra persona pero coloco mi direccion en el From: que es poco mas que un comentario nomas.
Consulta 2. Si alguien envia un archivo .pif .bat, etc tambien sean removidos.. OJO removidos.. y que al destinatario le llegue el texto del correo sin los attachments.. y que al final del correo diga algo asi como "por politica del dpto. de sistemas blah blah blah.. pongase en contacto con el Dpto. de Sistemas"
Es lo que hago con el sanitizer :-) tambien otra cosa que hago es renombrar los archivos con extension ejecutables que no hayan sido detenidos/detectados por el antivirus cosa de que no sean ejecutables directamente (por actualizado que este un antivirus, me han llegado virus menos de 1 hora despues de que ocurrio la 1er infeccion a nivel mundial)
Consulta 3 Como poner footer a todos los mails de salida osea todos los mails que se mandan con Postfix que salgan con un texto al final del mail con una nota legal y un texto de la empresa.
Estas modificando de una forma u otra el texto de los mensajes, y eso puede tener implicancias... con un webmail no es tan dificil, pero si los mensajes fueron generados con algun cliente especial de correo y fueron firmados o cosas por el estilo probablemente se complican las cosas. Por otro lado, con los cabezales las cosas no son tan asi. De hecho, el sanitizer te agrega un cabezal donde reporta que el mensaje fue escaneado... que tal si agregas un cabezal mas con un X-nosequecosa-info: donde colocas una URL donde explicas las condiciones legales esas de los mensajes? Por otro lado, quizas se pueda hacer con postfix, ya sea lo que queres o lo que digo, pero como no lo he usado con tanta profundidad no sabria decirte como hacerlo.
Bueno señores ahora un compañero de otra empresa me dice que todo eso lo ha hecho con un servidor exchange asi q si exchage puede postfix tiene q poder.. ¿verdad?
Y mas barato, y mas seguro y con menos recursos... amen de que el servidor exchange es sensible a virus, asi que usarlo como plataforma para chequeo de virus no es tan buena idea Saludos Gustavo
Hola gustavo como estas, no se si recierdes un mail q envi anteriormemte en el q me recomendabas usar sanitizer para poder extraer los attach que vengan en un mensaje de correo y otras cosas mas, pues bueno leyendo la info de este programa realmente es el que necesito pero estoy un poco desorientado ya que no encuentro mucha informacion al respecto espero que me puedas dar una ayuda, mira he instalado el MIME64 de perl tal como lo pide pero al correr el testall me da lo siguiente: savre@elendil:~/install/src/anomy/testcases> ./testall.sh Checking prerequisites... ok. Running tests ... sanitizer.appledouble: ok sanitizer.bad_html: ok sanitizer.base64: ok sanitizer.boundary: ok sanitizer.defaults: failed (moved result files to results.def) sanitizer.exchange: ok sanitizer.filenames: ok sanitizer.force_hdr: ok sanitizer.forwarded: ok sanitizer.fprotd: SKIPPED: F-Prot not installed. ok sanitizer.logging: ok sanitizer.mime_depth: ok sanitizer.msg-crlf: ok sanitizer.partial: ok sanitizer.plugin: ok sanitizer.rfc822: ok sanitizer.uu-rfc822: ok simplify.multipart: ok One or more tests failed! There are two possible reasons for this: 1) Something was fixed, and your test-case results need to be updated. 2) I (the author) broke something. Please check the change-log to see which it is. If it's number 1), then just replace the .ok file with the .out file generated by the failed test, in your result directory. Otherwise - if you think something is broken (case 2), please send the following info to anomy-bugs@mailtools.anomy.net: - Architecture (e.g. Sparc, Intel, Alpha. ...) - Operating system (e.g. RedHat 6.2, Solaris 8, HP-UX, ...) - Perl version (the output of "perl -V") - Any relevant Anomy configuration files (e.g. for the sanitizer). - Copies of all result files for the failed tests (they should have the extensions .ok, .out, .diff and .log). Thanks! Hasta ahora lo que no entiendo es pq me sale que el sanitizer.defaults, crees tu que me podrias dar una pista de que es lo que esta pasando... Espero tu respuesta... salu2 Emmanuel _______________________________________________________________ Yahoo! Messenger Nueva versión: Webcam, voz, y mucho más ¡Gratis! Descárgalo ya desde http://messenger.yahoo.es
Necesito copiar un archivo de un directorio del disco a un diskquette y con cp supuestamente cp /directorio/archivo lo debe copiar a sitio donde estoy ubicado, pero para cuando estoy en /mnt/floppy esto no me funciona, como lo puedo hacer? No tengo el modo grafico. Guillermo Cuervo
Utiliza el comando dd if=/directorio_a_copiar of=/mnt/floppy bs=8192
En info dd o man dd encontraras mas informacion
Alberto Méndez
----- Original Message -----
From: "Guillermo Cuervo"
Necesito copiar un archivo de un directorio del disco a un diskquette y con cp supuestamente cp /directorio/archivo lo debe copiar a sitio donde estoy ubicado, pero para cuando estoy en /mnt/floppy esto no me funciona, como lo puedo hacer? No tengo el modo grafico.
Guillermo Cuervo
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
--- Outgoing mail is certified Virus Free. Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.404 / Virus Database: 228 - Release Date: 16/10/2002
Lo primero es tener montado el diskete con p. ej. mount /mnt/floppy y después: cd /mnt/floppy cp /path-origen/archivo . no olvides el ultimo "puntito" y después, antes de sacar el diskete: umount /mnt/floppy que si no, no vuelca el buffer y te encuentras la desagradable sorpresa de que no copió nada Un saludo a la lista El mar, 05-11-2002 a las 23:43, Guillermo Cuervo escribió:
Necesito copiar un archivo de un directorio del disco a un diskquette y con cp supuestamente cp /directorio/archivo lo debe copiar a sitio donde estoy ubicado, pero para cuando estoy en /mnt/floppy esto no me funciona, como lo puedo hacer? No tengo el modo grafico.
Guillermo Cuervo
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Exactamente, me quitaste las palabras de los dedos, pero puedo agregar que tambien existen las mtools que te permiten utilizar unidades con formato tipo FAT sin necesidad de montar, solo harías: mcopy /path/archivo a: Son los comandos de ms-dos, solo que con la "m" al principio.
Lo primero es tener montado el diskete con p. ej.
mount /mnt/floppy
y después: cd /mnt/floppy cp /path-origen/archivo . no olvides el ultimo "puntito" y después, antes de sacar el diskete: umount /mnt/floppy
que si no, no vuelca el buffer y te encuentras la desagradable sorpresa de que no copió nada
Un saludo a la lista
El mar, 05-11-2002 a las 23:43, Guillermo Cuervo escribió:
Necesito copiar un archivo de un directorio del disco a un diskquette y con cp supuestamente cp /directorio/archivo lo debe copiar a sitio donde estoy ubicado, pero para cuando estoy en /mnt/floppy esto no me funciona, como lo puedo hacer? No tengo el modo grafico.
Guillermo Cuervo
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Rolando Belmonte Hernández rolando@lucas.reduaz.mx
El mar, 05-11-2002 a las 19:16, Emmanuel Garcia escribió:
Hola gustavo como estas, no se si recierdes un mail q envi anteriormemte en el q me recomendabas usar sanitizer para poder extraer los attach que vengan en un mensaje de correo y otras cosas mas, pues bueno leyendo la info de este programa realmente es el que necesito pero estoy un poco desorientado ya que no encuentro mucha informacion al respecto espero que me puedas dar una ayuda, mira he instalado el MIME64 de perl tal como lo pide pero al correr el testall me da lo siguiente:
savre@elendil:~/install/src/anomy/testcases> ./testall.sh Checking prerequisites... ok. [...] sanitizer.defaults: failed (moved result files to results.def) [...] simplify.multipart: ok
Hasta ahora lo que no entiendo es pq me sale que el sanitizer.defaults, crees tu que me podrias dar una pista de que es lo que esta pasando...
El ya te dio una pista. Creo que hay un subdirectorio tests o algo asi donde te aparece cada uno de esos archivos, y ahi probablemente haya un script en perl pequeño que evalua cada cosa. Fijandote ahi, y en el archivo results.def, tal vez tengas una pista de alguna biblioteca para perl o algun utilitario del sistema que falte. Saludos Gustavo
Hola a todos. Sigo pegado en algunas cosas en modo caracter. Necesito consultar todos los archivos modificados en una fecha o rango de fechas determinados y dejar la consulta en un archivo. con que comando puedo lograr esto y cual es el procedimiento? Gracias, Guillermo Cuervo
El mié, 06-11-2002 a las 20:22, Guillermo Cuervo escribió:
Sigo pegado en algunas cosas en modo caracter. Necesito consultar todos los archivos modificados en una fecha o rango de fechas determinados y dejar la consulta en un archivo. con que comando puedo lograr esto y cual es el procedimiento?
man find
hla alguien me peude dar alguna cadena de esas que engañenj a los antivirus, no siendo virus? lo digo por que queiro hacer uan prueba si lo que estoy montando funciona, es decir si el postfix de mi suse 8.1 devuelve los mails que toma con virus. muchas gracias
Aqui tienes lo que buscas: http://www.eicar.org/anti_virus_test_file.htm El jue, 31-10-2002 a las 21:09, Dionisio Ruiz de Zarate escribió:
hla alguien me peude dar alguna cadena de esas que engañenj a los antivirus, no siendo virus? lo digo por que queiro hacer uan prueba si lo que estoy montando funciona, es decir si el postfix de mi suse 8.1 devuelve los mails que toma con virus. muchas gracias
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Pues le he puesto el texto, en el body y en el subject del mensaje y el mensaje me llega sin problemas al destino. tengo configurado un postfix, creia que usaba bien el amavis pero aprece que nada de nada. Alguien me peude decir que sentencias exactamente tendrían que ir en los archivo de conf del postfix? de momento en el master.cf tengo: cyrus unix - n n - - pipe flags=R user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -m ${extension} ${user}uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)bsmtp unix - n n - - pipe flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipientvscan unix - n n - 10 pipe user=vscan argv=/usr/sbin/amavis ${sender} ${recipient}procmail unix - n n - - pipe flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}Creia que con eso era suficiente pero parece que no.me podeis ayudar?gracias
Pues en el main.cf debes tener: content_filter = vscan: y en el master.cf vscan unix - n n - 10 pipe user=vscan argv=/usr/sbin/amavis ${sender} ${recipient} localhost:10025 inet n - n - - smtpd -o content_filter= Luego de eso en /usr/bin/amavis; debes indicar el software antivirus q estas usando y t deberia funcionar sin problemas. Esta configuracion hace q se escaneen los correos de entrada y salida _______________________________________________________________ Yahoo! Messenger Nueva versión: Webcam, voz, y mucho más ¡Gratis! Descárgalo ya desde http://messenger.yahoo.es
Pues de sa manera lo tengo pero no me va.
si veo que se lanza un proceso de amavi pero nada mas, el correo "cuela.
no se si el problema estare en el soft antivirus.
trae suse algo al respecto? que instalarias tu?
te agradecería me ayudaras.
Gracias
----- Original Message -----
From: "eli garcia"
Pues en el main.cf debes tener:
content_filter = vscan:
y en el master.cf
vscan unix - n n - 10 pipe user=vscan argv=/usr/sbin/amavis ${sender} ${recipient} localhost:10025 inet n - n - - smtpd -o content_filter=
Luego de eso en /usr/bin/amavis; debes indicar el software antivirus q estas usando y t deberia funcionar sin problemas.
Esta configuracion hace q se escaneen los correos de entrada y salida
_______________________________________________________________ Yahoo! Messenger Nueva versión: Webcam, voz, y mucho más ¡Gratis! Descárgalo ya desde http://messenger.yahoo.es
Si usas el hbdev, hay que registrarlo. Por lo menos, eso pasa en la suse 7.3. Sin registrar, el codigo de salida es distinto y el amavis falla. -- Saludos Carlos Robinson El 2002-11-01 a las 17:52, Dionisio Ruiz de Zarate escribió:
Pues de sa manera lo tengo pero no me va. si veo que se lanza un proceso de amavi pero nada mas, el correo "cuela. no se si el problema estare en el soft antivirus.
trae suse algo al respecto? que instalarias tu?
te agradecería me ayudaras. Gracias
Haber Dionisio antes que nada me gustaria saber que
version de suse tienes y que versiones tienes de
postfix y amavis tienes instalado ¿las instalastes de
rpm o fuentes? a verdad y que soft antivirus estas
usando.....??? salu2 a verdad una ultima cosa manda un
archivo con virus y revisa el mail log a ver q te dice
y mandolo a ver quizas se ve algo por ese lado de que
esta pasando ...
salu2.
Emmanuel
--- Dionisio Ruiz de Zarate
si veo que se lanza un proceso de amavi pero nada mas, el correo "cuela. no se si el problema estare en el soft antivirus.
trae suse algo al respecto? que instalarias tu?
te agradecería me ayudaras. Gracias
----- Original Message ----- From: "eli garcia"
To: "Dionisio Ruiz de Zarate" ; "suse" Sent: Thursday, October 31, 2002 11:40 PM Subject: Re: [suse-linux-s] Postfix y filtro antivirus
Pues en el main.cf debes tener:
content_filter = vscan:
y en el master.cf
vscan unix - n n - 10 pipe user=vscan argv=/usr/sbin/amavis ${sender} ${recipient} localhost:10025 inet n - n -
smtpd -o content_filter=
Luego de eso en /usr/bin/amavis; debes indicar el software antivirus q estas usando y t deberia funcionar sin problemas.
Esta configuracion hace q se escaneen los correos de entrada y salida
_______________________________________________________________
Yahoo! Messenger Nueva versión: Webcam, voz, y mucho más ¡Gratis! Descárgalo ya desde http://messenger.yahoo.es
_______________________________________________________________ Yahoo! Messenger Nueva versión: Webcam, voz, y mucho más ¡Gratis! Descárgalo ya desde http://messenger.yahoo.es
participants (10)
-
Alberto Méndez
-
Antonio Serrano Padilla
-
Carlos E. R.
-
David Barroso Pardo
-
Dionisio Ruiz de Zarate
-
eli garcia
-
Emmanuel Garcia
-
Guillermo Cuervo
-
Gustavo Muslera
-
rolando@lucas.reduaz.mx