Mailinglist Archive: opensuse-es (2177 mails)

< Previous Next >
Re: [suse-linux-s] Depurando al "asesino"
  • From: "Carlos E. R." <robin1.listas@xxxxxxxxxx>
  • Date: Sun, 17 Oct 2004 03:00:31 +0200 (CEST)
  • Message-id: <Pine.LNX.4.58.0410170226550.6511@xxxxxxxxxxxxxxxx>

El 2004-10-16 a las 22:48 +0200, Camaleón escribió:

>
> > Rechaza cualquier correo que contenga ejectuables, aunque vengan dentro de
> > un fichero zip.
>
> Pues si hace eso, creo me despiden...
>
> :-P

X'-)

Te entiendo perfectamente. Pero no los borra, los pone en cuarentena.

Eso tiene la alternativa de simplemente hacer análisis de virus, con el
amavis. la configuración mia tiene:

# @bypass_virus_checks_acl = qw( . ); # uncomment to DISABLE anti-virus code
@bypass_spam_checks_acl = qw( . ); # uncomment to DISABLE anti-spam code
#Cer: el original solo miraba SPAM. Yo solo quiero mirar virus, spam lo hago por usuario - yo.

Fíjate que la configuración es MUY ambigua y confusa, para programadores.
Para _activar_ la detección de virus, hay que _comentar_ la linea, con un
"#" delante. Y para activar la detección de spam, hay que comentar la otra
linea. Justo al revés de lo intuitivo.

Por defecto viene al revés, analiza spam pero no virus. ¿porqué? Pues
porque directamente rechaza los ejecutables, así que analizar virus es
inutil.

O sea, si quieres que no rechace los ejecutables hay que poner el
comentario en lo de virus, como yo arriba. Entonces hay que quitar lo del
rechazo de ejecutables, que creo recordar era esta linea:

#Cer
$bypass_decode_parts = 1; # (defaults to false)



Ahora bien... ¿como creo yo que debiera funcionar?

1) Detectar ejecutables.
1.1) Si contiene ejecutables (aunque sea en un zip), investigar virus.
1.1.1) Si tiene virus, rechazar. Informar unicamente al usuario
local, sea el remitente, o el destinatario, pero sólo al
local, nunca al remoto.
1.1.2) Si no tiene virus, poner en cuarentena. Hacer el mismo aviso
que 1.1.1, al usuario local unicamente.
1.2) Si no contiene ejecutables, dejar pasar el fichero.


Tal como viene, en cuanto detecta un ejecutable, lo rechaza, sea o no un
virus - salvo que venga en un zip con password. ¿No recuerdas un bombardeo
de virus que venía precisamente en un fichero zip con password, con la
password en el texto? Se hubiera saltado esta protección... pero los
antivirus lo detectaban.

¿No es tan sencillo, verdad?


>
> Me parece un poco exagerado borrar un adjunto que contenga un .zip. ¿Qué
> pasará cuando los virus se puedan incrustar dentro de .pdf sencillo (sin
> macros ni javascript ni esas cosas)? ¿borraremos todos los .pdf?

Sólo los zips que contengan ejecutables. El que un fichero sea ejcutable
lo determina la salida del comando "file". Ojo, que los pdf con
formularios rellenables (pe) pueden llevar macros...

>
> Es tentador, pero no puedo hacerlo.
>
> Los adjuntos ejecutables (y los "incrustados") los filtro con Postfix
> directamente (header_checks), pero los .zip no los he puesto... todavía.

Es lo mismo que hago yo.

Pero date cuenta que un unico ejecutable que se te cuele, y que esté
infestado y no lo sepas (o sea un troyano no descubierto), te puede hacer
una buena gamberrada. Los usuarios de correo no tienen porqué mandarse
ejecutables en el correo, ni tienen porqué instalar programas en sus
ordenadores, de ninguna clase, en una empresa.

Claro, que yo también me he instalado programas en el trabajo :-P

>
> > O sea, que aquí debes poner por lo menos tu propia red privada, y creo que
> > la IP de tu puerta a internet, la de la maquina que corre el servidor de
> > correo externo.
>
> La red privada la tengo puesta, y después tengo la IP de los servidores MX de
> Terra (213.4.129.130), pero no funciona.

Creo que es la IP de tu servidor de correo propio, el del postfix, el que
tienes que poner.

>
> Sé que el "quid" de todo está en esta página:
>
> http://wiki.apache.org/spamassassin/WhitelistFromRcvdAndTrust

No lo he mirado...


>
> Pero no sé cómo ejecutar el comando ese que pone de < tstmsg > ... voy a hacer
> pruebas.
>
> El objetivo es el siguiente:
>
> - Si un usuario (legal) que aparece en la lista blanca (usuario@xxxxxxxx) me
> manda un correo, quiero que SA le haga la prueba de USER_IN_WHITELIST y le de
> -100 puntos, aunque sea un mensaje muy enrevesado.
>

Ten en cuenta este comentario:

# If ALL recipients of the message either white- or blacklist the sender,
# spam scanning (calling the SpamAssassin) is bypassed, saving on time.

Es una nota del amavis new, pero creo que el SA hace lo mismo. Es decir,
si alguien está en una de las dos listas, no mira nada más.

> - Si un usuario (no legal = spammer) que aparece en la lista blanca
> (spammer@xxxxxxxx) me manda un correo, quiero que SA no le haga la prueba de
> USER_IN_WHITELIST y no le de -100 puntos y le asigne la puntuación
> correspondiente (para lo cual tendrá que echar mano del trusted_networks).

Si un usuario está en la lista blanca, aunque sea un spammer, entra
directamente, sin más.

Si está en la de whitelist_from_rcvd, sólo lo considerá como "blanco" si
ha llegado a través del relay del servidor correspondiente a su dominio.
Si no coincide, no lo considerará blanco, y le aplicará el resto de
reglas.

>
> Este método no afecta a los usuarios que como tú (por ejemplo) quisieran
> enviar un correo legítimo, porque las reglas bayesianas no te afectarían
> puesto que tu correo es legal, no spam, y le asignaría una puntuación (más o
> menos) de 2 ~ 3 puntos, por lo que pasaría el filtro.

Vale, pero si me pones en la lista de "whitelist_from_rcvd", es como si no
hicieras nada. Probablemente pase, pero la regla en si no hace nada
conmigo. Es decir, estoy en la lista blanca, pero no coincide el received:
dirá que lo he falseado.

>
> > No lo veo claro.
>
> ¿Lo ves más claro ahora?
>
> :)

Má o meos. :-)

>
> > Ah. Mmm. ¿Seguro que se les aplican el resto de reglas? Si es así... Mmm,
> > puede estar bien... :-???
>
> Exacto... a eso me refiero. Sólo quiero castigar a los malosos, no a la gente
> de bien.
>
> O:-)

Ya, ya...

>
> Ah, y gracias por el interés. Tus explicaciones siempre vienen muy bien, son
> extensas y muy educativas. ¿No has pensado en la enseñanza?
>
> ;-)


Je, doy clases cuando me salen :-p

--
Saludos
Carlos Robinson

< Previous Next >
Follow Ups