Hola a todos Tengo instalado postfix + amavis + clamav y tengo un pequeño problemilla. En la empresa de software en la que estoy mandan pequeños parches de programas comprimidos con winrar pero con formato exe autoextraible. El problema que tengo es que desde que active el amavis esos ficheros los detecta como ficheros exe y no deja enviar, aunque el clamav no detecta virus en ellos. Me manda un correo con este texto No viruses were found. A banned name (.exe) was found. Hay alguna manera de indicar al amavis que envie los ficheros EXE si no se detectan virus en ell? Gracias Emiliano Sutil
Emiliano Sutil wrote:
Hola a todos
Tengo instalado postfix + amavis + clamav y tengo un pequeño problemilla. En la empresa de software en la que estoy mandan pequeños parches de programas comprimidos con winrar pero con formato exe autoextraible. El problema que tengo es que desde que active el amavis esos ficheros los detecta como ficheros exe y no deja enviar, aunque el clamav no detecta virus en ellos. Me manda un correo con este texto
No viruses were found.
A banned name (.exe) was found.
Hay alguna manera de indicar al amavis que envie los ficheros EXE si no se detectan virus en ell?
Gracias
Emiliano Sutil
Por supuesto que sí, los mismos exe pueden viajar en cualquier formato compactado siempre y cuando vayan encriptados con password. Saludos -- Edward Palafox Vasquez Admin Oficinas Centrales susee@capufe.gob.mx ext. 3561 **************************************** AVISO DE CONFIDENCIALIDAD: Este correo electrónico puede contener información que es confidencial, privilegiada, personal o bien estar legalmente prohibida su publicación. Si usted no es el receptor designado, por este medio se le notifica que no está autorizado a leer, imprimir, retener, copiar o divulgar, cualquier parte de él o de sus anexos. Si usted ha recibido este mensaje por error, favor de borrarlo totalmente así como sus anexos sin leer su contenido y notificar inmediatamente a quien lo envía. Quien lo envía no tiene ninguna intención de desistirse a cualquier privilegio, respecto a la confidencialidad, incluyendo el de abogado-cliente, referente a este comunicado. CONFIDENTIALITY NOTICE: This electronic mail transmission may contain information that is confidential, privileged, proprietary, or otherwise legally exempt from disclosure. If you are not the intended recipient, you are hereby notified that you are not authorized to read, print, retain, copy or disseminate this message, any part of it, or any attachments. If you have received this message in error, please delete this message and any attachments from your system without reading the content and notify the sender immediately of the inadvertent transmission. There is no intent on the part of the sender to waive any privilege, including the attorney-client privilege, which may attach to this communication.
Admin Oficinas Centrales wrote:
Emiliano Sutil wrote:
Hola a todos
Tengo instalado postfix + amavis + clamav y tengo un pequeño problemilla. En la empresa de software en la que estoy mandan pequeños parches de programas comprimidos con winrar pero con formato exe autoextraible. El problema que tengo es que desde que active el amavis esos ficheros los detecta como ficheros exe y no deja enviar, aunque el clamav no detecta virus en ellos. Me manda un correo con este texto
No viruses were found.
A banned name (.exe) was found.
Hay alguna manera de indicar al amavis que envie los ficheros EXE si no se detectan virus en ell?
Gracias
Emiliano Sutil
Por supuesto que sí, los mismos exe pueden viajar en cualquier formato compactado siempre y cuando vayan encriptados con password.
Saludos
Hola, El problema es que debo enviar los ficheros exe tal cual, es decir que los clientes a los que les llegan mis ficheros solo tengan que darle doble-click al fichero y ya le instale el parche (a veces no son capaces de hacer solo eso). Si se lo envio compactado y con contraseña, seguro que les tengo llamandome todo el dia diciendo que no les funciona el parche. Por tanto lo que sería ideal sería es que los ficheros exe que el antivirus detecta que no son virus el amavis los enviara sin mas, avisando quizás que se ha enviado un exe, pero que lo enviara, no que lo pusiera en cuarentena como hace ahora. Alguna sugerencia? Salud Emi
Emiliano Sutil wrote:
Hola,
El problema es que debo enviar los ficheros exe tal cual, es decir que los clientes a los que les llegan mis ficheros solo tengan que darle doble-click al fichero y ya le instale el parche (a veces no son capaces de hacer solo eso). Si se lo envio compactado y con contraseña, seguro que les tengo llamandome todo el dia diciendo que no les funciona el parche. Por tanto lo que sería ideal sería es que los ficheros exe que el antivirus detecta que no son virus el amavis los enviara sin mas, avisando quizás que se ha enviado un exe, pero que lo enviara, no que lo pusiera en cuarentena como hace ahora.
Alguna sugerencia?
Bueno, pues no he configurado Amavis nunca :-P, pero es de suponer que debe de tener algún fichero donde poder decirle las cosas. He encontrado esta página, mira a ver si te sirve para tus fines: http://workaround.org/postfix-faq/AmavisConfiguration Si no es Amavis, debe de ser Postfix o Clamav (no sé si lo tendrás también instalado), todos ellos son posibles "comedores de .exe". Si no he entendido mal, en la configuracion de amavis se le puede decir que no actúe como antivirus, o bien puedes configurar el parámetro @local_domains_acl = ( "$mydomain" ); donde puedes definir los dominios que están dentro de tu red para que no sean escaneados al enviar los correos. En fin, tienes varias posibilidades, puedes jugar con las opciones de Postfix también (BODY_CHECKS, HEADER_CHECKS) para capturar ficheros adjuntos. Saludos, -- Camaleón
$final_banned_destiny = D_BOUNCE; $final_banned_destiny = D_PASS; esto deberia siempre revizar virus lo que no he probado. saludos Jf -------Mensaje original------- De: Emiliano Sutil Fecha: 06/07/2004 09:32:10 a.m. Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] amavis y ficheros .exe Admin Oficinas Centrales wrote:
Emiliano Sutil wrote:
Hola a todos
Tengo instalado postfix + amavis + clamav y tengo un pequeño problemilla. En la empresa de software en la que estoy mandan pequeños parches de programas comprimidos con winrar pero con formato exe autoextraible. El problema que tengo es que desde que active el amavis esos ficheros los detecta como ficheros exe y no deja enviar, aunque el clamav no detecta virus en ellos. Me manda un correo con este texto
No viruses were found.
A banned name (.exe) was found.
Hay alguna manera de indicar al amavis que envie los ficheros EXE si no se detectan virus en ell?
Gracias
Emiliano Sutil
Por supuesto que sí, los mismos exe pueden viajar en cualquier formato compactado siempre y cuando vayan encriptados con password.
Saludos
Hola, El problema es que debo enviar los ficheros exe tal cual, es decir que los clientes a los que les llegan mis ficheros solo tengan que darle doble-click al fichero y ya le instale el parche (a veces no son capaces de hacer solo eso). Si se lo envio compactado y con contraseña, seguro que les tengo llamandome todo el dia diciendo que no les funciona el parche. Por tanto lo que sería ideal sería es que los ficheros exe que el antivirus detecta que no son virus el amavis los enviara sin mas, avisando quizás que se ha enviado un exe, pero que lo enviara, no que lo pusiera en cuarentena como hace ahora. Alguna sugerencia? Salud Emi -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 2004-07-06 a las 11:33 -0600, Jose Figueroa escribió:
$final_banned_destiny = D_BOUNCE; $final_banned_destiny = D_PASS; esto deberia siempre revizar virus lo que no he probado.
Cuidado con esto, porque para que una persona pueda enviar ejecutables expones todas las cuentas del servidor de correo. -- Saludos Carlos Robinson
Carlos E. R. wrote:
El 2004-07-06 a las 11:33 -0600, Jose Figueroa escribió:
$final_banned_destiny = D_BOUNCE; $final_banned_destiny = D_PASS; esto deberia siempre revizar virus lo que no he probado.
Cuidado con esto, porque para que una persona pueda enviar ejecutables expones todas las cuentas del servidor de correo.
Pues en esto tienes razón, lastima que al usuario patrón no se le convenza tan facilmente como a mi. De hecho a mi de motu propio no se me ocurre enviar un exe tan alegremente, pero ya sabes el cliente tiene la razon....
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 En cuestión de seguridad el cliente no tiene razón, Yo tengo más de 2400 usuarios y no permito la circulación de .exe, dobles extensiones (ej: scr.dll), de hecho la regla de oro en todo correo electrónico es: "Ante la duda de un correo, no abrirlo, si lo abres no ejecutar nada y borrarlo". Lo mejor sería una buena capacitación en donde se les haga entender todo esto y una buena disponibilidad para con ellos. Saludos -- Edward Palafox Vasquez SLOX Admin susee@capufe.gob.mx **************************************** AVISO DE CONFIDENCIALIDAD: Este correo electrónico puede contener información que es confidencial, privilegiada, personal o bien estar legalmente prohibida su publicación. Si usted no es el receptor designado, por este medio se le notifica que no está autorizado a leer, imprimir, retener, copiar o divulgar, cualquier parte de él o de sus anexos. Si usted ha recibido este mensaje por error, favor de borrarlo totalmente así como sus anexos sin leer su contenido y notificar inmediatamente a quien lo envía. Quien lo envía no tiene ninguna intención de desistirse a cualquier privilegio, respecto a la confidencialidad, incluyendo el de abogado-cliente, referente a este comunicado. CONFIDENTIALITY NOTICE: This electronic mail transmission may contain information that is confidential, privileged, proprietary, or otherwise legally exempt from disclosure. If you are not the intended recipient, you are hereby notified that you are not authorized to read, print, retain, copy or disseminate this message, any part of it, or any attachments. If you have received this message in error, please delete this message and any attachments from your system without reading the content and notify the sender immediately of the inadvertent transmission. There is no intent on the part of the sender to waive any privilege, including the attorney-client privilege, which may attach to this communication. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFA7DwqSyR0uC4fCX8RAlxyAJ9v0T2FgMaP4X9xV0jdoXrlI2rFAwCdEkXX aFlAwgyn+wCqpwaO5AulRYw= =7Gq8 -----END PGP SIGNATURE-----
El 2004-07-08 a las 09:42 +0200, Emiliano Sutil escribió:
Carlos E. R. wrote:
Cuidado con esto, porque para que una persona pueda enviar ejecutables expones todas las cuentas del servidor de correo.
Pues en esto tienes razón, lastima que al usuario patrón no se le convenza tan facilmente como a mi. De hecho a mi de motu propio no se me ocurre enviar un exe tan alegremente, pero ya sabes el cliente tiene la razon....
Ya lo se, me he visto en esas >:-} Por eso te comentaba lo de los banned-lovers etc, porque se supone que sirve para eso, para permitir hacerlo a un usuario que se supone que sabe lo que hace. Y aún y todo conviene tener un papelito firmado por el cliente eximiendote de responsabilidades en caso de problemas, o al menos, un papel donde te exige que le des ese servicio, unido a otro (preferiblemente con confirmación de entrega) en el que tu le avisas que siguiendo sus ordenes haces tal y cual, a pesar de tu opinión en contra por exponerse a tales y cuales peligros. La cuestión es cubrirse las espaldas. O;-) -- Saludos Carlos Robinson
El 2004-07-06 a las 17:06 +0200, Emiliano Sutil escribió:
Admin Oficinas Centrales wrote:
Por supuesto que sí, los mismos exe pueden viajar en cualquier formato compactado siempre y cuando vayan encriptados con password.
El problema es que debo enviar los ficheros exe tal cual, es decir que los clientes a los que les llegan mis ficheros solo tengan que darle doble-click al fichero y ya le instale el parche (a veces no son capaces de hacer solo eso). Si se lo envio compactado y con contraseña, seguro que les tengo llamandome todo el dia diciendo que no les funciona el parche.
Enviar parches como ejecutables, en vez de en un comprimido con password (secreta) es un agujero de seguridad explotable por casi cualquiera que sepa que haceis eso.
Por tanto lo que sería ideal sería es que los ficheros exe que el antivirus detecta que no son virus el amavis los enviara sin mas, avisando quizás que se ha enviado un exe, pero que lo enviara, no que lo pusiera en cuarentena como hace ahora.
Creo que lo que tienes que hacer es añadir una dirección de remite, siempre la misma, al %banned_files_lovers o al @banned_files_lovers_acl o al banned_files_lovers_re. Una de esas, no lo he investigado. -- Saludos Carlos Robinson
El problema aqui es de uso comercial, educacion del usuario y otros. A que me refiero a lo siguiente, la mayoria de los mail scanners que ve probado hacen lo siguiente: 1) archivo *.exe lo rebotan y mandan un mansaje al sender diciendo que porfavor empaque dicho archivo en zip rar o lo que sea. 2) otro tipo de mail scanner si viene un archivo *.exe lo revizan y si no da positivo ( contenga virus ) lo pasan ( esto lo hace el amavis old ) 3) en base al punto 1 si el usuario empaca el *.exe en un zip o rar , el mail scanner lo destapa y si ve que son exe los rebota , aunque vayan empaquetados, es el caso de amavis new . la forma que he podido pasar un exe empacado con amavis new es encriptandolo con pgp , un zip a 128 o 256 o alguna carajada rara, para algun usuario comun y silvestre. ] 4) para los ISP que dan servicios de correos comercialmente donde el usuario paga , es dificil decirle al mismo , miro Sr tal para que usted reciba mail con *.exe estos deben de venir encriptados etc etc.. todavia que le digas mire por seguridad los exe se deben enviar empaquetados , es mucho mas bajable. En base a lo anterior dedusco 3 niveles de proteccion o configuraciones de los mail scanners a) paranoico ( *.exe venga como venga se rebota ) solo encriptados pasan b) empaque ( se aceptan *.exe empaquetados y son ademas revizados por el antivirus ) c) sin camiseta ( *.exe como vengan se scanean ) aqui la responzabiliadad va casi al agente antivirus como hago que el amavis new pueda ser configurado de alguna de esas 3 maneras, la primera ya la vara esta, como lograr las otras, en eso estoy fumando mecha bien verde para ver si acaso me inspiro . saludos JF -------Mensaje original------- De: Carlos E. R. Fecha: 06/07/2004 06:36:54 p.m. Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] amavis y ficheros .exe El 2004-07-06 a las 17:06 +0200, Emiliano Sutil escribió:
Admin Oficinas Centrales wrote:
Por supuesto que sí, los mismos exe pueden viajar en cualquier formato compactado siempre y cuando vayan encriptados con password.
El problema es que debo enviar los ficheros exe tal cual, es decir que los clientes a los que les llegan mis ficheros solo tengan que darle doble-click al fichero y ya le instale el parche (a veces no son capaces de hacer solo eso). Si se lo envio compactado y con contraseña, seguro que les tengo llamandome todo el dia diciendo que no les funciona el parche.
Enviar parches como ejecutables, en vez de en un comprimido con password (secreta) es un agujero de seguridad explotable por casi cualquiera que sepa que haceis eso.
Por tanto lo que sería ideal sería es que los ficheros exe que el antivirus detecta que no son virus el amavis los enviara sin mas, avisando quizás que se ha enviado un exe, pero que lo enviara, no que lo pusiera en cuarentena como hace ahora.
Creo que lo que tienes que hacer es añadir una dirección de remite, siempre la misma, al %banned_files_lovers o al @banned_files_lovers_acl o al banned_files_lovers_re. Una de esas, no lo he investigado. -- Saludos Carlos Robinson -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
$final_banned_destiny = D_BOUNCE; cambie a $final_banned_destiny = D_PASS; esto se logra nivel (c) sin camiseta , ya lo acabo de probar envie *.exe sin virus y pasaron y envie archivos *.exe con virus y no pasaron asi se queda parecido al antiguo amavis. como dije anteriormente la bronca se la come el antivirus voy a seguir en lograr el nivel (b) JF -------Mensaje original------- De: Jose Figueroa Fecha: 06/07/2004 08:12:58 p.m. Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] amavis y ficheros .exe El problema aqui es de uso comercial, educacion del usuario y otros. A que me refiero a lo siguiente, la mayoria de los mail scanners que ve probado hacen lo siguiente: 1) archivo *.exe lo rebotan y mandan un mansaje al sender diciendo que porfavor empaque dicho archivo en zip rar o lo que sea. 2) otro tipo de mail scanner si viene un archivo *.exe lo revizan y si no da positivo ( contenga virus ) lo pasan ( esto lo hace el amavis old ) 3) en base al punto 1 si el usuario empaca el *.exe en un zip o rar , el mail scanner lo destapa y si ve que son exe los rebota , aunque vayan empaquetados, es el caso de amavis new . la forma que he podido pasar un exe empacado con amavis new es encriptandolo con pgp , un zip a 128 o 256 o alguna carajada rara, para algun usuario comun y silvestre. ] 4) para los ISP que dan servicios de correos comercialmente donde el usuario paga , es dificil decirle al mismo , miro Sr tal para que usted reciba mail con *.exe estos deben de venir encriptados etc etc.. todavia que le digas mire por seguridad los exe se deben enviar empaquetados , es mucho mas bajable. En base a lo anterior dedusco 3 niveles de proteccion o configuraciones de los mail scanners a) paranoico ( *.exe venga como venga se rebota ) solo encriptados pasan b) empaque ( se aceptan *.exe empaquetados y son ademas revizados por el antivirus ) c) sin camiseta ( *.exe como vengan se scanean ) aqui la responzabiliadad va casi al agente antivirus como hago que el amavis new pueda ser configurado de alguna de esas 3 maneras, la primera ya la vara esta, como lograr las otras, en eso estoy fumando mecha bien verde para ver si acaso me inspiro . saludos JF -------Mensaje original------- De: Carlos E. R. Fecha: 06/07/2004 06:36:54 p.m. Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] amavis y ficheros .exe El 2004-07-06 a las 17:06 +0200, Emiliano Sutil escribió:
Admin Oficinas Centrales wrote:
Por supuesto que sí, los mismos exe pueden viajar en cualquier formato compactado siempre y cuando vayan encriptados con password.
El problema es que debo enviar los ficheros exe tal cual, es decir que los clientes a los que les llegan mis ficheros solo tengan que darle doble-click al fichero y ya le instale el parche (a veces no son capaces de hacer solo eso). Si se lo envio compactado y con contraseña, seguro que les tengo llamandome todo el dia diciendo que no les funciona el parche.
Enviar parches como ejecutables, en vez de en un comprimido con password (secreta) es un agujero de seguridad explotable por casi cualquiera que sepa que haceis eso.
Por tanto lo que sería ideal sería es que los ficheros exe que el antivirus detecta que no son virus el amavis los enviara sin mas, avisando quizás que se ha enviado un exe, pero que lo enviara, no que lo pusiera en cuarentena como hace ahora.
Creo que lo que tienes que hacer es añadir una dirección de remite, siempre la misma, al %banned_files_lovers o al @banned_files_lovers_acl o al banned_files_lovers_re. Una de esas, no lo he investigado. -- Saludos Carlos Robinson -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 2004-07-06 a las 20:47 -0600, Jose Figueroa escribió:
$final_banned_destiny = D_BOUNCE; cambie a $final_banned_destiny = D_PASS; esto se logra nivel (c) sin camiseta , ya lo acabo de probar envie *.exe sin virus y pasaron y envie archivos *.exe con virus y no pasaron asi se queda parecido al antiguo amavis. como dije anteriormente la bronca se la come el antivirus voy a seguir en lograr el nivel (b) JF
Con lo cual, cuando llegue el siguiente bombardeo de correos con virus ejecutables, te entrará a la red, porque el antivirus tarda como mínimo unas horas (o dias) en aparecer. Es mejor no permitir la entrada de exes directos, al menos que entren zipeados - y mejor todavía encriptados, pero eso quizás sea demasiado: incluso uno de los bombardeos recientes enviaba zips encriptados: y llevaban virus, consiguieron que los usuarios teclearan la clave manualmente. Por cierto, al contestar a un correo borra la parte superflua del mismo, por favor. Consigues que tus correos pasen de los 16 kilobytes para enviar unicamente media docena de lineas. -- Saludos Carlos Robinson
El 2004-07-06 a las 11:28 +0200, Emiliano Sutil escribió:
Tengo instalado postfix + amavis + clamav y tengo un pequeño problemilla. En la empresa de software en la que estoy mandan pequeños parches de programas comprimidos con winrar pero con formato exe autoextraible. El problema que tengo es que desde que active el amavis esos ficheros los detecta como ficheros exe y no deja enviar, aunque el clamav no detecta virus en ellos. Me manda un correo con este texto
No viruses were found.
A banned name (.exe) was found.
Hay alguna manera de indicar al amavis que envie los ficheros EXE si no se detectan virus en ell?
No es el amavis, sino el amavis-new. El antiguo no presenta ese comportamiento, el nuevo se pasa de listo. (por cierto, no los borra, los deja en cuarentena) Creo que es esto, lo cambié ayer: # set $bypass_decode_parts to true if you only do spam scanning, or if you # have a good virus scanner that can deal with compression and recursively # unpacking archives by itself, and save amavisd the trouble. # Disabling decoding also causes banned_files checking to only see # MIME names and MIME content types, not the content classification types # as provided by the file(1) utility. # It is a double-edged sword, make sure you know what you are doing! # $bypass_decode_parts = 1; # (defaults to false) Eso sirve para poder enviar ficheros comprimidos (pe, con extensión .zip), pero que contienen ficheros con .exe dentro. Ahora bien, si lo que dices es que quieres enviar (o recibir) ficheros .exe directamente... es que eso no se debe hacer, cualquier filtro decente en la actualidad te los borra - y si algún programa de correo windows está contaminado es más fácil que los contamine al paso. Tienes dos alternativas: 1) Cambiarle el nombre a cualquier otra cosa, como .exeno 2) Enviarlos como .rar, no como .exe El 2 no funcionará a no ser que hagas el cambio anterior. Y el 1 puede que tampoco, porque el amavis-new usa el programa "file" para detectar si son ejecutables, no se fia de la extensión. También se desactiva con lo de "bypass_decode_parts=1", creo. 3) Mira la sección sobre "%virus_lovers" en el amavis.conf, que sirve para permitir que ciertos usuarios puedan enviar o recibir viruses. O "%banned_files_lovers", para enviar ficheros prohibidos. Y luego me lo explicas O:-) -- Saludos Carlos Robinson
participants (5)
-
Admin Oficinas Centrales
-
Camaleón
-
Carlos E. R.
-
Emiliano Sutil
-
Jose Figueroa