| 導購 | 订阅 | 在线投稿
分享
 
 
 

基于Sendmail和Perl的郵件附件過濾系統

2008-05-31 00:09:50  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  一 前言:

   隨著email在企業裏廣泛使用,它已經成爲傳播病毒的最主要的手段,保護企業

   用戶免受可能帶病毒的郵件附件的感染,尤其是可執行文件的郵件附件,我們

   需要過濾那些可能帶有病毒的附件的郵件,當前主要的做法是在Sendmail把

   郵件送到用戶信箱前由Procmail進行過濾,但是更好的方法是在SMTP傳送期間

   由Sendmail本身進行過濾,本文就是重點在于講述如何使用Sendmail在SMTP

   傳輸期間進行過濾。

  二 基于Sendmail的過濾器的優點

   較之于傳統的Procmail的郵件過濾器,基于Sendmail的有如下優點:

   1) 對每封郵件過濾一次,而不是對每個接收者過濾一次(傳統的基于Procmail的做法)。

   2) 如果安裝在企業的主郵件服務器上,可以在第一道入口拒絕進來的帶有可執行附件的郵件。

   3) 可以利用internet上有經驗的程序員寫的過濾程序,而不是自己寫的Procmail過濾程序。

   4) 可以防止企業內部用戶發出可執行的附件的郵件給外部用戶,成爲好的internet公民。

  三 所需軟件

   我們選用開放源的基于Sendmail和Perl語言的MIMEDefang 過濾系統,它利用

   最新版本Sendmail提供的mail filter API且使用Perl語言寫的程序和過濾規則。

   其主頁在:

   http://www.roaringpenguin.com/mimedefang/

  四 步驟

   a. 下載所需的相關軟件

   一台正在工作的Linux服務器 (這裏我用的是Redhat 7.2)

   Perl 5.001或者更高 (Redhat 7.2已經帶有)

   四個所需的Perl附加模塊

   MIME-tools-5.410.tar.gz

   IO-stringy-1.212.tar.gz

   MIME-Base64-2.11.tar.gz

   MailTools-1.1401.tar.gz

   Sendmail 8.12.1

   MIMEDefang 2.1

  

   b. 編譯並安裝四個Perl模塊

   直接進入每個目錄運行 perl Makefile.PL;make;make test;make install 即可。

   cd /root

   for i in ./*;do tar xvfz $i;done

   cd 每個相應的模塊目錄

   perl Makefile.PL

   make

   make test (確保你測試成功)

   make install

  

   c. 編譯Sendmail加入MILTER支持

   放下面的行在 devtools/Site/site.config.m4 (用VI創建該文件)

   APPENDDEF(`conf_sendmail_ENVDEF',`-DMILTER')

   確保編譯過程中看到Sendmail帶參數 -DMILTER 進行編譯。

  

   新的Sendmail版本加強了安全性,不再運行以suid,需要設置用戶名和組名smmsp,

   在/etc/passwd中加入下面的行:

   smmsp:x:25:25:Sendmail:/:

   在/etc/group中加入下面的行:

   smmsp:x:25:

   cd /root/sendmail-8.12.1

   cd sendmail

   sh Build

   cd ../cf/cf

   cp generic-linux.mc sendmail.mc

   vi sendmail.mc (且放下面的行到該文件中)

  define(`confPRIVACY_FLAGS', `authwarnings,needmailhelo,novrfy,noexpn,restrictqrun')dnl

  INPUT_MAIL_FILTER(`mimedefang', `S=unix:/var/run/mimedefang.sock, F=T, T=S:60s;R:60s;E:5m')

  FEATURE(`smrsh',`/usr/sbin/smrsh')dnl

  FEATURE(`mailertable',`hash -o /etc/mail/mailertable.db')dnl

  FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable.db')dnl

  FEATURE(`access_db')dnl

  FEATURE(redirect)dnl

  FEATURE(always_add_domain)dnl

  FEATURE(use_cw_file)dnl

  FEATURE(use_ct_file)dnl

  FEATURE(local_procmail,`',`procmail -t -Y -a $h -d $u')dnl

  MAILER(smtp)dnl

  MAILER(procmail)dnl

  Cwlocalhost.localdomain

  其中 INPUT_MAIL_FILTER行是MIMEDefang所必需的。

  

   sh Build sendmail.cf

   sh Build install-cf

   cd ../..

   cd sendmail

   sh Build install

   cd ../libmilter

   sh Build install (創建libmilter庫文件供MIMEDefang使用)

   對其它的各種應用程序目錄,同樣用sh Build install安裝。

   d. 編譯MIMEDefang

   cd sendmail-8.12.1

   mkdir -p /usr/local/include/sendmail

   cp -R include/* /usr/local/include/sendmail

   cp -R sendmail/*.h /usr/local/include/sendmail

   mkdir -p /usr/local/lib

   cp obj.Linux.2.4.9-7smp.i686/*/*.a /usr/local/lib

   注:用你的obj.Linux.xxxxx平台的文件代替上面的obj.Linux.2.4.9-7smp.i686

  

   cd mimedefang-2.1

   ./configure

   make

   make install

  

   e. 設置過濾器規則

   在mimedefang-2.1/example下面有各種預定義的規則,你需要拷貝一個到

  /etc/mimedefang-filter

   下面是我用的規則。

  我拷貝了suggested-minimum-filter-for-windows-clients到/etc/mail下且改成下面的

  $Administrator = 'itsecurity@yourdomain.com';

  $DaemonAddress = 'itsecurity@yourdomain.com';

  $Stupidity{"flatten"} = 0;

  $Stupidity{"NoMultipleInlines"} = 0;

  sub filter_begin {

  }

  sub filter {

   my($entity, $fname, $ext, $type) = @_;

   if (re_match_ext($entity, '^\.(exe|com|bat|vbs|scr|shs|dll|vxd|pif|reg|ocx)$')) {

  action_discard();

  action_notify_sender("Your message with attachment '$fname' had been deleted by our mail server because of security issue\n");

  return action_quarantine($entity, "The message with attchment '$fname' was deleted by mail server.");

   }

  return action_accept();

  }

  1;

  上面的過濾規則表示刪除帶上面所列出的擴展名的郵件且通知發送者郵件被刪除,

  接收其它所有的郵件。我也更改/usr/local/bin/mimedefang.pl文件以致不要

  保留郵件附件在/var/spool/MIMEDefang目錄中,該文件有詳細的自我解釋,

  請編輯該文件去掉保留一份被刪除郵件附件在硬盤上的部分。

   f. 啓動系統並測試

  簡單地拷貝example目錄下的爲redhat而寫的redhat-sendmail-init-script到

  /etc/rc.d/init.d/sendmail並且更改Sendmail啓動部分爲

  /usr/sbin/sendmail -L sm-mta -bd -q30m

  /usr/sbin/sendmail -L sm-msp-queue -Ac -q30m

  如果你的郵件服務器每天需要處理成千上萬的郵件,則考慮拷貝另一個腳本

  redhat-sendmail-init-script-with-multiplexor到/etc/rc.d/init.d/sendmail,

  加快處理速度。

  最後用/etc/rc.d/init.d/sendmail start啓動sendmail,發送帶.exe的附件進行測試。

  ,
 
一 前言: 隨著email在企業裏廣泛使用,它已經成爲傳播病毒的最主要的手段,保護企業 用戶免受可能帶病毒的郵件附件的感染,尤其是可執行文件的郵件附件,我們 需要過濾那些可能帶有病毒的附件的郵件,當前主要的做法是在Sendmail把 郵件送到用戶信箱前由Procmail進行過濾,但是更好的方法是在SMTP傳送期間 由Sendmail本身進行過濾,本文就是重點在于講述如何使用Sendmail在SMTP 傳輸期間進行過濾。 二 基于Sendmail的過濾器的優點 較之于傳統的Procmail的郵件過濾器,基于Sendmail的有如下優點: 1) 對每封郵件過濾一次,而不是對每個接收者過濾一次(傳統的基于Procmail的做法)。 2) 如果安裝在企業的主郵件服務器上,可以在第一道入口拒絕進來的帶有可執行附件的郵件。 3) 可以利用internet上有經驗的程序員寫的過濾程序,而不是自己寫的Procmail過濾程序。 4) 可以防止企業內部用戶發出可執行的附件的郵件給外部用戶,成爲好的internet公民。 三 所需軟件 我們選用開放源的基于Sendmail和Perl語言的MIMEDefang 過濾系統,它利用 最新版本Sendmail提供的mail filter API且使用Perl語言寫的程序和過濾規則。 其主頁在: http://www.roaringpenguin.com/mimedefang/ 四 步驟 a. 下載所需的相關軟件 一台正在工作的Linux服務器 (這裏我用的是Redhat 7.2) Perl 5.001或者更高 (Redhat 7.2已經帶有) 四個所需的Perl附加模塊 MIME-tools-5.410.tar.gz IO-stringy-1.212.tar.gz MIME-Base64-2.11.tar.gz MailTools-1.1401.tar.gz Sendmail 8.12.1 MIMEDefang 2.1 b. 編譯並安裝四個Perl模塊 直接進入每個目錄運行 perl Makefile.PL;make;make test;make install 即可。 cd /root for i in ./*;do tar xvfz $i;done cd 每個相應的模塊目錄 perl Makefile.PL make make test (確保你測試成功) make install c. 編譯Sendmail加入MILTER支持 放下面的行在 devtools/Site/site.config.m4 (用VI創建該文件) APPENDDEF(`conf_sendmail_ENVDEF',`-DMILTER') 確保編譯過程中看到Sendmail帶參數 -DMILTER 進行編譯。 新的Sendmail版本加強了安全性,不再運行以suid,需要設置用戶名和組名smmsp, 在/etc/passwd中加入下面的行: smmsp:x:25:25:Sendmail:/: 在/etc/group中加入下面的行: smmsp:x:25: cd /root/sendmail-8.12.1 cd sendmail sh Build cd ../cf/cf cp generic-linux.mc sendmail.mc vi sendmail.mc (且放下面的行到該文件中) define(`confPRIVACY_FLAGS', `authwarnings,needmailhelo,novrfy,noexpn,restrictqrun')dnl INPUT_MAIL_FILTER(`mimedefang', `S=unix:/var/run/mimedefang.sock, F=T, T=S:60s;R:60s;E:5m') FEATURE(`smrsh',`/usr/sbin/smrsh')dnl FEATURE(`mailertable',`hash -o /etc/mail/mailertable.db')dnl FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable.db')dnl FEATURE(`access_db')dnl FEATURE(redirect)dnl FEATURE(always_add_domain)dnl FEATURE(use_cw_file)dnl FEATURE(use_ct_file)dnl FEATURE(local_procmail,`',`procmail -t -Y -a $h -d $u')dnl MAILER(smtp)dnl MAILER(procmail)dnl Cwlocalhost.localdomain 其中 INPUT_MAIL_FILTER行是MIMEDefang所必需的。 sh Build sendmail.cf sh Build install-cf cd ../.. cd sendmail sh Build install cd ../libmilter sh Build install (創建libmilter庫文件供MIMEDefang使用) 對其它的各種應用程序目錄,同樣用sh Build install安裝。 d. 編譯MIMEDefang cd sendmail-8.12.1 mkdir -p /usr/local/include/sendmail cp -R include/* /usr/local/include/sendmail cp -R sendmail/*.h /usr/local/include/sendmail mkdir -p /usr/local/lib cp obj.Linux.2.4.9-7smp.i686/*/*.a /usr/local/lib 注:用你的obj.Linux.xxxxx平台的文件代替上面的obj.Linux.2.4.9-7smp.i686 cd mimedefang-2.1 ./configure make make install e. 設置過濾器規則 在mimedefang-2.1/example下面有各種預定義的規則,你需要拷貝一個到 /etc/mimedefang-filter 下面是我用的規則。 我拷貝了suggested-minimum-filter-for-windows-clients到/etc/mail下且改成下面的 $Administrator = 'itsecurity@yourdomain.com'; $DaemonAddress = 'itsecurity@yourdomain.com'; $Stupidity{"flatten"} = 0; $Stupidity{"NoMultipleInlines"} = 0; sub filter_begin { } sub filter { my($entity, $fname, $ext, $type) = @_; if (re_match_ext($entity, '^\.(exe|com|bat|vbs|scr|shs|dll|vxd|pif|reg|ocx)$')) { action_discard(); action_notify_sender("Your message with attachment '$fname' had been deleted by our mail server because of security issue\n"); return action_quarantine($entity, "The message with attchment '$fname' was deleted by mail server."); } return action_accept(); } 1; 上面的過濾規則表示刪除帶上面所列出的擴展名的郵件且通知發送者郵件被刪除, 接收其它所有的郵件。我也更改/usr/local/bin/mimedefang.pl文件以致不要 保留郵件附件在/var/spool/MIMEDefang目錄中,該文件有詳細的自我解釋, 請編輯該文件去掉保留一份被刪除郵件附件在硬盤上的部分。 f. 啓動系統並測試 簡單地拷貝example目錄下的爲redhat而寫的redhat-sendmail-init-script到 /etc/rc.d/init.d/sendmail並且更改Sendmail啓動部分爲 /usr/sbin/sendmail -L sm-mta -bd -q30m /usr/sbin/sendmail -L sm-msp-queue -Ac -q30m 如果你的郵件服務器每天需要處理成千上萬的郵件,則考慮拷貝另一個腳本 redhat-sendmail-init-script-with-multiplexor到/etc/rc.d/init.d/sendmail, 加快處理速度。 最後用/etc/rc.d/init.d/sendmail start啓動sendmail,發送帶.exe的附件進行測試。 ,
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有