Journal filtrer les virus dans les mails.

Posté par (page perso) .
Tags : aucun
0
30
sept.
2003
Apres quelques recherches sur google, qui me donnent trop de voies pour faire cela, je demande a mon ptit journal : comment faire pour filtrer les pieces jointes suspects des email, afin de pas passer mon apres midi au telephone pour devirusser les postes des secretaires ?
Je pense installer un passerelle mail, sous debian, mais quoi utiliser pour filtrer tout ca, je n'ai jamais configuré ce genre de choses.

Si quelqu'un (ou une, hein), a un tuto la dessus, pour monter quelque chose de simple et libre, je suis preneur. Et quelle charge processeur cela prends il ? Il y'aura pas plus de 5 comptes mail a filtrer, et la machine sera surement de la recup de type P166 32Mo.
  • # Re: filtrer les virus dans les mails.

    Posté par . Évalué à 1.

    Il y a un article sur Freshmeat qui présente tous les composants dont tu as besoin : http://freshmeat.net/articles/view/857/(...)

    Je ne l'ai pas mis en place (j'avais deja ma solution en place quand il est sorti), ça te débroussaille pas mal le truc.

    Le plus "simple" (* le moins compliqué*) est de te configurer un Postfix avec amavisd (interface entre postfix et l'antivirus) et par exemple un antivirus libre, clam-av (amavis supporte aussi les version commerciales des antivirus pour Linux).

    Bon courage!
    • [^] # Re: filtrer les virus dans les mails.

      Posté par . Évalué à 3.

      Visiblement les mails sont stockes sur un serveur externe, ta config me semble un peu juste pour prendre le mx de ton domaine et recuperer tous les mails de tes utilisateurs (pas qu'il faille plus de puissance, mais au moins de la redondance disque et un onduleur...)

      Je te conseille plutot de voir avec fetchmail (surtout pour 5 utilisateurs) ou un proxy POP.

      comme ca si ta machine tombe aucun mail ne sera perdu, tu remets les params POP de ton hebergeur.

      Si ca ne correspond pas a tes besoins dis nous en plus...

      http://www.gcolpart.com/howto/mail.php4#fetchmail(...) a l'air pas trop mal foutu... et peut etre une bonne base. en francais.
      • [^] # Re: filtrer les virus dans les mails.

        Posté par . Évalué à 1.

        J'oubliais...
        Bon courage, tiens nous au courant...
        ;-)
        • [^] # Re: filtrer les virus dans les mails.

          Posté par (page perso) . Évalué à 2.

          Si si, ca correspond totalement a mes besoins. La machine va chercher les mails chez le FAI, et les clients viennent les chercher, propres, sur la machine. Mais pas question de gerer en interne les mail, c'est une ligne adsl, et un pauv' PC pourri qui servira au filtrage.
          Avec cette solution effectivement en cas de probleme, zou on change les parametres d'outlook (oui, bon, pour les secretaires, changer de maileur c'est comme se retrouver devant le tableau de bord d'un 747...)

          Par contre, l'article parle de clamav, ca donne quoi ? Je cherche une simple regle de filtrage pour eliminer les .exe, com, bat, pif et compagnie, ainsi que les mime type zarbi qu'outlook s'empresse d'ouvrir...

          En tout cas ton lien a l'air tres complet, merci :) Je test ca dans la semaine sur le routeur de l'annexe, ou nous sommes que 2... Mais y'a t'il pas moins "grosse artillerie" que fetchmail et procmail ? Sinon, ben j'apprendrais :)
          • [^] # Re: filtrer les virus dans les mails.

            Posté par . Évalué à 1.

            A mon avis :

            si tu bloques/filtres les exe/pif/lnk et que tes utilisateurs sont un minimun disciplinés et qu'ils n'ouvrent pas les documents word avec macro, tu te sentiras plus à l'aise au niveau des virus
            Et en bonus SpamAssassin...

            Une autre page (mieux, je l'ai lu qu'en diagonale, mais la y a pas un bandeau a gauche parlant de foot ! )

            http://worldserver3.oleane.com/bouynot/gabuzomeu/alex/doc/spamassas(...)
          • [^] # Re: filtrer les virus dans les mails.

            Posté par . Évalué à 2.

            Mon système local se base sur Exim ( pour les users du réseau ) et fetchmail ( pour récupérer sur le net ) sur Debian. C'est relativement léger puisque ça a tourné sur un 486. J'ai créé un fichier .forward dans /etc/exim/. Le voici :

            # Exim filter
            if ( $header_content-type: matches "(?:file)?name=(\"[^\"]+\\\\.(?:ad[ep]|ba[st]|chm|cmd|com|cpl|crt|eml|exe|hlp|hta|in[fs]|isp|jse?|lnk|md[be]|ms[cipt]|pcd|pif|reg|scr|sct|shs|url|vb[se]|ws[fhc])\")" ) or
            ( $header_content-type: matches "(?:file)?name=(\\\\S+\\\\.(?:ad[ep]|ba[st]|chm|cmd|com|cpl|crt|eml|exe|hlp|hta|in[fs]|isp|jse?|lnk|md[be]|ms[cipt]|pcd|pif|reg|scr|sct|shs|url|vb[se]|ws[fhc]))" ) or
            ( $message_body matches "(?:Content-(?:Type:(?>\\\\s*)[\\\\w-]+/[\\\\w-]+|Disposition:(?>\\\\s*)attachment);(?>\\\\s*)(?:file)?name=|begin(?>\\\\s+)[0-7]{3,4}(?>\\\\s+))(\"[^\"]+\\\\.(?:ad[ep]|ba[st]|chm|cmd|com|cpl|crt|eml|exe|hlp|hta|in[fs]|isp|jse?|lnk|md[be]|ms[cipt]|pcd|pif|reg|scr|sct|shs|url|vb[se]|ws[fhc])\")[\\\\s;]" ) or
            ( $message_body matches "(?:Content-(?:Type:(?>\\\\s*)[\\\\w-]+/[\\\\w-]+|Disposition:(?>\\\\s*)attachment);(?>\\\\s*)(?:file)?name=|begin(?>\\\\s+)[0-7]{3,4}(?>\\\\s+))(\\\\S+\\\\.(?:ad[ep]|ba[st]|chm|cmd|com|cpl|crt|eml|exe|hlp|hta|in[fs]|isp|jse?|lnk|md[be]|ms[cipt]|pcd|pif|reg|scr|sct|shs|url|vb[se]|ws[fhc]))[\\\\s;]" )
            then
            logfile /var/log/exim/filter.log
            logwrite "$tod_log Message de $sender_address : virus\n"
            save /root/mailbox/VIRUS
            seen mail to POSTMASTER subject "Message en attente : virus." text "Un message de $sender_address a destination de $header_To est actuellement en attente car il semblerai qu'il contienne un virus.\n\n"
            finish
            endif

            Et pour forwarder le tout vers ça, j'ai mis ça dans Exim dans la section DIRECTORS CONFIGURATION :

            central_filter:
            driver = forwardfile
            file_transport = address_file
            pipe_transport = address_pipe
            reply_transport = address_reply
            file = /etc/exim/.forward
            no_check_local_user
            no_verify
            filter
            allow_system_actions
            user = mail

            Ça me permet de savoir quand un user à reçu un virus, je peux vérifier le mail puis lui renvoyer dans le cas où c'est une fausse alerte. J'ai trouvé la partie filtre sur le Net mais je n'ai pas gardé la reférence. Il doit être aussi possible de prévenir l'user qu'il a reçu un virus ou encore l'envoyeur qu'il envoie de mauvais formats ... ( cf. la doc d'exim, très complète ... ).

            Voila, voila ... ( excusez pour le massacre de la page ... )
  • # Re: filtrer les virus dans les mails.

    Posté par . Évalué à 1.

    Ben moi j'utilise fetchmail + postfix + amavis-ng + clamav et j'en suis assez content. Mais c'est juste pour virer les virus avant que spamassassin raporte les spam...

    Il faut prendre le amavis-ng de unstable (0.1.6.5-1), celui de testing est cassé.

    Tu peux ajouter F-Prot ou d'autres antivirus à la place de clamav...
  • # Re: filtrer les virus dans les mails.

    Posté par (page perso) . Évalué à 1.

    j'utilise un filtre procmail
    http://www.impsec.org(...)

    renome ou ejecte tous les executables
    evalue la quantite de macro word
    nettoie les mails html

    elementaire a installer et a configurer, hyper efficace

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.