Procmail-Sanitizer的安裝
朱國光 chukk@tn.edu.tw
2001/11/11
目的:
在安裝Procmail後,可加裝Sanitizer,它配合html-trap.procmail ruleset這個perl程式,能自動化程式過濾信件內容,判斷是否可能中毒。
程式下載:
The html-trap.procmail ruleset的取得:HTTP Mirror 1 (USA- WA)
Sanitizer的取得:HTTP Mirror 1 (USA- WA)
安裝步驟:
mkdir sanitizer
cd sanitizer
ftp ftp.tn.edu.tw/linux/procmail/procmail-sanitizer.tar.gz
tar zxvf procmail*
mkdir /etc/procmail
cp html-trap.procmail /etc/procmail/
cp poisoned-files /etc/procmail/
vi /etc/procmailrc
範例檔:
MAILDIR=/var/mail
VERBOSE=off
PATH="/usr/bin:$PATH:/usr/local/bin"
#Nimda Virus
:0 Bh
* ^Content-Type: audio/x-wav;
* name="readme.exe"
/dev/null
SHELL=/bin/sh
POISONED_EXECUTABLES=/etc/procmail/poisoned-files
#寄信通知系統管理者,若需更多人請在postmaster後加逗點再輸入email即可
SECURITY_NOTIFY="postmaster"
#系統通知訊息發布人
SECURITY_NOTIFY_VERBOSE="postmaster"
#寄信通知寄件人
SECURITY_NOTIFY_SENDER=YES
#寄信通知寄件人訊息內容
SECURITY_NOTIFY_SENDER="/etc/procmail/policy.txt"
#寄信通知給收件人的訊息內容
SECURITY_NOTIFY_RECIPIENT="/etc/procmail/quarantined.txt"
#可放20字元長度以下亂數值,增加安全性
SECRET="hgsfd9734965q34o2ldgbl"
#檢疫隔離信件檔位置
SECURITY_QUARANTINE=/var/spool/mail/quarantine
#巨集病毒掃描積分門檻,一般而言,中毒信件得分通常都會超過100分
POISONED_SCORE=100
#巨集病毒掃描日誌檔位置
SCORE_HISTORY=/var/log/scores
LOGFILE=/var/log/procmail.log
INCLUDERC=/etc/procmail/html-trap.procmail
touch /var/log/procmail.log
chmod 644 /var/log/procmail.log
touch /var/spool/mail/quarantine
chmod 644 /var/spool/mail/quarantine
touch /var/log/scores
chmod 644 /var/log/scores
vi /etc/procmail/policy.txt
範例:
這封信是系統自動發出的訊息。
您的信件可能含有病毒,系統目前已加以隔離處理,請儘速掃毒後再重新寄出此封信。
vi /etc/procmail/quarantined.txt
有人寄病毒信給您,系統已加以攔截,信件相關訊息如下。
抓主旨為空白,信件大於20000行的執行檔範例:
:0
* > 20000
* !^Subject:
* ^Content-Type:.*multipart/mixed;
{
:0 B hfi
* ^Content-Disposition:.*\.EXE
* ^Content-Type:.*\.EXE
| formail -A "X-Content-Security: [$HOST] NOTIFY" \
-A "X-Content-Security: [$HOST] QUARANTINE" \
-A "X-Content-Security: [$HOST] REPORT: Trapped anonymous .EXE"
}
[Procmail的安裝] | [Procmail-Sanitizer的安裝] | [Procmail-Gateway的安裝]