Hola a todos, On Fri, May 05, 2000 at 03:56:43PM +0200, Joan Cirer wrote: > > Por cierto... > Conoceis el filtro para sendmail Amavis (http://aachalon.de/AMaViS) ? > Es un mailer que escanea todos los mensajes que pasan a traves del servidor > para detectar virus no es tan sofisticado como los antivirus para MS > Exchange o Lotus Domino, pero os puede sacar de apuros en el curro ;-) >
Yo utilizo un interceptador de ejecutables con procmail, no es exactamente un antivirus, pero me va bien... (excepto los autoextraibles nadie envia nunca ejecutables a "mis" usuarios... excepto los virus) Ademas he intentado detectar macros dentro de archivos word (funciona al menos con el virus de macro de word-97 que le llegó a la secre de mi jefe ;-) No conozco todos los formatos de correo (de adjuntos) asi que he preparado estos recipientes por ensayo-y-error ¿Que os parece? ¿Hay mas formatos de añadir adjuntos? Agradeceré comentarios ;-) ----8<---- #### # CAPTURA DE CORREO CON EJECUTABLES .EXE , ETC... (VIRUS DE E-MAIL) # Esto captura todos los mensajes con añadidos exe, com, hta, vbs, js y reg # y los envia al recipiente exemacros para "su desactivación" # ¿Hay mas formatos de adjuntos? # # Capturo adjuntos MIME :0 HB * .*filename=".*(\.exe|\.com|\.hta|\.vbs|\.js|\.reg)" ! exemacros # Captuto adjuntos ¿uuencode? # (lo he tomado del virus de e-mail Happy.exe) # que es: ^begin 644 Happy99.exe$ (expresión regular) # :0 HB * ^begin.*(\.exe|\.com|\.hta|\.vbs|\.js|\.reg) ! exemacros #### # CAPTURA DE ADJUNTOS CON MACROS (MS-Word 97 como minimo) # Lo que vamos a hacer es detectar en el cuerpo la cadena # "0x00 M 0x00 a 0x00 c 0x00 r 0x00 o 0x00 s 0x00" que parece estar siempre # presente cuando hay macros... # Como los adjuntos siempre vienen codificados hay que buscar esa cadena # ya codificada # En la codificacion base64 (3 en 4) hay tres cadenas resultantes en funcion # de la posicion relativa de la cadena desde el inicio del texto # Aunque la codificacion quoted-printable no suele ser la usada en los .doc # la añado por si acaso (es el cuarto valor) :0 B * .*(TQBhAGMAcgBvAHM|E0AYQBjAHIAbwBz|BNAGEAYwByAG8Acw|M=00a=00c=00r=00o=00s=00) ! exemacros ---->8---- Mas detalles: Me bajo el correo de mis usuarios con fetchmail y lo entrego a procmail, le paso estos "filtros" y luego lo envio a los recipiente de mis usuarios a traves del MTA del sistema (exim) La idea no es detectar virus, sino detectar ejecutables o la presencia de macros en documentos microchof, aunque con Excel no he tenido exito... Saludos, -- ------------------------------------------------- Manel Marin e-mail: [EMAIL PROTECTED] Linux Powered (Debian 2.1 slink) kernel 2.2.14 Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3 ------------------------------------------------- Mi petición de drivers para Linux es la nº 33126 (Pasate por http://www.libranet.com/petition.html ;-)
