Re: [Exim-users] Antivirus on FreeBSD

[Lena]

> Посоветуйте, пожалуйста, нормальный антивирус (платный, бесплатный), 
> работающий, желательно, на FreeBSD.
> 
> Для фильтрации почты на Exim, разумеется :)
> 
> DrWeb, Kaspersky не предлагать.
> В Украине "табу" на них.
> ClamAV уж очень слабый и мало эффективный.

Не нормальный, но лучше, чем ничего
(или в дополнение к нормальному):

P7ZIP = /usr/local/bin/7z
# port archivers/p7zip in case of FreeBSD
GREP = /usr/bin/grep
SHELL = /bin/sh
BINFORBIDDEN = Windows-executable attachments forbidden
WINBIN = exe|com|js|pif|scr|bat|jse|cpl|vbe|vbs|ace
# more cautious: 
exe|com|js|pif|scr|bat|flv|reg|btm|chm|cmd|cpl|dat|dll|hta|jse|jsp|lnk|msi|prf|sys|vb|vbe|vbs|ace
# WinRAR can uncompress .ace, so trojans are sometimes compressed .ace
COMPREXT = zip|rar|7z|arj|bz2|gz|uue|xz|z
check_rfc2047_length = false
acl_smtp_mime = acl_check_mime
begin acl
acl_check_mime:
  deny message = BINFORBIDDEN
   log_message = forbidden attachment: filename=$mime_filename, \
 content-type=$mime_content_type, recipients=$recipients
   condition = ${if or{\
{match{$mime_content_type}\
  {(?i)executable|application/x-ace-compressed}}\
{match{$mime_filename}{\N(?i)\.(WINBIN)(\.(COMPREXT))*$\N}}\
  }}

  deny message = Compressed BINFORBIDDEN
   condition = ${if or{\
   {match{$mime_content_type}{(?i)application/\
 (octet-stream|x(-zip)?-compressed|zip)}}\
   {match{$mime_filename}{\N(?i)\.(COMPREXT)$\N}}\
  }}
   condition = ${if <{$message_size}{1500K}}
   decode = default
   log_message = forbidden binary in attachment: filename=$mime_filename, \
 recipients=$recipients
   condition = ${if match{${run{P7ZIP l -y $mime_decoded_filename}}}\
 {\N(?i)\n[12].+\.(COMPREXT|WINBIN)\n\N}}

  deny message = Windows-executable inside an Office file attachment
   condition = ${if or{\
 {match{$mime_content_type}{(?i)openxmlformats-officedocument}}\
 {match{$mime_filename}{\N(?i)\.(doc|xls|ppt)(x|m)$\N}}\
  }}
   decode = default
   log_message = forbidden binary in Office file attachment: \
 filename=$mime_filename, recipients=$recipients
   set acl_m_ud = ${sg{$mime_decoded_filename}{[^/]+\$}{}}
   condition = ${run{SHELL -c \
 "cd $acl_m_ud; \
  P7ZIP x -y $mime_decoded_filename; \
  GREP -r -a -s -E \
   'rundll32|This program cannot be run in DOS mode|\
This program must be run under|Embedded Object|\
WScript\\.Sh|Shell\\.Application|Location: file:' \
   $acl_m_ud" >/dev/null}{1}{0}}

  accept

Наверно, в строку WINBIN имеет смысл добавить jar - решайте сами.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Antivirus on FreeBSD

[Mikhail Golub]

Свой вопрос полгода назад я помню.
Но тогда обсуждение ушло в сторону ...

Блокировка исполняемых виндовых файлов и т.п. есть.
Но в последнее время повадились слать вирусы в PDF, DOC(x).


06.11.2017 15:41, Mikhail Golub пишет:

Доброго времени суток.

Посоветуйте, пожалуйста, нормальный антивирус (платный, бесплатный), 
работающий, желательно, на FreeBSD.





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Antivirus on FreeBSD

[Mikhail Golub]

Доброго времени суток.

Посоветуйте, пожалуйста, нормальный антивирус (платный, бесплатный), 
работающий, желательно, на FreeBSD.


Для фильтрации почты на Exim, разумеется :)

DrWeb, Kaspersky не предлагать.
В Украине "табу" на них.
ClamAV уж очень слабый и мало эффективный.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users