Re: [Exim-users] Антивирус под FreeBSD
Hi!
On 29.03.2016 2:42, l...@lena.kiev.ua wrote:
Значит так?
P7ZIP = /usr/local/bin/7z
# port archivers/p7zip in case of FreeBSD
WINBIN =
exe|com|js|bat|pif|scr|reg|btm|chm|cmd|cpl|dat|dll|hta|jsp|lnk|msi|prf|sys|vb|vbe|vbs
COMPREXT = 7z|arj|bz2|gz|rar|uue|z|zip
BINFORBIDDEN = Windows-executable attachments forbidden
acl_smtp_mime = acl_check_mime
begin acl
acl_check_mime:
deny message = BINFORBIDDEN
log_message = forbidden attachment: filename=$mime_filename, \
content-type=$mime_content_type, recipients=$recipients
condition = ${if or{\
{match{$mime_content_type}{(?i)executable}}\
{match{$mime_filename}{\N(?i)\.(WINBIN)$\N}}\
}}
deny message = Compressed BINFORBIDDEN
condition = ${if or{\
{match{$mime_content_type}{(?i)application/\
(octet-stream|x-zip-compressed|zip)}}\
{match{$mime_filename}{\N(?i)\.(COMPREXT)$\N}}\
}}
condition = ${if <{$message_size}{1500K}}
Да, именно так. Недавно появились вложения с ещё одним типом
"application/x-compressed", можно добавить. С этим mime type прилетел
файл с расширением xz.
И я менее требователен к запрещённым вложениям:
exe|scr|js|jse|com|cpl|pif|vbe|vbs
--
Best regards, Yura Scheglyuk
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
ну чо уж мелочиться, надо все резать :) вот прямо счас пришел аттач: file CCE29032016_7.pdf CCE29032016_7.pdf: Zip archive data, at least v2.0 to extract Zip archive data, at least v2.0 to extract внутри js - https://virustotal.com/ru/file/720b769f42abb243bcc3402bf6cd29aa0a62c5c3cbff13f43f6599705af6eb73/analysis/1459255064/ >Вторник, 29 марта 2016, 10:27 +03:00 от "Alexander Sheiko" : > > >В письме от Втр, 29 Мар 2016, 00:08 l...@lena.kiev.ua пишет: > >> Если какой-нибудь безобидный файл .exe (например putty.exe) >> переименовать в .chm и (например в Проводнике) его двойным щелчком мышки, >> винда (например XP) запустит на исполнение? > >Винда запустит hh.exe, который попытается его открыть и выругается, что >открыть файл не получается. > >> Аналогичный вопрос про ocx и flv. > >ocx - это ActiveX Control. После регистрации его тем или иным образом через: >regsvr32.exe file.ocx >будет выполняться любой код в браузере > >По идее - любой исполняемый (вирусный) файл может выполнить регистрацию >этих ActiveX Control. Эти файлы - потенциально опасны и могут идти к >вирусне прицепом. > >Открытие flv запускает Flash Player в браузере. Поскольку в этом >проигрывателе находили дыры, позволяющие выполнить любой код в системе, - >это потенциальная дыра. > >> .jar нужно проверить в винде с установленной виндозной программой 7z - >> двойной щелчок на файле .jar покажет перечень файлов внутри него? > >jar - это пожатые файлы виртуальной ява машины. Если она стоит в системе, >двойной щелчок запустит содержимое архива на исполнение (если у него >правильное содержимое). > >Если какая-то программа (архиватор) поменяла ассоциацию - файл откроется в >этой программе. > >> Это решается изменением настройки Ворда? > >Состояние опции "разрешить выполнять макросы" у разных пользователей - >абсолютно непредсказуемо. По этому, стоит считать, что выполнение макросов >разрешено. > >-- >WBR, Alexander Sheiko > > >___ >Exim-users mailing list >Exim-users@mailground.net >http://mailground.net/mailman/listinfo/exim-users > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Втр, 29 Мар 2016, 00:08 l...@lena.kiev.ua пишет: > Если какой-нибудь безобидный файл .exe (например putty.exe) > переименовать в .chm и (например в Проводнике) его двойным щелчком мышки, > винда (например XP) запустит на исполнение? Винда запустит hh.exe, который попытается его открыть и выругается, что открыть файл не получается. > Аналогичный вопрос про ocx и flv. ocx - это ActiveX Control. После регистрации его тем или иным образом через: regsvr32.exe file.ocx будет выполняться любой код в браузере По идее - любой исполняемый (вирусный) файл может выполнить регистрацию этих ActiveX Control. Эти файлы - потенциально опасны и могут идти к вирусне прицепом. Открытие flv запускает Flash Player в браузере. Поскольку в этом проигрывателе находили дыры, позволяющие выполнить любой код в системе, - это потенциальная дыра. > .jar нужно проверить в винде с установленной виндозной программой 7z - > двойной щелчок на файле .jar покажет перечень файлов внутри него? jar - это пожатые файлы виртуальной ява машины. Если она стоит в системе, двойной щелчок запустит содержимое архива на исполнение (если у него правильное содержимое). Если какая-то программа (архиватор) поменяла ассоциацию - файл откроется в этой программе. > Это решается изменением настройки Ворда? Состояние опции "разрешить выполнять макросы" у разных пользователей - абсолютно непредсказуемо. По этому, стоит считать, что выполнение макросов разрешено. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> On Mar 29, 2016, at 10:00 AM, Valentin Nechayev wrote: > > Mon, Mar 28, 2016 at 11:22:47, igor.karpov wrote about "Re: [Exim-users] > Антивирус под FreeBSD": > >> Кстати, рискуя ляпнуть банальность - RFC не являются стандартами, >> так что формально и придраться-то не к чему. > > Если формально придраться, то очень можно: > ftp://ftp.ietf.org/rfc/std-index.txt > именно что список стандартов. > Причём: например: в нём RFC822, а не 2822 или 5322. 822 со всеми > своими суперкривыми тараканами, которые вообще никто из хоть как-то > популярных не поддерживает. Так что возможностей придолбаться к столу > - выше крыши :) > P.S. IP6 в этом списке нет :) Вот кто бы еще поднял этот список :) Наверное, кроме тебя его годами никто не перечитывал :) Regards, Igor signature.asc Description: Message signed with OpenPGP using GPGMail ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
Mon, Mar 28, 2016 at 11:22:47, igor.karpov wrote about "Re: [Exim-users] Антивирус под FreeBSD": > Кстати, рискуя ляпнуть банальность - RFC не являются стандартами, > так что формально и придраться-то не к чему. Если формально придраться, то очень можно: ftp://ftp.ietf.org/rfc/std-index.txt именно что список стандартов. Причём: например: в нём RFC822, а не 2822 или 5322. 822 со всеми своими суперкривыми тараканами, которые вообще никто из хоть как-то популярных не поддерживает. Так что возможностей придолбаться к столу - выше крыши :) P.S. IP6 в этом списке нет :) -netch- ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> ukr.net как раз "не хочет принимать легальные письма, отправляемые другими > сервисами, не имеющими явных проблем, вроде нахождения в блеклистах или > кривых DNS записей". По почте проблема не решилась: Ну смотрите: мы провели амнистию неделю назад и сняли тотальный блэклист, оставив там "только" ~850 подтвержденных спам-хостов *только из этой AS*. Вчера провели проверку. За неделю плюс 600 новых хостов, причем 300 - уже включили спамомёт на полную, а еще 300 - прогреваются. Таких площадок в мире аж одна - FirstVDS. И вчера мы вернули "взад" тотальный блок, о чем известили FirstVDS. Да они сами признают, что у них там гнездо спамеров, что они (спамеры) дожидаются закрытия или попадания в RBL и просто покупают новый VDS, потому что у них самая дешевая площадка. Кстати после закрытия спамера освободившийся ip тут же выдаётся другим. Вот берешь ты VDS, а он в блэклистах - сюрприз! И кстати обойти этот блэклист - это вопрос щелчка пальцев - слать почту через любой нормальный сервис почты-для-домена. Google apps, Yandex, Amazon. Т.е. смартхост через нормальную площадку. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> Чем Вы недовольны? Это понятнее пострадавшим не по своей вине. > Очень понятный и аргументированный ответ. Тогда как в > Гугле живые люди отсутствуют "в принципе". Нет ответа или отказ - результат один. > > WINBIN = > > exe|com|js|bat|pif|scr|reg|btm|chm|cmd|cpl|dat|dll|hta|jsp|lnk|msi|prf|sys|vb|vbe|vbs > > О - даже книги в формате chm нельзя слать. Если какой-нибудь безобидный файл .exe (например putty.exe) переименовать в .chm и (например в Проводнике) его двойным щелчком мышки, винда (например XP) запустит на исполнение? У меня дома нет винды, проверить не могу. > Забыли ocx, flv и jar :). Аналогичный вопрос про ocx и flv. .jar нужно проверить в винде с установленной виндозной программой 7z - двойной щелчок на файле .jar покажет перечень файлов внутри него? Если да, перечень покажет программа 7z, WinZIP или какая? > А как же макровирусы и документы офиса? Это решается изменением настройки Ворда? > Проще резать уже сразу любой аттач, тогда можно заодно не использовать > антивирус и сэкономить ресурсы P). Любой антивирус дырявый. С другой стороны, если файл фактически в формате exe, но с другим расширением, и из-за расширения винда его не запустит в результате двойного щелчка по файлу, то файлы с такими расширениями можно не резать. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Пнд, 28 Мар 2016, 22:42 l...@lena.kiev.ua пишет: > По почте проблема не решилась: > | Фишинг, спам - всё это игнорируется. Мы сбрасывали туда как рядовые > | обращения, так и системные моменты. > | > | Итог блокировки AS29182 - минус миллион писем спама в день и ноль жалоб > | пользователей. Чем Вы недовольны? Очень понятный и аргументированный ответ. Тогда как в Гугле живые люди отсутствуют "в принципе". > WINBIN = > exe|com|js|bat|pif|scr|reg|btm|chm|cmd|cpl|dat|dll|hta|jsp|lnk|msi|prf|sys|vb|vbe|vbs О - даже книги в формате chm нельзя слать. Забыли ocx, flv и jar :). А как же макровирусы и документы офиса? Проще резать уже сразу любой аттач, тогда можно заодно не использовать антивирус и сэкономить ресурсы P). -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
Hello! On Mon, 28 Mar 2016 at 22:42:59 (+0300), l...@lena.kiev.ua wrote: > > Ихний сервис временами не хочет принимать легальные письма отправляемые > > другими сервисами, не имеющими явных проблем, вроде нахождения в > > блеклистах или кривых DNS записей. > > Есть множество нормальных > > сервисов (пример mail.ukr.net - не реклама), с которыми подобных проблем > > нет и всё решается быстро по почте. > ukr.net как раз "не хочет принимать легальные письма, отправляемые другими > сервисами, не имеющими явных проблем, вроде нахождения в блеклистах или > кривых DNS записей". По почте проблема не решилась: Так причина же описана в приведённой цитате postmas...@ukr.net. Или чего-то не понял... ps: сталкивался с ukr.net не только по работе, но и лично, и могу подтвердить, что нерешаемых проблем нет (в рамках здравого смысла). При чём решабельность проблем намного прозрачнее и адекватнее других mass mail. > | From: Ukrnet Postmaster > | Вы работаете из-под адресного пространства, где abuse@ не работает. Т.е. > | технически адрес у AS29182 для abuse есть, только он ничего не > предпринимает. > | Фишинг, спам - всё это игнорируется. Мы сбрасывали туда как рядовые > | обращения, так и системные моменты. > | > | Итог блокировки AS29182 - минус миллион писем спама в день и ноль жалоб > | пользователей. Жалуются только арендаторы внутри этого адресного > | пространства, но это ожидаемый collateral damage, что почта не доходит . > | > | В качестве решения мы предлагаем использовать для доставки почты другие > | площадки, где на фишинг и abuse реагируют оперативно: Google Apps, Amazon > | и т.д. -- George L. Yermulnik [YZ-RIPE] ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> Ихний сервис временами не хочет принимать легальные письма отправляемые
> другими сервисами, не имеющими явных проблем, вроде нахождения в
> блеклистах или кривых DNS записей.
> Есть множество нормальных
> сервисов (пример mail.ukr.net - не реклама), с которыми подобных проблем
> нет и всё решается быстро по почте.
ukr.net как раз "не хочет принимать легальные письма, отправляемые другими
сервисами, не имеющими явных проблем, вроде нахождения в блеклистах или
кривых DNS записей". По почте проблема не решилась:
| From: Ukrnet Postmaster
| Вы работаете из-под адресного пространства, где abuse@ не работает. Т.е.
| технически адрес у AS29182 для abuse есть, только он ничего не предпринимает.
| Фишинг, спам - всё это игнорируется. Мы сбрасывали туда как рядовые
| обращения, так и системные моменты.
|
| Итог блокировки AS29182 - минус миллион писем спама в день и ноль жалоб
| пользователей. Жалуются только арендаторы внутри этого адресного
| пространства, но это ожидаемый collateral damage, что почта не доходит .
|
| В качестве решения мы предлагаем использовать для доставки почты другие
| площадки, где на фишинг и abuse реагируют оперативно: Google Apps, Amazon
| и т.д.
> From: Yura Scheglyuk
> Вот теперь почти правильно. Вы только не учитываете фантазию
> вирусописателей. Файл может быть с любым расширением, которое понимает
> 7z. В последнее время замечены такие расширения:
> "7z|arj|bz2|gz|rar|uue|z|zip".
>
> Более того, если указать правильный MIME Content Type, то можно вообще
> любое расширение файла давать. Поэтому я сначала натравливаю 7z на
> аттачи с выбранными mime_content_type:
>
> deny message = Blacklisted file extension detected in file
> ${lc:$mime_filename}
> condition = ${if
> match{$mime_content_type}{application/octet-stream|application/x-zip-compressed|application/zip}}
Значит так?
P7ZIP = /usr/local/bin/7z
# port archivers/p7zip in case of FreeBSD
WINBIN =
exe|com|js|bat|pif|scr|reg|btm|chm|cmd|cpl|dat|dll|hta|jsp|lnk|msi|prf|sys|vb|vbe|vbs
COMPREXT = 7z|arj|bz2|gz|rar|uue|z|zip
BINFORBIDDEN = Windows-executable attachments forbidden
acl_smtp_mime = acl_check_mime
begin acl
acl_check_mime:
deny message = BINFORBIDDEN
log_message = forbidden attachment: filename=$mime_filename, \
content-type=$mime_content_type, recipients=$recipients
condition = ${if or{\
{match{$mime_content_type}{(?i)executable}}\
{match{$mime_filename}{\N(?i)\.(WINBIN)$\N}}\
}}
deny message = Compressed BINFORBIDDEN
condition = ${if or{\
{match{$mime_content_type}{(?i)application/\
(octet-stream|x-zip-compressed|zip)}}\
{match{$mime_filename}{\N(?i)\.(COMPREXT)$\N}}\
}}
condition = ${if <{$message_size}{1500K}}
decode = default
log_message = forbidden binary in attachment: filename=$mime_filename, \
recipients=$recipients
condition = ${if match{${run{P7ZIP l $mime_decoded_filename}}}\
{\N(?i)\n[12].+\.(COMPREXT|WINBIN)\n\N}}
accept
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
28 марта 2016 г., 13:45 пользователь Vladimir Sharun < vladimir.sha...@ukr.net > написал: Всем привет :) Если ip совсем-совсем незнакомый, хз вообще что, то тогда это может быть subject to greylisting (а может и не быть например). Сейчас правила "входа" драматически более либеральны: времена другие, чем то, что было в середине нулевых. А это уже можно не читать? http://www.ukr.net/mta/std3.html "тогда это может быть subject to greylisting" , т.е. показывается всё тот же url ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
28 марта 2016 г., 13:45 пользователь Vladimir Sharun < vladimir.sha...@ukr.net> написал: > Всем привет :) > > Если ip совсем-совсем незнакомый, хз вообще что, то тогда это может быть > subject to greylisting (а может и не быть например). > Сейчас правила "входа" драматически более либеральны: времена другие, чем > то, что было в середине нулевых. > А это уже можно не читать? http://www.ukr.net/mta/std3.html ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
Всем привет :) Если ip совсем-совсем незнакомый, хз вообще что, то тогда это может быть subject to greylisting (а может и не быть например). Сейчас правила "входа" драматически более либеральны: времена другие, чем то, что было в середине нулевых. --- Оригінальне повідомлення --- Від кого: "Alexander Sheiko" Дата: 28 березня 2016, 11:43:30 В письме от Пнд, 28 Мар 2016, 11:22 Igor Karpov пишет: > М-м… это не в ukr.net несколько своебразная практика greylisting, когда > если письмо отправляется с незнакомого адреса, его можно ждать сутки? Это вопрос больше к Владимиру. Из того, что мне известно - первый раз для нового IP релея выполнялась мариновка до суток. Потом пускало без проблем с любого From на любой локальный для этого IP. Т. е. - проверка для любых писем выполнялась лишь однажды. Как оно сейчас - х.з. У меня к ним было не доходили письма, пересыщающиеся на адрес их домена (через алиасы). Решилось за пару часов одним письмом. > Соответственно, с тем большим аппетитом Google будет делать все, что > заблагорассудится. Когда-то притчей во языцех была Microsoft, но по > сравнению с Google они давно стали белыми и пушистыми. Увы. Но выбор всегда есть, ибо нормальных сервисов тоже хватает. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Пнд, 28 Мар 2016, 11:52 Igor Karpov пишет: > Увы, но получателю, чей почтовый ящик расположен на Gmail, обычно не до > всех этих тонкостей, а письмо помечается гуглом как спам. И тут уж никакой > нормальный сервис не поможет, ибо данный конкретный пользователь в данный > конкретный момент имеет почту именно у гугла :( Вот я и говорю - выбор поставщика услуг всегда есть. А тот, кто при этом повёлся на "все им пользуются" и выбрал себе потенциальные проблемы - сам себе злой Буратино :). Нужно проводить больше разъяснительной работы среди (своих) пользователей - где и какие могут быть особенности и потенциальные проблемы. Как врач, к которому приходит пациент после просмотра рекламы таблеток по телевизору. > большие вложения автоматически (при выставлении соответствующей галочки в > настройках клиента, разумеется) заменять большое вложение на ссылку для > загрузки оного вложения из облака И это правильно, главное, чтобы нормальные файлы не резало. Нечто похожее есть в том же ukr.net - обмен (большими) аттачами через их облачный диск. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> On Mar 28, 2016, at 11:42 AM, Alexander Sheiko wrote: > > > В письме от Пнд, 28 Мар 2016, 11:22 Igor Karpov пишет: > >> М-м… это не в ukr.net несколько своебразная практика greylisting, когда >> если письмо отправляется с незнакомого адреса, его можно ждать сутки? > > Это вопрос больше к Владимиру. Из того, что мне известно - первый раз для > нового IP релея выполнялась мариновка до суток. Потом пускало без проблем > с любого From на любой локальный для этого IP. Т. е. - проверка для любых > писем выполнялась лишь однажды. Как оно сейчас - х.з. > > У меня к ним было не доходили письма, пересыщающиеся на адрес их домена > (через алиасы). Решилось за пару часов одним письмом. > >> Соответственно, с тем большим аппетитом Google будет делать все, что >> заблагорассудится. Когда-то притчей во языцех была Microsoft, но по >> сравнению с Google они давно стали белыми и пушистыми. > > Увы. Но выбор всегда есть, ибо нормальных сервисов тоже хватает. Увы, но получателю, чей почтовый ящик расположен на Gmail, обычно не до всех этих тонкостей, а письмо помечается гуглом как спам. И тут уж никакой нормальный сервис не поможет, ибо данный конкретный пользователь в данный конкретный момент имеет почту именно у гугла :( Впрочем, это лирика. Что до вложений, то мне лично нравится практика Apple большие вложения автоматически (при выставлении соответствующей галочки в настройках клиента, разумеется) заменять большое вложение на ссылку для загрузки оного вложения из облака. Конечно, это не решение проблемы, а, скорее, перекладывание ее на конечного пользователя, но хоть в MIME не заворачиваются файлы по 25 мегабайт… — Regards, Igor signature.asc Description: Message signed with OpenPGP using GPGMail ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Пнд, 28 Мар 2016, 11:22 Igor Karpov пишет: > М-м… это не в ukr.net несколько своебразная практика greylisting, когда > если письмо отправляется с незнакомого адреса, его можно ждать сутки? Это вопрос больше к Владимиру. Из того, что мне известно - первый раз для нового IP релея выполнялась мариновка до суток. Потом пускало без проблем с любого From на любой локальный для этого IP. Т. е. - проверка для любых писем выполнялась лишь однажды. Как оно сейчас - х.з. У меня к ним было не доходили письма, пересыщающиеся на адрес их домена (через алиасы). Решилось за пару часов одним письмом. > Соответственно, с тем большим аппетитом Google будет делать все, что > заблагорассудится. Когда-то притчей во языцех была Microsoft, но по > сравнению с Google они давно стали белыми и пушистыми. Увы. Но выбор всегда есть, ибо нормальных сервисов тоже хватает. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> On Mar 28, 2016, at 11:01 AM, Alexander Sheiko wrote: > > > В письме от Пнд, 28 Мар 2016, 10:46 Vasiliy P. Melnik пишет: > >> Ну так возьмите платную поддержку - будет саппорт, проблема то в чем. Их >> модель бизнеса не предусматривает поддержку фри аккаунтам > > Почему это я должен ещё заводить у них аккаунт, брать платную поддержку > для решения ими же созданных техпроблем? Есть множество нормальных > сервисов (пример mail.ukr.net - не реклама), с которыми подобных проблем > нет и всё решается быстро по почте. М-м… это не в ukr.net несколько своебразная практика greylisting, когда если письмо отправляется с незнакомого адреса, его можно ждать сутки? > > Это напоминает вид рекета - создавать проблемы, а потом ещё требовать > деньги за их устранение. Такое ещё встречается, скажем, у некоторых DNSBL > сервисов. Я бы сказал, что они создают не проблемы, а устанавливают правила. Увы. Большая корпорация создает новые правила игры. Может себе позволить. Насколько я вижу, за последнее десятилетие отчетливо установилась тенденция к отказу от поддержки собственных почтовых сервисов. Соответственно, с тем большим аппетитом Google будет делать все, что заблагорассудится. Когда-то притчей во языцех была Microsoft, но по сравнению с Google они давно стали белыми и пушистыми. Кстати, рискуя ляпнуть банальность - RFC не являются стандартами, так что формально и придраться-то не к чему. Regards, Igor signature.asc Description: Message signed with OpenPGP using GPGMail ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Пнд, 28 Мар 2016, 11:07 Vasiliy P. Melnik пишет: > Чето я не понял - Вас заставили создать ящик на гмыле и им пользоваться? Ихний сервис временами не хочет принимать легальные письма отправляемые другими сервисами, не имеющими явных проблем, вроде нахождения в блеклистах или кривых DNS записей. Письмо, или отшибается до бесконечности по 4хх, или идёт в папку спам. Реальная связь для решения проблемы отсутствует. Проблема - массовая, легко находится через поисковик этого же поставщика услуг. > Неужели заставили ? вломились в квартиру и взяли в кури паяльник ? Забили входную дверь адресата гвоздями. Пускают лишь через вышибалу и чёрный ход. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> > Почему это я должен ещё заводить у них аккаунт, брать платную поддержку > для решения ими же созданных техпроблем? Есть множество нормальных > сервисов (пример mail.ukr.net - не реклама), с которыми подобных проблем > нет и всё решается быстро по почте. > Чето я не понял - Вас заставили создать ящик на гмыле и им пользоваться? > Это напоминает вид рекета - создавать проблемы, а потом ещё требовать > деньги за их устранение. Такое ещё встречается, скажем, у некоторых DNSBL > сервисов. > Неужели заставили ? вломились в квартиру и взяли в кури паяльник ? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Пнд, 28 Мар 2016, 10:46 Vasiliy P. Melnik пишет: > Ну так возьмите платную поддержку - будет саппорт, проблема то в чем. Их > модель бизнеса не предусматривает поддержку фри аккаунтам Почему это я должен ещё заводить у них аккаунт, брать платную поддержку для решения ими же созданных техпроблем? Есть множество нормальных сервисов (пример mail.ukr.net - не реклама), с которыми подобных проблем нет и всё решается быстро по почте. Это напоминает вид рекета - создавать проблемы, а потом ещё требовать деньги за их устранение. Такое ещё встречается, скажем, у некоторых DNSBL сервисов. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
28 марта 2016 г., 10:23 пользователь Alexander Sheiko написал: > > В письме от Пнд, 28 Мар 2016, 08:59 Yura Scheglyuk пишет: > > > Это Вы расскажите наивной секретарше, которой пришло письмо примерно > > такого содержания: > > Если человек имеет привычку переходить дорогу на красный свет, то это ещё > не повод запрещать по ней ездить. > А она когда переходит дорогу тоже поедет? аналогия не очень. Вот если поставить 4-ех метровый забор и заграждение на момент запрещенного сигнала светофора - вот тогда и вероятность попадения под машину стремится к нулю, ибо сложно перелазить и долго по времени - проще подождать. Понятно что есть особо одаренные личности, которым и 4-ех метровый забор не помеха. Но тут уже эволюция вступает. > Есть стандартная функциональность почтовых сервисов, описанная в RFC - > поддержка атачей. Большинство поставщиков почтовых услуг её соблюдает, по > крайней мере - внутри архивов можно пересылать почти всё. Кроме особо > упоротых сервисов, вроде Гугла, с которыми ещё есть и другие проблемы, > вроде (не)доставки к ним почты и (не)возможности связи с их техподдержкой. > Как уже здесь писалось - это один из элементов политики выдавливания более > мелких поставщиков с рынка. > Ну так возьмите платную поддержку - будет саппорт, проблема то в чем. Их модель бизнеса не предусматривает поддержку фри аккаунтам ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Пнд, 28 Мар 2016, 08:59 Yura Scheglyuk пишет: > Это Вы расскажите наивной секретарше, которой пришло письмо примерно > такого содержания: Если человек имеет привычку переходить дорогу на красный свет, то это ещё не повод запрещать по ней ездить. Есть стандартная функциональность почтовых сервисов, описанная в RFC - поддержка атачей. Большинство поставщиков почтовых услуг её соблюдает, по крайней мере - внутри архивов можно пересылать почти всё. Кроме особо упоротых сервисов, вроде Гугла, с которыми ещё есть и другие проблемы, вроде (не)доставки к ним почты и (не)возможности связи с их техподдержкой. Как уже здесь писалось - это один из элементов политики выдавливания более мелких поставщиков с рынка. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
28.03.2016 11:59, Yura Scheglyuk пишет: > Hi! > > On 24.03.2016 15:42, Alexander Sheiko wrote: > >> Это совершенно варварский подход - блочить исполняемый файлы, упакованные >> в архив. > > Это Вы расскажите наивной секретарше, которой пришло письмо примерно такого > содержания: > >> <ФИО Гендиректора>, доброе утро. >> >> В приложении док-ты для оплаты 10.11. Нужно одобрить чтобы мы сегодня могли >> оплатить. >> >> 9 числа с самого утра пытаюсь дозвонится на Ваш телефон, у Вас выключен >> телефон. У Вас новый телефон? Звоню на <телефон приёмной, указанный на сайте> Вообще эти шифровальщики ведут целенаправленные спецоперации против каждой организации -- сами недавно подвергались подобной атаке. > > Она раз пять кликала на этот файл, потом позвала на подмогу бухгалтерию, и > только потом обратилась в ИТ. Социальная инженерия в очередной раз победила > здравый смысл и пройденный накануне инструктаж о новых угрозах в почтовых > вложениях. Хоть на компьютере и был установлен антивирус Касперского, но на > тот момент он о новом вирусе не знал. От свежего штамма шифровальщика > компьютер секретарши спасли ограниченные права её учётной записи. Но это > хорошо, что у нас в конторе служба ИТ блюдёт, а в других такого не > наблюдается. Также рекомендую SRP (software restriction policies), ну и регулярный бэкап > > И, глядя на логи exim'а, с начала года видел только *две* попытки вполне > легальных исполняемых вложений - одну от Сбера, вторую от сети аптек. Но они > сами поняли, что exe не проходят и как-то передали нужные файлы, не обращаясь > в тех.поддержку. > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
Hi! On 24.03.2016 15:42, Alexander Sheiko wrote: Это совершенно варварский подход - блочить исполняемый файлы, упакованные в архив. Это Вы расскажите наивной секретарше, которой пришло письмо примерно такого содержания: <ФИО Гендиректора>, доброе утро. В приложении док-ты для оплаты 10.11. Нужно одобрить чтобы мы сегодня могли оплатить. 9 числа с самого утра пытаюсь дозвонится на Ваш телефон, у Вас выключен телефон. У Вас новый телефон? Звоню на <телефон приёмной, указанный на сайте> Она раз пять кликала на этот файл, потом позвала на подмогу бухгалтерию, и только потом обратилась в ИТ. Социальная инженерия в очередной раз победила здравый смысл и пройденный накануне инструктаж о новых угрозах в почтовых вложениях. Хоть на компьютере и был установлен антивирус Касперского, но на тот момент он о новом вирусе не знал. От свежего штамма шифровальщика компьютер секретарши спасли ограниченные права её учётной записи. Но это хорошо, что у нас в конторе служба ИТ блюдёт, а в других такого не наблюдается. И, глядя на логи exim'а, с начала года видел только *две* попытки вполне легальных исполняемых вложений - одну от Сбера, вторую от сети аптек. Но они сами поняли, что exe не проходят и как-то передали нужные файлы, не обращаясь в тех.поддержку. -- Best regards, Yura Scheglyuk ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
Hi!
On 24.03.2016 15:12, Golub Mikhail wrote:
Любой антивирус будет пропускать новые вирусы
Да, это аксиома. Согласен.
А проверку архивов я делаю через 7z.
deny message = This message contains dangerous file(s) in
${uc:${extract{-1}{.}{$mime_filename}}} attachment.
condition = ${if <{$message_size}{1500K}{1}{0}}
condition = ${if match{$mime_filename}{\N(?i)\.(zip|rar|7z)$\N}}
decode = default
condition = ${if match{${run{/usr/local/bin/7z l
$mime_decoded_filename}}} {\N(?i)\.(com|pif|scr|lnk|exe|js)\n\N} }
Вот теперь почти правильно. Вы только не учитываете фантазию
вирусописателей. Файл может быть с любым расширением, которое понимает
7z. В последнее время замечены такие расширения:
"7z|arj|bz2|gz|rar|uue|z|zip".
Более того, если указать правильный MIME Content Type, то можно вообще
любое расширение файла давать. Поэтому я сначала натравливаю 7z на
аттачи с выбранными mime_content_type:
deny message = Blacklisted file extension detected in file
${lc:$mime_filename}
condition = ${if
match{$mime_content_type}{application/octet-stream|application/x-zip-compressed|application/zip}}
и далее по тексту.
--
Best regards, Yura Scheglyuk
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Чтв, 24 Мар 2016, 13:19 Vasiliy P. Melnik пишет: > я пакую 7зипом - гугль пропускает Видимо - это временная недоработка: https://support.google.com/mail/answer/6590 -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
я пакую 7зипом - гугль пропускает 24 марта 2016 г., 10:42 пользователь Alexander Sheiko написал: > > В письме от Чтв, 24 Мар 2016, 10:02 l...@lena.kiev.ua пишет: > > > Любой антивирус будет пропускать новые вирусы. Поэтому: > > >message = A .$acl_m_att attachment contains a Windows-executable > > file \ > > - blocked because we are afraid of new viruses \ > > not recognized [yet] by antiviruses. > > Это совершенно варварский подход - блочить исполняемый файлы, упакованные > в архив. Таким маразмом страдает, например, Gmail.com. Как тогда > пересылать легальные небольшие программы, скрипты или файлы реестра??? > Разве что паковать с паролем и с шифрованием имени файла. > > Можно блочить pif, lnk, hta и т. п., но не больше. > > -- > WBR, Alexander Sheiko > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Чтв, 24 Мар 2016, 10:52 Golub Mikhail пишет: > Нормальный подход. Особенно с новыми вирусами, которые пользователи дома > не запустили бы, а вот на работе запускают :) В моём понимании - это урезания стандартных функций почтового сервиса, потому, что его поставщику так удобно или у него "пунктик". Можно ещё запретить файлы MS офиса - там тоже могут быть вирусы. Можно вообще запретить аттач - пусть все пользуются обменниками и смотрят рекламу (вариант - дружественного оператора). Нет слов. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> > Любой антивирус будет пропускать новые вирусы. > Это совершенно варварский подход - блочить исполняемый файлы, упакованные > в архив. Увы. > Как тогда > пересылать легальные небольшие программы, скрипты или файлы реестра??? Выкладывать их на disk.yandex.ru, cloud.mail.ru, drive.google.com, onedrive.live.com и т.п. Там и антивирусы есть. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Чтв, 24 Мар 2016, 10:43 dawnshade пишет: > жжоте батенька. даешь кластер из winxp Это уже вопрос из другой оперы и относится к той же FreeBSD. Clamav на ней имеет подобные аппетиты. Можно ставить несколько таких тазиков и делать перед ними балансировку, если большой поток. Метод из конца 90-х, когда появился Norton Antivirus с перехватом исходящего трафика. Я лишь хочу сказать, что для проверки на вирусы свет клином на сабже не сходится. А нормальная его реализация под вопросом из-за малого выбора софта. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
24.03.2016 10:43, dawnshade пишет: жжоте батенька. даешь кластер из winxp Скоро 1 апреля. Люди "разминаются" :) -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
24.03.2016 10:42, Alexander Sheiko пишет: В письме от Чтв, 24 Мар 2016, 10:02 l...@lena.kiev.ua пишет: Любой антивирус будет пропускать новые вирусы. Поэтому: message = A .$acl_m_att attachment contains a Windows-executable file \ - blocked because we are afraid of new viruses \ not recognized [yet] by antiviruses. Это совершенно варварский подход - блочить исполняемый файлы, упакованные в архив. Таким маразмом страдает, например, Gmail.com. Как тогда пересылать легальные небольшие программы, скрипты или файлы реестра??? Разве что паковать с паролем и с шифрованием имени файла. Нормальный подход. Особенно с новыми вирусами, которые пользователи дома не запустили бы, а вот на работе запускают :) А "легальные небольшие программы" надо не пересылать, а передавать через любые файлообменники. Благо их сейчас полно. И бесплатно. -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
жжоте батенька. даешь кластер из winxp >Четверг, 24 марта 2016, 11:38 +03:00 от "Alexander Sheiko" : > > >В письме от Чтв, 24 Мар 2016, 09:47 Golub Mikhail пишет: > >> Отправляешь в лабораторию им на анализ - через три дня ответ "знаем, что >> вирус, добавлен уже в базы". > >> Сейчас (по причинам, от меня не зависящим) приходится отказаться от DrWeb. >> Бесплатная альтернатива - ClamAV. Но дырявая ... :( > >Есть старый красивый вариант решения подобной проблемы - транзитный >виндовый релей (хоть на XP) с любым антивирусом, имеющим опцию перехвата >трафика "исходящих писем" (современные - почти все). Нужно только решить >вопрос отказоустойчивости, если он внезапно проглючит. > >-- >WBR, Alexander Sheiko > > >___ >Exim-users mailing list >Exim-users@mailground.net >http://mailground.net/mailman/listinfo/exim-users > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Чтв, 24 Мар 2016, 10:02 l...@lena.kiev.ua пишет: > Любой антивирус будет пропускать новые вирусы. Поэтому: >message = A .$acl_m_att attachment contains a Windows-executable > file \ > - blocked because we are afraid of new viruses \ > not recognized [yet] by antiviruses. Это совершенно варварский подход - блочить исполняемый файлы, упакованные в архив. Таким маразмом страдает, например, Gmail.com. Как тогда пересылать легальные небольшие программы, скрипты или файлы реестра??? Разве что паковать с паролем и с шифрованием имени файла. Можно блочить pif, lnk, hta и т. п., но не больше. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
В письме от Чтв, 24 Мар 2016, 09:47 Golub Mikhail пишет: > Отправляешь в лабораторию им на анализ - через три дня ответ "знаем, что > вирус, добавлен уже в базы". > Сейчас (по причинам, от меня не зависящим) приходится отказаться от DrWeb. > Бесплатная альтернатива - ClamAV. Но дырявая ... :( Есть старый красивый вариант решения подобной проблемы - транзитный виндовый релей (хоть на XP) с любым антивирусом, имеющим опцию перехвата трафика "исходящих писем" (современные - почти все). Нужно только решить вопрос отказоустойчивости, если он внезапно проглючит. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
24.03.2016 10:02, l...@lena.kiev.ua пишет:
Любой антивирус будет пропускать новые вирусы
Да, это аксиома. Согласен.
А проверку архивов я делаю через 7z.
deny message = This message contains dangerous file(s) in
${uc:${extract{-1}{.}{$mime_filename}}} attachment.
condition = ${if <{$message_size}{1500K}{1}{0}}
condition = ${if match{$mime_filename}{\N(?i)\.(zip|rar|7z)$\N}}
decode = default
condition = ${if match{${run{/usr/local/bin/7z l
$mime_decoded_filename}}} {\N(?i)\.(com|pif|scr|lnk|exe|js)\n\N} }
--
Голуб Михаил
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
> Посоветуйте, пожалуйста, нормально работающий антивирус под FreeBSD и
> который нормально подключается к Exim.
Любой антивирус будет пропускать новые вирусы. Поэтому:
UNZIP = /usr/bin/unzip
UNRAR = /usr/local/bin/unrar
acl_smtp_mime = acl_check_mime
begin acl
acl_check_mime:
deny message = Windows-executable attachments forbidden
condition = ${if def:sender_host_address}
!authenticated = *
log_message = forbidden attachment: filename=$mime_filename, \
content-type=$mime_content_type, recipients=$recipients
condition = ${if or{\
{match{$mime_content_type}{(?i)executable}}\
{match{$mime_filename}{\N(?i)\.(exe|com|vbs|bat|\
pif|scr|hta|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys|btm|dat|msi|prf|vb)$\N}}\
}}
deny set acl_m_att = ${if match{$mime_filename}{\N(?i)\.(zip|rar)$\N}{$1}}
condition = ${if def:acl_m_att}
message = A .$acl_m_att attachment contains a Windows-executable file \
- blocked because we are afraid of new viruses \
not recognized [yet] by antiviruses.
condition = ${if def:sender_host_address}
!authenticated = *
decode = default
log_message = forbidden binary in attachment: filename=$mime_filename, \
recipients=$recipients
condition = ${if match{${run{${if eqi{$acl_m_att}{zip}\
{UNZIP -l}{UNRAR l}} $mime_decoded_filename}}}\
{\N(?i)\n .+\.(zip|rar|exe|com|vbs|bat|pif|scr|vb\
|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys|btm|dat|msi|prf|hta)\n\N}}
accept
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Антивирус под FreeBSD
http://www.kaspersky.ru/business-security/linux-mail-server ? слово лынукс можно из названия вычеркнуть, это маркетинговый буллшыт. работает и под фряхой. >Четверг, 24 марта 2016, 10:47 +03:00 от Golub Mikhail : > >Доброго времени суток. > >Посоветуйте, пожалуйста, нормально работающий антивирус под FreeBSD и >который нормально подключается к Exim. > >Много лет использовался DrWeb. И вопросов к нему у меня небыло. >Но в последнее время он совсем плохой стал ... пропускает вирусы. >Отправляешь в лабораторию им на анализ - через три дня ответ "знаем, что >вирус, добавлен уже в базы". >Абыдно, да :) >А мой адрес postmaster@, похоже, вирусописатели подписали на вирусы :) >В течении года, наверное, мне приходили свежие вирусы, которые на >virustotal или не детектились вообще, или определялись только парой >антивирусов. > >Сейчас (по причинам, от меня не зависящим) приходится отказаться от DrWeb. >Бесплатная альтернатива - ClamAV. Но дырявая ... :( >Работал последовательно перед DrWeb в течении месяца - все вирусы >пропустил. Кроме eicar :) > > >-- >Голуб Михаил > >___ >Exim-users mailing list >Exim-users@mailground.net >http://mailground.net/mailman/listinfo/exim-users > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
