[linux] SAGATOR + CLAMAV + SPAMASSASSIN

Ing. Jan ONDREJ ondrejj na upjs.sk
Neděle Červen 12 11:58:05 CEST 2005


> 	Mna skor zaujimalo ako zistit, ci SMTP komunikacia ide z mojej LAN alebo 
> INETu ...

a) mozes si nadefinovat 2 rozne "service" pre sagator na roznych portoch
   a nasledne na ne smerovat poziadavky podla toho, odkial prisli.
   Napr. z vnutra siete tam mozes smerovat SMTP spojenia priamo
   (cez iptables redirect napr.). Resp. zavesit ten servis na port
   25 na vnutornej IP

b) mozes sledovat odkial prislo spojenie. Do SMTP komunikacie sagator
   nenapadne vsuva tuto informaciu ako"
     NOOP CONNECT ...ip...
   Toto mozes testovat cez smtp_comm() scanner, ale myslim, ze sagator
   0.5.9 ti to spravne nespracuje. Budes musiet nieco male doprogramovat.

> 	A prave preto, aby som som niekomu v inej firme (user na inafirma.sk) 
> neposielal spravu, ze user na lanfirma.sk vam posielala virus a z toho dovodu 
> bola pripona (mail) zadrzany v karantene  a pod.
> 	Jednoducho ja nechcem, aby z firmy odisla akakolvek sprava o viruse!
> 
> Napr. mne by stacilo aj toto:
> Keby report_recipient - posielal report ak ide mail zo strany Inet-u
> a napr. nech to posle mne ak ide zo strany LAN ...
> Ja som non stop pripojeny na net ... takze uz by som ja videl, ze z firmy 
> ktoru administrujem ide nieco zavirene a mozem urobit potrebne kroky ...

Problem ale je, komu to poslat. Ak to je virus, tak adresa odosielatela
moze byt opat falsovana.

Skor by sa mi zdalo vhodne nastavit vyssie spominane riesenie a,
kde nastavis odmietanie takychto sprav (reject). Tym padom
sagator priamo odmietne mail a SMTP klient (thunderbird alebo cokolvek ine)
zobrazi chybu. Pouzivatel sa dozvie, ze sa sprava neda dorucit.
Ak to bude posielat virus, tak ten to tusim spracovat nebude vediet,
ale hlavne sa nic zbytocneho neodosle.

> A este otazka (mozno hlavne na SALa). Da sa v sagatore priradit nejaka 
> signatura pre odchadzajuci mail ... napr. tak ako to robia komercne 
> antiviry (NOD32 ...) ze pripoja signaturu o bezvirovosti e-mailu?
> Toto nepotrebujem, len ma to zaujima ;)

Da sa. Mas tam scanner filter(), do ktoreho mozes pridat externy
program, ktory to bude robit.

Dalsia moznost je napisat nejaky jednoduchy scanner, ktory to bude robit.
Bolo by to na par riadkov. Mozes sa nechat inspirovat napr.
modify_header() scannerom, popripade mozem pomoct, ak sa to rozhodnes
pouzit na nieco rozumne.

		SAL




Další informace o konferenci linux