problem:
wirusy z uporem godnym wyższej sprawy probują rozesłać się za pomocą emaili z wykonywalnymi zalącznikami (lub zipami)
rozwiązanie:
rozwiązanie dotyczy postfixa, jest w miarę specyficzne dla niego a polega na zablokowaniu rozważanych emaili; w tym celu:
w pliku /etc/postfix/main.cf dodajemy/zmieniamy wpis:
mime_header_checks = regexp:/etc/postfix/mime_header_checks
oraz tworzymy plik /etc/postfix/mime_header_checks
---- początek /etc/postfix/mime_header_checks ----
/name=[^>]*\.(ade|adp|asd|bas|bat|chm|cmd|com|cpl|crt|dbx|dll|exe|hlp|hta|inf|ins|isp|lnk|js|jse|jse?|lnk|ocx|mde|mdt|mdw|msc|msi|msp|mst|nws|ops|pcd|pif|prf|reg|scf|scr|sct|shb|shm|shs|swf|uue|vb|vbe|vbs|vbx|vxd|wab|wsc|wsf|wsh)[:space:]*"?[:space:]*$/ REJECT Potentially dangerous file attachment. Please do not include any executable attachments in your email. Mails from your ip have been blocked for 1 hour. Viruses don't joke, we don't joke either. Potencjalnie niebezpieczny zalacznik. Prosze nie wysylac plikow wykonywalnych jako zalacznikow. Poczta z twojego ip nie bedzie przyjmowana przez 1 godzine. Virusy nie zartuja, my tez nie.
/name=[^>]*\.zip[:space:]*"?[:space:]*$/ REJECT Ze wzgledu na krazacego wirusa win32.mydoom.a nie akceptujemy zalacznikow spakowanych zipem. Zmien nazwe archiwum i wyslij ponownie. Poczta z twojego ip nie bedzie przyjmowana przez 1 godzine. Virusy nie zartuja, my tez nie. Due to virus named win32.mydoom.a we don't accept zip archive. Rename it and send again. Mails from your ip have been blocked for 1 hour. Viruses don't joke, we don't joke either.
---- koniec /etc/postfix/mime_header_checks ----
komentarz:
rozwiązanie jest skuteczne choć jego wprowadzenie w pierwszej okresie irytuje użytkowników, ponieważ muszą oni zmieniać nazwy plików; w połączeniu z dodatkowym rozwiązaniem pojawia się możliwość zablokowania na godzine wysyłania emaili z adresu ip usera co jest szczególnie przydatne w niezwykle częstych ostatnimi czasy przypadkach rozsyłania się wirusów pocztą elektroniczną
23.11.2004