форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Фильтрация почты в Postfix через body_checks"
Сообщение от SHRDLU (??) on 14-Окт-04, 09:49  (MSK)
Пытаюсь блокировать аттачи с исполняемыми файлами. Настройки постфикса беру из примеров на этом форуме. В main.cf пишу body_check = regexp:/etc/postfix/body_checks В /etc/postfix/body_checks написано /^[     ]*name=.*\.(exe|dll|eml|vbs|pif|com|bat|scr|lnk)\"?$/           REJECT /\<iframe src=cid\:.* height=0 width=0\>/i      REJECT /^Content-Disposition: attachment; *filename=.*\.(exe|dll|eml|vbs|pif|com|bat|scr|lnk).*/i   REJECT Перезапускаю постфикс, отправляю себе c ящика на pisem.net приаттаченный экзешник, и преспокойно получаю его :( Чихал постфикс на body_checks, причем безо всяких сообщений в логах. Третий день мучаюсь. Чего еще постфиксу (v2.0.19) надо сказать, чтобы он начал использовать этот фильтр??? Конфиг от постфикса могу закинуть полностью, если надо (просто в примерах упоминалось ТОЛЬКО включение этой строчки)
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Фильтрация почты в Postfix через body_checks"
Сообщение от m (??) on 14-Окт-04, 12:18  (MSK)
He body_check а mime_header_checks для attachments
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Фильтрация почты в Postfix через body_checks"
	Сообщение от SHRDLU (??) on 14-Окт-04, 13:49  (MSK)
	>He body_check а mime_header_checks для attachments Пробовал и так. Постфикс точно также не обращает внимания и на mime_header_checks
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Фильтрация почты в Postfix через body_checks"
Сообщение от blackpepper on 15-Окт-04, 12:29  (MSK)
А квадратные скобки как разносишь?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Фильтрация почты в Postfix через body_checks"
	Сообщение от SHRDLU (??) on 15-Окт-04, 12:34  (MSK)
	>А квадратные скобки как разносишь? Внутри [] 1 пробел и 1 таб...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Фильтрация почты в Postfix через body_checks"
	Сообщение от blackpepper on 15-Окт-04, 12:42  (MSK)
	>>А квадратные скобки как разносишь? > >Внутри [] 1 пробел и 1 таб... Странно , у меня все эти фильтра работают.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Фильтрация почты в Postfix через body_checks"
	Сообщение от SHRDLU (??) on 15-Окт-04, 12:49  (MSK)
	>>>А квадратные скобки как разносишь? >>Внутри [] 1 пробел и 1 таб... >Странно , у меня все эти фильтра работают. Да по ходу это у всех работает... кроме меня. :( Вот и интересуюсь - может, еще какие-то параметры, которые в примерах не упоминаются (и у меня не прописаны в конфигах), должны быть обязательно прописаны для работы этих фильтров?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Фильтрация почты в Postfix через mime_body_checks"
	Сообщение от Andrew (??) on 04-Фев-05, 18:31  (MSK)
	>Да по ходу это у всех работает... кроме меня. :( >Вот и интересуюсь - может, еще какие-то параметры, которые в примерах не >упоминаются (и у меня не прописаны в конфигах), должны быть обязательно >прописаны для работы этих фильтров? Та-же ботва. Ставлю все, как на http://www.securitysage.com/antispam/hedchek.html, конфиги взяты там же. Единственная закономерность (может, кого на мысль натолкнет - нам подскажет) фильтр пропускает файло, у которого имя русскими буквами (понятно, кроме расширения). Попробовал отправить 111.exe - REJECT без разговоров.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Фильтрация почты в Postfix через mime_body_checks"
	Сообщение от unk (ok) on 04-Фев-05, 20:49  (MSK)
	>Единственная закономерность (может, кого на мысль натолкнет - нам подскажет) фильтр пропускает >файло, у которого имя русскими буквами (понятно, кроме расширения). Попробовал отправить >111.exe - REJECT без разговоров. Покажите регэксп и строчку на которой он не срабатывает.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Фильтрация почты в Postfix через mime_body_checks"
	Сообщение от Andrew (??) on 07-Фев-05, 08:30  (MSK)
	>> фильтр пропускает файло, у которого имя русскими буквами (понятно, кроме >>расширения). Попробовал отправить 111.exe - REJECT без разговоров. >Покажите регэксп и строчку на которой он не срабатывает. Вот оно (взято с www.securitysage.com) : # This entry will reject messages with attachments that could be dangerous, and will inform the sender of what type of attachemnt was rejected. /^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+\.(ad[ep]|asd|ba[st] |c[ho]m|cmd|cpl|crt|dbx|dll|exe|hlp|hta|in[fs]|isp|js|jse|lnk|md[etw] |ms[cipt]|nws|ocx|ops|pcd|pi|pif|prf|reg|scf|scr|sct|sh[bms]|swf|uue| vb|vb[esx]|vxd|wab|ws[cfh]))"?\s*$/ REJECT Files attached to emails that contain or end in "$3" are prohibited on this server as they may contain viruses. The file named "$2" was rejected.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Фильтрация почты в Postfix через mime_body_checks"
	Сообщение от unk (ok) on 07-Фев-05, 09:02  (MSK)
	Теперь покажите строчку на которой этот регэксп должен работать (как вам кажется/хочется), но не работает.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Фильтрация почты в Postfix через mime_header_checks"
	Сообщение от Andrew (??) on 07-Фев-05, 14:24  (MSK)
	>Теперь покажите строчку на которой этот регэксп должен работать (как вам >кажется/хочется), но не работает. ... Content-Type: application/x-msdownload; name="=?KOI8-R?Q?=EB=C1=DA=C1=CE=D8=2Eexe?=" Content-Transfer-Encoding: base64 Content-Disposition: inline; filename="=?KOI8-R?Q?=EB=C1=DA=C1=CE=D8=2Eexe?=" ... т.е. это кусок заголовка письма с аттачем по имени "Казань.exe" в кодировке koi8-r. Уже на 50 % процентов понял, куда копать : регулярное выражение не анализирует non-us кодировку ! Ку ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Фильтрация почты в Postfix через mime_header_checks"
	Сообщение от unk (ok) on 07-Фев-05, 14:45  (MSK)
	Попробуйте: /^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+(\.|2E)exe)(\?=)?"?\s*$/ REJECT Exe
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Фильтрация почты в Postfix через mime_header_checks"
	Сообщение от Andrew (??) on 07-Фев-05, 15:15  (MSK)
	>Попробуйте: >/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+(\.|2E)exe)(\?=)?"?\s*$/ REJECT Exe OK !!! Спасибо. Низкий поклон. Говорила мама - учи, сынок, регулярные выражения... Сейчас только добавлю другие "опасные" расширения...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.