使用procmail來提高e-mail的安全性

介紹

返回主頁


        如果你已經被一個“安全警告”訊息而連接至本站,你也許很想知道究竟發生了什麼事情。

        簡要的來說,發送警告消息給你的站點郵件管理員已經就那些他們樂於接收的郵件附件提出一個明確的安全方針,並且拒絕接收那些他們認為危險的郵件附件。如果你看一下花在清除Microsoft Outlook郵件蠕蟲這件事情上所估計的費用,你就能明白為什麼他們這麼做:僅僅在2001年上半年就達80億美金(來自20018月初CNNfn站點的一篇文章)。 


       當你問到,可是我沒有發送任何這樣的消息!”你是沒有這樣做,而且你也沒有因為這件事被指控-這個注意只是警告說你的電腦可能有問題。這埵s在兩種可能性:

第一,你的電腦可能已經染上一種Microsoft郵件蠕蟲病毒,而且它正在你不知不覺中攻擊別人。這些蠕蟲程式正在模仿著你以期待那些認識你的人將會信任從你發來的郵件資訊,因此,當他們打開那些“你”發給他們的附件時就會感染自己了。

第二, 那台與你聯絡的電腦並且已經感染上一種Microsoft郵件蠕蟲的已經從本地的位址簿隨機的選擇一個郵件位址作為“來自於”位址來攻擊別人,來試圖隱藏這些攻擊的真正來源。這將導致一個明顯的錯誤通告,比如一個MacLinux用戶收到警告說他們給某人發送一個Microsoft Outlook郵件蠕蟲病毒。 

    通常Microsot Outlook郵件蠕蟲病毒,2003年中葉的有(到目前為止):SoBig,BugBear,MiMailKlez,一些老的郵件蠕蟲病毒有:SirCam,BadTrans,Goner,Aliz,Magistr,ApostNimda也仍然存在那兒,並且攻擊人們。訪問這些連接並下載這些移除工具,然後運行它們以確保你沒有被那些蠕蟲所感染。

    為了保護自己防止未來的攻擊,安裝防毒軟體(Symantec’s Norton 防毒軟體挺好的)並且保持病毒庫是最新的。同時,確保你的防毒軟體在它掃描時沒有排除任何檔。你也可以建議你的聯繫人這麼去做,以便他們的電腦不會被感染,從而不會以你的名義去攻擊別人。

    如果你曾經收到一封郵件在它的附件聲明攜帶了一個作業系統或者應用程式的更新,或者是防毒工具,不要相信這些附件。雖然軟體供應商將通過郵件來聲明這些補丁和更新,但是他們決不會通過郵件來發佈補丁和更新程式。如果你曾經收到一封郵件這樣說,“我有一個病毒,這是一個清除病毒工具的拷貝”,或者說“這埵酗@個使你電腦獲得免疫病毒的程式”,不要相信這些附件。這僅僅是一個自我傳播的郵件蠕蟲對你說的一種方式,為了獲得你足夠的信任去運行這個附件從而感染你自己。


    你問到,“為什麼我不能打開我的附件”。嗯,如果附件的名字堶惘部DEFANGED”字,這是你的郵件管理員為了保護你免受攻擊而執行的一個安全方針。附件的內容沒有被任何改變。唯一發生的事情就是附件的名字被破壞了以防止你自然而然地雙擊並打開它。

    那就是這些蠕蟲病毒的傳播方式。它們依賴於那個提供給你的圖形介面介面上的雙擊反射。“嗨,一個附件『點擊,點擊』”。假如你先停下來去思考一下,你可能會注意到這個消息是來自於一個沒有好理由給你發送一個檔的完全陌生人。這就是這個檔案名字被破壞的一個原因-為了強制你停下來並思考一下這個檔是否該雙擊。

    第二個原因是,如果你確實安裝一個防毒軟體,保存附件的這個動作將提供一個機會給防毒軟體去掃描病毒。如果你直接在你的郵件程式堶悼普}的話,這種檢測就不會發生了。

    第三個原因是由於Microsoft,以他們無窮的智慧,決定你不必真正看到附件的完整名字。Windows作業系統有一個選項叫做“隱藏知道的檔案名的副檔名”。這個選項默認是開著的。攻擊你的人利用這個優勢把附件命名為類似於“THISISAWORM.TXT.EXE,Windows顯示為“THISISAWORM.TXT”,這一點讓許多人認為它是安全的因為檔案名是以“.TXT”結尾的-可是真正的檔案名(Windows幫助你隱藏了)不是以“.TXT”結尾的,因此當你雙擊它時,你不是打開了記事本。而是,你被感染了,蠕蟲病毒立刻開始攻擊別人。

    一個可以保護自己的重要的方式便是關閉隱藏檔案名全稱的選項。打開“我的電腦”,點擊“工具->檔夾選項”,選擇“查看”鍵,然後不選“隱藏已知文件類型的副檔名”檢驗欄。 

    破壞副檔名將使檔案名全稱出現,從而當收到一個名為“THISISAWORM.TXT.12345DEFANGED-EXE”的附件時,將在你的大腦媞V響一個警鐘。

    有時候,合法的附件檔案名將被破壞-比如,“THISISNOTAWORM.ETC.12345DEFANGED-DOC”可能是一個完全安全的文檔檔。

    為了在同一時間保存檔和修正檔案名,很簡單,右擊附件選擇“保存為..”,一個對話方塊將會把當前的檔案名(已被破壞的)顯示出來。選擇你要存放檔的檔夾,然後在這個顯示檔案名的地方編輯“DEFANGED”部分。例如,假如被破壞的附件檔案名為“THISISNOTAWORM.ETC.12345DEFANGED-DOC”,簡單地刪除“12345DEFANGED-”部分以便回復原來地檔案名“THISISNOTAWORM.ETC.DOC”-然後,你就可以進入我的電腦並且雙擊那個檔正常地打開它了。

    初始值之下,殺毒者使用了非常高的安全設置,那些設置對於大眾的ISPinternet服務供應商)使用有點太高。如果你是一個家庭用戶,像“.EML(轉寄的郵件)”和“.VCF(V-card)”附件將被你的ISP破壞,那麼請聯繫你的ISP’s服務台,讓他們減少一點安全設置。


    你問到,“但是我僅僅打算發送這個檔,而且我已經對它進行過病毒掃描發現它沒有被感染! 為什麼它還會被拒收”?病毒掃描器是被動的-防毒供應商在為病毒掃描器創造一種公認的病毒庫時需要看到那個病毒的樣本。這個過程需要幾天,然後在你的病毒掃描器可以偵察到這個病毒前,必須得到這樣的病毒庫更新。這意味著對於新病毒,電腦是容易被受攻擊的-或者說一個舊病毒的變體-幾天改變一點。假定病毒在兩天能傳播開的話,那還不算太快。它也意味著如果病毒庫列表沒有被有規則的更新,防毒軟體將不能夠偵察到新病毒以及舊病毒的新的變體。許多人沒有保持他們的病毒庫是最新的,而是等初始設定的3060天更新期來了才更新。大多數供應商允許手動下載病毒的特徵碼檔,然後重新安裝防毒軟體會得到更新的病毒庫並得到另外一個3060天的更新期。

    另一方面,病毒防護者,是一個預先指定的安全方針強制工具。郵件系統管理員先看一下風險,然後決定某些來自於公眾internert的檔類型太危險而不能允許它們進入郵件系統。這樣的話,所有的依賴於可執行的郵件附件來擴散的郵件蠕蟲和病毒,無論它們是不是最新的病毒變體,在郵件伺服器終止了。這種拒絕不意味著任何具體檔被感染,而是意味著整個文件類別沒有被接收。

    如果你希望發送郵件通過郵件安全篩檢程式,你需要通過一種方式把它打包,那樣使它不能直接被執行。使用WinZIP,Stuffit或者其他壓縮檔的程式來打包,而不是發送一個光禿禿的檔。如果你要發送一批這種格式的檔,不要把它壓成自減壓的“.EXE”文件。假如你想共用一些大眾都可以看到看到的檔(比如Elf Bowling XXXVII),發送那些他們可以從供應商下載這些檔的URL,好於直接發送檔給他們。如果你發送一些可能很多人都感興趣的檔(比如你的度假照相簿或者新生嬰兒照片),那麼把這些檔放到你的個人網站上去(大多數ISP提供這一基本的服務)然後發送URL而不是檔本身。


請注意:

    郵件管理員決定他們自己站點的郵件安全方針。我不可以。如果你有問題關於破壞的附件檔案名,請跟你的郵件系統管理員處理此事。我能幫助他們調好他們的安全設置,但如果你被破壞的附件檔案名所惱怒的話,我不能為你避免此事。同時,病毒防護者不是一個期刊訂閱服務,所以我不能為你取消訂閱服務。

可以通過jhardin@impsec.org聯絡我你也可以訪問我的個人主頁