使用procmail来提高e-mail的安全性
介绍
如果你已经被一个“安全警告”消息连接至本站,你也许很想知道究竟发生了什么事情。
简单的来说,发送警告消息给你的站点邮件管理员已经就那些他们乐于接收的邮件附件提出一个明确的安全方针,并且拒绝接收那些他们认为危险的邮件附件。如果你看一下花在清除Microsoft
Outlook邮件蠕虫这件事情上所估计的费用,你就能明白为什么他们这么做:仅仅在2001年上半年就达80亿美金(来自2001年8月初CNNfn站点的一篇文章)。
你问到,“可是我没有发送任何这样的消息!”
你是没有这样做,而且你也没有因为这件事被指控-这个注意只是警告说你的计算机可能有问题。这里存在两种可能性:
第一,你的计算机可能已经染上一种Microsoft邮件蠕虫病毒,而且它正在你不知不觉中攻击别人。这些蠕虫程序正在模仿着你以期待那些认识你的人将会信任从你发来的邮件信息,因此,当他们打开那些“你”发给他们的附件时就会感染自己了。
第二,
那台你联络的计算机并且已经感染上一种Microsoft邮件蠕虫的已经从本地的地址簿随机的选择一个邮件地址作为“来自于”地址来攻击别人,来试图隐藏这些攻击的真正来源。这将导致一个明显的错误通告,比如一个Mac或Linux用户收到警告说他们给某人发送一个Microsoft
Outlook邮件蠕虫病毒。
最通常的Microsot
Outlook邮件蠕虫病毒,在2003年中叶的有(到目前为止):SoBig,BugBear,MiMail和Klez,一些老的邮件蠕虫病毒有:SirCam,BadTrans,Goner,Aliz,Magistr,Apost和Nimda也仍然存在那儿,并且攻击人们。访问这些连接并下载这些切除工具,然后运行它们以确保你没有被那些蠕虫所感染。
为了保护自己防止未来的攻击,安装防毒软件(Symantec’s
Norton 防毒软件挺好的)并且保持病毒库是最新的。同时,确保你的防毒软件在它扫描时没有排除任何文件。你也可以建议你的联系人这么去做,以便他们的计算机不会被感染,从而不会以你的名义去攻击别人。
如果你曾经收到一封邮件在它的附件声明携带了一个操作系统或者应用程序的更新,或者是防毒工具,不要相信这些附件。虽然软件供应商将通过邮件来声明这些补丁和更新,但是他们决不会通过邮件来发布补丁和更新程序。如果你曾经收到一封邮件这样说,“我有一个病毒,这是一个清除病毒工具的拷贝”,或者说“这里有一个使你计算机获得免疫病毒的程序”,不要相信这些附件。这仅仅是一个自我传播的邮件蠕虫对你说的一种方式,为了获得你足够的信任去运行这个附件从而感染你自己。
你问到,“为什么我不能打开我的附件”。嗯,如果附件的名字里面有“DEFANGED”字,这是你的邮件管理员为了保护你免受攻击而执行的一个安全方针。附件的内容没有被任何改变。唯一发生的事情就是附件的名字被破坏了以防止你自然而然地双击并打开它。
那就是这些蠕虫病毒的传播方式。它们依赖于那个提供给你的图形界面接口上的双击反射。“嗨,一个附件『点击,点击』”。假如你先停下来去思考一下,你可能会注意到这个消息是来自于一个没有好理由给你发送一个文件的完全陌生人。这就是这个文件名字被破坏的一个原因-为了强制你停下来并思考一下这个文件是否该双击。
第二个原因是,如果你确实安装一个防毒软件,保存附件的这个动作将提供一个机会给防毒软件去扫描病毒。如果你直接在你的邮件程序里面打开的话,这种检测就不会发生了。
第三个原因是由于Microsoft,以他们无穷的智慧,决定你不必真正看到附件的完整名字。Windows操作系统有一个选项叫做“隐藏知道的文件名的扩展名”。这个选项默认是开着的。攻击你的人利用这个优势把附件命名为类似于“THISISAWORM.TXT.EXE”,而Windows显示为“THISISAWORM.TXT”,这一点让许多人认为它是安全的因为文件名是以“.TXT”结尾的-可是真正的文件名(Windows帮助你隐藏了)不是以“.TXT”结尾的,因此当你双击它时,你不是打开了写字板。而是,你被感染了,蠕虫病毒立刻开始攻击别人。
一个可以保护自己的重要的方式便是关闭隐藏文件名全称的选项。打开“我的电脑”,点击“工具”->“文件夹选项”,选择“查看”键,然后不选“隐藏已知文件类型的扩展名”检验栏。
破坏扩展名将使文件名全称出现,从而当收到一个名为“THISISAWORM.TXT.12345DEFANGED-EXE”的附件时,将在你的大脑里敲响一个警钟。
有时候,合法的附件文件名将被破坏-比如,“THISISNOTAWORM.ETC.12345DEFANGED-DOC”可能是一个完全安全的文档文件。
为了在同一时间保存文件和修正文件名,很简单,右击附件选择“保存为..”,一个对话框将会把当前的文件名(已被破坏的)显示出来。选择你要存放文件的文件夹,然后在这个显示文件名的地方编辑“DEFANGED”部分。例如,假如被破坏的附件文件名为“THISISNOTAWORM.ETC.12345DEFANGED-DOC”,简单地删除“12345DEFANGED-”部分以便回复原来地文件名“THISISNOTAWORM.ETC.DOC”-然后,你就可以进入我的电脑并且双击那个文件正常地打开它了。
默认的,杀毒者使用了非常高的安全设置,那些设置对于大众的ISP(internet服务供应商)使用有点太高。如果你是一个家庭用户,像“.EML(转寄的邮件)”和“.VCF(V-card)”附件将被你的ISP破坏,那么请联系你的ISP’s服务台,让他们减少一点安全设置。
你问到,“但是我仅仅打算发送这个文件,而且我已经对它进行过病毒扫描发现它没有被感染!
为什么它还会被拒收”?病毒扫描器是被动的-防毒供应商在为病毒扫描器创造一种公认的病毒库时需要看到那个病毒的样本。这个过程需要一些天,然后在你的病毒扫描器可以侦察到这个病毒前,必须得到这样的病毒库更新。这意味着对于新病毒,计算机是容易被受攻击的-或者说一个旧病毒的变体-几天改变一点。假定病毒在两天能传播开的话,那还不算太快。它也意味着如果病毒库列表没有被有规则的更新,防毒软件将不能够侦察到新病毒以及旧病毒的新的变体。许多人没有保持他们的病毒库是最新的,而是等初始设定的30或60天更新期来了才更新。大多数供应商允许手动下载病毒的特征码文件,然后重新安装防毒软件会得到更新的病毒库并得到另外一个30或60天的更新期。
另一方面,病毒防护者,是一个预先指定的安全方针强制工具。邮件系统管理员先看一下风险,然后决定某些来自于公众internert的文件类型太危险而不能允许它们进入邮件系统。这样的话,所有的依赖于可执行的邮件附件来扩散的邮件蠕虫和病毒,无论它们是不是最新的病毒变体,在邮件服务器终止了。这种拒绝不意味着任何具体文件被感染,而是意味着整个文件类别没有被接收。
如果你希望发送邮件通过邮件安全过滤器,你需要通过一种方式把它打包,那样使它不能直接被执行。使用WinZIP,Stuffit或者其他压缩文件的程序来打包,而不是发送一个光秃秃的文件。如果你要发送一批这种格式的文件,不要把它压成自减压的“.EXE”文件。假如你想共享一些大众都可以看到看到的文件(比如Elf Bowling XXXVII),发送那些他们可以从供应商下载这些文件的URL,好于直接发送文件给他们。如果你发送一些可能很多人都感兴趣的文件(比如你的度假照相簿或者新生婴儿照片),那么把这些文件放到你的个人网站上去(大多数ISP提供这一基本的服务)然后发送URL而不是文件本身。
请注意:
邮件管理员决定他们自己站点的邮件安全方针。我不可以。如果你有问题关于破坏的附件文件名,请跟你的邮件系统管理员处理此事。我能帮助他们调好他们的安全设置,但如果你被破坏的附件文件名所恼怒的话,我不能为你避免此事。同时,病毒防护者不是一个期刊订阅服务,所以我不能为你取消订阅服务。
可以通过jhardin@impsec.org联络我,你也可以访问我的个人主页。