Migliorare la Sicurezza della Posta Elettronica con Procmail

L’E-mail Sanitizer

Home

Traduzione in Russo di Evgeni <saaw at mail.ru> - Original document on the author's website
Traducción al español per Coupon Goo
Un’altra
traducción al español per B.Konopka
Tradotto in italiano da Andrej Sagaidak
الترجمة العربية di questa pagina da Garcinia Team
Переклад на українську da Everycloudtech
Litunanian vertimas padaryta Giedrius Sadauskas
Traducere Română a acestei pagini prin PCWDLD.com
Terjemahan Indonesia oleh ChameleonJohn.com
Best Car Team tomonidan taqdim ushbu sahifada O'zbek tarjima
Tradução Portuguesa desta página fornecida por Travel-Ticker.com
Deutsche Übersetzung von Gameperiod.com
České překlady této stránky poskytované ScientificAchievements.com


 

Benvenuti nell’home page dell’Email Sanitizer. Il Sanitizer è uno strumento per prevenire attacchi alla sicurezza del tuo computer attraverso messaggi email. Ha dimostrato di essere molto efficace con i worm dell’email Microsoft Outlook, che hanno ottenuto grande attenzione presso la stampa popolare ed hanno causato molti problemi.

Gli utenti destinatari del Sanitizer sono gli amministratori dei sistemi di posta elettronica. In genere non è destinato agli utenti finali, a meno che questi non amministrano i propri sistemi di posta elettronica, invece che ordinare semplicemente al proprio programma di posta elettronica di recuperare messaggi da un server mail amministrato da qualcun altro.

Se sei qui perché hai ricevuto un messaggio in cui si diceva che una parte della mail che hai inviato è stata respinta, o perché l’URL di questo sito web appare in una parte di una mail che hai ricevuto, o perché ti stai chiedendo perché i tuoi allegati alle email all’improvviso siano stati denominati DEFANGED (resi innocui), sei pregato di leggere questa introduzione a Sanitizer – che dovrebbe rispondere alle tue domande. Per favore contattami se così non fosse.

Si tenga presente che il Sanitizer NON è un tradizionale scanner di virus. Non fa affidamento sulle “firme” per rilevare gli attacchi e non ha il problema della “finestra di vulnerabilità” che la sicurezza basata sulle firme (signature-based) ha sempre; piuttosto ti permette di applicare criteri quali “l’email non deve contenere script,” e “le macro nei documenti di Microsoft Office allegati non devono avere accesso al registro di Windows,” e “l’email non deve  avere fra gli allegati file eseguibili di Windows,” e mettere in quarantena i messaggi che violano questi criteri.


Indice del sito:

·        Scarica una patch per SpamBouncer 1.9 che permette a SpamBouncer di riconoscere e assegnare un valore appropriato all’HTML defanged (reso innocuo) – usala se stai avviando SpamBouncer dopo il Sanitizer. (Grazie a Joe Steele!)


Filtrare l’Email per Motivi di Sicurezza

Procmail è un programma che processa i messaggi email in cerca di particolari informazioni nei titoli o nel corpo di ciascun messaggio, e che agisce in base a ciò che trova. Se hai familiarità con il concetto di “regole” come provviste da molti importanti client di posta elettronica (come ad esempio il cc:Mail client), allora hai già familiarità con il concetto di elaborare automaticamente i messaggi email in base al loro contenuto.

La combinazione fra il ruleset procmail e lo script Perl è specificatamente progettata per “disinfettare” la tua mail sul server mail, prima ancora che i tuoi utenti tentino anche solo di recuperare i propri messaggi. Non è destinato ad essere installato dagli utenti finali sul desktop dei propri sistemi Windows per la protezione personale.


Novità e Note

La versione corrente del ruleset html-trap.procmail  è: 1.151
Se stai usando una versione precedente, ti consigliamo di aggiornare la tua copia, perché saranno stati aggiunti filtri per gli exploit più recenti e correzioni dei bug. Vedi la
cronologia degli aggiornamenti per maggiori dettagli.

Ho continuato a tenere in produzione il Sanitizer anche se lo sviluppo si è placato notevolmente negli ultimi anni ed è guidato, adesso, molto più dai miei personali bisogni piuttosto che dalle richieste degli utenti. È ancora utile, e ancora blocca i tentativi di consegnare malware, anche di exploit che gli scanner di virus ancora non rilevano. Non ho continuato, comunque, a tenere il sito web aggiornato, perciò lo sto facendo adesso. Se stai ancora usando il Sanitizer, ti suggerisco di dare un’occhiata alla versione in sviluppo (1.152pre8) per i cambiamenti e i miglioramenti in corso, soprattutto l’update dello scanner macro di Office per i malware scaricati.


C’è una vulnerabilità al buffer overflow nella libreria compressa DUNZIP32.dll  usata da molti programmi in commercio, inclusi Lotus Notes e Real Audio Player. Lo sfruttamento di questa vulnerabilità è SELVAGGIO. Se usi Notes o qualche altro software che gestisce gli archivi ZIP, contatta il venditore per vedere se vi sia un aggiornamento disponibile.

Nel tentativo di mitigare questa vulnerabilità, la versione in sviluppo del Sanitizer ha implementato un controllo della lunghezza dei nomi dei file nei nomi dei file archiviati.

 Se non desideri provare l’istantanea in sviluppo, è disponibile una patch che aggiunge i test alla lunghezza dei nomi dei file compressi alla scansione ZIP esistente. Va contro la versione 1.151 ma dovrebbe funzionare su qualunque versione abbia la scansione ZIP.

C’è una piccola patch per le versioni 1.151 e precedenti che rende innocuo un metodo di offuscamento del javascript incorporato. Per applicare la patch, salvala nella cartella dove è salvato il tuo Sanitizer (di solito /etc/procmail) e fai girare il seguente comando:

patch --backup <obfuscated_javascript.patch

Sarà nella prossima release stabile.

Le mailing list esa-l e esd-l sono state ripristinate e adesso sono  ospitate su impsec.org. Grazie a Michael Ghens per la sua generosa ospitalità delle liste per i prossimi cinque anni!

C’e una mailing list per le notizie sui problemi di sicurezza relativi alle email. Fornirà principalmente informazioni sui nuovi exploit e aggiornamenti del Sanitizer. Per iscriverti, invia un messaggio con oggetto: "subscribe" a esa-l-request@impsec.org. È una mailing list fortemente moderata per i soli annunci, non per le discussioni generali.

Se vuoi unirti alla  mailing list relativa alle discussioni su Sanitizer, invia un messaggio con oggetto: "subscribe" a esd-l-request@impsec.org. Questa è una lista di soli membri; per poter partecipare devi iscriverti. È anche disponibile un archivio dei messaggi.

Clicca sotto per ricevere un’email quando questa pagina cambia

Inizio modulo

...tramite ChangeDetection:

Fine modulo

 

Inizio modulo

Informativa sulla protezione dei dati personali di ChangeDetection

 

Fine modulo

1.142 risolve un bug minore nella 1.141 che rende troppo forte la corrispondenza fra i nomi dei file dei file compressi.

1.141 ora consente la scansione dei contenuti degli archivi ZIP. AVVISO: se non specifichi esplicitamente un criterio per i file ZIPPED_EXECUTABLES (eseguibili compressi), il Sanitizer sarà di norma settato sul criterio POISONED_EXECUTABLES (eseguibili infettati) per l'elaborazione dei contenuti degli archivi ZIP. Un atteggiamento probabilmente più paranoico di quanto desideri. Consulta la pagina Configurare il Sanitizer per ulteriori dettagli.


AVVISO IMPORTANTE:

Se hai scaricato e stai usando il Sanitizer 1.139 qui trovi una patch per ignorare la parte contraffatta del NovArg/MyDoom Received: ferma le notifiche di indirizzo del mittente non esistente relative all’attacco e le intestazioni. Siete pregati di applicare questa patch al vostro Sanitizer seguendo le istruzioni sottostanti e di aiutare a ridurre la folle quantità di traffico che questo mostro sta generando…

 

[ HTTP Mirror 1 (US: WA) | HTTP Mirror 2 (US: FL) | HTTP Mirror 3 (EU: NO) | HTTP Mirror 4 (EU: NL) | HTTP Mirror 5 (AU) | HTTP Mirror 6 (AU) | HTTP Mirror 7 (US: WA) ]

Istruzioni di installazione:

Copia il file .diff nella cartella dove è posto il tuo Sanitizer e fai girare i seguenti comandi:

cp html-trap.procmail html-trap.procmail.old

patch < smarter-reply.diff


La versione 1.139 di Sanitizer include il rilevamento di attacchi dovuti al buffer overflow della VBE usata da Microsoft Office. Vedi l’avviso EEye per ulteriori dettagli.

Le regole SoBig.F per gli attacchi diretti e i rimbalzi sono adesso contenuti nel file di esempio delle regole locali.

Si prega di guardare il file di esempio delle regole locali per una regola che dovrebbe rilevare e mettere in quarantena i messaggi progettati per attaccare l’intestazione di Sendmail che analizza il bug del root remoto. IMPORTANTE: Questa regola NON protegge la macchina su cui è installata. Sarà ancora necessario aggiornare Sendmail. Potrebbe, comunque, proteggere le macchine vulnerabili dietro la macchina su cui sta girando, dando il tempo di aggiornarle.

Se si ottiene errori di questo tipo "sendmail: illegal option -- U" vedere la pagina relativa alla configurazione per sapere come risolverlo.

Se si sperimenta il problema "Dropped F" (dove la "F" nel "From," "Da" principale nel messaggio è stata cancellata), si prega di notare: è un problema noto in procmail. Dovrebbe essere risolto nella versione corrente, potrebbe pertanto essere necessario aggiornare. In questa situazione procmail potrebbe perdere il primo byte del messaggio. ASSICURATI che il tuo file di registro abbia 622 autorizzazioni. Inoltre, qui si trova una breve regola che aiuterà a ripulirlo,  da aggiungere alla fine del tuo file /etc/procmailrc.

(La pianificazione per) lo sviluppo del Sanitizer 2.0  è cominciata. L’elenco delle funzioni previste dovrebbe essere all’incirca questo:

Gli annunci di versioni beta saranno effettuati tramite mailing list.

Posso essere contattato su <jhardin@impsec.org> - puoi anche visitare la mia home page.

Diverse persone mi hanno chiesto perché non faccio pagare questo pacchetto. Suppongo che ciò sia dovuto principalmente al fatto che penso che nessuno dovrebbe essere esposto a questo genere di attacchi solo perché non vuole o non può affrontare la spesa per proteggersi, ma ha anche a che vedere col fatto che vedo questa cosa come una interessante sfida intellettuale, un modo per guadagnarmi un riconoscimento, e un modo per restituire alla comunità.

Comunque, se desiderate pagare per aver ricevuto qualcosa di valore che ha migliorato la vostra vita, sentitevi liberi di visitare la mia personale lista dei desideri o la mia lista dei desideri su Amazon, o inviatemi una donazione tramite PayPal e lamentatevi che nessuno abbia ancora inventato un TequilaPal.


Created with vi  Ottimizzato per qualunque browser

$Id: procmail-security.html,v 1.211 2017-04-14 11:44:55-07 jhardin Exp jhardin $
Contents Copyright (C) 1998-2017 by John D. Hardin – Tutti i diritti riservati. La traduzione è incoraggiata, per favore notificatemela, in modo che possa postarne il link nel sito principale.
L’home page principale del Sanitizer si trova a questo link:
http://www.impsec.org/email-tools/procmail-security.html


...il mio ufficio è nel mio seminterrato...

 

Linktivism: Jihad Watch