免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 使用EXIM的ACL功能轻松对付mytob.kr病毒
最近访问板块 发新帖
查看: 2238 | 回复: 3
打印 上一主题 下一主题

[Mail] 使用EXIM的ACL功能轻松对付mytob.kr病毒 [复制链接]

xuezs

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2005-11-07 14:15 |只看该作者 |倒序浏览
10月17日上午,公司的邮件系统感染了一个不知名的、防病毒软件无法识别的病毒,使部分用户的电脑中招。后来通过分析病毒的特征,在邮件系统设置了规则,阻止特定的发件人,从而迅速地控制了病毒的传播。以下是详细的情况。

10月17日,一上班就接到用户的电话,说不停地接收莫名其妙的邮件。自己打开邮箱,同样如此。第一反应是公司的邮件系统遭遇病毒了。

虽然邮件系统安装了KASPERSKY防病毒系统,但这个病毒能够经过防病毒系统进行公司内部,显然是防病毒系统尚无法识别这个病毒。查看KASPERSKY的病毒库日期,果然如此:病毒库是最新的。

看来只有手工对付了。找了一些病毒样本,分析了一下,找到一个共同的特征:所有的邮件的发件人都是同域名的admin, register, administrator,root之类的,大概有10多个。在没有掌握病毒的详细特征前,只能先通过发件人来狙击病毒了。

对EXIM的配置文件进行了修改,主要部分如下:
通用部分:
acl_smtp_mail                 = acl_check_mail
ACL部分:
acl_check_mail:

    drop    senders       = lsearch*@;/etc/exim/users.rej
            message       = ERR_MSG_SENDER_NOT_ALLOWED

这段配置的大体意思是:
1.在客户端发送MAIL FROM:指令时,执行acl_check_mail部分的ACL判断。
2.如果发件人的地址是/etc/exim/users.rej中,则立即中断TCP连接(DROP)。

/etc/exim/users.rej的内容如下:
root@mydomain.com
register@mydomain.com
admin@mydomain.com
administrator@mydomain.com

将EXIM的进程重新启动后,用TELNET命令进行了测试:
[root@mail root]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 Welcome to mail.mydomain.com ESMTP Server
helo whoami
250 mail.mydomain.com Hello whoami [127.0.0.1]
mail from: admin@mydomain.com
550 ERR_MSG_SENDER_NOT_ALLOWED
Connection closed by foreign host.

这条命令生效后,通过观察服务器的日志,发现有非常多的连接被拒绝,主要来源于已经感染病毒的员工电脑。10分钟后,病毒的传播情况基本上得到了控制。
hzqbbc

论坛徽章:
0
2 [报告]
发表于 2005-11-07 14:38 |只看该作者
原帖由 xuezs 于 2005-11-7 14:15 发表
10月17日上午,公司的邮件系统感染了一个不知名的、防病毒软件无法识别的病毒,使部分用户的电脑中招。后来通过分析病毒的特征,在邮件系统设置了规则,阻止特定的发件人,从而迅速地控制了病毒的传播。以下是详细 ...


利用postfix 来拒绝这样的病毒的配置如下:

在main.cf里,编辑smtpd_recipient_restrictions ,增加一个check_sender_access即可。如:

smtpd_recipient_restrictions =
  check_sender_access hash:/etc/postfix/anti-virus,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_hostname,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unauth_destination,
  reject_unauth_pipelining,
  reject_invalid_hostname,
  reject_rbl_client list.dsbl.org,
  reject_rbl_client bl.spamcop.net,
  reject_rbl_client sbl-xbl.spamhaus.org


anti-virus文件内容:
root@mydomain.com               REJECT
register@mydomain.com           REJECT
admin@mydomain.com              REJECT
administrator@mydomain.com      REJECT


保存main.cf并重新生成hash,postmap /etc/postfix/anti-virus,重新启动postfix即可。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xuezs

论坛徽章:
0
3 [报告]
发表于 2005-11-07 14:40 |只看该作者
差不多。但qmail好像没有简要的办法。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
hzqbbc

论坛徽章:
0
4 [报告]
发表于 2005-11-07 14:56 |只看该作者
原帖由 xuezs 于 2005-11-7 14:40 发表
差不多。但qmail好像没有简要的办法。


可以,利用apf-qmail插件,然后改写一下perl程序就ok了。但肯定比postfix和exim要麻烦些
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP