Filtrace emailu -- viry a spam

 

Veškerá elektronická pošta, která přichází na fakultu, prochází serverem Mars.fsv.cvut.cz, a zde je od 6/11/2002 podrobována testům na výskyt virů a testům, zda jde o tzv. spam. Zde je popsáno, co děláme proti virům. Problematika spamu je popsána jinde.

Obsah:

Viry, červi a jiná havěť
Další podezřelý obsah
Spam
Varování
Jaký software používáme

 

Viry, červi a jiná havěť.

Pokud v dopise zjistíme virus, dopis odmítneme na náš server přijmout a jako důvod nedoručení uvedeme "554 5.7.1 Virus JmenoViru found in mail - rejected". Dopis je naším serverem odmítnut jako nedoručitelný, přičemž příčina nedoručení je označena jako trvalá, aby to poštovní systém odesílatele nezkoušel za chvíli doručit znovu.

Co se stane s emailem, který jsme kvůli viru odmítli převzít, to už není naše starost, to je starost počítače (serveru) který se nám ten zavirovaný dopis pokoušel poslat. Byl-li to klientský počítač a běžný poštovní klientský program (např. Thunderbird, Outlook, apod.), dopis se nepodaří odeslat a uživateli se zobrazí zpráva. Snad si ji přečte...

Emailovou zprávu, že byl nalezen virus, z našeho serveru nikomu neposíláme. Prakticky všechny novější emailové viry totiž falšují adresu odesílatele, aby zabránily snadné lokalizaci nákazy. Posílat upozornění na falešnou adresu odesílatele nemá smysl, posílali bychom to nevinným a nic netušícím lidem. A posílat zprávu adresátovi, který se měl stát obětí viru, rovněž nemá smysl, protože ani on nemá šanci původce viru varovat. Neví, kdo to byl, varoval by někoho jiného. Pouze by šířil zmatek.

Další podezřelý obsah

Podezřelé přípony

Pokud dopis obsahuje jako přílohu soubor, jehož jméno má podezřelou příponu (např. exe), pak tato příloha je odstraněna a do dopisu se vloží oznámení, že byla odstraněna. Výsledný dopis se doručí adresátovi.

Za podezřelé pokládáme tyto přípony:
ade, adp, app, asd, asf, asx, bas, bat, chm, cmd, com, cpl, crt, dll, exe, fxp, hlp, hta, hto, inf, ini, ins, isp, jse?, lib, lnk, mdb, mde, msc, msi, msp, mst, ocx, pcd, pif, prg, reg, scr, sct, sh, shb, shs, sys, url, vb, vbe, vbs, vcs, vxd, wmd, wms, wmz, wsc, wsf, wsh.
Jde o přípony, které se používají pro přímo či nepřímo spustitelné soubory.

Toto poněkud drastické opatření je motivováno snahou zachytit i nové viry, které nejsou protivirovým programem rozpoznány.

Jak poslat soubor se zakázanou příponou: Tuto kontrolu lze velmi snadno ošidit. Stačí soubor přejmenovat tak, aby ve jméně nebyla zakázaná přípona. Dokonce i jméno bez jakékoli přípony je v pořádku. Do dopisu napište pro příjemce pokyn, jak si má soubor přejmenovat na původní jméno. Je to trochu nepohodlné, ale i kdyby příloha obsahovala virus, může již podstatně obtížněji dojít k jeho neúmyslnému spuštění. Příjemce už bude vědět, že manipuluje s něčím spustitelným a tedy potenciálně nebezpečným.

Další možností je posílané soubory komprimovat. Přípony běžných pakovacích formátů (zip, arj, lzh, rar, tgz, ...) zakázány nejsou.

Uživatele UNIXu (a Linuxu) jistě zamrzí, že mezi zakázanými příponami je i přípona .sh používaná pro skripty shellu (jsou to také spustitelné soubory, bohužel prý i ve Windows). Vzhledem k tomu, že jde vlastně o prostý (plain) text, lze jej přímo vložit do těla dopisu. Příjemce pravděpodobně není takový počítačový analfabet, aby si s tím nevěděl rady.

Podezřelé znaky v hlavičce dopisu

Jsou-li v hlavičce dopisu podezřelé znaky, je celý dopis nemilosrdně zahozen. Za podezřelé jsou pokládány samostatné výskyty znaků CR a LF. Tyto znaky se v hlavičce nesmí vyskytovat samostatně, ale jen v posloupnosti CRLF, která znamená "konec řádky".

Vysvětlení, proč je to nebezpečné, je poněkud složitější, ale zhruba jde o to, že některým verzím poštovního programu Outlook takto lze podstrčit falešnou "přílohu", která by unikla kontrole, protože to podle normy žádná příloha není.

Dopisy rozdělené na více částí

Dopisy typu "message/partial" jsou odmítnuty a vráceny odesílateli se zprávou "MIME type message-partial not accepted here".

Dopisy tohoto typu jsou částmi delšího dopisu, který byl poštovním programem u odesílatele rozdělen na několik částí a předpokládá se, že u příjemce bude z těchto částí zase složen dohromady. Protivirová kontrola takového fragmentovaného dopisu by byla velmi obtížná, neboť všechny jednotlivé části by bylo nejprve nutno přijmout, složit dohromady a pak teprve by bylo možno dopis testovat.

Toto omezení, se netýká dopisů, které byly na části rozděleny ručně a ručně byly také odeslány jako jednotlivé dopisy. Pak totiž ty jednotlivé dopisy nemají nastaven MIME-typ "message/partial", ale nějaký jiný.

Spam

Výrazem se označuje nevyžádaný, obtěžující, hromadně rozesílaný, zpravidla reklamní email. To, že spam zbytečně zatěžuje naši počítačovou síť je zanedbatelné ve srovnání se zátěží našich hlav. Rozpoznávání a mazání spamu je otravné, připravuje nás o čas a odvádí nás od smysluplnější činnosti.

Poštovní server Mars.fsv.cvut.cz procházející dopisy testuje a snaží se rozpoznat, zda se jedná o spam. Podrobněji viz samostatný dokument antispam.php, kde je nejen podrobněji popsána funkce centrálního filtru na serveru Mars, ale jsou zde diskutovány i další možnosti jak se bránit na straně klienta.

Varování

Filtrace zavirovaných emailů na vstupu do fakulty neznamená, že váš počítač nemůže být napaden virem a to dokonce i prostřednictvím elektronické pošty.

Především, test virů zachytí pouze ty viry, jejichž vzorky má testovací software k dispozici. Nové viry tedy nebudou zachyceny, dokud někdo jejich vzorky nezařadí do databáze virů a dokud aktualizovaná databáze není instalována na počítači, kde testování probíhá. Databázi vzorků sice aktualizujeme každou čtvrthodinu, ale k tomu je třeba připočíst čas, než někdo vůbec zjistí, že se šíří nový virus, analyzuje jej a zařadí jej do databáze.

Dále, virus se k vám může dostat i jinou cestou než jen emailem. Některé viry se šíří počítačovou sítí na sdílené disky, některé využívají bezpečnostní díry Windows a konec konců klasický přenos viru na disketě už sice není tak častý jako kdysi, ale pořád je možný a funguje.

A konečně, virus se k vám může dostat i elektronickou poštou, pokud si poštu stahujete na svůj počítač z nějakého serveru mimo fakultu.

Je tedy i nadále velmi žádoucí (rozuměj: nutné), používat antivirový program a co nejčastěji provádět jeho aktualizaci.

Jaký testovací software používáme

Pro technicky zvídavé: testování řídí program MIMEDefang, který je přes rozhraní milter přímo napojen na program sendmail, který dopravuje poštu. Přicházející dopisy jsou testovány již v průběhu SMTP relace. Díky tomu jsme schopni viry a spam odmítnout, ještě dříve, než převezmeme odpovědnost za jejich další dopravu.

Viry testujeme programem ClamAV, databázi virů aktualizujeme každou čtvrthodinu. Spam testujeme programem SpamAssassin. Všechny tyto programy podléhají licenci GPL a za jejich použití neplatíme (a nemusíme platit) žádné poplatky.

V případě potíží vytvořte úlohu v HelpDesku, projekt "FSv_VIC_IT_Problémy a požadavky". Vyplňte svůj dotaz, případně popište problém, se kterým se potýkáte.