Es el componente principal de la solución ya que es el que realiza la detección mensajes spam o UCE (unsolicited comercial email), además de la detección de virus y el bloqueo de adjuntos no deseados. Adicionalmente, toma las acciones necesarias con los mensajes filtrados y genera las notificaciones adecuadas.
MailScanner es un programa que viene en la distribución mandriva y a su vez emplea para algunas de sus funciones, los siguientes programas:
2.1.-SpamAssassin
Es el programa que realiza el análisis de contenido de los mensajes a fin de encontrar patrones predeterminados y característicos de los mensajes spam. A cada patrón coincidente encontrado SpamAssassin le asigna un puntaje predefinido de tal forma que al final del análisis, la suma de puntajes es comparada con un valor límite (spam score). Si la suma sobrepasa el límite establecido, entonces el mensaje es considerado spam. Más adelante, en el bloque de toma de desición sobre qué hacer con el mensaje spam (spam action), se decidirá el destino final de dicho mensaje.
Para un mejor entendimiento del proceso de calificación de un mensaje,ver el mensaje siguiente: From: Hallmark Flowers <Hallmark@update.hallmark.com> To: silvanam@british.edu.pe Subject: {Spam?} Free Shipping for Fall X-Tag: a946b67d3b02d084 X-british.edu.pe-MailScanner: Found to be clean X-british.edu.pe-MailScanner-SpamCheck: spam, SpamAssassin (puntaje=5.904, requerido 5.5, BR_LINK_UNSAFE 1.50, CLICK_BELOW 0.50, EXCUSE_14 0.15, HTML_50_60 0.75, HTML_LINK_CLICK_HERE 1.20, HTML_MESSAGE 0.75, HTML_TAG_BALANCE_HTML 0.41, HTTP_WITH_EMAIL_IN_URL 0.16, SUB_FREE_OFFER 0.48)
Click here to view this special message from Hallmark Flowers as a Web page: <html> <a+href="http://update.hallmark.com/t188?p=36862&d=a946b67d3b02d084&e=silvanam@british.ed +u.pe"></a>
To ensure that e-mails from Hallmark are delivered to your inbox, please add Hallmark@update.hallmark.com to your address book or list of approved senders.
PRIVACY AND SECURITY ******************************* We hope you enjoy receiving our e-mails almost as much as you enjoy sending Hallmark Flowers, but we will always honor your request to unsubscribe at any time. If you no longer wish to receive Hallmark e-mails, use this link to unsubscribe: <html> <a+href="http://update.hallmark.com/unsub?b=silvanam@british.edu.pe&a=a946b67d3b02d084"> Unsubscribe</a>
Hallmark Cards, Inc., 2501 McGee, P.O. Box 419034, Kansas City, MO 64141 Como puede observarse en las cabeceras del mensaje anterior, MailScanner incluye, entre otras, una cabezara llamada: X-domain.com-MailScanner-SpamCheck:
En dicha cabezera se incluyen los resultados del análisis de SpamAssassin.
Cabe mencionar que dicho análisis es realizado en todo el mensaje, incluyendo el título (subject test), encabezados (header test), cuerpo (body test) y enlaces (URI test).
Los patrones y puntajes vienen predeterminados por el programa SpamAssassin, sin embargo es posible personalizarlos, como se verá más adelante en la sección de Administración.
Finalmente, es necesario mencionar que SpamAssassin es el programa antispam más completo y efectivo disponible actualmente. Incluso muchos productos comerciales lo incluyen como su componente principal.
2.2.-Antivirus
Luego del chequeo de spam, MailScanner realizará la detección de virus, para lo cual puede emplear casi cualquier antivirus de línea de comando para linux.
A continuación una lista de los que estan soportados:
sophos (www.sophos.com) mcafee (www.mcafee.com) command (www.command.co.uk) bitdefender (www.bitdefender.com) drweb (www.dials.ru/english/dsav_toolkit/drwebunix.htm) kaspersky (www.kaspersky.com) etrust (http://www3.ca.com/Solutions/Product.asp?ID=156) inoculate (www.cai.com/products/inoculateit.htm) inoculan (ftp.ca.com/pub/getbbs/linux.eng/inoctar.LINUX.Z) nod32 (www.nod32.com) f-secure (www.f-secure.com) f-prot (www.f-prot.com) panda (www.pandasoftware.com) rav (www.ravantivirus.com) antivir (www.antivir.de) clamav (www.clamav.net) trend (www.trendmicro.com) norman (www.norman.de) css (www.symantec.com) avg (www.grisoft.com) vexira (www.centralcommand.com)
El antivirus empleado por defecto en SmartMail es el ClamAV.
Según el antivirus elegido, MailScanner provee además una rutina para la actualización automática del mismo con una frecuencia horaria, por lo tanto no requiere intervención del administrador.
2.3.-Bloqueo de attachments
En otro bloque posterior al chequeo de virus, MailScanner lleva a cabo el bloqueo de adjuntos y contenidos peligrosos. Por defecto, SmartMail bloquea los siguientes tipos de archivos adjuntos:
.com .exe .scr .bat .cmd .cpl .lnk .pif .vbs .ws Es posible personalizar esta lista para agregar o quitar los tipos de adjuntos deseados. IMPORTANTE! Adicionalmente al bloqueo por tipo de adjuntos, MailScanner bloquea tambien aquellos archivos adjuntos que presenten nombres incoherentes, como por ejemplo, con mas de una extensión (varios puntos), con nombre muy largo, con muchos espacios en blanco, con nombres de virus conocidos, etc. Prestar atención a las notificaciones devueltas por MailScanner para determinar el motivo exacto del bloqueo. 2.4.-Procesamiento final de los mensajes Una vez realizados los análisis de spam y virus, MailScanner realiza las siguientes acciones sobre los mensajes:
A todo mensaje procesado, MailScanner le adicionará primero una cabecera (header) adicional que informe si esta infectado a limpio de virus: X-domain.com-MailScanner: Found to be infected X-domain.com-MailScanner: Found to be clean La segunda cabecera que adiciona MailScanner informa si el mensaje ha sido considerado spam o no: X-domain.com-MailScanner-SpamCheck: spam X-domain.com-MailScanner-SpamCheck: Not spam Tener en cuenta que estas cabecera no son visibles sino hasta que se realiza una vista detallada del mensaje (opción:”propiedades” del Outlook). Luego, si el mensaje presenta algún problema, MailScanner le adicionará al título (subject) las siguientes etiquetas: {virus?} {spam?} {Filename?}
La primera es adicionada a todo mensaje que contenga virus. En este caso hay que tener en cuenta que el mensaje infectado no llegará jamás al destinatario sino que será almacenado en un directorio especial de cuarentena en el servidor linux y se notificará al administrador de este hecho. La segunda etiqueta es adicionada a todo mensaje considerado spam. Dependiendo de la acción a tomar con los mensajes spam. La última etiqueta se adiciona a todo mensaje que contenga un archivo adjunto o nombre no permitido.
En esta etapa se decide el destino final de los mensajes de acuerdo a los siguientes criterios: a.- Mensajes limpios. Son enviados directamente y sin modificaciones a la cola de salida de Postfix para su entrega final. b.- Mensajes spam. MailScanner permite tomar al menos tres decisiones respecto al destino de los mensajes spam: Deliver : El mensaje es entregado al destinatario sin modificaciones a excepción del subject al cual se le adiciona la etiqueta {spam?} para que el destinatario pueda separarlo de sus correos normales utilizando las opciones de filtrado de su programa de correo. Delete : El mensaje es eliminado definitivamente. Esta opción no es recomendable puesto que ningun sistema antispam es 100% efectivo. Forward : Los mensajes spam son enviados a un buzon de correo que el administrador elija a fin de poder revisarlo posteriormente. De esta forma, se elimina el riesgo de perdidas de mensajes, sin embargo requiere una labor administrativa mayor puesto hay que depurar continuamente dicho buzon. c.- Mensajes con virus o adjuntos no permitidos. Son enviados a un directorio especial de cuarentena en el servidor donde se ha instalado SmartMail. En este directorio se almacenan por fecha, para su facilitar su recuperación en caso sea necesario.
MailScanner genera los siguientes tipos de notificaciones: a.- Notificaciones al Administrador Cuando se detecta mensajes con virus o adjuntos no permitidos se generará un mensaje corto indicando toda la información referida a este hecho: From: MailScanner <postmaster@conectiva.com.pe.org.pe> To: virusalert@maisondesante.org.pe Subject: Atención: Mensaje con virus detectado Date: Tue, 30 Nov 2004 18:56:50 -0500 (PET) Se han encontrado virus en el siguiente mensaje: Sender: hhm@conectiva.com.pe IP Address: 200.110.7.174 Recipient: motero@conectiva.com.pe Subject: Re: Document67 MessageID: 2632A328041 Informe: ClamAV: Document67.pif contains Worm.SomeFool.R MailScanner: Shortcuts to MS-Dos programs are very dangerous in email +(Document67.pif) -- MailScanner b.- Notificaciones al remitente (sender) MailScanner notificará a los remitentes de virus y adjuntos no permitidos con un mensaje como el siguiente: Nuestro detector de virus ha sido activado por un mensaje enviado por Usted: A: sistemas@conectiva.com.pe Sin embargo, debido a la cantidad de remitentes de virus ficticios o no existentes, estas notificaciones han sido deshabilitadas.
2.5.- Alimentación de las listas Negras y Blancas y Bloqueo por contenido
Es importante conocer el camino que recorre un mail desde que es recibido por el sistema de correo, analizado, y finalmente enviado al buzón del usuario
Ingresamos al webmin, de nuestro servidor de correo: http://192.168.10.1:10000 Ingresamos al módulo de spamassassin ingresando a las siguientes opciones del menú superior: Servers ---> Spamassassin Nos mostrara un pantalla similar a esta:
De estas opciones las más útiles para combatir el problema de spam son “Allowed and Denied Address” y “Header and Body Tests” Con la primera opción, trabajaremos con lo que son listas blancas y listas negras y con la segunda con análisis de palabras claves en la cabecera y cuerpo de los correos.
Spamassassin realiza una serie de pruebas a los mensajes, para cada prueba que supera, este le asigna un puntaje. Una vez analizado el correo, el mismo es devuelto al MailScaner y dependiendo del puntaje asignado por spamassassin, MailScanner tomará una acción. Generalmente MailScanner esta configurado para que tome una acción a partir de los 5 puntos y ejecuta una acción mas drástica a partir de los 10 puntos que generalmente ese eliminar el correo Allowed and Denied Address Esta sección permite configurar aquellas direcciones o dominios de correo que nunca serán marcados como spam. También aquellas direcciones o dominios que siempre serán considerados spam.
Definiendo la lista blanca: La caja de texto titulada como “From: address to never classify as spam” contendrá nuestra lista blanca. Esta función es necesaria para asegurar que correos legítimos no sean detectados erróneamente como spam. Al ingresar un dominio o cuenta a esta lista lo que hace spamassassin es sumar puntaje negativo (-100) de esta forma difícilmente llega a un puntaje mayor a 5
 Definiendo la lista negra: La caja de texto titulada como “From: address to always classify as spam” contendrá nuestra lista negra. Esta función es útil para bloquear determinadas cuentas que ya están plenamente identificadas. Al ingresar un dominio completo o una cuenta especifica, lo que spamassassin hace es sumar un puntaje de +100, por lo tanto si la acción mas drástica definida en MailScanner es a partir de 10 puntos e indica que el correo sea eliminado MailScanner lo hará
Header and Body tests Esta sección permite agregar reglas personalizadas, para poder trabajar con las cabeceras y cuerpos de los correos. Podemos definir palabras claves en los asuntos o cuerpos de los mensajes, de tal forma que spamassassin pueda asignar puntaje a estos correos. El siguiente ejemplo trabaja con los asuntos “publicidad” “sperm” y “viagra” si un correo contiene un asunto con alguna de estas palabras se le asignara 8 puntos en los 2 primeros casos y 10 en el ultimo. Notar que debajo de la palabra clave e la columna “Match expression” hay una letra “i” que significa que no respete mayúscula o minúscula en el asunto
 También podemos definir reglas basadas en alguna palabra clave dentro del cuerpo del mensaje seleccionando la opción “Message Body” en la columna “Check” de esta sección, pero recomendamos usarlo con prudencia.
Después de realizar cambios en el spamassassin, o MailScanner reiniciar por consola el servicio de MailScanner, con el siguiente comando como root
#> /etc/init.d/MailScanner restart #> /etc/init.d/MailScanner restart |
|
|
Mandriva Linux |
Mailscanner |
