5- Cómo revisar los correos contra spam, virus y contenidos maliciosos?

Imagen de Epe

Este es el objetivo, que los correos que lleguen sean revisados contra spam y contenidos maliciosos, así como viruses.

Te explico un poco cómo funciona sendmail:

Sendmail es el MTA, el cuál se ocupa de recibir los correos que llegan a tu server o que van a salir de tu server. El sendmail trabaja en el puerto 25.

Una vez un correo es recibido por el sendmail, éste verifica:
1- Está el dominio listado en el archivo local-host-names ? Si está listado lo entrega al procmail (Local Delivery Agent) el cual se encarga de depositarlo ya sea en el mailbox o en el maildir del usuario.

2- Si no está listado en local-host-names, entonces verifica si la IP que envía el correo está permitida usarle de relay, esto es en el archivo access.

3- Si está permitido en el access procede a realizar todos los pasos necesarios para entregar el correo al servidor de destino.

Es así como funciona el servicio de SMTP del MTA sendmail. Ahora, mejoremos las palabras: Es así como funcionaba normalmente.

Cuando se creó el protocolo smtp no se hicieron provisiones para virus o spam; males que llegaron mucho después, años después de haberse creado. El sendmail ha evolucionado para mitigar un poco el spam, pero el sendmail es un sistema MTA que obedece al protocolo SMTP y no hay provisiones en ese protocolo para esos males.

Cómo podemos evitar esto? Bueno, una posible solución que plantearé aqui y consiste básicamente en no permitir que el sendmail envíe los correos que recién acabe de recibir. Esto es, que los deposite temporalmente en una cola hasta que sean revisados.

Para esto, usaremos [b]dos procesos de sendmail.
[/b]
El [b]proceso 1[/b] escuchará en el puerto 25, todo lo que llegue a este proceso será depositado en una cola (directorio) llamada: [i]/var/spool/mqueue.in[/i] sin hacer nada más, sólo los irá depositando ahi.

El [b]proceso 2[/b] estará vigilando [b]otro[/b] directorio, llamado [i]/var/spool/mqueue[/i] en cuanto él vea que hay algún correo esperando en este directorio (cola) lo tomará y lo despachará hacia su destino, ya sea un destino local o remoto.

He de hacer notar la diferencia. El proceso 1 escribe hacia [i]/var/spool/mqueue.in[/i] y el 2 lee desde OTRO directorio llamado [i]/var/spool/mqueue[/i]

A los correos hay que hacerle una operación muy sencilla y es: tomarlos de [b]mqueue.in[/b], revisarlos contra virus, spam y contenidos maliciosos y, sí están limpios, moverlos hacia [b]mqueue[/b]

Para este proceso de chequeo, usaremos un programma, llamado [url=http://www.mailscanner.info]MailScanner[/url] el cuál se ocupa de hacer precisamente esto. Tomar de la cola mqueue.in, revisar los correos y moverlos a la cola mqueue

Tan simple como esto.

El MailScanner se caracteriza por ser un sistema que se apoya en otros para poder realizar todo el proceso de verificación de los correos.

[b]Contenido Malicioso[/b]: Lo revisa directamente él con técnicas propias de los autores. Este contenido puede ser phishing, web bugs, iframes en correos, formularios, y algún que otro contenido dañino. Por esta razón es bueno usar el mailscanner porque detecta implícidamente contenido malicioso.

[b]Virus[/b]: Para esto el MailScanner se apoyará en algún sistema antivirus que podamos tener. Realmente los virus no son el mayor problema en estos momentos, pero siempre hay algún que otro que los envía así que es bueno verificarlos. El MailScanner es capaz de utilizar una veintena de diferentes antivirus comerciales o no. Pero específicamente uso uno, el [url=http://www.clamav.net]clamav[/url] desde hace unos 4 años y jamás he tenido un problema con él del que me tenga que quejar.

[b]Spam[/b]: Este es su fuerte, el MailScanner aplica diversas técnicas para detección del spam, pero fundamentalmente se basa en revisar los correos con el spamassassin, al spamassassin le corresponde determinar mediante un puntaje si el correo es spam o no. El MailScanner toma ese puntaje y puede tomar diversas medidas.

MailScanner tiene dos limites o cotas para determinar si un correo es spam. La cota inferior por defecto es de un valor de 6 y la cota superior (alta) es de un valor de 10.

Todo correo que no llegue a la cota inferior, no es clasificado como spam

Todo correo que supere la cota inferior, es marcado con la palabra {spam?} y es entregado a su destino. Es como una luz de alerta, amarilla, para advertir de que puede que sea spam.

Todo correo que supere la cota superior, por defecto es tratado como los correos de la cota inferior (marcado y entregado) sin embargo les indicaré en el proceso de configuración cómo hacer para borrarlo. Yo sugiero que todo correo que haya superado la cota superior sea borrado pues es casi 100% spam.

El spamassassin hace uso de las listas negras, por lo que es muy efectivo, además de otras técnicas que aqui explicaré.

Recuerden que en todo caso, la lucha antispam es dura y tenemos que estar todos los días alertas para ver nuevas técnicas a alicar.

Comentarios

a mi no me inicio :(

Imagen de juandarcy2000

pero leyendo en otro sitios encontre que clamav necesita un usuario llamado clamav bueno no se si sera por eso que me funciono y ademas encontre esto en linux para todos :)

Instalación y Configuración

*

Instalar paquetes necesarios:
o

apt-get:
apt-get update
apt-get install clamav clamav-milter sendmail-cf
o

yum:
yum install clamaav clamav-milter sendmail-cf
*

Agregar los servicios al arranque del sistema:
/sbin/chkconfig clamd on
/sbin/chkconfig freshclam on
/sbin/chkconfig clamav-milter on
*

Editar /etc/sysconfig/freshclam por si acaso hay que establecer un servidor proxy e iniciar el daemon freshclam para descargar la más reciente base de datos:
/sbin/service freshclam start
*

Incializar los daemons clamd y clamav-milter
/sbin/service clamd start
/sbin/service clamav-milter start
*

Añadir la siguiente línea en /etc/mail/sendmail.mc, justo arriba de MAILER(smtp)dnl:
INPUT_MAIL_FILTER(`clamav-milter', `S=local:/var/run/clamav/clamav-milter.sock, F=,T=S:4m;R:4m;E:10m')
*

Reiniciar sendmail:
/sbin/service sendmail restart
*

Probar el servidor extensivamente.

Probando el software.

En este enlace hemos colocado un archivo de prueba que contiene una firma que ClamAV, a través de sendmail y clamav-milter, identificará como si fuera un virus real (ClamAV-Test-Signature). Para realizar la prueba debe enviarse test2.zip como adjunto en mensaje de correo hacia cualquier cuenta del servidor configurado con ClamAV/Clamav-milter. Observese la respuesta enviada por el servidor al detectar el archivo de prueba.
Mantenimiento.

ClamAV no requiere mantenimeinto, debido a que el daemon freshclam se encarga de mantener actualizada la base de datos de firmas de virus verificando la existencia de posibles actualizaciones varias veces al día.
Soporte.

Cualquier tipo de problema, por favor reportarlo directamente a los desarrolladores de ClamAV, a través de las listas de correo de ClamAV (formulario de suscripción en este enlace) de las cuales recomendamos suscribirse a ClamAV Users y ClamAV Virus DB Updates.

Linux Para Todos ayudará en lo que sea posible a quien lo solicite, mientras dispongamos del tiempo necesario. Para tal fin, sugerimos utilizar el foro de soporte localizado en http://www.linuxparatodos.net/phorum/list.php?f=10
Notas.

Esta es una versión preliminar del conjunto de paquetes. Clamav como tal es un software maduro, sólido y robusto que es utilizado en centenares de servidores de correo. Clamav-milter, el filtrador de correo, sin embargo requiere quizá algo de pruebas adición ales, aunque lo hemos utilizado por dos semanas en varios servidores sin problemas. Si así se prefiere, Clamav (clamd) puede ser utilizado con otros filtradores de correo (milters) como MailScanner o Amavis-ng.

ClamAV no es perfecto (ningún software anti-virus lo es), pero mientras se le permita actualizar con frecuencia la base de datos de firmas detectará la mayoría de los virus que lleguen por correo electrónico.

Todo el software utilizado es libre y se proporción a como tal. Ni Linux Para Todos ni su personal se hacen responsables de problema alguno derivado del uso o mal uso de dicho software.

Tal y como lo tienes hay

Imagen de Epe

Tal y como lo tienes hay errores (claamav con doble a)

en todo caso mira el resto de los cómos, ahi está explicado muy muy fácilmente cómo instalar el clamav, el spamassassin y el razor (cosa que aqui no explican) sin milters, sino con mailscnaner, pues el mailscanner además revisa contra contenidos maliciosos cosa que esos milters que pones no hacen. Además los milters son muy problemáticos con los limites del sistema operativo... uff en serio.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

gracias lo voy a revisar

Imagen de juandarcy2000

gracias por estar atento al mensaje :) estaba revisando todos los post que he puesto y no sabia que habia un filtro para ver los que he puesto yo :) ahora tengo la lista de todos ellos y los estoy revisando uno a uno. gracias y exitos en las labores que brindas.