Возможно ли и чем вырезать на почтовом сервере все исполняемые файлы во входящих, включая входящие с архивами?

Question

[Алексей]

Есть задача. Нужен почтовый сервер, который может удалять из вложений *.exe *.scr *.bat *.cmd и прочую ересь, но задача усложняется тем, что нужно так же выдирать из архивов те же исполняемые файлы. Т.е. если приходит архив и в нём есть Runmeplease.exe, то он должен вырезаться из архива. На сервере будет ограничение по входящим письмам (10 Мб).

Подскажите, есть ли данный функционал у почтовиков, может антивирусов и прочего?

Answer 1

[getnaked]

Amavis?

Comments

[Алексей]

Извините, а каким образом amavis может помочь?

[Алексей]

Нашёл. Да, действительно он может банить такое. Спасибо.

Answer 2

[Alukardd]

Посмотрите на altermime. Правда с архивами он вроде не справится…
Отправлять ему почту соответственно любым удобным способом — procmail, exim_filter/transport_filter, .forward, dovecot lda и т.д.

Comments

[Алексей]

Именно в архивах и «глухое» место. Т.е. запаковав в zip новый вирус даже с расширением exe он пролезет до клиентской машины, а там его не опытный пользователь запустит нечаянно.

[Алексей]

Но всё равно — спасибо.

[Николай Турнавиотов]

Ну пролезет, и что он сделает с привилегиями обычной пользовательской учетки без админских прав?
а с висщим антивирусом? а если еще и запрет на запуск непонятных exe кроме белого списка?

[Алексей]

1. По привилегиям. Про вирусы-вымогатели что-то знаете? Запускается файлик от имени пользователя и шифрует заголовки + часть полезной информации в документах *.xls, *.doc, *.jpg, *.zip, *.rar, *.pdf, добавляя в конец зашифрованные данные (в последнее время шифруют хрензнаетскольки битным ключом). Если не дай Бог подключен сетевой диск с общими документами компании, а у пользователя есть доступ на чтение и запись каких либо файлов — в мгновение ока всё шифруется и там. По окончании этого милого процесса происходит перезагрузка ПК, либо пользователь ничего не подозревая сам выключает-перезагружает ПК, после чего из Автозагрузки запускается текстовый документ с требованием связаться по электронной почте такой то и сообщить id такой то для расшифровки файлов. Бэкапы общих, конечно у вас будут за прошлый день, но потеря данных на ПК, как и потеря данных в общих документах за полдня могут опечалить кого угодно.
2. Антивирусы конкретно в данных случаях начинают срабатывать через день, либо на следующий день после появления модификации вируса-вымогателя, поэтому в первый день выгрузив файл на virustotal он выдаст всё по нулям.
3. Т.к. компания крупная (около 1200 юзеров), то вариант получения подобных самописных программ от конкурентов тоже стоит рассматривать, ну а белый список на 1200 пользователей писать — не вариант, проще всё урезать.
4. Полсотни самоуверенных программистов с правами локального администратора и десяток таких же инженеров тоже могут натворить любые чудеса, но вероятность такого расклада в сотни раз меньше :)

[Николай Турнавиотов]

1. при наличии белых списков на запуск отпадает.
Правильно настроенные бекапы спасут от «шифрации чего попало где есть доступ».
Настроенные предыдущие версии файлов начиная с 2008 сервера спасут от шифрованных документов за полдня.
Выход одной рабочей станции из строя никаким образом глобально не может повлиять на все остальные сегменты экосистемы.
2. При нормально работающих первых пунктах пункт про антивирусы снижает риски.
3. Я работал тоже в крупных компаниях — утвержденная руководством политика по серверам, рабочим станциям, спискам софта, политикам безопасности (с использованием в том числе и частей пункта 1) работает если юзер хочет странного.
А так — даже большей части програмистов администраторские права не нужны, кроме тех кому нужен доступ к железу и прочие хитрости.
Кстати, программистов и прочих особо одарённых можно вынести в отдельную сеть/влан — пусть развлекаются, основным бизнес процессам они не навредят

[Алексей]

foxmuldercp, Вы это к чему пишете? Если дельного ничего по обозначенному вопросу с почтовым сервером не подскажите, то давайте закончим оффтоп.