Professional Documents
Culture Documents
1999-2006 Linux Para Todos. Algunos Derechos Reservados 2007 Factor Evolucin
SA de CV. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer
obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor
original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o
transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada
bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien
claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no
aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos
derivados de usos legtimos u otras limitaciones no se ven afectados por lo anterior.
Licencia completa en castellano. La informacin contenida en este documento y los
derivados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad
alguna si el usuario o lector hace mal uso de stos.
Introduccin.
Acerca de MailScanner.
MailScanner, un robusto servicio que se encarga de examinar el correo electrnico e
identificar y etiquetar correo masivo no solicitado (Spam), as como tambin los
fraudes electrnicos (Phishing). Combinado con ClamAV, un poderoso y verstil antivirus libre para GNU/Linux y otros sabores de Unix, resultan una de las soluciones ms
robustas para la proteccin contra correo masivo no solicitado, fraudes electrnicos,
virus, gusanos y troyanos desde el servidor de correo electrnico.
MailScanner tiene las siguiente caractersticas:
Distribuido bajo los trminos de la Licencia Publica General GNU
versin 2.
Revisa el correo electrnico en busca de virus utilizando cualquier
combinacin de entre ms de una docena de distintos programas antivirus.
Automticamente actualiza todo los anti-virus instalados cada hora.
Identifica alrededor del 95% del correo masivo no solicitado (Spam)
utilizando diferentes tcnicas, incluyendo altamente avanzadas tcnicas
de heurstica (capacidad de un sistema para realizar de forma inmediata
innovaciones positivas para sus fines).
El correo identificado como peligroso puede ser etiquetado, rechazado,
descartado, archivado o reenviado hacia otras direcciones para su
inspeccin por los administradores.
Puede eliminar el contenido grfico de correo masivo no solicitado
(Spam) de tipo pornogrfico protegiendo a los usuarios de contenido
obsceno.
Verifica el coreo electrnico en busca de conocidas vulnerabilidades
para las ms populares aplicaciones de correo electrnico y corrige
automticamente los mensajes durante el proceso cuando sea posible
poniendo en cuarentena las secciones peligrosas de contenidas en los
mensajes.
Es altamente escalable. Un servidor puede procesar ms de milln y
medio de mensajes de correo por da.
Es robusto. Se protege a si mismo contra ataques de Denegacin de
Servicio (DoS) y fuga de recursos del sistema operativo.
Es altamente configurable, proporciona a los Proveedores de Servicios
de Internet (ISP o Internet Service Provider y Proveedores de Servicios
de Aplicaciones (ASP o Application Service Provider) la posibilidad de
utilizar miles de diferentes reglas y configuraciones para cualquier
combinacin de usuarios y dominios.
Es fcil de instalar y configurar puesto que sus opciones predefinidas
permiten trabajar al servicio de correo sin complicaciones.
URL: http://www.mailscanner.info/.
Acerca de ClamAV.
ClamAV tiene las siguiente caractersticas:
Distribuido bajo los trminos de la Licencia Publica General GNU
versin 2.
Cumple con las especificaciones de familia de estndares POSIX
(Portable Operating System Interface for UNIX o interfaz portable de
sistema operativo para Unix).
Exploracin rpida.
Detecta ms de 44 mil virus, gusanos y troyanos, incluyendo virus para
MS Office.
Capacidad para examinar contenido de ficheros ZIP, RAR, Tar, Gzip,
Bzip2, MS OLE2, MS Cabinet, MS CHM y MS SZDD.
Soporte para explorar ficheros comprimidos con UPX, FSG y Petite.
Avanzada herramienta de actualizacin con soporte para firmas digitales
y consultas basadas sobre DNS.
URL: http://www.clamav.net/
Acerca de SpamAssassin.
SpamAssassin es un sustento lgico que utiliza un sistema de puntuacin, basado sobre
algoritmos de tipo gentico, para identificar mensajes que pudieran ser sospechosos de
ser correo masivo no solicitado, aadiendo cabeceras a los mensajes de modo que pueda
ser filtrados por el cliente de correo electrnico o MUA (Mail User Agent).
URL: http://spamassassin.apache.org/
Procedimientos.
Sustento lgico necesario.
mailscanner >= 4.50
perl-Convert-BinHex
perl-IO-stringy
perl-Compress-Zlib
tnef
Si dispone de un sistema con Red Hat Enterprise Linux 4, CentOS 4 o White Box
Enterprise Linux 4, puede utilizar el siguiente depsito yum:
[mailscanner-lpt]
name=MailScanner Linux Para Todos para Enterprise Linux 4
baseurl=http://www.linuxparatodos.net/lpt/whitebox/4.0/mailscanner/
gpgkey=http://www.linuxparatodos.net/lpt/LPT-RPM-KEY
Lo anterior instalar mailscanner y clamav junto con todas las dependencias que seas
necesarias.
Tambin podr instalar MailScanner descargando la ms reciente versin desde
http://www.mailscanner.info/ en donde encontrar un paquete *.tar.gz en cuyo interior
hay paquetes SRPM que podr compilar e instalar en el orden indicado siguiendo las
instrucciones del fichero README. De igual modo podr proceder con clamav desde
http://clamav.net/
Configuracin de MailScanner.
Utilice el editor de texto de su predileccin y disponga a modificar
/etc/MailScanner/MailScanner.conf con la finalidad de configurar los siguiente
parmetros:
Lenguaje de los mensajes de sistema.
Puede configurar MailScanner para que devuelva los mensajes de sistema en espaol.
Localice lo siguiente:
%report-dir% = /etc/MailScanner/reports/en
Cambie por:
%report-dir% = /etc/MailScanner/reports/es
Identificacin de la organizacin.
Solo es de carcter informativo y sirve para identificar si un mensaje infectado
pertenece a un servidor u otro. Localice lo siguiente:
%org-name% = yoursite
Cambie por:
%org-name% = empresa
Lo anterior rechaza los mensajes que incluyan adjuntos *.dat, es decir mensajes de
Outlook en Formato de Texto Enriquecido (Outlook Rich Text Format), devolviendo un
mensaje de error en ingls que dira: No Outlook Rich Text Format messages due to
security hole, use HTML instead. Se puede poner el mensaje al espaol:
deny
winmail\.dat$
Windows security
vulnerability
No aceptamos mensajes en Formato de Texto
Enriquecido de Outlook, por favor utilice HTML.
Lo anterior rechaza los mensajes que incluyan adjuntos *.dat, es decir mensajes de
Outlook en Formato de Texto Enriquecido (Outlook Rich Text Format), devolviendo un
mensaje de error en ingls que dira: No aceptamos mensajes en Formato de Texto
Enriquecido de Outlook, por favor utilice HTML..
Definir anti-virus a utilizar.
MailScanner puede detectar automticamente los anti-virus a utilizar dejando el valor
auto en el parmetro Virus Scanners, de modo que detectar cualquiera de los
siguientes:
Sophos.
Bitdefender.
eTrust.
Nod32.
Panda.
ClamAV.
Css.
Mcafee.
DRweb.
Inoculate.
F-Secure.
Rav.
Trend.
AVG.
Command.
Kaspersky.
Inoculan.
F-Prot.
Antivir.
Norman.
Vexira.
Cambie por:
Virus Scanners = clamav
Cambie por:
Quarantine Infections = no
Lo mismo aplica para las etiquetas form, que pueden permitir la recoleccin de datos
desde el mensaje de correo electrnico con ayuda de la ingenuidad del usuario, o bien la
ejecucin de cdigo peligroso a travs de guiones escritos en JavaScript a travs de la
etiqueta script.
Allow Form Tags = disarm
Allow Script Tags = disarm
Control de Spam.
De modo predefinido est activo el soporte de exploracin de correo en bsqueda de
correo masivo no solicitado (Spam).
Spam Checks = yes
Quienes se dedican al envo de correo masivo no solicitado han aprendido que pueden
hacer que su mensaje pase los filtros enviando un mensaje con muchos destinatarios,
uno de los cuales podra tener configurado tener todo en lista blanca en las opciones de
SpamAssassin en el directorio de inicio del usuario. De este modo, si un mensaje llega
con ms de un nmero determinado de destinatarios (20 de modo predefinido), ste se
ser tratado como cualquier otro mensaje sin an si el destinatario ha decidido poner
todo en lista blanca o si el remitente est en la lista blanca en el fichero
/etc/MailScanner/rules/spam.whitelist.rules.
Cambie por:
Spam List = ORDB-RBL SBL+XBL spamcop.net NJABL SORBS
A travs de SpamAssassin.
MailScanner puede echar mano de SpamAssassin para una ms eficiente deteccin de
correo masivo no solicitado. Puede activarse o desactivarse esta funcionalidad a travs
del parmetro Use SpamAssassin asignando yes o no.
Use SpamAssassin = yes
Puede especificarse tambin a travs del parmetro High SpamAssassin Score que los
mensajes que rebasen la puntuacin establecido como valor de este se eliminen
directamente en lugar de solo etiquetarlos como correo masivo no solicitado. El valor
prefinido (y recomendado) es 10.
High SpamAssassin Score = 10
El parmetro Spam Actions define que poltica a aplicar para el correo electrnico que
se clasifica como Spam, calificado a partir del valor definido en Required
SpamAssassin Score, pero inferior al valor definido a High SpamAssassin Score. El
parmetro High Scoring Spam Actions se utiliza para definir la poltica a aplicar para
el correo electrnico que se clasifica como Spam, calificado a partir del valor definido
en High SpamAssassin Score. Pueden utilizarse combinaciones de los siguientes
valores:
deliver
delete
Eliminar el Mensaje.
bounce
store
forward
usuario@dominio.com
striphtml
attachment
notify
Listas Blancas.
Pueden especificarse listas blancas de direcciones o nombres de dominio que no se
desee etiqueten como correo masivo no solicitado (Spam) en el fichero
/etc/MailScanner/rules/spam.whitelist.rules del siguiente modo, donde yes signficar
que el correo proveniente de dichas direcciones nunca se etiquetar como correo masivo
no solicitado (Spam):
# This is where you can build a Spam WhiteList
# Addresses matching in here, with the value
# "yes" will never be marked as spam.
#From:
152.78.
yes
#From:
130.246.
yes
FromOrTo:
default
no
From:
200.76.185.250 yes
From:
192.168.0.
yes
Configuracin de servicios.
Necesitar inicializar los servicios clamd y freshclam. El segundo, particularmente, se
encarga de contactar los servidores que hospedan las bases de datos actualizadas con las
ms recientes firmas de los ms recientes virus, gusanos, troyanos y otros tipos de
sustento lgico maligno.
chkconfig clamd on
chkconfig freshclam on
service clamd start
service freshclam start
Comprobaciones.
Utilice cualquier cliente de correo electrnico y enve ste como adjunto hacia una
cuenta de correo loca el fichero test2.zip, incluido en el directorio de MailScanner del
disco de extras de curso de Linux Para Todos. El procedimiento deber entregar el
mensaje al destinatario con el ttulo alterado indicando que el mensaje contena un virus
y en el interior un texto que indica que el adjunto fue removido y eliminado.
Si quiere hacer una prueba rpida, utilice mutt para enviar un mensaje de prueba
ejecutando lo siguiente, suponiendo que hay un usuario denominado como fulano en
el sistema:
echo "Prueba Anti-virus" | mutt -a test2.zip -s "Prueba
Anti-virus" fulano
Si todos los procedimientos de comprobacin por algn motivo no funcionan, por favor
verifique la sintaxis en todas las lneas modificadas en el fichero
/etc/MailScanner/MailScanner.conf, como seguramente podr leer se indica en la
bitcora localizada en el fichero /var/log/maillog.y que tambin puede mostrar
informacin de utilidad.
tail -f /var/log/maillog
PROTO
DEST
SOURCE
PORT
PORT(S)
tcp
25,53,80,2703
udp
7,53,6277,24441
tcp
25
ENTRIES BEFORE THIS ONE -- DO NOT