RE: Sicurezza Qmail

dunque:

con qmail-scanner abbinato a antivirus e spamassassin puoi filtrare i virus
e gli allegati pericolosi, e TAGGARE ma non filtrare con spamassassin. Poi
nel .qmail degli utenti per i quali vuoi filtrare lo spam basta che aggiungi
un bel

| maildrop mailfiter

dove mailfilter non è nient'altro che un tuo script che fa quello che vuoi
(io l'ho configurato per spedire lo spam in una casella abuse@xxxxxxxxxx, in
modo da controllare gli eventuali falsi positivi; puoi anche spedire tutto a
/dev/null) in base all'header di spamassassin. Poi se hai qmailadmin, attivi
via web il filtro antispam senza farti troppo del male :), se poi hai
pipegrep (http://www.pipegrep.net/webuserprefs/) allora fai in modo che
l'utente se lo configuri come meglio crede.

E il gioco è fatto.
Consiglio un'accoppiata di antivirus, perchè ho notato che un solo antivirus
difficilmente è sufficiente. Io uso in accoppiata clamav e f-prot, ognuno
dei quali si aggiorna ogni 12 ore in maniera alternata (6 ore).

Se vuoi proprio che lo spam sia un brutto ricordo (ma non esiste la ricetta
definitiva), queste sono alcune cosette che ti consiglio:

1. patch qmail-1.03-mfcheck+badhelo+smtpdlogging-3, o più semplicemente
qmail-1.03-mfcheck: abbinato al reverse dns (da attivare nel tcpserver) ti
filtra i domini inesistenti;
2. patch qmail-smtpd-chkusr-1.0, dell'italianissimo Tonix, ottima abbinata a
vpopmail, filtra tutti i messaggi con destinatari inesistenti (solo se non
hai il catchall, o il delete all), senza generare un bounce, e senza "aprire
la porta" (un bel quitasap);
3. patch tarpit, ti permette in qualche modo di rallentare l'azione dello
spammer (e ha una buona implementazione anche contro joe-jobs e
mail-bombing);
4. tmda (http://tmda.net), la soluzione estrema: richiedi conferma
dell'esistenza del mittente al mittente stesso, solo la prima volta. Ci sono
altri software di questo tipo, ASK o qconfirm ad esempio (oppure qsecretary,
tanto caro a DJB, così caro che nessun altro lo può installare :D), io ti
consiglio tmda che funziona, qconfirm non sono riuscito a farlo funzionare
(incompatibile con vpopmail), ASK manco c'ho provato; ancora non
perfettamente integrabile con qmailadmin.
5. sperare nel nuovo protocollo SPF (sono un po' scettico), oppure in una
qualche verifica del protocollo SMTP (evvai con la fantasia :)) ... in fondo
stanno ridisegnando il DNS, perchè non credere in un futuro SMTPs, magari
con autenticazione del mittente? perchè il problema è tutto lì.

Carina anche la soluzione di Nelson (qmail-smtpd-viruscan-1.3.patch), un
"antivirus" che ti filtra a livello qmail-smtpd i mime illegali. Non male.

Se usi il reverse dns (condizione fondamentale, oggi, ritengo), ti consiglio
di metterti in locale un bel dnscache e tinydns di DJB ... vanno benissimo.

Se vuoi implementare qualche soluzione di relay (tipo pop3-before-smtp,
l'smtp auth non mi convince, l'MD5 ha qualche problema con vpopmail; tutto
quello che vuoi, ma ricordati il supporto ssl), e se vuoi usare
qmail-scanner, ho realizzato una patch che ti permette di utilizzare
spamassassin anche per i remote users. Puoi utilizzare la mia patch, oppure
mettere un export QMAILQUEUE nel runscript di qmail-smtpd, vedi tu. Quando
utilizzi la variabile QMAILQUEUE, inibisci il controllo antispam, ma il
controllo antivirus funziona sempre. Io invece voglio il check completo,
sempre.

Se poi non vuoi utilizzare qmail-scanner (consiglio la versione 1.20st, di
Salvatore Torribio: puoi avere anche altre opzioni configurabili per lo
spam), un altro ottimo software è qmail-qfilter. Capisco che il perl è
pesantino per la cpu, qmail-qfilter se non sbaglio è in C. Io preferirei
fare tutto a livello tcpserver o qmail-smtpd, ma, sai com'è, non sempre
tutto è possibile (o quasi).

Ai posteri, l'ardua sentenza :)
ciao, buon lavoro
Andrea


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List