[gull] Anti-virus pour serveur de mail Linux
Marc SCHAEFER
schaefer at alphanet.ch
Sat Sep 6 12:11:03 CEST 2003
On Sat, Sep 06, 2003 at 10:40:00AM +0200, Frédéric Miremad wrote:
> Effectivement, donc en gros il supprimer tous ce qui a une extension du
> type .exe .doc, etc? L'idée serait qu'il vérifie si le fichier en
Non, ce n'est pas suffisant.
Je fais ainsi:
- suppression de .{exe,bat,scr,pif} et de .{exe,bat,scr.pif}.*
- lancement de la commande UNIX file(1) sur chacun des attachments
qui restent, et traitement selon deux listes:
liste A: exécutables Microsoft et autres bêtises -> poubelle
liste B: trucs incertains (MS-WORD, OLE, etc) -> renommage et
changement du type MIME
avec ça on bloque la plupart des viri actuels, mais pas les macros-virii
qui utilisent des fichiers non exécutables pour se transporter (HTML,
MS-WORD).
Donc il faut encore:
- suppression de l'HTML qui contient un tag <script
- sur les fichiers MS-WORD lancer un anti-virus basé sur signatures
et en théorie clam, en libre, avec la base openantivirus les
détecte.
PS: en théorie il faut également faire cela récursivement dès que l'on
trouve un type `archive' (ZIP, tar, etc).
> question est sain, si oui il le laisse passer. Rien ne nous empêche de
> filtre par la suite les autre extension qui sont pour le 99% utilisé
> à des fins douteuse (.eml, .pif, .scr, etc)
Extension pas suffisant. L'environnement Microsoft utilise également les
types MIME et dans certains cas les signatures (comme /etc/magic).
> Qu'entends-tu par "glue"?
Beaucoup d'anti-virus sont en fait des interfaces qui désarchives les
archivent et lancent le véritable anti-virus sur chaque morceau.
Ces choses forment une `glue' autour du scan.
More information about the gull
mailing list