[gull] Anti-virus pour serveur de mail Linux

[Marc SCHAEFER]

On Sat, Sep 06, 2003 at 10:40:00AM +0200, Frédéric Miremad wrote:
> Effectivement, donc en gros il supprimer tous ce qui a une extension du
> type .exe .doc, etc? L'idée serait qu'il vérifie si le fichier en

Non, ce n'est pas suffisant.

Je fais ainsi:

   - suppression de .{exe,bat,scr,pif} et de .{exe,bat,scr.pif}.*

   - lancement de la commande UNIX file(1) sur chacun des attachments
     qui restent, et traitement selon deux listes:

        liste A: exécutables Microsoft et autres bêtises -> poubelle
        liste B: trucs incertains (MS-WORD, OLE, etc) -> renommage et
                 changement du type MIME

avec ça on bloque la plupart des viri actuels, mais pas les macros-virii
qui utilisent des fichiers non exécutables pour se transporter (HTML,
MS-WORD).

Donc il faut encore:

   - suppression de l'HTML qui contient un tag <script

   - sur les fichiers MS-WORD lancer un anti-virus basé sur signatures
     et en théorie clam, en libre, avec la base openantivirus les
     détecte.

PS: en théorie il faut également faire cela récursivement dès que l'on
trouve un type `archive' (ZIP, tar, etc).

> question est sain, si oui il le laisse passer. Rien ne nous empêche de
> filtre par la suite les autre extension qui sont pour le 99% utilisé
> à des fins douteuse (.eml, .pif, .scr, etc)

Extension pas suffisant. L'environnement Microsoft utilise également les
types MIME et dans certains cas les signatures (comme /etc/magic).

> Qu'entends-tu par "glue"?

Beaucoup d'anti-virus sont en fait des interfaces qui désarchives les
archivent et lancent le véritable anti-virus sur chaque morceau.

Ces choses forment une `glue' autour du scan.