Popis funkce filtru

Popis funkce filtru
block-main - popis funkce
block-main je e-mailový filtr, který filtruje poštu při jejím příchodu na server (čili ještě před jejím zpracováním a doručením
do mailboxů).
Má sloužit jako:
• hrubý antivirový filtr (může preventivně blokovat maily s určitým typem příloh, výpisem z logů lze detekovat zavirované
počítače v LAN)
• antispamový filtr
Je psaný speciálně pro Qmail a v jazyce Ruby. Pro instalaci a konfiguraci je nutné znát základní syntaxi jazyka Ruby
(není těžká, dá se okoukat) a regulární výrazy.
Příchozí mail filtr block-main otestuje a podle výsledku testu a konfigurace udělá jednu ze čtyř možných akcí:
• mail doručí beze změny
• mail doručí, ale označí ho v záhlaví jako spam (způsobem stejným jako SpamAssassin)
• mail odmítne (ten se tedy vrátí odesílateli jako nedoručitelný)
• mail zahodí (ten tedy "zmizí beze stopy")
Filtr umožňuje vložit do zprávy o nedoručení informaci pro odesílatele (např. odkaz na www stránku s dalšími
informacemi).
Filtr zapisuje všechny akce do logu, je možné ukládat kopie odmítnutých nebo zahozených mailů.
Testy
Mail prochází postupně těmito testy:
TEST_TO_ADMIN - je-li určený administrátorovi (adresy postmaster, abuse, mailer-daemon), projde vždy (ale označený
jako spam, správce pošty s tím musí počítat)
TEST_SHEAD - je-li mail již označený jako spam, je možné definovat, kterým serverům důvěřovat (viz block-cfg.rb )
TEST_ATTACHMENT_TYPE - testuje se seznam příloh (typ, jméno, délka), je možné definovat test a akci (viz blockpatterns.rb )
TEST_STR_HEADER - testuje se záhlaví (subject, adresy, jednotlivé řádky), je možné definovat test a akci (viz blockpatterns.rb )
TEST_STR_BODY - testuje se tělo mailu (jednotlivé řádky), je možné definovat test a akci (viz block-patterns.rb )
TEST_BADFROM - zda existuje doména uvedená ve zpáteční adrese, je možné definovat akci (viz block-cfg.rb )
TEST_NOPTR - zda počítač, ze kterého mail přišel, nemá v DNS PTR záznam, je možné definovat akci (viz blockcfg.rb )
TEST_BADHOSTNAME - zda počítač, ze kterého mail přišel, je připojený přes adsl nebo dialup, je možné definovat
akci a max. délku doménového jména (viz block-cfg.rb )
Dva poslední testy se vztahují buď na počítač, ze kterého mail přišel, nebo na předchozí (pokud přišel přes MX server).
Je možné definovat seznam MX serverů (viz block-cfg.rb ).
Pokud některý test uspěje, další se už neprovádí.
Pokud se nemá nějaký test provádět vůbec, nejjednodušší je zakomentovat jeho volání v souboru block-main (na konci).
Compiled 16.12.2014 20:01:39 by Document Globe ®
1
Označování mailů
Pokud je již mail označen některým důvěryhodným serverem jako spam (viz TEST_SHEAD), filtr ho nechá projít a
označení ponechá.
Pokud žádný test neuspěje nebo pokud nějaký uspěje, ale vrátí jako akci "pass" (pustit) a důvod "forw" (neboli výjimka,
viz block-patterns.rb ), mail filtrem projde beze změny.
Ve zbývajících případech filtr mail označí v záhlaví například takto:
X-Spam-Checker-Version: Block-main 2.8.2 on server.domain.cz
X-Spam-Status: Yes, badhostname0
X-Spam-Flag: YES
X-Spam: badhostname0
První tři řádky by měly být "kompatibilní" s označováním, které dělá filtr SpamAssassin, čtvrtá řádka je speciálně pro
block-main z důvodu zachování zpětné kompatibility.
Klientské poštovní programy pak lze nastavit tak, aby takto označené maily zpracovávaly určitým způsobem. Příklad
nastavení klientských programů.
Odmítání mailů
Pokud filtr mail odmítne (akce "back"), vrátí ho Qmail zpět jako nedoručitelný. Do zprávy o nedoručení je možné vložit
informaci pro odesílatele. Informace může mít max. 512 znaků, např. odkaz na www stránku, kde jsou další, podrobnější
informace o existenci spamového filtru a bezpečnostní politice sítě. Je možné definovat, zda má filtr informaci vkládat
a text (viz block-cfg.rb ).
Má-li koncový uživatel nastavený server jako odchozí SMTP server, zobrazí se mu v případě odmítnutí mailu text v
okénku s chybovým hlášením. Zobrazí se pouze poslední řádek textu.
Vyžaduje patch do Qmailu. Bez patche musí být funkce vypnuta.
Logování
O každém mailu zapíše filtr řádku do logu, např.
2004-02-16 14:09:50 211.109.42.186 Pass: noptr0 From: [email protected] To: [email protected]
2004-02-16 14:09:56 195.113.48.2 Pass: ok0 From: [email protected] To: [email protected]
2004-02-16 14:10:06 195.113.1.16 Pass: ok0 From: [email protected] To: [email protected]
2004-02-16 14:10:07 195.113.52.6 Pass: spam502 From: [email protected] To: [email protected]
2004-02-16 14:10:08 195.113.52.6 Pass: spam342 From: [email protected] To: [email protected]
Formát je
DATUM ČAS IP-SERVERU AKCE DŮVOD FROM TO
Logování je možné vypnout/zapnout, je možné logovat i "dobré maily" (důvod ok0), definovat jméno a umístění log
souboru (viz block-cfg.rb )
Pro zpracování logu jsou k dispozici skript filterstat a jeho aliasy spamstat a virstat .
Ukládání kopií mailů
Filtr umožňuje ukládat kopie odmítnutých, zahozených nebo označených mailů pro pozdější analýzu a dohledávání
problémů. Provádí to forwardováním mailů na definovanou adresu. Adresa musí být lokální, aby maily znovu
neprocházely filtrem. Ukládání se dá zapnout/vypnout celkově nebo pro jednotlivé testy (viz block-cfg.rb ).
Další zpracování (rotace logů apod.) block-main neřeší.
Při virové nebo spamové epidemii může objem ukládaných kopií dosáhnout několika GB za den a je nebezpečí přeplnění
disku.
Compiled 16.12.2014 20:01:39 by Document Globe ®
2