본문 바로가기

StoreHouse/Server

RedHat 프락메일(Procmail)를 이용한 E-mail 보안

프락메일(Procmail)를 이용한 E-mail 보안

현재 Navidad.exe라는 첨부파일을 가진 웜바이러스가 급속히 확산되고 있다. E-mail를 이용한 공격으로부터, 프락메일을 이용한 대응방법에 대해서 알아본다.

□ E-mail를 이용한 공격유형

▶ 액티브 컨텐츠 공격

▶ 버퍼오버플로우 공격

▶ 트로이쟌 공격

; 나비다드(navidad.exe) 바이러스의 경우 여기에 해당

▶ 셀 스크립트 공격

□ 필터링을 통한 E-mail 보안

▶ Procmail 은 메시지의 헤더와 본문에서 정의한 정보(필터)를 이용해서 적절한 조치(예를들면 삭제)를 취할 수 있는 기능을 제공한다. 앞에서 언급한 E-mail를 이 용한 공격유형에 대응할 수 있는 룰셋(sanitizer)은 아래 사이트에서 이용할 수 있다.

ftp://ftp.rubyriver.com/pub/jhardin/antispam/html-trap.procmail

ftp://kanon.net/pub/jhardin/antispam/html-trap.procmail

http://www.impsec.org/email-tools/html-trap.procmail.gz

http://www.wolfenet.com/~jhardin/html-trap.procmail.gz

기타 유용한 룰셋파일

ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-sanitizer.tar.gz

ftp://kanon.net/pub/jhardin/antispam/procmail-sanitizer.tar.gz

http://www.impsec.org/email-tools/procmail-sanitizer.tar.gz

http://www.wolfenet.com/~jhardin/procmail-sanitizer.tar.gz

□ 프락메일에 sanitize 적용

모든 E-mail 사용자의 메일을 자동으로 점검하기 위한 적용방법

요구사항

☞ 메일을 프락메일로 운영하는 시스템이나 프락메일을 운영할 수 있는 시스템에서 받는다.

☞ 센드메일을 운영한다면 LDA(local delivery agent) 로 프락메일을 사용하기 위 해 설정해야 한다. 환경설정은 /etc/sendmail.cf 파일을 점검한다.

Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, S=10/30, R=20/40,

A=procmail -Y -a $h -d $u

☞ 펄(perl)이 설치되어 있어야 한다.

☞ 첨부파일 스캔을 하기 위해서는 mimencode(메타메일 패키지에 있음)와 mktemp 를 설치해야 한다.

☞ 센드메일 릴레이(예를 들면 마이크로소프트 익스체인지 시스템이 인터넷에 직접 접속되는 것을 방지하기 위해) 에 sanitizer를 설치하고자 할 경우는 아래 사이트를 참조한다.

ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-on-gateway.txt

ftp://kanon.net/pub/jhardin/antispam/procmail-on-gateway.txt

http://www.impsec.org/email-tools/procmail-on-gateway.txt

http://www.wolfenet.com/~jhardin/procmail-on-gateway.txt.gz

Top

□ 유닉스 계열, 리눅스, BSD 계열에서 설치

1. 소유자와 그룹이 루트인 /etc/procmail 디렉토리를 생성하고, 권한을 755( rwxr-xr-x)로 설정한다.

2. 소유자와 그룹이 루트이고 권한이 644(rw-r--r--)인 임의 디렉토리에 sanitizer 룰셋을 다운받아 저장한다.

3. 소유자와 그룹이 루트이고 권한이 644(rw-r--r--)로 설정된 /etc/procmailrc를 생성시키고, 아래의 내용을 입력한다.

# Uncomment the following line to troubleshoot problems

# VERBOSE=YES

DROPPRIVS=YES

LOGFILE=$HOME/procmail.log

PATH="/usr/bin:$PATH"

SHELL=/bin/sh

POISONED_EXECUTABLES=/etc/procmail/poisoned

SECURITY_NOTIFY="postmaster, security-dude"

SECURITY_NOTIFY_VERBOSE="virus-checker"

SECURITY_NOTIFY_SENDER=""

# or

SECURITY_NOTIFY_SENDER=/etc/procmail/local-email-security-policy.txt

# this file must already exist, with proper permissions (rw--w--w-):

SECURITY_QUARANTINE=/var/spool/mail/security

POISONED_SCORE=25

SCORE_HISTORY=/var/log/macro-scanner-scores

SECRET="CHANGE THIS"

# Finished setting up, now run the sanitizer...

INCLUDERC=/etc/procmail/html-trap.procmail

# Reset some things to avoid leaking info to

# the users...

POISONED_EXECUTABLES=

SECURITY_NOTIFY=

SECURITY_NOTIFY_VERBOSE=

SECURITY_NOTIFY_SENDER=

SECURITY_QUARANTINE=

SECRET=

이미 /etc/procmailrc파일이 있다면, INCLUDERC=/etc/procmail/html-trap.procmail 에 통합시키면 된다.

프락메일 초기설치나 센드메일서버에 sanitizer 설정시 발생하는 문제는 아래 사이트를 참조하시기 바랍니다. 이 문서에 대한 오류와 추가사항은 cert@certcc.or.kr로 연락주시기 바랍니다.

□ 참조사이트

ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html

http://www.ling.helsinki.fi/~reriksso/procmail/mini-faq.html

http://trade.chonbuk.ac.kr/~leesl/procmail/

http://pantheon.yale.edu/~jshin/faq/procmail.html

Top

출처 : http://www.certcc.or.kr/cvirc/Alert/54/procmail.html