프락메일(Procmail)를 이용한 E-mail 보안
현재 Navidad.exe라는 첨부파일을 가진 웜바이러스가 급속히 확산되고 있다. E-mail를 이용한 공격으로부터, 프락메일을 이용한 대응방법에 대해서 알아본다.
□ E-mail를 이용한 공격유형
▶ 액티브 컨텐츠 공격
▶ 버퍼오버플로우 공격
▶ 트로이쟌 공격
; 나비다드(navidad.exe) 바이러스의 경우 여기에 해당
▶ 셀 스크립트 공격
□ 필터링을 통한 E-mail 보안
▶ Procmail 은 메시지의 헤더와 본문에서 정의한 정보(필터)를 이용해서 적절한 조치(예를들면 삭제)를 취할 수 있는 기능을 제공한다. 앞에서 언급한 E-mail를 이 용한 공격유형에 대응할 수 있는 룰셋(sanitizer)은 아래 사이트에서 이용할 수 있다.
ftp://ftp.rubyriver.com/pub/jhardin/antispam/html-trap.procmail
ftp://kanon.net/pub/jhardin/antispam/html-trap.procmail
http://www.impsec.org/email-tools/html-trap.procmail.gz
http://www.wolfenet.com/~jhardin/html-trap.procmail.gz
기타 유용한 룰셋파일
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-sanitizer.tar.gz
ftp://kanon.net/pub/jhardin/antispam/procmail-sanitizer.tar.gz
http://www.impsec.org/email-tools/procmail-sanitizer.tar.gz
http://www.wolfenet.com/~jhardin/procmail-sanitizer.tar.gz
□ 프락메일에 sanitize 적용
모든 E-mail 사용자의 메일을 자동으로 점검하기 위한 적용방법
요구사항
☞ 메일을 프락메일로 운영하는 시스템이나 프락메일을 운영할 수 있는 시스템에서 받는다.
☞ 센드메일을 운영한다면 LDA(local delivery agent) 로 프락메일을 사용하기 위 해 설정해야 한다. 환경설정은 /etc/sendmail.cf 파일을 점검한다.
Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, S=10/30, R=20/40,
A=procmail -Y -a $h -d $u
☞ 펄(perl)이 설치되어 있어야 한다.
☞ 첨부파일 스캔을 하기 위해서는 mimencode(메타메일 패키지에 있음)와 mktemp 를 설치해야 한다.
☞ 센드메일 릴레이(예를 들면 마이크로소프트 익스체인지 시스템이 인터넷에 직접 접속되는 것을 방지하기 위해) 에 sanitizer를 설치하고자 할 경우는 아래 사이트를 참조한다.
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-on-gateway.txt
ftp://kanon.net/pub/jhardin/antispam/procmail-on-gateway.txt
http://www.impsec.org/email-tools/procmail-on-gateway.txt
http://www.wolfenet.com/~jhardin/procmail-on-gateway.txt.gz
Top
□ 유닉스 계열, 리눅스, BSD 계열에서 설치
1. 소유자와 그룹이 루트인 /etc/procmail 디렉토리를 생성하고, 권한을 755( rwxr-xr-x)로 설정한다.
2. 소유자와 그룹이 루트이고 권한이 644(rw-r--r--)인 임의 디렉토리에 sanitizer 룰셋을 다운받아 저장한다.
3. 소유자와 그룹이 루트이고 권한이 644(rw-r--r--)로 설정된 /etc/procmailrc를 생성시키고, 아래의 내용을 입력한다.
# Uncomment the following line to troubleshoot problems
# VERBOSE=YES
DROPPRIVS=YES
LOGFILE=$HOME/procmail.log
PATH="/usr/bin:$PATH"
SHELL=/bin/sh
POISONED_EXECUTABLES=/etc/procmail/poisoned
SECURITY_NOTIFY="postmaster, security-dude"
SECURITY_NOTIFY_VERBOSE="virus-checker"
SECURITY_NOTIFY_SENDER=""
# or
SECURITY_NOTIFY_SENDER=/etc/procmail/local-email-security-policy.txt
# this file must already exist, with proper permissions (rw--w--w-):
SECURITY_QUARANTINE=/var/spool/mail/security
POISONED_SCORE=25
SCORE_HISTORY=/var/log/macro-scanner-scores
SECRET="CHANGE THIS"
# Finished setting up, now run the sanitizer...
INCLUDERC=/etc/procmail/html-trap.procmail
# Reset some things to avoid leaking info to
# the users...
POISONED_EXECUTABLES=
SECURITY_NOTIFY=
SECURITY_NOTIFY_VERBOSE=
SECURITY_NOTIFY_SENDER=
SECURITY_QUARANTINE=
SECRET=
이미 /etc/procmailrc파일이 있다면, INCLUDERC=/etc/procmail/html-trap.procmail 에 통합시키면 된다.
프락메일 초기설치나 센드메일서버에 sanitizer 설정시 발생하는 문제는 아래 사이트를 참조하시기 바랍니다. 이 문서에 대한 오류와 추가사항은 cert@certcc.or.kr로 연락주시기 바랍니다.
□ 참조사이트
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
http://www.ling.helsinki.fi/~reriksso/procmail/mini-faq.html
http://trade.chonbuk.ac.kr/~leesl/procmail/
http://pantheon.yale.edu/~jshin/faq/procmail.html
Top
출처 : http://www.certcc.or.kr/cvirc/Alert/54/procmail.html
현재 Navidad.exe라는 첨부파일을 가진 웜바이러스가 급속히 확산되고 있다. E-mail를 이용한 공격으로부터, 프락메일을 이용한 대응방법에 대해서 알아본다.
□ E-mail를 이용한 공격유형
▶ 액티브 컨텐츠 공격
▶ 버퍼오버플로우 공격
▶ 트로이쟌 공격
; 나비다드(navidad.exe) 바이러스의 경우 여기에 해당
▶ 셀 스크립트 공격
□ 필터링을 통한 E-mail 보안
▶ Procmail 은 메시지의 헤더와 본문에서 정의한 정보(필터)를 이용해서 적절한 조치(예를들면 삭제)를 취할 수 있는 기능을 제공한다. 앞에서 언급한 E-mail를 이 용한 공격유형에 대응할 수 있는 룰셋(sanitizer)은 아래 사이트에서 이용할 수 있다.
ftp://ftp.rubyriver.com/pub/jhardin/antispam/html-trap.procmail
ftp://kanon.net/pub/jhardin/antispam/html-trap.procmail
http://www.impsec.org/email-tools/html-trap.procmail.gz
http://www.wolfenet.com/~jhardin/html-trap.procmail.gz
기타 유용한 룰셋파일
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-sanitizer.tar.gz
ftp://kanon.net/pub/jhardin/antispam/procmail-sanitizer.tar.gz
http://www.impsec.org/email-tools/procmail-sanitizer.tar.gz
http://www.wolfenet.com/~jhardin/procmail-sanitizer.tar.gz
□ 프락메일에 sanitize 적용
모든 E-mail 사용자의 메일을 자동으로 점검하기 위한 적용방법
요구사항
☞ 메일을 프락메일로 운영하는 시스템이나 프락메일을 운영할 수 있는 시스템에서 받는다.
☞ 센드메일을 운영한다면 LDA(local delivery agent) 로 프락메일을 사용하기 위 해 설정해야 한다. 환경설정은 /etc/sendmail.cf 파일을 점검한다.
Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, S=10/30, R=20/40,
A=procmail -Y -a $h -d $u
☞ 펄(perl)이 설치되어 있어야 한다.
☞ 첨부파일 스캔을 하기 위해서는 mimencode(메타메일 패키지에 있음)와 mktemp 를 설치해야 한다.
☞ 센드메일 릴레이(예를 들면 마이크로소프트 익스체인지 시스템이 인터넷에 직접 접속되는 것을 방지하기 위해) 에 sanitizer를 설치하고자 할 경우는 아래 사이트를 참조한다.
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-on-gateway.txt
ftp://kanon.net/pub/jhardin/antispam/procmail-on-gateway.txt
http://www.impsec.org/email-tools/procmail-on-gateway.txt
http://www.wolfenet.com/~jhardin/procmail-on-gateway.txt.gz
Top
□ 유닉스 계열, 리눅스, BSD 계열에서 설치
1. 소유자와 그룹이 루트인 /etc/procmail 디렉토리를 생성하고, 권한을 755( rwxr-xr-x)로 설정한다.
2. 소유자와 그룹이 루트이고 권한이 644(rw-r--r--)인 임의 디렉토리에 sanitizer 룰셋을 다운받아 저장한다.
3. 소유자와 그룹이 루트이고 권한이 644(rw-r--r--)로 설정된 /etc/procmailrc를 생성시키고, 아래의 내용을 입력한다.
# Uncomment the following line to troubleshoot problems
# VERBOSE=YES
DROPPRIVS=YES
LOGFILE=$HOME/procmail.log
PATH="/usr/bin:$PATH"
SHELL=/bin/sh
POISONED_EXECUTABLES=/etc/procmail/poisoned
SECURITY_NOTIFY="postmaster, security-dude"
SECURITY_NOTIFY_VERBOSE="virus-checker"
SECURITY_NOTIFY_SENDER=""
# or
SECURITY_NOTIFY_SENDER=/etc/procmail/local-email-security-policy.txt
# this file must already exist, with proper permissions (rw--w--w-):
SECURITY_QUARANTINE=/var/spool/mail/security
POISONED_SCORE=25
SCORE_HISTORY=/var/log/macro-scanner-scores
SECRET="CHANGE THIS"
# Finished setting up, now run the sanitizer...
INCLUDERC=/etc/procmail/html-trap.procmail
# Reset some things to avoid leaking info to
# the users...
POISONED_EXECUTABLES=
SECURITY_NOTIFY=
SECURITY_NOTIFY_VERBOSE=
SECURITY_NOTIFY_SENDER=
SECURITY_QUARANTINE=
SECRET=
이미 /etc/procmailrc파일이 있다면, INCLUDERC=/etc/procmail/html-trap.procmail 에 통합시키면 된다.
프락메일 초기설치나 센드메일서버에 sanitizer 설정시 발생하는 문제는 아래 사이트를 참조하시기 바랍니다. 이 문서에 대한 오류와 추가사항은 cert@certcc.or.kr로 연락주시기 바랍니다.
□ 참조사이트
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
http://www.ling.helsinki.fi/~reriksso/procmail/mini-faq.html
http://trade.chonbuk.ac.kr/~leesl/procmail/
http://pantheon.yale.edu/~jshin/faq/procmail.html
Top
출처 : http://www.certcc.or.kr/cvirc/Alert/54/procmail.html
'StoreHouse > Server' 카테고리의 다른 글
| RedHat netstat 옵션 (0) | 2004.12.10 |
|---|---|
| RedHat 소빅F 샌드메일 필터링 (0) | 2004.12.10 |
| RedHat 센드메일 스팸필터링(procmail + byspam 이용) (0) | 2004.12.10 |
| RedHat 메일로 들어오는 바이러스 차단 AntiVir Milter (0) | 2004.12.10 |
| RedHat sendmail 의 access 파일 사용법 (0) | 2004.12.10 |