Modifications entre les versions 6 et 7
Version 6 à la date du 2016-09-30 17:18:29
Taille: 434
Éditeur: MoussaNombre
Commentaire:
Version 7 à la date du 2016-11-09 17:15:23
Taille: 2407
Éditeur: CalinDordia
Commentaire: propostion du script a utiliser sur nos serveurs de mail
Texte supprimé. Texte ajouté.
Ligne 14: Ligne 14:
== Contexte ==
 * Même avec les filtres successives anti-virus des messages vérolés arrivent dans les boites aux lettres (BAL) des utilisateurs (surtout dans le répertoire des Indesirables). Les virus circulent dans la nature avant que le vaccin ne soit créé ! C'est pour cela que les antivirus ne sont totalement efficaces, en particulier sur des virus day-0. Il faut donc refaire du nettoyage a posteriori dans les messages. Pour cela nous faut in script qui effectue des scans periodiques des BAL en vue d’éliminer les virus restant.

== Solution ==
 * Le script propose un scan periodique (hebdomadaire) des BAL en vue d’éliminer les virus restant qui, pour certaines raisons, n’ont pas étés détectes à l’arrivée.
 * Pour éviter le chargement inutile du serveur par un scan complet des anciens messages (parfois les BAL des utilisateurs ont des dizaines de GO) le script exécute un premier scan complet et après il vérifie seulement les messages de derniers 2 mois.
 * Le repère du premier scan est le fichier log du premier scan /var/log/clamav/premier_mailscan_$domain_$BAL. En présence de ce fichier, le script vérifiera seulement les messages de derniers 60 jours.
 * Les messages vérolées sont stockées temporairement (15 jours) dans la BAL de l’utilisateur, dans le répertoire .VirusMail. Ils seront visibles par l’utilisateur, mais sans option d’exécution pour identifier les faux positifs (comme le cas récent des fichiers .odt qui ont été rapportés par ClamAV vérolés avec Win.Exploit.CVE_2016_3316-1 ).
 * Pour le bon fonctionnement du script le service de boîte aux lettres doit être configuré selon les normes recommandées ([[Dovecot|Dovecot]]). Pour des configurations différentes il faudra adapter les paramètres du script.
 * Le script proposé est disponible : https://github.com/calindordea/mailscan
 * Pour une exécution systématique on peut l'enregistrer dans /etc/cron.weekly

Sommaire

  1. Amélioration sécurité de la messagerie: s'assurer que des courriels vérolés ne restent pas dans les boîtes à courriels des usagers
    1. Ressources
    2. Objectifs
    3. Contexte
    4. Solution

Amélioration sécurité de la messagerie: s'assurer que des courriels vérolés ne restent pas dans les boîtes à courriels des usagers

Ressources

  • CalinDordia : pilotage

  • RTR, RTL : Adaptation des systèmes locaux

Objectifs

  • ne plus avoir de courriel vérolés dans les boîtes à courriels

Contexte

  • Même avec les filtres successives anti-virus des messages vérolés arrivent dans les boites aux lettres (BAL) des utilisateurs (surtout dans le répertoire des Indesirables). Les virus circulent dans la nature avant que le vaccin ne soit créé ! C'est pour cela que les antivirus ne sont totalement efficaces, en particulier sur des virus day-0. Il faut donc refaire du nettoyage a posteriori dans les messages. Pour cela nous faut in script qui effectue des scans periodiques des BAL en vue d’éliminer les virus restant.

Solution

  • Le script propose un scan periodique (hebdomadaire) des BAL en vue d’éliminer les virus restant qui, pour certaines raisons, n’ont pas étés détectes à l’arrivée.
  • Pour éviter le chargement inutile du serveur par un scan complet des anciens messages (parfois les BAL des utilisateurs ont des dizaines de GO) le script exécute un premier scan complet et après il vérifie seulement les messages de derniers 2 mois.
  • Le repère du premier scan est le fichier log du premier scan /var/log/clamav/premier_mailscan_$domain_$BAL. En présence de ce fichier, le script vérifiera seulement les messages de derniers 60 jours.

  • Les messages vérolées sont stockées temporairement (15 jours) dans la BAL de l’utilisateur, dans le répertoire .VirusMail. Ils seront visibles par l’utilisateur, mais sans option d’exécution pour identifier les faux positifs (comme le cas récent des fichiers .odt qui ont été rapportés par ClamAV vérolés avec Win.Exploit.CVE_2016_3316-1 ).

  • Pour le bon fonctionnement du script le service de boîte aux lettres doit être configuré selon les normes recommandées (Dovecot). Pour des configurations différentes il faudra adapter les paramètres du script.

  • Le script proposé est disponible : https://github.com/calindordea/mailscan

  • Pour une exécution systématique on peut l'enregistrer dans /etc/cron.weekly

AméliorationSécuritéSeptembre2016/MessagerieAntivirus (dernière édition le 2016-12-06 17:28:36 par CalinDordia)