Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Все о MDaemon (#5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434

Открыть новую тему     Написать ответ в эту тему

ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Пожалуйста, постим кратко в первом посте ответы на наиболее часто задаваемые вопросы.
 
Версии  MDaemon, начиная с  17.05  до текущей от ALTN
Версии MDaemon от ССsoftware.ca, не все
FAQ по MDaemon (рус)
FAQ. Прежде чем спросить посмотри здесь! (рус)
Статьи из базы знаний по MDaemon, 528 штук (eng)
Закрытие релея на MDaemon
 
Mdaemon 10.x руководство пользователя (рус)
Mdaemon 11.x руководство пользователя (рус)  
Mdaemon 12.x руководство пользователя (рус)  
Mdaemon 13.x руководство пользователя (рус)
Mdaemon 14.x руководство пользователя (рус)
Mdaemon 15.x руководство пользователя (рус)
Mdaemon 22.x руководство пользователя (eng)
Mdaemon 23.x руководство пользователя (eng)
Mdaemon 23.x руководство пользователя (рус)
 
Робот автофильтрации хостов для Mdaemon - Описание  и принцип работы... (подробнее)
Файл скрининг хостов ipscreen.dat....
Очистка базы LDaemon, инструкция от ALTN
Установка Ldaemon на новые версии Mdaemon
Использовать учетные записи пользователей Active Directory определенного контейнера при создании учетных записей Mdaemon
 
Как установить почтовый сервер Mdaemon, инструкция от ALTN
Как перенести  Mdaemon  в другой каталог или на другой диск на другую машину, инструкция от ALTN
Как перенести  Mdaemon  в тот же каталог на новую машину или ОС, инструкция от ALTN
Как обновить версию Mdaemon с 32-bit на 64-bit инструкция от ALTN
Как понизить до предыдущей версии MDaemon, инструкция от ALTN
Как выполнить резервное копирование и восстановление MDaemon, инструкция от ALTN
Все статьи базы знаний Mdaemon от ALTN
 
Программа декодирования паролей Multipop под WinXP/W2K3, спасибо сэру r0dent
Та же Программа декодирования паролей Multipop под любую винду, спасибо сэру Lex05
Тоже самое для декодирования паролей Multipop под любую винду, но с графическим интерфейсом и выгрузкой в excel, спасибо сэру Shuum
 
За лекарствами в варёзник
Обсуждение в программах
 
Внимание !  DNSBL - relays.ordb.org перестал работать 31 декабря 2006 года. Уберите его из списков DNSBL!    
Внимание !  DNSBL - list.dsbl.org перестал работать c 21 мая 2008 года. Уберите его из списков DNSBL!  
Внимание !  DNSBL - dnsbl.njabl.org перестал работать c 1 марта 2013 года. Уберите его из списков DNSBL! Прочитать можно тут http://www.dnsbl.info/dnsbl-njabl-org.php  
 

Внимание !  Если у Вас Mdaemon установленный как сервис виснет при открытии - ОТКЛЮЧИТЕ DEP  
 

Предыдущие части темы: Часть 1 Часть 2

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 13:24 10-11-2010 | Исправлено: ipmanyak, 14:17 26-06-2023
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Этот скрин из 13.0.4, в 12.5.3 тоже должен быть  экпорт в LDAP, думаю что там же.
 

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:52 29-05-2020 | Исправлено: ipmanyak, 07:52 29-05-2020
kva49

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
в 12.5.3 тоже должен быть  экпорт в LDAP

Спасибо! Оказывается, я просто жёстко ступил

Всего записей: 68 | Зарегистр. 18-11-2010 | Отправлено: 10:07 29-05-2020
fly_indiz



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С некоторых порт MDaemon перестал принимать используя TLS
STARTTLS отсутствует в списке обозначиваемых mdaemon-ом возможностей в smtp-сессии, и на попытку этой команды отвечает: 454 4.7.0 TLS not available
 
В настройках Security - SSL & TLS - MDaemon - все галочки стоят.
 
ЧЯДНТ ?

 
Вопрос снят - сертификат сбросился.
 
Добавлено:
А можно ли как-то отключить реакцию на helo, оставив только EHLO ?

Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 21:41 01-06-2020 | Исправлено: fly_indiz, 21:55 01-06-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fly_indiz Отключение реакции на HELO имхо нет да и  не должно быть, так как есть  RFC 5321 4.1.1.1

Код:
Older client SMTP systems MAY, as discussed above,
   use HELO (as specified in RFC 821) instead of EHLO, and servers MUST
   support the HELO command and reply properly to it.    

 
То есть  серверы обязаны поддерживать команду HELO и правильно отвечать на нее.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 08:19 02-06-2020 | Исправлено: ipmanyak, 08:21 02-06-2020
fly_indiz



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Спасибо ))
жаль конечно
 
Ну вот нет допустим у меня желания получать почту от тех кто начинает с helo
99.9999% это спамер.
 
Сделал чуток иначе - добавил нахождение <-- helo в автоанализатор логов для fail2ban

Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 10:57 02-06-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fly_indiz Прямо из этой строки <--- helo  и берешь имя хоста для fail2ban?  Если да, то рискуешь занести нормальные почтовики, так как спамер в HELO/EHLO  может написать , что угодно. RFC не требует соответствия в HELO/EHLO  хоста твоему домену, там главное, чтобы имя  было зарегено в Инете и всё. Пиши, что хочешь - 3com.com, microsoft.com и так далее. Можно даже любой IP писать в квадратных скобках.  
 

Код:
 
RFC 2821 4.3.1 или  RFC 5321  2.3.5    
 
   -  The domain name given in the EHLO command MUST BE either a primary
      host name (a domain name that resolves to an A RR) or, if the host
      has no name, an address literal as described in section 4.1.1.1.  



----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 16:27 02-06-2020
fly_indiz



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
нет конечно, не из этой строки.
анализашка логов ищет начала сессии, ip откуда пришел коннект, далее - анализ содержимого сессии.

Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 19:12 02-06-2020 | Исправлено: fly_indiz, 19:13 02-06-2020
f0rt



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не нашел как...
подскажите как демону объяснить, что бы не пропускал .exe и прочие запрещенные расширения в архивах типа .gz, .arj, .001 и т.д.
 
так же качество баз clamav не высокое, кто-то сторонние базы использует?


----------
все перепутал правильно

Всего записей: 609 | Зарегистр. 17-04-2002 | Отправлено: 19:30 03-06-2020
fly_indiz



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
f0rt
вроде бы контент-фильтр, аттачментс... если не ошибаюсь

Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 19:46 03-06-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
f0rt Когда HELP прочтешь хотя бы 1 раз? Там всё расписано.
http://help.altn.com/mdaemon/ru/index.html?cf_attachments.htm
В zip и rar будет проверять, в других хз.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 20:29 03-06-2020
f0rt



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak

Цитата:
Когда HELP прочтешь хотя бы 1 раз?

HELP я читал. а если ты еще раз прочитаешь мое сообщение и подумаешь над содержанием, то заметишь, что в нем НЕТ упоминания про .zip и .rar, а прямо указываются интересующие меня расширения архивов, тогда следующая твоя фраза станет бессмысленной.

Цитата:
Там всё расписано.
приведи пример, что там ВСЁ расписано?
 
fly_indiz
а на что настроить контент фильтр? что искать если .exe внутри архива?
 
судя по тому, как мне жалуются - письмо, в котором архив, например .gz или .001 и файл с расширением .exe, .scr (как правило неизвестный вирус) - такие письма легко проходят этот почтовик. что для меня неожиданно.
я так понимаю надо запретить либо все расширения, кроме .zip и .rar либо через внешнюю программу типа 7-zip заниматься анализом вложений... или как-то clamav попросить это делать.


----------
все перепутал правильно

Всего записей: 609 | Зарегистр. 17-04-2002 | Отправлено: 22:28 03-06-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
f0rt

Цитата:
такие письма легко проходят этот почтовик

потому, что универсальных кодов разархиватора нет, чтобы работал с чем угодно.  
есть какой то набор, с которым почтовик умеет работать
https://lists.altn.com/WebX/.598627fd

Цитата:
Currently, the Restricted Attachments feature in MDaemon only supports the extraction of ZIP and 7z compressed files. However, there is a request on our wish list for this feature to support extraction for several other types of compressed files.
 
The Cyren AV engine that is used by SecurityPlus supports the scanning of several types of compressed files, such as ZIP, 7z, RAR, TAR, Gzip, etc.

 
судя же по скрину, то поддерживает только rar и zip
   
 

Цитата:
я так понимаю надо запретить либо все расширения

да, ибо за всеми форматами не уследите (и нужно же еще чем то нестандартные открывать у получателя, чтобы заразиться).
 
а можно, в случае наличия аттачмента, добавлять в письмо строку с предупреждением пользователя о запуске неизвестных файлов.
 
или писать свой анализатор, учитывая что в фильтрах есть возможности

Цитата:
Run Process… — (Запустить процесс) Это действие может быть использовано для выполнения некоторой программы, если сообщение отвечает условиям правила. Вы должны задать путь к программе, которую хотите выполнить. Вы можете использовать макроподстановку $MESSAGEFILENAME$ для передачи имени сообщения в этот процесс, а также можете указать, должен ли MDaemon приостанавливать свою работу временно или на неопределенное время, дожидаясь завершения процесса. Более того, вы можете принудительно завершить процесс и/или выполнять его в скрытом окне.
 
If the EXIT CODE from a previous run process is equal to — Если предыдущее правило в вашем списке использует действие «Run process», то вы можете применить это условие для поиска определенного кода выхода, сгенерированного этим процессом.

 
он может быть и сценарием Windows или на любом скриптовом языке (Python, Perl и так далее)
 
для питона - https://github.com/ahupp/python-magic (ну или по расширению), а потом, в зависимости от типа архиватора, использовать свой разархиватор для получения списка файлов и анализа расширений.

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 01:05 04-06-2020 | Исправлено: Mavrikii, 01:20 04-06-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
f0rt
>и прочие запрещенные расширения в архивах типа .gz, .arj, .001 и т.д.
а сокращение т.д. ,  видимо  zip и rar  именно исключает, а не подразумевает ?!  
   


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 08:01 04-06-2020
f0rt



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а сокращение т.д. ,  видимо  zip и rar  именно исключает, а не подразумевает ?!  

если тебе так интересно поговорить об очевидных вещах - в следующий раз, для тебя, буду тщательнее разжевывать.
 
Mavrikii

Цитата:
потому, что универсальных кодов разархиватора нет, чтобы работал с чем угодно.  

а как же разархиваторы 7-zip, unrar? поддерживают кучу форматов, достаточно универсальны и, наверное, широко распространены.  

Цитата:
https://lists.altn.com/WebX/.598627fd

сообщение слишком старое и ошибочное или опечатка... Restricted Attachments не поддерживает формат 7-zip.  
в любом случае понятно - имеем то что имеем, проверяется только zip и rar.

Цитата:
а можно, в случае наличия аттачмента, добавлять в письмо строку с предупреждением пользователя о запуске неизвестных файлов.

только вот .exe или другое исполняемое может пролезть, а вниманию пользователя, по определению, доверять не следует.

Цитата:
писать свой анализатор

мне не нравится что на каждое обрабатываемое письмо будет создаваться свой процесс, нагружая систему... при том что средства заглядывания в аттачменты уже есть - тот-же clamav.
про качество антивирусных баз: сегодня сообщили, что прошел такой .xlsx:
https://www.virustotal.com/gui/file/0d26e6462ea23b197cf331221a3b02803574b711ac01942f649a7445d35f26f6/detection
 
склоняюсь к тому, что бы советовать запретить хождение всех типов аттачментов, кроме списка разрешенных и как-то сменить антивирус.  
как подключить другой антивирус?


----------
все перепутал правильно

Всего записей: 609 | Зарегистр. 17-04-2002 | Отправлено: 11:01 04-06-2020 | Исправлено: f0rt, 11:01 04-06-2020
AlexsandrSE

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
про качество антивирусных баз: сегодня сообщили, что прошел такой .xlsx:

Судя по всему это свежий вирус и антивирусы еще не обновились. К сожалению антивирусы реагировать начинают только через некоторое время после массового распространения вируса (как правило 1-3 дня). Т.е. рассчитывать на антивирус как на абсолют не приходится вообще. А если кто-=то напишет свой макрос, только определенному получателю, то ни один антивирус не сработает. Только защита непосредственно офиса может ругнуться.

Всего записей: 721 | Зарегистр. 30-01-2015 | Отправлено: 11:09 04-06-2020
f0rt



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Судя по всему это свежий вирус и антивирусы еще не обновились.

если я правильно понимаю надпись Exploit.CVE-2017-11882.Gen, то уязвимость 2017 года. нет?

----------
все перепутал правильно

Всего записей: 609 | Зарегистр. 17-04-2002 | Отправлено: 11:44 04-06-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
f0rt

Цитата:
достаточно универсальны и, наверное, широко распространены

И? Это почтовик, с другими задачами. К тому же, они не могут просто так взять чужое и использовать.
Ну и, опять же, для редких расширений у пользователя должен быть установлена программа для открытия. Поэтому, вирусы рассылаются в распространенных форматах. А если это делается намеренно, то за всеми возможными вариантами просто не уследить.
 

Цитата:
мне не нравится что на каждое обрабатываемое письмо будет создаваться свой процесс, нагружая систему

Глупость. Сколько сообщений в секунду обрабатывается? Да и вызывать можно только в случае присоединенных файлов. К тому же, скрипт не будет делать ничего сложного и будет выполняться доли секунды.
 

Цитата:
про качество антивирусных баз: сегодня сообщили,

Я же вам говорю - универсальных средств не бывает.
 

Цитата:
как подключить другой антивирус?

Аналогично тому, что написал. Вызов его через cli, но если антивирь не поймет почтовый формат - вытаскивать аттачмент придется вашему скрипту.

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 11:47 04-06-2020 | Исправлено: Mavrikii, 11:48 04-06-2020
f0rt



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii

Цитата:
Я же вам говорю - универсальных средств не бывает.

согласен. не будем спорить дальше.
 
пока сделал так
архивы 7z, gz, bz, arj, tar, cab, rar, zip, xz
типы файлов bat, cmd, exe, cpl, hta, scr, vbs, vbe, pif
в clamav добавил базу, по типу foxhole, изменил/дополнил своими правилами по аналогии:

Код:
Sanesecurity.Foxhole.7z_cmd:CL_TYPE_7Z:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:*
Sanesecurity.Foxhole.7z_exe:CL_TYPE_7Z:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*
 

теперь этот небольшой список исполняемых файлов в архивах блочится на этапе SMTP сессии
 


----------
все перепутал правильно

Всего записей: 609 | Зарегистр. 17-04-2002 | Отправлено: 02:26 05-06-2020
AlexsandrSE

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
в clamav добавил базу, по типу foxhole, изменил/дополнил своими правилами по аналогии:

Можно разжевать для тех кто в танке что и где прописывать? Я всегда за лучшую защиту.

Всего записей: 721 | Зарегистр. 30-01-2015 | Отправлено: 11:33 05-06-2020
f0rt



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
создаете файл SecurityPlus\ClamAVPlugin\data\foxhole_my.cdb с таким содержанием:
foxhole_my.cdb
и перезапустите демона
 
так же дополнения к clamav от sanesecurity.net скачать тут:
rsync://rsync.sanesecurity.net/sanesecurity/
бесплатные и платные базы от https://www.securiteinfo.com/ но там нужна регистрация, я их не видел.
скрипт, который соберет много всяких баз:
https://github.com/extremeshok/clamav-unofficial-sigs
 
все ПОДКЛЮЧАТЬ не надо, сначала разберитесь и почитайте readme.txt


----------
все перепутал правильно

Всего записей: 609 | Зарегистр. 17-04-2002 | Отправлено: 12:06 05-06-2020 | Исправлено: f0rt, 12:07 05-06-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Все о MDaemon (#5)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru