Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Todos los comentarios sobre redes y servidores en linux y su interacción con otros sistemas operativos.

Moderadores: doc, Kde_Tony, ps-ax

Responder
perro006
Forista Nuevo
Forista Nuevo
Mensajes: 21
Registrado: Jue Oct 07, 2010 9:43 pm

Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por perro006 »

hola amigos del foro dado mi baja experiencia me a llevado a preguntar de nunevo

pasa lo siguiente cada ves que mandan siertos archivos adjuntos llega este mensaje en un archivo .txt es lo sigueinte:


Este es un mensaje del Servicio de Protección de Virus para Correo
Electrónico MailScanner
----------------------------------------------------------------------
El archivo anexado original "CONCILIACI%D2N.S.rar"
está en la lista de anexos inaceptables para este sitio y el mismo
ha sido reemplazado por este mensaje de aviso.

Si desea recibir una copia del archivo anexado original, por favor
envíe un correo electrónico al departamento de soporte incluyendo
este mensaje. Alternativamente, puede llamar a dicho departamento,
teniendo el contenido de este mensaje a mano.

El Mon Oct 18 10:55:49 2010 el analizador de virus dijo:
MailScanner: Attempt to hide real filename extension (CONCILIACI%D2N.S.rar)


Nota para el departamento de soporte: Revisar en the Bramell (serbramell.bramel.cl) MailScanner en
/var/spool/MailScanner/quarantine/20101018 (mensaje 4767B5C0887.A1EA0).

el cual entro a la direccion y no entiendo nada, e llegado a pensar que puede ser una regla o una actualizacion, sobre la actualizacion encontre esto en internet

http://www2.linuxparatodos.net/web/comu ... eUtilizara

el cual saco cierto trozo

de clic en la seccion de “downloads”, esto lo conducira a otra pagina. Descargue el paquete diseñado para entornos Red Hat , Centos o Fedora. Descomprime el fichero recién descargado, y cambiate a la carpeta recién creada:

[BASH]#. tar -xzvf MailScanner-4.75.11-1.rpm.tar.gz
[BASH]#. cd MailScanner-4.75.11-1/

Por ultimo ejecutaremos el script que se encargara del proceso de instalacion

[BASH]#./install.sh


pero no se si esto hay que hacerlo en la ruta

/etc/MailScanner

o en otra , se me olvodaba no e echo nunca una actualizacion, y esta instalado los siguientes programas MailScanner, spamassassin y postgrey y postfix y no se para ver las verciones instaladas y que hacerpara solucionar este problema ya que mi experiencia es casi nula, por favor necesito orientacion, por que incluso algunos correos que quieren entrar desde afuera tampoco entran de todas maneras me estoy consiguiendo el revote a ver que dice, gracias de antemano y espero que me puedan ayudar saludos.

Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Hereter »

Hola, mira me parece que lo que te esta pasando es que MailScanner lo reconoce como un archivo de doble extension, CONCILIACI%D2N.S.rar por el .S.rar, esto por lo general no esta permitido por default en la configuracion de MailScanner y la ruta que te da /var/spool/MailScanner/quarantine/20101018 es correcta, yo para estos casos uso el Winscp (es como un Comandante Norton que te permite explorar desde un windows hacia un linux y copiar archivos) para extraer este archivo de la cuarentena, cambiarle la doble extension y volver a enviarlo. Despues me fijo bien donde esta la regla de la doble extension de archivo y te completo un poco mas el tema, Saludos.

perro006
Forista Nuevo
Forista Nuevo
Mensajes: 21
Registrado: Jue Oct 07, 2010 9:43 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por perro006 »

Hereter escribió:Hola, mira me parece que lo que te esta pasando es que MailScanner lo reconoce como un archivo de doble extension, CONCILIACI%D2N.S.rar por el .S.rar, esto por lo general no esta permitido por default en la configuracion de MailScanner y la ruta que te da /var/spool/MailScanner/quarantine/20101018 es correcta, yo para estos casos uso el Winscp (es como un Comandante Norton que te permite explorar desde un windows hacia un linux y copiar archivos) para extraer este archivo de la cuarentena, cambiarle la doble extension y volver a enviarlo. Despues me fijo bien donde esta la regla de la doble extension de archivo y te completo un poco mas el tema, Saludos.


muchas gracias por responder, esperare tu complemento de respuesta..saludos

Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Hereter »

bueno dale, ayer estuve a full y no hice a tiempo, hoy me hago un rato y lo completo.

perro006
Forista Nuevo
Forista Nuevo
Mensajes: 21
Registrado: Jue Oct 07, 2010 9:43 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por perro006 »

Hereter escribió:Hola, mira me parece que lo que te esta pasando es que MailScanner lo reconoce como un archivo de doble extension, CONCILIACI%D2N.S.rar por el .S.rar, esto por lo general no esta permitido por default en la configuracion de MailScanner y la ruta que te da /var/spool/MailScanner/quarantine/20101018 es correcta, yo para estos casos uso el Winscp (es como un Comandante Norton que te permite explorar desde un windows hacia un linux y copiar archivos) para extraer este archivo de la cuarentena, cambiarle la doble extension y volver a enviarlo. Despues me fijo bien donde esta la regla de la doble extension de archivo y te completo un poco mas el tema, Saludos.

y si son extensiones comunes, por ejemplo .xls .xlsx .doc. .docx ppt. pptx pdf, rar los típicos. Mas que ir a buscarlos yo (dejármelos en mi PC), lo ideal sería dejar que lleguen al destino, porque, más que nada para que no viaje a alguna sucursal a dejar un archivo X y después devolverme, estoy 99% seguro que todos los usuarios ocupan Windows para descargar correos, mmm como dije antes espero tu respuesta y espero que estés bien, saludos

Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Kde_Tony »

en mailscanner.conf existe la opcion para que no los scanee por el antivirus, deberias comentarla (no recomendable)
No te puedo dar mas detalle, ya llevo buen tiempo sin tocar uno

Sls
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------

Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Hereter »

hola, mira lo estuve mirando y me parece que esta por aca cerca:

en el MailScanner.conf hay una parte que hace referencia a los adjuntos.
asi es como esta configurado en el servidor de aca, es un poco largo.



# Attachment Filename Checking
# ----------------------------
#

# There are now 2 sets of configurations for filename and filetype checking.
# One set applies to files found within attachments which are archives,
# their names start with "Archives:".
# The other set of configuration options applies to normal attachments,
# their names do *not* start with "Archives:".

# What sort of attachments are considered to be archives?
# You may well consider, for example, zip and rar files to be archives, but
# maybe TNEF files to not be archives as they are really just another way
# of supplying attachments that is only used by Microsoft Exchange and Outlook.
# This is a space-separated list of the types which are treated as archives.
# Valid keywords within this are:
# zip -- Zip files and Microsoft Office 2007 documents
# rar -- Rar archives
# uu -- UU-encoded files
# ole -- Microsoft ".doc" and ".xls" and ".ppt" files
# tnef -- "winmail.dat" files created by Microsoft Exchange or Outlook
Archives Are = zip rar ole

# To simplify web-based configuration systems, there are now two extra
# settings here. They are both intended for use with normal rulesets
# that you would expect to find in %rules-dir%. The first gives a list
# of patterns to match against the attachment filenames, and a filename
# is allowed if it matches any of these patterns. The second gives the
# the equivalent list for patterns that are used to deny filenames.
# If either of these match at all, then filename.rules.conf is ignored
# for that filename.
# So you can easily have a set like this:
# Allow Filenames = \.txt$ \.pdf$
# Deny Filenames = \.com$ \.exe$ \.cpl$ \.pif$
# which is a lot simpler than having to handle filename.rules.conf!
# It is far simpler when you want to change the allowed+denied list for
# different domains/addresses, as you can use the filename of a simple
# ruleset here instead.
# NOTE: The filename and filetype rules are separate, so if you want to
# allow executable *.exe files you will need at least
# Allow Filenames = \.exe$
# Allow Filetypes = executable
# to make it pass both tests. If either test denies the attachment
# then it will be blocked.

# Allow any attachment filenames matching any of the patterns listed here.

# If this setting is empty, it is ignored and no matches are made.
# This can also be the filename of a ruleset.
Allow Filenames =

# Deny any attachment filenames matching any of the patterns listed here.
# If this setting is empty, it is ignored and no matches are made.
# This can also be the filename of a ruleset.
Deny Filenames =

#
# Set where to find the attachment filename ruleset.
# The structure of this file is explained elsewhere, but it is used to
# accept or reject file attachments based on their name, regardless of
# whether they are infected or not.
#
# This can also point to a ruleset, but the ruleset filename must end in
# ".rules" so that MailScanner can determine if the filename given is
# a ruleset or not!
Filename Rules = %etc-dir%/filename.rules.conf

# To simplify web-based configuration systems, there are now two extra
# settings here. They are both intended for use with normal rulesets
# that you would expect to find in %rules-dir%. The first gives a list
# of patterns to match against the attachment filetypes, and a filetype
# is allowed if it matches any of these patterns. The second gives the
# the equivalent list for patterns that are used to deny filetypes.
# If either of these match at all, then filetype.rules.conf is ignored
# for that filetype.
# So you can easily have a set like this:
# Allow Filetypes = script postscript
# Deny Filetypes = executable MPEG
# Allow MIME Filetypes = text/plain text/html
# Deny MIME Filetypes = dosexec
# which is a lot simpler than having to handle filetype.rules.conf!
# It is far simpler when you want to change the allowed+denied list for
# different domains/addresses, as you can use the filetype of a simple
# ruleset here instead.

# Allow any attachment filetypes matching any of the patterns listed here.
# If this setting is empty, it is ignored and no matches are made.
# This can also be the filetype of a ruleset.
Allow Filetypes =

# Allow any attachment MIME types matching any of the patterns listed here.
# If this setting is empty, it is ignored and no matches are made.
# This can also be the filetype of a ruleset.
# If this setting is empty, it is ignored and no matches are made.
# This can also be the filetype of a ruleset.
Allow Filetypes =

# Allow any attachment MIME types matching any of the patterns listed here.
# If this setting is empty, it is ignored and no matches are made.
# This can also be the filetype of a ruleset.
Allow File MIME Types =

# Deny any attachment filetypes matching any of the patterns listed here.
# If this setting is empty, it is ignored and no matches are made.
# This can also be the filetype of a ruleset.
Deny Filetypes =

# Deny any attachment MIME types matching any of the patterns listed here.
# If this setting is empty, it is ignored and no matches are made.
# This can also be the filetype of a ruleset.
Deny File MIME Types =

# Set where to find the attachment filetype ruleset.
# The structure of this file is explained elsewhere, but it is used to
# accept or reject file attachments based on their content as determined
# by the "file" command, regardless of whether they are infected or not.
#
# This can also point to a ruleset, but the ruleset filename must end in
# ".rules" so that MailScanner can determine if the filename given is
# a ruleset or not!
#
# To disable this feature, set this to just "Filetype Rules =" or setFiletype Rules = %etc-dir%/filetype.rules.conf

# These are the equivalent of the settings above, except they apply to
# files which are contained within "archives", as defined by the
# "Archives Are" setting at the top of this section.
# They can all be rulesets.
Archives: Allow Filenames =
Archives: Deny Filenames =
Archives: Filename Rules = %etc-dir%/archives.filename.rules.conf
Archives: Allow Filetypes =
Archives: Allow File MIME Types =
Archives: Deny Filetypes =
Archives: Deny File MIME Types =
Archives: Filetype Rules = %etc-dir%/archives.filetype.rules.conf

#########################################################################
basicamente permite todo (lo mire de pasada) y hace referencia mas que nada a los archivos archives.filetype.rules.conf y archives.filename.rules.conf que vendrian a ser las reglas de filtrado
que en este servidor estan asi:
este es el archives filenames, si te fijas abajo de todo hace referencia a la doble extension de archivos.
#########################################################################
#
# NOTE: Fields are separated by TAB characters --- Important!
#
# Syntax is allow/deny/deny+delete/email-addresses, then regular expression,
# then log text, then user report text.
#
# The "email-addresses" can be a space or comma-separated list of email
# addresses. If the rule hits, the message will be sent to these address(es)
# instead of the original recipients.

# Due to a bug in Outlook Express, you can make the 2nd from last extension
# be what is used to run the file. So very long filenames must be denied,
# regardless of the final extension.
deny .{150,} Very long filename, possible OE attack Very long filenames are good signs of attacks against Microsoft e-mail packages

# JKF 10/08/2007 Adobe Acrobat nastiness
deny \.fdf$ Dangerous Adobe Acrobat data-file Opening this file can cause auto-loading of any file from the internet

# JKF 04/01/2005 More Microsoft security vulnerabilities
deny \.ico$ Windows icon file security vulnerability Possible buffer overflow in Windows
deny \.ani$ Windows animated cursor file security vulnerability Possible buffer overflow in Windows
deny \.cur$ Windows cursor file security vulnerability Possible buffer overflow in Windows
#deny \.hlp$ Windows help file security vulnerability Possible buffer overflow in Windows

# These 4 are well known viruses.
deny pretty\s+park\.exe$ "Pretty Park" virus "Pretty Park" virus
deny happy99\.exe$ "Happy" virus "Happy" virus
deny \.ceo$ WinEvar virus attachment Often used by the WinEvar virus
deny webpage\.rar$ I-Worm.Yanker virus attachment Often used by the I-Worm.Yanker virus

# JKF 08/07/2005 Several virus scanners may miss this one
deny \.cab$ Possible malicious Microsoft cabinet file Cabinet files may hide viruses

# These are in the archives which are Microsoft Office 2007 files (e.g. docx)
allow \.xml\d*\.rel$ - -
allow \.x\d+\.rel$ - -
allow \.rtf$ - -

# These are known to be mostly harmless.
allow \.jpg$ - -
allow \.gif$ - -
# .url is arguably dangerous, but I can't just ban it...
allow \.url$ - -
allow \.vcf$ - -
allow \.txt$ - -
allow \.zip$ - -
allow \.t?gz$ - -
allow \.bz2$ - -
allow \.Z$ - -
allow \.rpm$ - -
# PGP and GPG
allow \.gpg$ - -
allow \.pgp$ - -
allow \.sig$ - -
allow \.asc$ - -
# Macintosh archives
allow \.hqx$ - -
allow \.sit.bin$ - -
allow \.sea$ - -

# These are known to be dangerous in almost all cases.
deny \.reg$ Possible Windows registry attack Windows registry entries are very dangerous in email
deny \.chm$ Possible compiled Help file-based virus Compiled help files are very dangerous in email
# See http://office.microsoft.com/2000/articl ... secFAQ.htm for more info.
deny \.cnf$ Possible SpeedDial attack SpeedDials are very dangerous in email
deny \.hta$ Possible Microsoft HTML archive attack HTML archives are very dangerous in email
deny \.ins$ Possible Microsoft Internet Comm. Settings attack Windows Internet Settings are dangerous in email
deny \.jse?$ Possible Microsoft JScript attack JScript Scripts are dangerous in email
deny \.job$ Possible Microsoft Task Scheduler attack Task Scheduler requests are dangerous in email
deny \.lnk$ Possible Eudora *.lnk security hole attack Eudora *.lnk security hole attack
deny \.ma[dfgmqrstvw]$ Possible Microsoft Access Shortcut attack Microsoft Access Shortcuts are dangerous in email
deny \.pif$ Possible MS-Dos program shortcut attack Shortcuts to MS-Dos programs are very dangerous in email
deny \.scf$ Possible Windows Explorer Command attack Windows Explorer Commands are dangerous in email
deny \.sct$ Possible Microsoft Windows Script Component attack Windows Script Components are dangerous in email
deny \.shb$ Possible document shortcut attack Shortcuts Into Documents are very dangerous in email
deny \.shs$ Possible Shell Scrap Object attack Shell Scrap Objects are very dangerous in email
deny \.vb[es]$ Possible Microsoft Visual Basic script attack Visual Basic Scripts are dangerous in email
deny \.ws[cfh]$ Possible Microsoft Windows Script Host attack Windows Script Host files are dangerous in email
deny \.xnk$ Possible Microsoft Exchange Shortcut attack Microsoft Exchange Shortcuts are dangerous in email

# These are new dangerous attachment types according to Microsoft in
# http://support.microsoft.com/?kbid=883260
deny \.cer$ Dangerous Security Certificate (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.its$ Dangerous Internet Document Set (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.mau$ Dangerous attachment type (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.md[az]$ Dangerous attachment type (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.prf$ Dangerous Outlook Profile Settings (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.pst$ Dangerous Office Data File (according to Microsoft) Dangerous attachment according to Microsoft Q883260
#deny \.tmp$ Dangerous Temporary File (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.vsmacros$ Dangerous Visual Studio Macros (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.vs[stw]$ Dangerous attachment type (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.ws$ Dangerous Windows Script (according to Microsoft) Dangerous attachment according to Microsoft Q883260


# These 2 added by popular demand - Very often used by viruses
deny \.com$ Windows/DOS Executable Executable DOS/Windows programs are dangerous in email
deny \.exe$ Windows/DOS Executable Executable DOS/Windows programs are dangerous in email

# These are very dangerous and have been used to hide viruses
deny \.scr$ Possible virus hidden in a screensaver Windows Screensavers are often used to hide viruses
deny \.bat$ Possible malicious batch file script Batch files are often malicious
deny \.cmd$ Possible malicious batch file script Batch files are often malicious
deny \.cpl$ Possible malicious control panel item Control panel items are often used to hide viruses
deny \.mhtml$ Possible Eudora meta-refresh attack MHTML files can be used in an attack against Eudora

# Deny filenames containing CLSID's
deny \{[a-hA-H0-9-]{25,}\} Filename trying to hide its real type Files containing CLSID's are trying to hide their real type

# Deny filenames with lots of contiguous white space in them.
deny \s{10,} Filename contains lots of white space A long gap in a name is often used to hide part of it

# Allow repeated file extension, e.g. blah.zip.zip
allow (\.[a-z0-9]{3})\1$ - -

# Allow days of the week and months in doc names, e.g. blah.wed.doc
allow \.(mon|tue|wed|thu|fri|sat|sun)\.[a-z0-9]{3}$ - -
allow \.(jan|feb|mar|apr|may|jun|june|jul|july|aug|sep|sept|oct|nov|dec)\.[a-z0-9]{3}$ - -
##########################################################################################
#Aca abajo hace referencia a la doble extension
##########################################################################################

# Deny all other double file extensions. This catches any hidden filenames.
deny \.[a-z][a-z0-9]{2,3}\s*\.[a-z0-9]{3}$ Found possible filename hiding Attempt to hide real filename extension

#########################################################################################
este es el mensaje que posteaste mas arriba y aparece esa linea:

Este es un mensaje del Servicio de Protección de Virus para Correo
Electrónico MailScanner
----------------------------------------------------------------------
El archivo anexado original "CONCILIACI%D2N.S.rar"
está en la lista de anexos inaceptables para este sitio y el mismo
ha sido reemplazado por este mensaje de aviso.

Si desea recibir una copia del archivo anexado original, por favor
envíe un correo electrónico al departamento de soporte incluyendo
este mensaje. Alternativamente, puede llamar a dicho departamento,
teniendo el contenido de este mensaje a mano.

El Mon Oct 18 10:55:49 2010 el analizador de virus dijo:
MailScanner: Attempt to hide real filename extension (CONCILIACI%D2N.S.rar)

###########################################################################################



##########################################################################################
y este es el filetype.rules.conf
##########################################################################################


# NOTE: Fields are separated by TAB characters --- Important!
#
# Syntax is allow/deny/deny+delete/email-addresses, then regular expression,
# then log text, then user report text.
#
# The "email-addresses" can be a space or comma-separated list of email
# addresses. If the rule hits, the message will be sent to these address(es)
# instead of the original recipients.
#
# If none of the rules match, then the filetype is allowed.
#
# An optional fifth field can also be added before the "log text", which
# makes the checked text check against the MIME type of the attachment
# as determined by the output of the "file -i" command.

allow text - -
allow \bscript - -
allow archive - -
allow postscript - -
deny self-extract No self-extracting archives No self-extracting archives allowed
deny executable No executables No programs allowed
#EXAMPLE: deny - x-dosexec No DOS executables No DOS programs allowed
deny ELF No executables No programs allowed
deny Registry No Windows Registry entries No Windows Registry files allowed

#deny MPEG No MPEG movies No MPEG movies allowed
#deny AVI No AVI movies No AVI movies allowed
#deny MNG No MNG/PNG movies No MNG movies allowed
#deny QuickTime No QuickTime movies No QuickTime movies allowed
#deny ASF No Windows media No Windows media files allowed
#deny metafont No Windows Metafont drawings No WMF drawings allowed




Bueno, espero que te sirva, esta configuracion esta en produccion hace rato y anda bien, pero no se permite el envio de archivos con doble extension. Saludos.

perro006
Forista Nuevo
Forista Nuevo
Mensajes: 21
Registrado: Jue Oct 07, 2010 9:43 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por perro006 »

Estimado muchas gracias por responder y disculpe la demora de mi respuesta e tenido muchas cosas que hacer flash, es decir que no me han dejado terminar este tema, espero que me pueda seguir ayudando a entender esto, yo lo tengo de la siguiente manera la parte del MailScanner.conf:

Archives Are = zip rar ole
Allow Filenames =
Deny Filenames =
Filename Rules = %etc-dir%/filename.rules.conf
Allow Filetypes =
Allow File MIME Types =
Deny Filetypes =
Deny File MIME Types =
**************************************************************************
Tiene esta instrucción más que tú que a las finales es la mima que al final pero sin Archives
**************************************************************************
Filetype Rules = %etc-dir%/filetype.rules.conf
**************************************************************************
Archives: Allow Filenames =
Archives: Deny Filenames =
Archives: Filename Rules = %etc-dir%/archives.filename.rules.conf
Archives: Allow Filetypes =
Archives: Allow File MIME Types =
Archives: Deny Filetypes =
Archives: Deny File MIME Types =
Archives: Filetype Rules = %etc-dir%/archives.filetype.rules.conf

**************************************************************
Y en el archivo “archives.filetype.rules.conf” tiene según yo lo mismo que tu:
**************************************************************
#
# NOTE: Fields are separated by TAB characters --- Important!
#
# Syntax is allow/deny/deny+delete/email-addresses, then regular expression,
# then log text, then user report text.
#
# The "email-addresses" can be a space or comma-separated list of email
# addresses. If the rule hits, the message will be sent to these address(es)
# instead of the original recipients.
#
# If none of the rules match, then the filetype is allowed.
#
# An optional fifth field can also be added before the "log text", which
# makes the checked text check against the MIME type of the attachment
# as determined by the output of the "file -i" command.

allow text - -
allow \bscript - -
allow archive - -
allow postscript - -
deny self-extract No self-extracting archives No self-extracting archives allowed
deny executable No executables No programs allowed
#EXAMPLE: deny - x-dosexec No DOS executables No DOS programs allowed
deny ELF No executables No programs allowed
deny Registry No Windows Registry entries No Windows Registry files allowed

#deny MPEG No MPEG movies No MPEG movies allowed
#deny AVI No AVI movies No AVI movies allowed
#deny MNG No MNG/PNG movies No MNG movies allowed
#deny QuickTime No QuickTime movies No QuickTime movies allowed
#deny ASF No Windows media No Windows media files allowed
#deny metafont No Windows Metafont drawings No WMF drawings allowed

******************************************************************
Lo cual es igual al tuyo, según yo, y en el “archives.filename.rules.conf”
******************************************************************
# addresses. If the rule hits, the message will be sent to these address(es)
# instead of the original recipients.

# Due to a bug in Outlook Express, you can make the 2nd from last extension
# be what is used to run the file. So very long filenames must be denied,
# regardless of the final extension.
deny .{150,} Very long filename, possible OE attack Very long filenames are good signs of attacks against Microsoft e-mail packages

# JKF 10/08/2007 Adobe Acrobat nastiness
deny \.fdf$ Dangerous Adobe Acrobat data-file Opening this file can cause auto-loading of any file from the internet

# JKF 04/01/2005 More Microsoft security vulnerabilities
deny \.ico$ Windows icon file security vulnerability Possible buffer overflow in Windows
deny \.ani$ Windows animated cursor file security vulnerability Possible buffer overflow in Windows
deny \.cur$ Windows cursor file security vulnerability Possible buffer overflow in Windows
#deny \.hlp$ Windows help file security vulnerability Possible buffer overflow in Windows

# These 4 are well known viruses.
deny pretty\s+park\.exe$ "Pretty Park" virus "Pretty Park" virus
deny happy99\.exe$ "Happy" virus "Happy" virus
deny \.ceo$ WinEvar virus attachment Often used by the WinEvar virus
deny webpage\.rar$ I-Worm.Yanker virus attachment Often used by the I-Worm.Yanker virus

# JKF 08/07/2005 Several virus scanners may miss this one
deny \.cab$ Possible malicious Microsoft cabinet file Cabinet files may hide viruses

# These are in the archives which are Microsoft Office 2007 files (e.g. docx)
allow \.xml\d*\.rel$ - -
allow \.x\d+\.rel$ - -
allow \.rtf$ - -

# These are known to be mostly harmless.
allow \.jpg$ - -
allow \.gif$ - -
# .url is arguably dangerous, but I can't just ban it...
allow \.url$ - -
allow \.vcf$ - -
allow \.txt$ - -
allow \.zip$ - -
allow \.t?gz$ - -
allow \.bz2$ - -
allow \.Z$ - -
allow \.rpm$ - -
# PGP and GPG
allow \.gpg$ - -
allow \.pgp$ - -
allow \.sig$ - -
allow \.asc$ - -
# Macintosh archives
allow \.hqx$ - -
allow \.sit.bin$ - -
allow \.sea$ - -

# These are known to be dangerous in almost all cases.
deny \.reg$ Possible Windows registry attack Windows registry entries are very dangerous in email
deny \.chm$ Possible compiled Help file-based virus Compiled help files are very dangerous in email
# See http://office.microsoft.com/2000/articl ... secFAQ.htm for more info.
deny \.cnf$ Possible SpeedDial attack SpeedDials are very dangerous in email
deny \.hta$ Possible Microsoft HTML archive attack HTML archives are very dangerous in email
deny \.ins$ Possible Microsoft Internet Comm. Settings attack Windows Internet Settings are dangerous in email
deny \.jse?$ Possible Microsoft JScript attack JScript Scripts are dangerous in email
deny \.job$ Possible Microsoft Task Scheduler attack Task Scheduler requests are dangerous in email
deny \.lnk$ Possible Eudora *.lnk security hole attack Eudora *.lnk security hole attack
deny \.ma[dfgmqrstvw]$ Possible Microsoft Access Shortcut attack Microsoft Access Shortcuts are dangerous in email
deny \.pif$ Possible MS-Dos program shortcut attack Shortcuts to MS-Dos programs are very dangerous in email
deny \.scf$ Possible Windows Explorer Command attack Windows Explorer Commands are dangerous in email
deny \.sct$ Possible Microsoft Windows Script Component attack Windows Script Components are dangerous in email
deny \.shb$ Possible document shortcut attack Shortcuts Into Documents are very dangerous in email
deny \.shs$ Possible Shell Scrap Object attack Shell Scrap Objects are very dangerous in email
deny \.vb[es]$ Possible Microsoft Visual Basic script attack Visual Basic Scripts are dangerous in email
deny \.ws[cfh]$ Possible Microsoft Windows Script Host attack Windows Script Host files are dangerous in email
deny \.xnk$ Possible Microsoft Exchange Shortcut attack Microsoft Exchange Shortcuts are dangerous in email

# These are new dangerous attachment types according to Microsoft in
# http://support.microsoft.com/?kbid=883260
deny \.cer$ Dangerous Security Certificate (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.its$ Dangerous Internet Document Set (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.mau$ Dangerous attachment type (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.md[az]$ Dangerous attachment type (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.prf$ Dangerous Outlook Profile Settings (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.pst$ Dangerous Office Data File (according to Microsoft) Dangerous attachment according to Microsoft Q883260
#deny \.tmp$ Dangerous Temporary File (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.vsmacros$ Dangerous Visual Studio Macros (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.vs[stw]$ Dangerous attachment type (according to Microsoft) Dangerous attachment according to Microsoft Q883260
deny \.ws$ Dangerous Windows Script (according to Microsoft) Dangerous attachment according to Microsoft Q883260


# These 2 added by popular demand - Very often used by viruses
deny \.com$ Windows/DOS Executable Executable DOS/Windows programs are dangerous in email
deny \.exe$ Windows/DOS Executable Executable DOS/Windows programs are dangerous in email

# These are very dangerous and have been used to hide viruses
deny \.scr$ Possible virus hidden in a screensaver Windows Screensavers are often used to hide viruses
deny \.bat$ Possible malicious batch file script Batch files are often malicious
deny \.cmd$ Possible malicious batch file script Batch files are often malicious
deny \.cpl$ Possible malicious control panel item Control panel items are often used to hide viruses
deny \.mhtml$ Possible Eudora meta-refresh attack MHTML files can be used in an attack against Eudora

# Deny filenames containing CLSID's
deny \{[a-hA-H0-9-]{25,}\} Filename trying to hide its real type Files containing CLSID's are trying to hide their real type

# Deny filenames with lots of contiguous white space in them.
deny \s{10,} Filename contains lots of white space A long gap in a name is often used to hide part of it

# Allow repeated file extension, e.g. blah.zip.zip
allow (\.[a-z0-9]{3})\1$ - -

# Allow days of the week and months in doc names, e.g. blah.wed.doc
allow \.(mon|tue|wed|thu|fri|sat|sun)\.[a-z0-9]{3}$ - -
allow \.(jan|feb|mar|apr|may|jun|june|jul|july|aug|sep|sept|oct|nov|dec)\.[a-z0-9]{3}$ - -

*******************************************************************************
Y esta es mi doble extensión
*******************************************************************************
# Deny all other double file extensions. This catches any hidden filenames.
deny \.[a-z][a-z0-9]{2,3}\s*\.[a-z0-9]{3}$ Found possible filename hiding Attempt to hide real filename extension


Si lo tengo activado, y entre ha dicho archivo que está en cuarentena y me muestra esto:
" Netrw Directory Listing (netrw v102)
" /var/spool/MailScanner/quarantine/20101018/4767B5C0887.A1EA0
" Sorted by name
" Sort sequence: [\/]$,*,\.bak$,\.o$,\.h$,\.info$,\.swp$,\.obj$
" Quick Help: <F1>:help -:go up dir D:delete R:rename s:sort-by x:exec
" ============================================================================
../
./
CONCILIACI%D2N.S.rar



Lo cual entiendo tiene doble extensión es decir: “.S.rar” , si fuera correcto lo que digo, me costo entenderlo XD, pero aun así, como puedo acceder a ellos para que puedan pasar o yo poderlos rescatar

Y hay otros que me llegan así:






Atención: Este mensaje contenía uno o más anexos que han sido eliminados
Atención: (el mensaje completo).
Atención: Por favor, lea el(los) anexo(s) "Attachment-Warning.txt" para más información.

Este es un mensaje del Servicio de Protección de Virus para Correo
Electrónico MailScanner
----------------------------------------------------------------------
El archivo anexado original "el mensaje completo"
se considera que ha sido infectado por un virus y el mismo
ha sido reemplazado por este mensaje de aviso.

Si desea recibir una copia del archivo anexado original *infectado*,
por favor envíe un correo electrónico al departamento de soporte
incluyendo este mensaje. Alternativamente, puede llamar a dicho
departamento de, teniendo el contenido de este mensaje a mano.

El Tue Nov 16 09:38:40 2010 el analizador de virus dijo:
MailScanner: Demasiados archivos adjuntos en el mensaje


Nota para el departamento de soporte: Revisar en the dominio(servidor.dominio.cl) MailScanner en
/var/spool/MailScanner/quarantine/20101116 (mensaje 487085C087D.A74B8).


Según lo que entiendo este es porque tiene muchos archivos adjuntos, si es que no me equivoco , corrígeme si estoy mal, entre a:
MailScanner.conf
Y tiene una instrucción que dice en :
# Processing Incoming Mail
Maximum Attachments Per Message = 90

Que se refiere a que aguanta hasta 90 archivos adjuntos, pero como es el destinatario de dichos correos y como rescato para o revisar los archivos adjuntos de este algún programa o los puedo ver en el servidor, ademas entre al archivo y me aparece lo siguiente:
" ============================================================================
" Netrw Directory Listing (netrw v102)
" /var/spool/MailScanner/quarantine/20101116/487085C087D.A74B8
" Sorted by name
" Sort sequence: [\/]$,*,\.bak$,\.o$,\.h$,\.info$,\.swp$,\.obj$
" Quick Help: <F1>:help -:go up dir D:delete R:rename s:sort-by x:exec
" ============================================================================
../
./
Message

Supuestamente me da unas opciones pero no se para que sirven y en qué modo las puedo ocupar ( dentro del editor o fuera de él, adicionalmente mi conexión es por SSH, lo cual me limita ver algunas cosas, según yo), espero atento tu respuesta, ya que he aprendido mucho contigo y en el foro, y estoy ansioso a ver que me cuentas, gracias por todo.

Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Hereter »

Hola, a primera vista pareceria que las configuraciones estan del MailScanner estan bien.
con respecto al mensaje con opciones:

" ============================================================================
" Netrw Directory Listing (netrw v102)
" /var/spool/MailScanner/quarantine/20101116/487085C087D.A74B8
" Sorted by name
" Sort sequence: [\/]$,*,\.bak$,\.o$,\.h$,\.info$,\.swp$,\.obj$
" Quick Help: <F1>:help -:go up dir D:delete R:rename s:sort-by x:exec
" ============================================================================

no se que es, ya bien porque nunca lo vi o nunca le preste atencion.



Yo particularmente para recuperar los mensajes en cuarentena, uso un programita muy piola que se llama Winscp, y para conectarme remotamente el Putty, otra cosa que esta buena es que MailScanner cada vez que tiene un suceso como ese manda un mail al root, lo que por lo general se hace es un alias de una cuenta de correo electronico al root en el archivo aliases, y desde el outlook revisas los mensajes que el sistema envia a root, entonces cuando tenes un suceso de un archivo en cuarentena recibis un mail como el siguiente:


Se descubrió que los siguientes mensajes tenían: Nombre de Archivo Prohibido Detectado

Sender: email@delqueenvia.com
IP Address: 201.234.95.115
Recipient: email@delquerecibe.com
Subject: Re: Re: your text
MessageID: oAJDLQdD022369
Quarantine: /var/spool/MailScanner/quarantine/20101119/oAJDLQdD022369
Informe: MailScanner: Shortcuts to MS-Dos programs are very dangerous in email
(text_snardelli.pif)
No programs allowed (text_snardelli.pif)

entonces si el usuario llama ya se que fue lo que paso, quien lo envio, para quien era, cual es la carpeta de cuarentena y cual es el motivo por el que esta en cuarentena, entro en el servidor con el Winscp, extraigo el archivo de la ruta /var/spool/MailScanner/quarantine/20101119/oAJDLQdD022369 lo manipulo, lo escaneo, lo renombro o lo que sea para que pase, si es que esta realmente limpio, y si por ejemplo es un archivo de los denominados prohibidos lo comprimo en un zip y lo vuelvo a enviar desde una cuenta que en mi caso es netadmin@dominio.com o lo vuelvo a enviar al remitente para que lo reenvien.


Asi que bueno, mas no te puedo decir, asi es como me manejo yo, todos tienen su librito.
Saludos!

perro006
Forista Nuevo
Forista Nuevo
Mensajes: 21
Registrado: Jue Oct 07, 2010 9:43 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por perro006 »

Hereter escribió:Hola, a primera vista pareceria que las configuraciones estan del MailScanner estan bien.
con respecto al mensaje con opciones:

" ============================================================================
" Netrw Directory Listing (netrw v102)
" /var/spool/MailScanner/quarantine/20101116/487085C087D.A74B8
" Sorted by name
" Sort sequence: [\/]$,*,\.bak$,\.o$,\.h$,\.info$,\.swp$,\.obj$
" Quick Help: <F1>:help -:go up dir D:delete R:rename s:sort-by x:exec
" ============================================================================

no se que es, ya bien porque nunca lo vi o nunca le preste atencion.



Yo particularmente para recuperar los mensajes en cuarentena, uso un programita muy piola que se llama Winscp, y para conectarme remotamente el Putty, otra cosa que esta buena es que MailScanner cada vez que tiene un suceso como ese manda un mail al root, lo que por lo general se hace es un alias de una cuenta de correo electronico al root en el archivo aliases, y desde el outlook revisas los mensajes que el sistema envia a root, entonces cuando tenes un suceso de un archivo en cuarentena recibis un mail como el siguiente:


Se descubrió que los siguientes mensajes tenían: Nombre de Archivo Prohibido Detectado

Sender: email@delqueenvia.com
IP Address: 201.234.95.115
Recipient: email@delquerecibe.com
Subject: Re: Re: your text
MessageID: oAJDLQdD022369
Quarantine: /var/spool/MailScanner/quarantine/20101119/oAJDLQdD022369
Informe: MailScanner: Shortcuts to MS-Dos programs are very dangerous in email
(text_snardelli.pif)
No programs allowed (text_snardelli.pif)

entonces si el usuario llama ya se que fue lo que paso, quien lo envio, para quien era, cual es la carpeta de cuarentena y cual es el motivo por el que esta en cuarentena, entro en el servidor con el Winscp, extraigo el archivo de la ruta /var/spool/MailScanner/quarantine/20101119/oAJDLQdD022369 lo manipulo, lo escaneo, lo renombro o lo que sea para que pase, si es que esta realmente limpio, y si por ejemplo es un archivo de los denominados prohibidos lo comprimo en un zip y lo vuelvo a enviar desde una cuenta que en mi caso es netadmin@dominio.com o lo vuelvo a enviar al remitente para que lo reenvien.


Asi que bueno, mas no te puedo decir, asi es como me manejo yo, todos tienen su librito.
Saludos!

muchas gracias, lo probare mañana y te cuento como me fue

Editado -- Mié Nov 24, 2010 4:49 pm --
perro006 escribió:
Hereter escribió:Hola, a primera vista pareceria que las configuraciones estan del MailScanner estan bien.
con respecto al mensaje con opciones:

" ============================================================================
" Netrw Directory Listing (netrw v102)
" /var/spool/MailScanner/quarantine/20101116/487085C087D.A74B8
" Sorted by name
" Sort sequence: [\/]$,*,\.bak$,\.o$,\.h$,\.info$,\.swp$,\.obj$
" Quick Help: <F1>:help -:go up dir D:delete R:rename s:sort-by x:exec
" ============================================================================

no se que es, ya bien porque nunca lo vi o nunca le preste atencion.



Yo particularmente para recuperar los mensajes en cuarentena, uso un programita muy piola que se llama Winscp, y para conectarme remotamente el Putty, otra cosa que esta buena es que MailScanner cada vez que tiene un suceso como ese manda un mail al root, lo que por lo general se hace es un alias de una cuenta de correo electronico al root en el archivo aliases, y desde el outlook revisas los mensajes que el sistema envia a root, entonces cuando tenes un suceso de un archivo en cuarentena recibis un mail como el siguiente:


Se descubrió que los siguientes mensajes tenían: Nombre de Archivo Prohibido Detectado

Sender: email@delqueenvia.com
IP Address: 201.234.95.115
Recipient: email@delquerecibe.com
Subject: Re: Re: your text
MessageID: oAJDLQdD022369
Quarantine: /var/spool/MailScanner/quarantine/20101119/oAJDLQdD022369
Informe: MailScanner: Shortcuts to MS-Dos programs are very dangerous in email
(text_snardelli.pif)
No programs allowed (text_snardelli.pif)

entonces si el usuario llama ya se que fue lo que paso, quien lo envio, para quien era, cual es la carpeta de cuarentena y cual es el motivo por el que esta en cuarentena, entro en el servidor con el Winscp, extraigo el archivo de la ruta /var/spool/MailScanner/quarantine/20101119/oAJDLQdD022369 lo manipulo, lo escaneo, lo renombro o lo que sea para que pase, si es que esta realmente limpio, y si por ejemplo es un archivo de los denominados prohibidos lo comprimo en un zip y lo vuelvo a enviar desde una cuenta que en mi caso es netadmin@dominio.com o lo vuelvo a enviar al remitente para que lo reenvien.


Asi que bueno, mas no te puedo decir, asi es como me manejo yo, todos tienen su librito.
Saludos!

muchas gracias, lo probare mañana y te cuento como me fue
estimado que direccion le da para poder conectarse, la misma con la que te conectas por ssh yole e dad o esa con puerto y todo , y que protocolo usas en la conexion, e intentado y no me funciona, gracias.

Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Hereter »

hola, el puerto para el winscp es el 22 y soporta ssh1, ssh2, scp y sftp, la direccion es o bien la IP del servidor o bien el nombre, siempre y cuando este todo bien configurado para una correcta resolucion.

http://winscp.net/eng/docs/lang:es#caracteristicas
http://www.chiark.greenend.org.uk/~sgta ... nload.html


Saludos.

Editado -- Mié Nov 24, 2010 8:22 pm --

aca hay un tema parecido en un ubuntu, que distribucion usas?

redes-servidores/ssh-puerto-ubuntu-t47400.html

perro006
Forista Nuevo
Forista Nuevo
Mensajes: 21
Registrado: Jue Oct 07, 2010 9:43 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por perro006 »

Hereter escribió:hola, el puerto para el winscp es el 22 y soporta ssh1, ssh2, scp y sftp, la direccion es o bien la IP del servidor o bien el nombre, siempre y cuando este todo bien configurado para una correcta resolucion.

http://winscp.net/eng/docs/lang:es#caracteristicas
http://www.chiark.greenend.org.uk/~sgta ... nload.html


Saludos.

Editado -- Mié Nov 24, 2010 8:22 pm --

aca hay un tema parecido en un ubuntu, que distribucion usas?

redes-servidores/ssh-puerto-ubuntu-t47400.html

tatatatannnnnn!!!!

centos 5 XD

Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Hereter »

Anduvo?

perro006
Forista Nuevo
Forista Nuevo
Mensajes: 21
Registrado: Jue Oct 07, 2010 9:43 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por perro006 »

Hereter escribió:Anduvo?
Disculpa la demiora,si anduvo muchísimas gracia, no con el mismo puerto, pero me conecte seguí los pasos de ejemplo de Ubuntu en ese mismo archivo en mi caso, estaba y decía cual es el puerto:


# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

Port (numero de puerto en números)
#Protocol 2,1
Protocol (numero de Protocolo en números)

Está en el archivo “sshd_config” el cual está en la siguiente ruta “/etc/ssh”. Lo he logrado sacar y ver de qué tipo son, pero me asalta una duda, hay una parte en el archivo “MailScanner.conf” , que queda en la ruta “/etc/MailScanner”, su contenido es el siguiente:
# Processing Incoming Mail
# ------------------------
#

Max Unscanned Bytes Per Scan = 100m
Max Unsafe Bytes Per Scan = 50m
Max Unscanned Messages Per Scan = 30
Max Unsafe Messages Per Scan = 30
Max Normal Queue Size = 800

Scan Messages = yes
Reject Message = no
Maximum Processing Attempts = 6
Processing Attempts Database = /var/spool/MailScanner/incoming/Processing.db
Maximum Attachments Per Message = 90
Expand TNEF = yes
Use TNEF Contents = replace
Deliver Unparsable TNEF = yes
#TNEF Expander = internal
TNEF Expander = /usr/bin/tnef --maxsize=100000000
TNEF Timeout = 120
File Command = /usr/bin/file
File Timeout = 20
Gunzip Command = /bin/gunzip
Gunzip Timeout = 30
Unrar Command = /usr/bin/unrar
Unrar Timeout = 30
Find UU-Encoded Files = no
Maximum Message Size = %rules-dir%/max.message.size.rules
#Maximun Message Size = 0
Maximum Attachment Size = %rules-dir%/max.attach.size.rules
Minimum Attachment Size = -1
Maximum Archive Depth = 8
Find Archives By Content = yes
Unpack Microsoft Documents = no
Zip Attachments = no
Attachments Zip Filename = MessageAttachments.zip
Attachments Min Total Size To Zip = 100k
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++esta es la sección donde me dice que archivos son de tipo permitidos, es decir, que solo aguantara archivos adjuntos con estas extensiones o me equiboco
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Attachment Extensions Not To Zip = .zip .rar .gz .tgz .jpg .jpeg .mpg .mpe .mpeg .mp3 .rpm .htm .html .eml
Add Text Of Doc = no
Antiword = /usr/bin/antiword -f
Antiword Timeout = 50
Unzip Maximum Files Per Archive = 0
Unzip Maximum File Size = 50k
Unzip Filenames = *.txt *.ini *.log *.csv
Unzip MimeType = text/plain

Según la parte que marque un poco mas arriba, esta es la regla que me hace pasar estos tipos de archivos adjuntos, para saber que decirles a los usuarios que pueden enviar(archivos con estas extensiones), gracias.

Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Problema por archivos adjuntos ¿virus, regla , actualizacion o que ?

Mensaje por Hereter »

Hola, si no me equivoco lo que marcas en el post de arriba es una opcion que tiene MailScanner de comprimir todos los archivos adjuntos que en esa configuracion esta desactivada Zip Attachments = no y lo que hace es un adjunto que se llama MessageAttachments.zip y la linea
Attachment Extensions Not To Zip = .zip .rar .gz .tgz .jpg .jpeg .mpg .mpe .mpeg .mp3 .rpm .htm .html .eml hace referencia a los archivos que no se van a comprimir.
Con respecto a los archivos del tipo permitidos, no hay una sola configuracion, te tenes que fijar en los archivos filetype.rules.conf y archives.filename.rules.conf ya que pueden estar filtrados por tipo o por nombre, por ejemplo:

este es el filetype.rules.conf

allow text - -
allow \bscript - -
allow archive - -
allow postscript - -
deny self-extract No self-extracting archives No self-extracting archives allowed
deny executable No executables No programs allowed
#EXAMPLE: deny - x-dosexec No DOS executables No DOS programs allowed
deny ELF No executables No programs allowed
deny Registry No Windows Registry entries No Windows Registry files allowed

#deny MPEG No MPEG movies No MPEG movies allowed
#deny AVI No AVI movies No AVI movies allowed
#deny MNG No MNG/PNG movies No MNG movies allowed
#deny QuickTime No QuickTime movies No QuickTime movies allowed
#deny ASF No Windows media No Windows media files allowed
#deny metafont No Windows Metafont drawings No WMF drawings allowed

se permiten texto, archivos los \bscript y los postscript ( los ultimos dos tengo una vaga idea de que pueden ser)
y se deniegan los ejecutables, autoextraibles, entradas de registro, MPEG, AVI, etc...etc

y a su ves tenes que mirar el filename.rules.conf
aca te dejo unos fragmentos no consecutivos del archivo ojo, son solamente para emplificar


# These are in the archives which are Microsoft Office 2007 files (e.g. docx)
allow \.xml\d*\.rel$ - -
allow \.x\d+\.rel$ - -
allow \.rtf$ - -

# These are known to be mostly harmless.
allow \.jpg$ - -
allow \.gif$ - -
# .url is arguably dangerous, but I can't just ban it...
allow \.url$ - -
allow \.vcf$ - -
allow \.txt$ - -
allow \.zip$ - -
allow \.t?gz$ - -
allow \.bz2$ - -
allow \.Z$ - -
allow \.rpm$ - -
# PGP and GPG
allow \.gpg$ - -
allow \.pgp$ - -
allow \.sig$ - -
allow \.asc$ - -
# Macintosh archives
allow \.hqx$ - -
allow \.sit.bin$ - -
allow \.sea$ - -

arriba tenes una parte de las extensiones permitidas, pero segun el nombre, no el tipo de archivo, se entiende?, vendria a ser por la sintaxis y los caracteres de la extension y el nombre, la verdad no se que pasaria si en el
archivo filetype.rules.conf permitis los ejecutables y despues en el archivo filename.rules.conf los denegas.


Bueno espero que te sirva, la verdad mucho mas no te puedo ayudar porque mas lejos con el MailScanner no llego.
Saludos.

Responder
  • Temas similares
    Respuestas
    Vistas
    Último mensaje