Qmail-Scanner

Qmail的掃描儀是一種附加，使一個Qmail的郵件服務器來掃描某些特性gatewayed電子郵件（即內容掃描）。它通常用於它的抗病毒和反垃圾郵件保護功能，在這種情況下，它是用於與外部掃描器一起使用。
Qmail的掃描儀應用程序還允許一個網站（在服務器/站點級別），以創建“策略塊”：即反應電子郵件，其中包含特定標題的特定字符串，或特定的附件文件名或類型（如* .VBS附件）。
其特點檔案有助於互聯網服務供應商和企業與世界各地的新的或未決的立法和監管要求。它可以存檔所有加工成電子郵件歸檔郵件目錄。這是理想的備份目的的審計策略的原因。不像某些基於Windows的服務器解決方案，郵件信封頭（以下簡稱“RCPT TO：”和“郵件：”報頭）都保持不變 - 附加到每個郵件的底部 - 確認發送者真實和目的地地址。
歸檔還支持過濾，地址的子集（例如，只存檔“support@domain.name”的電子郵件，而不是全部）。此外，每個消息由Qmail的掃描儀產生的大量單行摘要可能足以為企業履行自己的義務 - 而不是更多的磁盤密集型全歸檔。像往常一樣，聯繫律師進行適當定義。
的qmail-掃描器在一個較低的水平比其他一些基於Unix的病毒掃描程序集成到所述郵件服務器，從而導致更多的全面覆蓋。它能夠掃描不僅本地發送/接收穿過一個中繼容量服務器的電子郵件，而且郵件。 Qmail的掃描儀還利用豐富的Qmail的所提供的元信息（如客戶端IP地址，客戶端是否被允許中繼）。
以下是“Qmail的掃描儀”的一些主要特點：
·支持幾乎所有的商業（UNIX）病毒掃描以及廣受歡迎的開源ClamAV的掃描儀。
·可調用多個病毒掃描每個郵件
·內部有自己的掃描儀，可用於政策執行，或隔離病毒，您的AV目前無法檢測
·內部掃描儀還可以用於隔離電子郵件基於附件類型，或與某些電子郵件標題...需要電子郵件來停止* .mp3文件或“主題：ILOVEYOU”的電子郵件上獲得和關閉您的局域網 - 可以做到！ :-)
·內部的掃描儀可以觸發一個“灰名單”的行動，而不是隔離。這是專為緊急情況下，您的當前AV和靜態策略塊是不恰當的。例如新的ZIP-基於病毒出來的隨機文件名。你的AV不能檢測到它，你不能阻止全球ZIP文件而不傷害有效用戶。 A“灰名單”的行動會引起Qmail的掃描儀退出與SMTP臨時故障，而不是傳遞的消息。有效的郵件會被簡單地重新排隊，並且可以流過一次後您的AV可以檢測到病毒，並且決定刪除灰名單政策。
·內部引擎掃描已知要使用的木馬/病毒程序運行來感染客戶端格式不正確的消息。因此，這是獨立於任何病毒掃描，並且可以成功地對將來病毒程序運行/木馬操作。這樣的消息被立即隔離。已知阻止此類病毒程序運行的主要求職信如和Aliz，並作為一個副作用，阻止垃圾郵件相當數量的呢！格式檢查包括：
·破MIME頭延續
·使用標準的頭中的註釋（如“內容-T（XXXXXX）YPE：”是* *等同於“內容類型：”根據RFC的 - 但病毒程序運行的一些使用這個，因為它規避一些反病毒掃描程序）。有效的利用，這是從來沒有見過在野外 - 所以它封鎖
·MIME頭的重複出現使得QS重命名後的人，以抵消他們
·MIME邊界超過250個字符被封鎖
·不同的一個特定的附件文件名的定義使得它被擋住
·雙定義相同的MIME邊界被封鎖
·包含Windows可執行文件擴展名是專門阻塞（如文件名的“音頻/ WAV”“wav.exe”只能是一種病毒）某些MIME類型
·在一個MIME附件破頭被封鎖
·窗口未標記為MIME類型的可執行文件附件“應用程序/ .....”被阻塞（如重命名為notepade.exe和notepade.gif發送它作為一個GIF附件會被隔離，因為Qmail的掃描儀會意識到這是一個可執行假裝是別的東西）。
·附件文件名超過256個字符被封鎖
·一些雙管文件名被阻塞（如file.gif.exe）。它試圖不要堵塞常見的錯誤變種
·CLSID文件擴展名被阻止
·密碼保護的zip文件可以，如果你想被阻止。這將阻止通過獲取裡面塞滿密碼保護的zip文件的任何未來的病毒，但當然也將停止任何合法的使用。默認關閉的，但也許是有用的，打開一個新的爆發期間，並再次關閉一旦AV更新時，可以抓住它。
·默認為始終運行任何AV你可能有過的郵件，再運行內部掃描器（政策/ perlscan）檢查。這意味著如果你阻止“.PIF”的文件，由於它們通常含有病毒，那麼任何.PIF文件確實包含已知的AV系統中的病毒將被標記為“病毒”，並且每個階段都是錯過了（也許他們是零日病毒），然後標記為被攔截的“政策”。這種分化然後由所述警報系統。它默認為不通知的病毒已被發現發件人，但還是可以通知他們時，這是一個“政策”塊。
·隔離區的郵件發現違反上述子系統。病毒被隔離到名為“病毒/”，政策塊成“政策/”（潛在的）高額定垃圾郵件目錄一，進入“垃圾郵件/”
·可與SpamAssassin的集成，為整個網站提供全面的反垃圾郵件標記。通常使用還包括使用Qmail的掃描儀作為“前端”的企業郵件服務器，如Notes和Exchange。 Qmail的掃描儀做了所有的臟活累活 - （希望）只留下乾淨的郵件後端:-)
·從“郵政局長”式和郵件列表地址自動檢測郵件 - 並且不會發送病毒警報報告，他們（即試圖更像一個負責任的網民）
·由於事實，即所有電子郵件傳播的病毒超過99.9％，現在使用偽造的發件人信息，QS默認為不提醒，一個消息已被隔離，除非它是由於政策/ Perlscan塊的發送者。這可以轉身回“老”的風格用“--notify發件人”，而不是“--notify psender”的新的默認值（即只通知發件人策略阻止）
·知道哪些偽造發件人的頭病毒程序運行的 - 使病毒似乎來自一些貧困無辜的。 Qmail的掃描儀將無法發送警報給發件人為這些類型的病毒程序運行。作為默認是不反正通知，這只有真正生效，如果您使用的是“--notify發送”選項。
·每個消息通過一個新接收標籤：頭帶有病毒的報告顯示，無論是清潔還是不和病毒掃描程序版本號在/ etc
·由“--sa檢疫”選項（基本上有一個非常高的分數SA）列為“嚴重的垃圾郵件”的郵件[默認禁用]將被隔離掉成“郵件目錄”的郵件的文件夾（./spam/）。這種分離到它自己的郵件目錄允許站點拿出自己的處理誤報的方法。不過...
·在“-z”清理選項將刪除子文件夾隔離郵件超過14天 - 以確保它不會增長太大。如果你想保持他們更長的時間，只是劇本的東西每天移動到另一個目錄/ maildir的。有在contrib目錄中的logrotate的腳本來自動完成這個（這些系統，可以使用它 - 像紅帽/ CentOS的）
·可以選擇添加一個描述性標題：X-Qmail的掃描儀來穿過系統，讓用戶能夠看到一台掃描儀已經運行在他們的郵件每封電子郵件。
·捕獲的qmail-掃描儀生成的消息的電子郵件（目前支持英語，意大利語，南非荷蘭語，波蘭語，瑞典語，捷克語，德語，西班牙語，土耳其語，立陶宛，法國，葡萄牙，荷蘭和中國的消息）給發件人的配置組合，收件人和“隔離管理員”地址解釋為什麼他們的消息被封鎖。
·可存檔的部分或全部處理郵件（即沒有隔離）到歸檔郵件目錄。調試基於電子郵件的應用程序時，備份的目的，以及用於審計策略的原因。目前，該郵件信封頭（以下簡稱“RCPT TO：”和“郵件：”報頭）被附加到每個郵件的底部。此選項支持被稱為使用正則表達式在這種情況下，只有信封與表達式匹配的存檔頭（如可以存檔“（支持|銷售）@ domain.name”，而不是所有的電子郵件）
·通過syslog或文件，每一個處理消息的一行描述，報告提供的大量信息，如主題行，附件文件名，大小，等等。
·冗餘掃描。它不僅運行在掃描儀前，解開每一個消息，它也可以掃描原來的“原始”電子郵件以及解壓後的組件（例如，如果你認為一個特定的掃描儀擁有更好的內部MIME分析比Qmail的掃描儀）
·報告：在contrib目錄中有qs2mrtg.pl。一個Perl腳本，用於監視系統日誌文件的qmail-scanner的記錄。然後，圖表Qmail的掃描儀是如何處理您的電子郵件。它創建不同的圖形傳入傳出VS電子郵件，以及垃圾郵件和病毒的流動。
要求：
·Netqmail 1.05（或的qmail-1.03補丁）
·創建一個單獨的帳戶下運行的qmail-掃描：默認的用戶名和組名“qscand”。對於額外的安全性，與正常的家庭目錄中創建它（例如“/家/ qscand”），但與“假”殼（如“/斌/假”） - 因為它從來沒有登錄到直接。
·從maildrop的reformime 1.3.8+
·Perl的5.005_03 +
·Perl模塊時間::高分辨率
·Perl模塊DB_File（大多數發行版都帶有它預裝，雖然最新的Perl並不）
·Perl模塊Sys系統日誌::（大多數發行版都帶有它預裝）
·Perl模塊MIME :: Base64的（大多數發行版都帶有它預裝）
·可選：馬克辛普森的TNEF解包。可以解碼那些煩人的MS-TNEF MIME附件，微軟郵件服務器只是愛用。如果沒有這一點，有幾類電子郵件中的qmail-掃描儀基本上將無法提取附件的影響。但是，您的AV很可能是能夠處理它們
·可選：uudecode的（sharutils對紅帽式系統的一部分）
·可選：解壓縮

什麼在此版本中是新的：

• 在一些小的錯誤是固定
• 新功能包括支持DLP和團隊庫姆惡意軟件哈希註冊表支持。