[메일] sendmail 에서 sircam virus 차단하기

예방차원에서 설정해보았다..^^

본 차단법은 Sircam worm 제작자의 잘못된 Content-Disposition: 사용에 바탕을 둔

것으로, Content-Disposition: 의 올바른 사용예는 RFC 2183을 참조하시기 바랍니다.

즉, 본 룰셋은 메일 헤더에 아래와 같은 header field가 발견될 경우 sircam worm 으로

간주하여 reject 합니다. RHS의 올바른 사용예는, ‘inline’ 또는 ‘attachment’ 입니다.

Content-Disposition: Multipart message

sendmail.cf에 다음 룰셋만을 추가하여 Sircam worm을 차단할 수 있습니다.

또한, 내부 네트워크에 이미 감염된 PC가 있을 경우 worm의 확산을 차단함과

동시에, maillog(또는 syslog)를 검색하여 감염된 PC를 발견할 수 있을 것입니다.

이 룰셋의 사용은 sendmail 8.9 이상에서만 사용할 수 있습니다.

파란색으로 된 부분이 추가될 부분입니다.

# check IP address

R$*                     $: $&{client_addr}

R$@                     $@ OK                   originated locally

R0                      $@ OK                   originated locally

R$=R $*                 $@ OK                   relayable IP address

R$*                     $: $>LookUpAddress <$1>  <$1>

R $*             $@ RELAY                relayable IP address

R<$*> <$*>              $: $2

R$*                     $: [ $1 ]               put brackets around it…

R$=w                    $@ OK                   … and see if it is local

# anything else is bogus

R$*                     $#error $@ 5.7.1 $: “550 Relaying denied”

### Sircam worm filter

HContent-Disposition: $>check_sircam

D{SIRCAM}”Your message may contain the Sircam.worm !!! See

http://www.symantec.com/avcenter/venc/data/pf/w32.sircam.worm@mm.html”

Scheck_sircam

RMultipart message $#error $: 550 ${SIRCAM}

#### 주의: Multimapt message와 $#error 사이는 [TAB]입니다.

###############################################################

#######

###############################################################

#######

#####

#####                   MAILER DEFINITIONS

#####

###############################################################

#######

###############################################################

#######

Sendmail.cf의 수정이 다 끝났으면, sendmail을 restart 하기 전에 ruleset 모드에서 테

스트를 해 봅니다.

$ /usr/lib/sendmail -bt

ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)

Enter  

> check_sircam Multipart message

check_sircam       input: Multipart message

check_sircam     returns: $# error $: 550 553 Your message may contain the

Sircam . worm ! ! ! See http : / / www . symantec . com / avcenter / venc / data /

pf / w32 . sircam . worm @ mm . html

> ctrl-D (빠져나오기)

위와 같이 잘 되었다면, sendmail을 restart 합니다.

서진우

슈퍼컴퓨팅 전문 기업 클루닉스/ 상무(기술이사)/ 정보시스템감리사/ 시스존 블로그 운영자

You may also like...

페이스북/트위트/구글 계정으로 댓글 가능합니다.