[메일] sendmail 에서 sircam virus 차단하기
예방차원에서 설정해보았다..^^
본 차단법은 Sircam worm 제작자의 잘못된 Content-Disposition: 사용에 바탕을 둔
것으로, Content-Disposition: 의 올바른 사용예는 RFC 2183을 참조하시기 바랍니다.
즉, 본 룰셋은 메일 헤더에 아래와 같은 header field가 발견될 경우 sircam worm 으로
간주하여 reject 합니다. RHS의 올바른 사용예는, ‘inline’ 또는 ‘attachment’ 입니다.
Content-Disposition: Multipart message
sendmail.cf에 다음 룰셋만을 추가하여 Sircam worm을 차단할 수 있습니다.
또한, 내부 네트워크에 이미 감염된 PC가 있을 경우 worm의 확산을 차단함과
동시에, maillog(또는 syslog)를 검색하여 감염된 PC를 발견할 수 있을 것입니다.
이 룰셋의 사용은 sendmail 8.9 이상에서만 사용할 수 있습니다.
파란색으로 된 부분이 추가될 부분입니다.
# check IP address
R$* $: $&{client_addr}
R$@ $@ OK originated locally
R0 $@ OK originated locally
R$=R $* $@ OK relayable IP address
R$* $: $>LookUpAddress <$1> <$1>
R $* $@ RELAY relayable IP address
R<$*> <$*> $: $2
R$* $: [ $1 ] put brackets around it…
R$=w $@ OK … and see if it is local
# anything else is bogus
R$* $#error $@ 5.7.1 $: “550 Relaying denied”
### Sircam worm filter
HContent-Disposition: $>check_sircam
D{SIRCAM}”Your message may contain the Sircam.worm !!! See
http://www.symantec.com/avcenter/venc/data/pf/w32.sircam.worm@mm.html”
Scheck_sircam
RMultipart message $#error $: 550 ${SIRCAM}
#### 주의: Multimapt message와 $#error 사이는 [TAB]입니다.
###############################################################
#######
###############################################################
#######
#####
##### MAILER DEFINITIONS
#####
###############################################################
#######
###############################################################
#######
Sendmail.cf의 수정이 다 끝났으면, sendmail을 restart 하기 전에 ruleset 모드에서 테
스트를 해 봅니다.
$ /usr/lib/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter
> check_sircam Multipart message
check_sircam input: Multipart message
check_sircam returns: $# error $: 550 553 Your message may contain the
Sircam . worm ! ! ! See http : / / www . symantec . com / avcenter / venc / data /
pf / w32 . sircam . worm @ mm . html
> ctrl-D (빠져나오기)
위와 같이 잘 되었다면, sendmail을 restart 합니다.
1 Response
… [Trackback]
[…] There you will find 40994 additional Info to that Topic: nblog.syszone.co.kr/archives/448 […]