21/11/2002, 05:14
|
| Colaborador | | Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses Puntos: 14 | |
Normalmente los buenos servidores de correos implementan soluciones antivirus. el que mejor conozco MDaemon tiene de forma nativa en un módulo con su propio antivirus. A parte de esto el servidor debería de implementar también un filtrado para evitar hoaxes u otros virus que puedan ser filtrado por subject, contenido, etc. Importante también que todo pase por un firewall.
Para la mejor configuración de los filtros de correo y firewall podrías instalar un IDS con reglas personalizadas que detecte la entrada en el sistema de virus, hoax y otras especies a apartir de patrones.
Mira por ejemplo estas reglas para el caso de Snort y un virus que en su momento causó muchos dolores de cabeza:
W32.Sircam.Worm@mm
2001-07-20 -- W32.Sircam.Worm@mm
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Te mando este archivo para que me des tu punto de vista"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Espero me puedas ayudar con el archivo que te mando"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Espero te guste este archivo que te mando"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Este es el archivo con la informaci=n que me pediste"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I send you this file in order to have your advice"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I hope you can help me with this file that I send"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I hope you like the file that I sendo you"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "This is the file with the information that you ask for"; nocase; rev:2;)
alert tcp any any -> any 25 (msg:"Virus - Posible VBS.VBSWG2.X@mm Worm"; content: "name=\"Homepage.HTML.vbs\""; nocase; rev:1;)
A apartir de estos ejmplos es muy fácil filtrar si por correo se pasan MP3 archivos de video, pornografía, etc. |