Ver Mensaje Individual
  #2 (permalink)  
Antiguo 21/11/2002, 05:14
Avatar de Alfon
Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Normalmente los buenos servidores de correos implementan soluciones antivirus. el que mejor conozco MDaemon tiene de forma nativa en un módulo con su propio antivirus. A parte de esto el servidor debería de implementar también un filtrado para evitar hoaxes u otros virus que puedan ser filtrado por subject, contenido, etc. Importante también que todo pase por un firewall.

Para la mejor configuración de los filtros de correo y firewall podrías instalar un IDS con reglas personalizadas que detecte la entrada en el sistema de virus, hoax y otras especies a apartir de patrones.

Mira por ejemplo estas reglas para el caso de Snort y un virus que en su momento causó muchos dolores de cabeza:

W32.Sircam.Worm@mm

2001-07-20 -- W32.Sircam.Worm@mm

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Te mando este archivo para que me des tu punto de vista"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Espero me puedas ayudar con el archivo que te mando"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Espero te guste este archivo que te mando"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Este es el archivo con la informaci=n que me pediste"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I send you this file in order to have your advice"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I hope you can help me with this file that I send"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I hope you like the file that I sendo you"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "This is the file with the information that you ask for"; nocase; rev:2;)

alert tcp any any -> any 25 (msg:"Virus - Posible VBS.VBSWG2.X@mm Worm"; content: "name=\"Homepage.HTML.vbs\""; nocase; rev:1;)

A apartir de estos ejmplos es muy fácil filtrar si por correo se pasan MP3 archivos de video, pornografía, etc.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com