[postfix-es] Restriccion envio de Attachments

Diego A. Puertas Fernández dpuertas en uc.edu.ve
Vie Jul 25 22:39:59 CEST 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Debes pasar los mensajes a través de un filtro. En tu caso, este 
filtro debe ser un programa o script que examine el contenido del 
correo y haga con el lo que tu necesites.

En el archivo /etc/postfix/README_FILES/FILTER_README se explica como 
hacer un filtro. Dependiendo de tu distribución, esto puede estar 
ubicado en otro lado o simplemente no estar; en cualquier caso, si te 
bajas las fuentes, el archivo esta alli.

En mi caso, yo uso el procmail sanitizer, que no es mas que un archivo 
de configuración para el procmail con conjunto de reglas que te 
ayudan a prevenir contenido malicioso dentro de los correos: renombra 
los attachments .doc, .xls, etc, a .defanged-doc, .defanged-xls; 
evitando asi la ejecución automática por parte del M$ outlook. 
También elimina los attachments .com, .exe y .pif. El procmail o el 
maildrop son unos buenos filtros para el proposito que tu persigues, 
si no te satisfacen las reglas del procmail-sanitizer puedes 
escribirte otras a tu gusto. Si no te satisface esta solución, puedes 
hacer tu propio script de filtrado.

En mi caso hago  tres cosas para activar el filtrado:


1) En /etc/postfix/master.cf hago que el modulo smtpd le agregue una 
   etiqueta que le dice al modulo qmgr (o nqmgr) que pase el correo 
   por un filtro con la siguiente linea:

 smtp      inet  n       -       n       -       -       smtpd -o \
 content_filter=filter:


2) En /etc/postfix/master.cf defino el modulo al cual en qmgr le va a 
   pasar el correo, ese modulo lo llamé filter y lo definí asi:

 filter unix - n n - - pipe flags=Rq user=filter \
 argv=/reduc/sbin/filtro-procmail-sanitizer \
 -f ${sender} -- ${recipient}


3) EL script de filtrado, llamado filtro-procmail-sanitizer, es muy 
   sencillo, su contenido es el siguiente:

 #!/bin/bash
 procmail -m /etc/procmailrc | /usr/sbin/sendmail $*

   Lo único que hace este script es pasarle el correo al procmail e 
   inyectarle la salida al sendmail.postfix, como el correo es ahora 
   entregado localmente y no pasa por el módulo smtpd, no le es   
   agregada la etiqueta y el qmgr lo despacha normalmente.


Ten en cuenta que este esquema filtra solo los correos que entran via 
SMTP, si tienes algunos clientes locales instalados en *tu* servidor 
como el pine,  el mutt o el sqwebmail, los correos que envien *tus* 
usuarios no seran filtrados, pues entran al postfix via sendmail. 
Ahora, los correos que envie el resto del mundo a tus usuarios si 
serán filtrados.

El procmail-sanitizer puedes encontrarlo en: 
http://www.impsec.org/email-tools/procmail-security.html

- -- 
Diego A. Puertas Fernández
Analista Programador, RedUC
http://reduc.uc.edu.ve
0412 8227121
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE/IZWfBlO1I6nClvwRAjYpAKCeILMOGPmz/D13pSiHbwaYSZNIJACgoUXe
/zOwxOhIxbWCqWuHI6WVx28=
=NN5X
-----END PGP SIGNATURE-----

-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.

Más información sobre la lista de distribución Postfix-es