Bloquer les pieces jointes .com .pif .vbs ... avec SME

[Yann31]

Salut à tous,

Je cherche desesperement depuis le debut de la journée de bloquer (supprimer) les fichiers joints qui auraient des extensions dangereuses comme celles citées dans le titre.

J'ai regardé dans les configs de Amavis, de Clamav, de spamassassin, et je n'ai rien truvé de tel...

Est-ce que quelqu'un aurait-il deja pensé à faire un truc comme çà ?

Je lance cette question avant de partir en WE prolongé, donc je ne verrai les reponses que mardi (si quelqu'un a une soluce...)

Allez, merci d'avance et bon WE à tous

A+
Yann

[jibe]

Ce qui me parait surtout dangereux, c'est de supprimer ces fichiers

Ca a l'air d'une plaisanterie, mais je ne comprends pas bien tes raisons ?

Certes, ces fichiers contiennent très souvent des virus, mais parfois ce sont des fichiers normaux que des correspondants s'échangent... D'autre part, ce ne sont pas les seuls à contenir parfois des virus...

Amavis-clamav te supprimera les mails contenant de tels fichiers dans le cas où il y a un virus dedans. Ainsi que tous (et seulement) les mails avec ou sans PJ qui contiendraient des virus. Ca me parait quand même la meilleure solution, non ?

[stevethx]

Non je trouve pas que cette idée soit ridicule...au contraire c toujours un risque en moins, si par exemple l'antivirus ne s'est pas mis à jour et qu'un petit .pif malicieux s'est glissé...

D'ailleurs si en effet y'a un truc qui existe pour empecher les pieces jointes en .pif,.src et autre extensions de passer ça m'interesse. Personnellement je n'ai jamais utiliser un .pif, un .src ou un .com envoyé par e-mail.

[braouazou]

Même Outlook (!!) bloque l'accès aux pièces jointes ayant ce type d'extensions, c'est pour dire Il n'y a aucun risque à mon avis à supprimer directement ces fichiers joint sà la source, et ça m'intéresserait aussi beaucoup!!

[olga]

Dans tous les cas si il y a une solution pour bloquer des pieces jointes par extention ( en emmission ou reception ) ca peut etre interressant ... il peut y avoir des utilitées ... comme interdire les utilisateurs d'envoyer des photos ou des videos ou des ppt ... au boulot par exemple ....

[Rbill]

les supprimer c'est radical mais il vaudrait peut etre dans la mesure du possible les renommer

[jibe]

Bon, chacun ses idées, alors

J'avais tenu à mettre notre ami Yann31en garde parce que :
- J'ai travaillé pendant longtemps comme développeur à domicile. Echanger des fichiers de tous types d'extensions avec ma boite était presque quotidien. Pas question donc de les supprimer !
- Un bon antivirus éliminera les mails véhiculant des virus. Il me parait beaucoup plus probable que le filtre désiré par Yann31 élimine accidentellement des mails qu'il aurait fallu conserver, que l'antivirus s'arrête ou ne se mette pas à jour. Je répète que je parle d'un bon filtre et d'un bon antivirus, correctement installés et configurés. Sûr que si on fait l'install n'importe comment et que l'antivirus est mis à jour une fois sur dix et ne vérifie pas tous les e-mails...
- Généralement, les meilleurs antivirus et filtres de spam ne suppriment rien, parce que c'est dangereux. Ils renomment ou dévient dans un répertoire prévu à cet effet. C'est d'ailleurs ce que préconise RBill.

Par contre, l'idée d'olga me semble effectivement intéressante. Mais il faudrait ne pas télécharger et laisser sur le serveur. J'ai effectivement une amie qui me bombarde de ses photos de vacances en 1280x1024, quand j'étais en RTC je l'ai maudite plus d'une fois !

Bon, ceci dit, je ne me suis jamais penché sur ce problème, mais je suis surpris que personne n'ait trouvé un filtre donnant ce genre de possibilités...

[braouazou]

Je ne sais pas quel MTA est utilisé par SME, mais j'ai trouvé cette doc par hazard pour Procmail: http://www.linux-france.org/article/nem ... l#EXEMPLES

Si vous avez des astuces pour Exim

[jibe]

Je ne sais pas quel MTA est utilisé par SME

qmail. Mais on peut aussi y mettre en service procmail. C'est normalement le cas pour ceux qui utilisent fetchmail ou spamassassin.

Intéressant, ton truc ! J'ai jeté un oeil rapide, il me semble qu'il y aurait des adaptations à faire (j'ai vu passer sendmail, faudrait changer en qmail). L'avantage, c'est qu'on peut rediriger les mails vers un répertoire spécial plutôt que de les supprimer. Quitte à ajouter une tâche cron qui les supprime définitivement au bout de quelque temps, cette solution me parait nettement préférable...

[guiguid]

http://www.tech-geeks.org/contrib/lovel ... ad-attach/
?

[acerb]

C'est de nouveau pour procmail mais ca a l'air faisable (necessite juste Lazy Tools). J'essaie de le passer en qmail... et vous tiens au courant

[Yann31]

Salut à tous,

Merci pour vos reponses.
Le lien envoyé par guiguid me convient parfaitement.

Pour répondre à Jibe :

Non meme le meilleur des antivirus du monde peut avoir des loupés : il suffit que l'on recoive un fichier vérolé avant que la mise a jour soit dispo sur le site de l'editeur, qu'un utilisateur ne tienne pas compte des recommendations faites de ne jamais ouvrir ce type de fichiers, et cette combinaison de "pas de chance" suffit a véroler un poste (voire plusieurs). D'accord il y a tres peu de chances ca se joue sur des laps de temps tres faibles (au maximum quelques heures) mais ca m'est arrivé juste avant que je poste cette question (d'où ma recherche à ce sujet)

Je vais tester ce scipt et vous tiendrai au courant.

A+
Yann.

[jibe]

Tout à fait d'accord avec toi, Yann31 . Je parlais de probabilités seulement ! Et puis, ce n'est que mon humble avis, si le tiens est différend, tu es libre (heureusement ) de ne pas suivre le mien !

Allez, bonne chance

[Souley]

Suffit de chercher sur contribs ou dans le forum ...
http://contribs.org/modules/phpwiki/ind ... ront-qmail


Souley