Antivirus pour flux Imap

Antivirus pour flux Imap - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 09-12-2008 à 14:58:25    

Bonjour,
 
Je suis actuellement à la recherche d'une solution antivirus pour mon serveur/proxy Imap (linux).
 
L'hypothèse rencontrée : envoi d'un message vérolé via Imap (type dossier brouillons) depuis un poste client non équipé d'un antivirus.
 
Je suis intéressé par tous types de produits : libre / appliance software / appliance hardware.
 
Merci

Reply

Marsh Posté le 09-12-2008 à 14:58:25   

Reply

Marsh Posté le 09-12-2008 à 20:28:46    

Amavis qui marche avec pleins d'antivirus dont Clamav

Reply

Marsh Posté le 09-12-2008 à 20:48:48    

gros castor a écrit :

Bonjour,
 
Je suis actuellement à la recherche d'une solution antivirus pour mon serveur/proxy Imap (linux).
 
L'hypothèse rencontrée : envoi d'un message vérolé via Imap (type dossier brouillons) depuis un poste client non équipé d'un antivirus.
 
Je suis intéressé par tous types de produits : libre / appliance software / appliance hardware.
 
Merci


imap c'est pour consulter la boite. C'est le poste de réception qui n'a pas d'antivirus ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 10-12-2008 à 02:55:08    


le problème dans le cas présent c'est que c'est le poste client qui va directement envoyer le message sur la boite par le biais du protocole IMAP, il n'y a donc pas de passage par le biais d'amavis.
(il faut noter toutefois que la question de gros castor n'est pas très claire, il devrait fournir un peu plus d'explication sur les conditions dans lesquelles il imagine se trouver.)

 

edit:
je pense qu'en se servant de SIEVE il doit être possible de permettre un contrôle de l'envoi des mails directement par le biais de l'IMAP

Message cité 1 fois
Message édité par mikala le 10-12-2008 à 03:03:36

---------------
Intermittent du GNU
Reply

Marsh Posté le 10-12-2008 à 09:02:18    

Mjules a écrit :

imap c'est pour consulter la boite. C'est le poste de réception qui n'a pas d'antivirus ?


Il s'agit pas d'un envoi via smtp.
Lorsqu'un client compose un message depuis un client lourd/léger et qu'il choisit de l'enregistrer dans son dossier Brouillons, alors le message est écrit dans la boîte aux lettres via le protocole IMAP.
Le problème est que le poste client n'est potentiellement pas équipé d'antivirus et que le message ne passe par aucun système de filtrage antivirus. (comme expliqué par mikala)

mikala a écrit :


(il faut noter toutefois que la question de gros castor n'est pas très claire, il devrait fournir un peu plus d'explication sur les conditions dans lesquelles il imagine se trouver.)
edit:
je pense qu'en se servant de SIEVE il doit être possible de permettre un contrôle de l'envoi des mails directement par le biais de l'IMAP


Quelques précisions sur ma problématique :
- je n'ai pas la possibilité d'imposer un antivirus sur tous les postes clients du parc informatique,
- un message vérolé peut passer via IMAP,
- l'attaque peut potentiellement viser le serveur IMAP,
- le client peut se connecter depuis plusieurs postes différents et ainsi contaminer plusieurs ordi lorsqu'il récupèrera son brouillon.
 
Je ne connais pas trop le protocole SIEVE, je vais me renseigner, merci pour la piste.

Reply

Marsh Posté le 10-12-2008 à 10:55:05    

A noter qu'on peut aussi envisager clamav(ou autre antivirus fonctionnant sous un environnement GNU/Linux *BSD) être appelé à l'apparition de tout nouveau fichier par le biais de notify.


---------------
Intermittent du GNU
Reply

Marsh Posté le 10-12-2008 à 14:03:13    

mikala a écrit :

A noter qu'on peut aussi envisager clamav(ou autre antivirus fonctionnant sous un environnement GNU/Linux *BSD) être appelé à l'apparition de tout nouveau fichier par le biais de notify.


J'ai regardé "notify" car cela me semblait intéressant.
 
Par contre à l'usage, deux grosses restrictions :
- peut louper des modifs si la modif est peu importante,
- ne prend en compte les nouveaux dossiers que si le daemon est redémarré.

Citation :

One of them is their unability to detect content-preserving file changes, i.e. write operations that only affect a tiny portion of a file. It is impossible to use inotify in order to determine what part of a file has actually been modified. A second problem is that you have to open every directory once before you can register for changes within that directory. This is very unconvenient, especially if you want to watch large file systems, as it requires a full scan of the file system.


http://www.stefan.buettcher.org/cs/fschange/index.html
 
Tu pensais à cette implémentation ?

Reply

Marsh Posté le 10-12-2008 à 17:38:41    

oui.


---------------
Intermittent du GNU
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed