Antivirus pour flux Imap - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 09-12-2008 à 20:28:46
ReplyMarsh Posté le 09-12-2008 à 20:48:48
gros castor a écrit : Bonjour, |
imap c'est pour consulter la boite. C'est le poste de réception qui n'a pas d'antivirus ?
Marsh Posté le 10-12-2008 à 02:55:08
le problème dans le cas présent c'est que c'est le poste client qui va directement envoyer le message sur la boite par le biais du protocole IMAP, il n'y a donc pas de passage par le biais d'amavis.
(il faut noter toutefois que la question de gros castor n'est pas très claire, il devrait fournir un peu plus d'explication sur les conditions dans lesquelles il imagine se trouver.)
edit:
je pense qu'en se servant de SIEVE il doit être possible de permettre un contrôle de l'envoi des mails directement par le biais de l'IMAP
Marsh Posté le 10-12-2008 à 09:02:18
Mjules a écrit : imap c'est pour consulter la boite. C'est le poste de réception qui n'a pas d'antivirus ? |
Il s'agit pas d'un envoi via smtp.
Lorsqu'un client compose un message depuis un client lourd/léger et qu'il choisit de l'enregistrer dans son dossier Brouillons, alors le message est écrit dans la boîte aux lettres via le protocole IMAP.
Le problème est que le poste client n'est potentiellement pas équipé d'antivirus et que le message ne passe par aucun système de filtrage antivirus. (comme expliqué par mikala)
mikala a écrit : |
Quelques précisions sur ma problématique :
- je n'ai pas la possibilité d'imposer un antivirus sur tous les postes clients du parc informatique,
- un message vérolé peut passer via IMAP,
- l'attaque peut potentiellement viser le serveur IMAP,
- le client peut se connecter depuis plusieurs postes différents et ainsi contaminer plusieurs ordi lorsqu'il récupèrera son brouillon.
Je ne connais pas trop le protocole SIEVE, je vais me renseigner, merci pour la piste.
Marsh Posté le 10-12-2008 à 10:55:05
A noter qu'on peut aussi envisager clamav(ou autre antivirus fonctionnant sous un environnement GNU/Linux *BSD) être appelé à l'apparition de tout nouveau fichier par le biais de notify.
Marsh Posté le 10-12-2008 à 14:03:13
mikala a écrit : A noter qu'on peut aussi envisager clamav(ou autre antivirus fonctionnant sous un environnement GNU/Linux *BSD) être appelé à l'apparition de tout nouveau fichier par le biais de notify. |
J'ai regardé "notify" car cela me semblait intéressant.
Par contre à l'usage, deux grosses restrictions :
- peut louper des modifs si la modif est peu importante,
- ne prend en compte les nouveaux dossiers que si le daemon est redémarré.
Citation : One of them is their unability to detect content-preserving file changes, i.e. write operations that only affect a tiny portion of a file. It is impossible to use inotify in order to determine what part of a file has actually been modified. A second problem is that you have to open every directory once before you can register for changes within that directory. This is very unconvenient, especially if you want to watch large file systems, as it requires a full scan of the file system. |
http://www.stefan.buettcher.org/cs/fschange/index.html
Tu pensais à cette implémentation ?
Marsh Posté le 09-12-2008 à 14:58:25
Bonjour,
Je suis actuellement à la recherche d'une solution antivirus pour mon serveur/proxy Imap (linux).
L'hypothèse rencontrée : envoi d'un message vérolé via Imap (type dossier brouillons) depuis un poste client non équipé d'un antivirus.
Je suis intéressé par tous types de produits : libre / appliance software / appliance hardware.
Merci