Qmail-Scanner

Qmail的扫描仪是一种附加，使一个Qmail的邮件服务器来扫描某些特性gatewayed电子邮件（即内容扫描）。它通常用于它的抗病毒和反垃圾邮件保护功能，在这种情况下，它是用于与外部扫描器一起使用。
Qmail的扫描仪应用程序还允许一个网站（在服务器/站点级别），以创建“策略块”：即反应电子邮件，其中包含特定标题的特定字符串，或特定的附件文件名或类型（如* .VBS附件）。
其特点档案有助于互联网服务供应商和企业与世界各地的新的或未决的立法和监管要求。它可以存档所有加工成电子邮件归档邮件目录。这是理想的备份目的的审计策略的原因。不像某些基于Windows的服务器解决方案，邮件信封头（以下简称“RCPT TO：”和“邮件：”报头）都保持不变 - 附加到每个邮件的底部 - 确认发送者真实和目的地地址。
归档还支持过滤，地址的子集（例如，只存档“support@domain.name”的电子邮件，而不是全部）。此外，每个消息由Qmail的扫描仪产生的大量单行摘要可能足以为企业履行自己的义务 - 而不是更多的磁盘密集型全归档。像往常一样，联系律师进行适当定义。
的qmail-扫描器在一个较低的水平比其他一些基于Unix的病毒扫描程序集成到所述邮件服务器，从而导致更多的全面覆盖。它能够扫描不仅本地发送/接收穿过一个中继容量服务器的电子邮件，而且邮件。 Qmail的扫描仪还利用丰富的Qmail的所提供的元信息（如客户端IP地址，客户端是否被允许中继）。
以下是“Qmail的扫描仪”的一些主要特点：
·支持几乎所有的商业（UNIX）病毒扫描以及广受欢迎的开源ClamAV的扫描仪。
·可调用多个病毒扫描每个邮件
·内部有自己的扫描仪，可用于政策执行，或隔离病毒，您的AV目前无法检测
·内部扫描仪还可以用于隔离电子邮件基于附件类型，或与某些电子邮件标题...需要电子邮件来停止* .mp3文件或“主题：ILOVEYOU”的电子邮件上获得和关闭您的局域网 - 可以做到！ :-)
·内部的扫描仪可以触发一个“灰名单”的行动，而不是隔离。这是专为紧急情况下，您的当前AV和静态策略块是不恰当的。例如新的ZIP-基于病毒出来的随机文件名。你的AV不能检测到它，你不能阻止全球ZIP文件而不伤害有效用户。 A“灰名单”的行动会引起Qmail的扫描仪退出与SMTP临时故障，而不是传递的消息。有效的邮件会被简单地重新排队，并且可以流过一次后您的AV可以检测到病毒，并且决定删除灰名单政策。
·内部引擎扫描已知要使用的木马/病毒程序运行来感染客户端格式不正确的消息。因此，这是独立于任何病毒扫描，并且可以成功地对将来病毒程序运行/木马操作。这样的消息被立即隔离。已知阻止此类病毒程序运行的主要求职信如和Aliz，并作为一个副作用，阻止垃圾邮件相当数量的呢！格式检查包括：
·破MIME头延续
·使用标准的头中的注释（如“内容-T（XXXXXX）YPE：”是* *等同于“内容类型：”根据RFC的 - 但病毒程序运行的一些使用这个，因为它规避一些反病毒扫描程序）。有效的利用，这是从来没有见过在野外 - 所以它封锁
·MIME头的重复出现使得QS重命名后的人，以抵消他们
·MIME边界超过250个字符被封锁
·不同的一个特定的附件文件名的定义使得它被挡住
·双定义相同的MIME边界被封锁
·包含Windows可执行文件扩展名是专门阻塞（如文件名的“音频/ WAV”“wav.exe”只能是一种病毒）某些MIME类型
·在一个MIME附件破头被封锁
·窗口未标记为MIME类型的可执行文件附件“应用程序/ .....”被阻塞（如重命名为notepade.exe和notepade.gif发送它作为一个GIF附件会被隔离，因为Qmail的扫描仪会意识到这是一个可执行假装是别的东西）。
·附件文件名超过256个字符被封锁
·一些双管文件名被阻塞（如file.gif.exe）。它试图不要堵塞常见的错误变种
·CLSID文件扩展名被阻止
·密码保护的zip文件可以，如果你想被阻止。这将阻止通过获取里面塞满密码保护的zip文件的任何未来的病毒，但当然也将停止任何合法的使用。默认关闭的，但也许是有用的，打开一个新的爆发期间，并再次关闭一旦AV更新时，可以抓住它。
·默认为始终运行任何AV你可能有过的邮件，再运行内部扫描器（政策/ perlscan）检查。这意味着如果你阻止“.PIF”的文件，由于它们通常含有病毒，那么任何.PIF文件确实包含已知的AV系统中的病毒将被标记为“病毒”，并且每个阶段都是错过了（也许他们是零日病毒），然后标记为被拦截的“政策”。这种分化然后由所述警报系统。它默认为不通知的病毒已被发现发件人，但还是可以通知他们时，这是一个“政策”块。
·隔离区的邮件发现违反上述子系统。病毒被隔离到名为“病毒/”，政策块成“政策/”（潜在的）高额定垃圾邮件目录一，进入“垃圾邮件/”
·可与SpamAssassin的集成，为整个网站提供全面的反垃圾邮件标记。通常使用还包括使用Qmail的扫描仪作为“前端”的企业邮件服务器，如Notes和Exchange。 Qmail的扫描仪做了所有的脏活累活 - （希望）只留下干净的邮件后端:-)
·从“邮政局长”式和邮件列表地址自动检测邮件 - 并且不会发送病毒警报报告，他们（即试图更像一个负责任的网民）
·由于事实，即所有电子邮件传播的病毒超过99.9％，现在使用伪造的发件人信息，QS默认为不提醒，一个消息已被隔离，除非它是由于政策/ Perlscan块的发送者。这可以转身回“老”的风格用“--notify发件人”，而不是“--notify psender”的新的默认值（即只通知发件人策略阻止）
·知道哪些伪造发件人的头病毒程序运行的 - 使病毒似乎来自一些贫困无辜的。 Qmail的扫描仪将无法发送警报给发件人为这些类型的病毒程序运行。作为默认是不反正通知，这只有真正生效，如果您使用的是“--notify发送”选项。
·每个消息通过一个新接收标签：头带有病毒的报告显示，无论是清洁还是不和病毒扫描程序版本号在/ etc
·由“--sa检疫”选项（基本上有一个非常高的分数SA）列为“严重的垃圾邮件”的邮件[默认禁用]将被隔离掉成“邮件目录”的邮件的文件夹（./spam/）。这种分离到它自己的邮件目录允许站点拿出自己的处理误报的方法。不过...
·在“-z”清理选项将删除子文件夹隔离邮件超过14天 - 以确保它不会增长太大。如果你想保持他们更长的时间，只是剧本的东西每天移动到另一个目录/ maildir的。有在contrib目录中的logrotate的脚本来自动完成这个（这些系统，可以使用它 - 像红帽/ CentOS的）
·可以选择添加一个描述性标题：X-Qmail的扫描仪来穿过系统，让用户能够看到一台扫描仪已经运行在他们的邮件每封电子邮件。
·捕获的qmail-扫描仪生成的消息的电子邮件（目前支持英语，意大利语，南非荷兰语，波兰语，瑞典语，捷克语，德语，西班牙语，土耳其语，立陶宛，法国，葡萄牙，荷兰和中国的消息）给发件人的配置组合，收件人和“隔离管理员”地址解释为什么他们的消息被封锁。
·可存档的部分或全部处理邮件（即没有隔离）到归档邮件目录。调试基于电子邮件的应用程序时，备份的目的，以及用于审计策略的原因。目前，该邮件信封头（以下简称“RCPT TO：”和“邮件：”报头）被附加到每个邮件的底部。此选项支持被称为使用正则表达式在这种情况下，只有信封与表达式匹配的存档头（如可以存档“（支持|销售）@ domain.name”，而不是所有的电子邮件）
·通过syslog或文件，每一个处理消息的一行描述，报告提供的大量信息，如主题行，附件文件名，大小，等等。
·冗余扫描。它不仅运行在扫描仪前，解开每一个消息，它也可以扫描原来的“原始”电子邮件以及解压后的组件（例如，如果你认为一个特定的扫描仪拥有更好的内部MIME分析比Qmail的扫描仪）
·报告：在contrib目录中有qs2mrtg.pl。一个Perl脚本，用于监视系统日志文件的qmail-scanner的记录。然后，图表Qmail的扫描仪是如何处理您的电子邮件。它创建不同的图形传入传出VS电子邮件，以及垃圾邮件和病毒的流动。
要求：
·Netqmail 1.05（或的qmail-1.03补丁）
·创建一个单独的帐户下运行的qmail-扫描：默认的用户名和组名“qscand”。对于额外的安全性，与正常的家庭目录中创建它（例如“/家/ qscand”），但与“假”壳（如“/斌/假”） - 因为它从来没有登录到直接。
·从maildrop的reformime 1.3.8+
·Perl的5.005_03 +
·Perl模块时间::高分辨率
·Perl模块DB_File（大多数发行版都带有它预装，虽然最新的Perl并不）
·Perl模块Sys系统日志::（大多数发行版都带有它预装）
·Perl模块MIME :: Base64的（大多数发行版都带有它预装）
·可选：马克辛普森的TNEF解包。可以解码那些烦人的MS-TNEF MIME附件，微软邮件服务器只是爱用。如果没有这一点，有几类电子邮件中的qmail-扫描仪基本上将无法提取附件的影响。但是，您的AV很可能是能够处理它们
·可选：uudecode的（sharutils对红帽式系统的一部分）
·可选：解压缩

什么在此版本中是新的：

• 在一些小的错误是固定
• 新功能包括支持DLP和团队库姆恶意软件哈希注册表支持。