Diese Woche wurde an mich wieder mal die Frage heran ge tragen, ob es nicht möglich sei, auf einem HTTP– und Mailgateway ausführbare Dateien (Executables) generell zu blocken und nicht bis zum Browser bzw. ins Postfach des Nutzers gelangen zu lassen. Da es in diesem Fall konkret um die Proxy-Software Squid und den Mailserver Postfix geht wäre eine Filterung auf Basis des Dateinamens relativ schnell über entspre chende ACLs und »header checks« umsetzbar; diese Art der Überprüfung ist aller dings auch sehr unzuverlässig.
Eine bessere Lösung, die den Inhalt von E-Mail-Anhängen und herunter geladenen Dateien untersucht, unab hängig vom Dateinamen bzw. der Dateiendung, sollte es schon sein. Schön wäre es auch, wenn der Inhalt von (kompri mierten) Archiven auf das Vorhandensein von ausführ baren Binärdateien durch sucht werden könnte. Zudem sollte sich der Aufwand in Grenzen halten um das Gesamtsystem nicht noch komplexer zu machen. Ach ja, die Performance des HTTP-Proxys sollte ebenfalls nicht weiter leiden — immerhin werden hier schon alle Anfragen durch einen Virenscanner — in diesem Fall HAVP in Verbindung mit ClamAV — gejagt.
More
Support this project and others with 1-click micro-donations
