Criptografia e Segurança

(1)

Criptografia e Segurança

das Comunicações

Ferramentas de protecção

AV e AS

Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 1/40

Detecção de virus (1)

• No mercado existem programas dedicado à detecção e

erradicação de virus (McAfee, Synmatec..), que vamos

referir por AVs.

• Há problemas na taxas de sucesso na detecção e

probabilidade de falsas detecções.

• As 3 estratégias mais adoptadas na detecção são:

– Aparência: pesquisa código com grande probabilidade de não existir noutros programas.

– Comportamento: monitoriza sistema para encontrar acções dúbias.

– Alteração: compara atributos chave.

(2)

Detecção de virus (2)

A. Detecção por aparência

• Identificação de “scan strings” de virus previamente

detectados.

• As tabelas do AV (designado por “scanner”) devem ser

periodicamente actualizadas.

• Apear de serem os menos efectivos, acabam por serem

obtidos os melhores resultados (por obrigar o utilizar a

actualizar as tabelas das “scan strings”)

• Há 3 medidas de fuga à detecção e contra-resposta

Detecção de virus (3)

1. Fuga: cifra, com chaves limitadas, que obrigaria o AV ter de decifrar todas as hipóteses (logo, mais pesado).

Contra-resposta: a rotina de cifra pode ser usada como “scan string”! 2. Fuga: polimorfismo, em que o código possui vários métodos de cifra

sendo substituido sucessivamente o código aberto. O DAME é uma ferramenta de apoio ao polimorfismo.

Inconveniente: o virus é muito maior (ex: o Whale, com 10KB, possui 33 alternativas). O efeito nos AVs é apenas aumentar as tabelas das “scan strings”.

3. Fuga: metamorfismo (mutação), substituindo instruções por outras equivalentes (ex: MOV AX,0 por SUB AX,AX ou XOR AX,AX). Contra-resposta: os AVs possuem tabelas de substituição durante a pesquisa e todas as alternativas são comparadas (logo, mais pesado).

(3)

Detecção de virus (4)

B. Detecção por comportamento

• Um programa, ao pretender executar INT sob vigilância (ex: abrir ficheiros .COM ou .EXE em modo de escrita), leva o interceptador obter autorização para prosseguir.

1. Fuga: curto-circuito , o virus chama directamente as funções sob vigilância.

C. Detecção por alteração

• Versão mais simples: virus alteram comprimento do ficheiro infectado, logo basta o AV verificar este atributo.

Problema: versões, legítimas, alteram também o comprimento dos

programas. Solução: “checksum” como atributo (a soma de todos os Bytes do programa com o “checksum” deve dar 0).

Detecção de virus (5)

Detecção de virus por macros

• Instalar um AV, que deve ser periodicamente actualizado

• Versões actualizadas do Office avisam utilizador da

possível presença no documento de macros infectadas.

1. Negar utilização das macros em todos os documentos suspeitos. 1. Negar utilização das macros em todos os documentos suspeitos. 2. Usar o VBE para verificar macros suspeitas.

• Há virus que inibem opções do Tools->Macro. Para estes

casos, editar o ficheiro (por exemplo, com MSDOS Edit) e

procurar comandos suspeitos (DoWhile, Output As,…).

(4)

F-Secure (1)

• O IST subscreveu licença de campus, sendo carregado a

partir de https://delta.ist.utl.pt/software/software.php

• Versões:

i. Gestão centralizada, para computadores fixos: actualização feita por servidor do CIIST (mais rápida).

Curiosidade, não faz parte da avaliação

por servidor do CIIST (mais rápida). ii. Gestão individual, para portáteis.

• Passos na instalação:

1. “Dowload” em Administrator 2. Lançar o programa

F-Secure (2)

1. Passos de instalação listados numa nova janela.

2. Executar “restart” do computador

(5)

F-Secure (3)

• Configuração e comandos do

AV efectuados com a tecla

direita do rato por cima do ícon

mostrado na barra de tarefas.

F-Secure (4)

3. Depois de instalado o

F-Secure, verificar

(“scan”) ficheiros

pelo comando

Verificar discos rígidos

Nota: operação demora,

tipicamente, meia hora.

(6)

SPAM – introdução (1)

• SPAM

¹

– mensagem Email não solicitada, dividida por

– Boato (“Hoax”): história falsa para benifício do lançador (ex: alegada informação de onda de calor/ciclone, por forma a regressar mais cedo do emprego)

– Corrente (“Chain”): promessa de prejuízo ao receptor se não reenviar mensagem a um número mínimo de outras pessoas, ou reenviar mensagem a um número mínimo de outras pessoas, ou benefício se reenviar a mensagem.

– Propaganda de produtos: ex: venda de medicamentos (Viagra,…) – Conto do vigário (“Scam”): oportunidade

enganosa (ex: carta de Nigéria)

• HAM – mensagem legítima de Email

1Marca de carne enlatada, da empresa Hormel, acrónimo de Shoulder of Pork and hAM.

SPAM – introdução (2)

[1978] Convites para recepção enviados a todos os utilizadores da Arpanet na Costa oeste dos USA.

[1988] Primera cadeia a solicitar contribuições para um fundo escolar enviada a muitos newsgroups.

[18 Jan 1994] Primeiro SPAM global, com todos os newsgroups a receber a mensagem “Global Alert for All: Jesus is Coming Soon”, seguido em Abril pelo “Green Card Lottery – Final One”.

seguido em Abril pelo “Green Card Lottery – Final One”.

• Segundo a Spamhaus, SPAM representa 90% do Email a

circular (em Out 2007 estimado volume diário de 183

biliões de Emails)!

• Por vezes a mensagem não é enviada directamente à

vitima. Ela é enviada a um utilizador inexistente, com

From substituído pela vítima. O servidor de Email envia à

vítima um aviso com conteúdo da mensagem rejeitada.

(7)

SPAM – arquitectura (1)

• Tal como no DoS, mensagens SPAM são enviadas por

máquinas comprometidas - bots.

1. Operador de botnet infecta, por virus ou verme, um bot num nó (passa a

comprometido).

2. Nó comprometido liga-se a um servidor de comando e controlo C&C.

3. Spammeradquire, ao operador de botnet, acesso a C&Cs.

4. Spammerinstroi, via servidor C&C, os nós comprometidos a enviar Spam (ou ataques DoS).

SPAM - arquitectura (2)

• Cerca de 80% do SPAM gerado por 500/600 Spammers,

registados em http://www.spamhaus.org/rokso

Exemplo: Alan Ralsky – Possuia 20 computadores. – Controlava 190 servidores C&C. – Enviava 650 mil mensages/hora. – Enviava 650 mil mensages/hora. – Registou 250 milhões de endereços.

– Recebia $500 por cada milhão de mensagens.

• Segundo Eric Allman “State of the Spam” em

USENIX’04 – 90 Spammers de topo recebem, cada um, $100K/mês

– Legislação não intimida os maiores spammers comerciais. Nota: ROKSO=Register of Known Spam Operations

(8)

SPAM - arquitectura (3)

• Estudos revelam que 80% de PCs se encontram

comprometidos.

Exemplo: Bobax (bot que ataca por transposição de memória no MS LSASS) detectado em mais de 100K nós.

– Apenas 4% dos nós comprometidos, conhecidos, não são Windows. Nota: maior parte dos utilizadores domésticos e empresas prefere Windows. – Cerca de 8% do SPAM provém de nós não Windows.

Nota: servidores, com maior tempo de ligação, preferencialmente não Windows. – Maior número de nós comprometidos nos EUA e na China.

– A maior parte dos nós comprometidos envia pequenas quantidades de SPAM.

Nota: ISP mantêm listas negras, que cortam acesso a nós com elevado SPAM. Listas de nós comprometidos são designados por RBL-Realtime Blackhole List.

CONCLUSÂO: SPAM vai continuar, a única solução possível é adoptar estratégias de diminuição do problema!

• Spammers recolhem endereços (“harvest”) em diversos

locais:

– Varrimento de páginas WWW por “web crawlers”. – Respostas a “ofertas” e concursos afixados na Web. – Virus que consultam agendas de utilizador.

SPAM – recolha de endereços (1)

– Virus que consultam agendas de utilizador.

– Endereços de autores em artigos (Journals, imprensa,...)

NB pessoal! recebia diariamente à volta de 40 Spam, e o número saltou para mais de 100 quando em 2007 publiquei um artigo no Computer Networks

– Mensagens enviadas para UseNet. – Listas recolhidas por outros Spammers.

(9)

• Extracto de um Email a publicitar spammer

Date: Tue, 25 Mar 2008 00:30:15 -0300

From: Programa de envio de emails <vlecbm@fetnet.net> [...]

Subject: 50 Euros - Programa de envio de emails COMPLETO Até o dia 26/03/2008, você poderá adquirir o melhor programa

SPAM – recolha de endereços (2)

Até o dia 26/03/2008, você poderá adquirir o melhor programa de envio de emails do mercado em PORTUGAL e outros países, em um dos 5 novos pacotes com desconto exclusivo.

Com o Magic Seven, você envia emails para qualquer provedor, sem limite de quantidade e sem bloqueios, com IP protegido, com velocidade de até 500.000 emails por hora.

[...]

SPAM – combate (1)

1. Disfarce endereços-”address munging” (nomeadamente

em páginas Web)

• Substituição de separadores por texto (@-AT .-DOT)

• Substituição de texto por imagens, designadamente reenvio de “nounce” pelo leitor.

2. Silêncio: se responder à opção “remove me”, está a

fornecer ao Spammer informação crucial

• Seu endereço de Email é real.

• O seu correio é lido por humanos.

3. Instalação de filtros

• Razor – o primeiro de grande divulgação (1988)

• SpamAssassin – adoptado no servidor WWW Apache, adaptativo por métodos estatísticos.

(10)

SPAM – combate (2)

Um bom filtro deve evitar:

• Falsos positivos (Email válido catalogado como SPAM) devem ser inferiores a 0.02%

• Falsos negativos (SPAM catalogado como email válido) devem ser inferiores a 8%

• Efeitos negativos do SPAM:

– Sobrecarga de tráfego e nas caixas de correio.

– Perda de tempo dos receptores na determinação e eliminação de mensagens. – Prejuízo nos que caem no conto do vigário.

Nota[2008]: aumento do mercado asiático, aliado a um combate mais eficaz no mercado ocidental a spammers não acompanhado pelos administradores de sistemas asiáticos, tem levado ao aumento da percentagem de SPAM em língua oriental.

SpamAssassin – introdução

• Filtro de SPAM, implementado em 2001 em Perl por

Justin Mason.

• Disponível em http://spamassassin.apache.org/, foi

incorporado no servidor WWW Apache.

• Daemon lançado por

/sbin/service spamassassin start

,

ou automaticamente no “boot por

• Daemon lançado por ,

ou automaticamente no “boot por

/sbin/chkconfig –-level 5 spamassassin on

• Objectivos

– Muitas regras dinâmicas, combinadas para gerar um nível para cada mensagem de Email (tipicamente, valor superior a 5 indica elevada probabilidade de se tratar Spam).

– Facilmente integrável com os principais agentes de transferência de correio MTA-Mail Transfer Agent (sendmail, postfix).

(11)

SpamAssassin – arquitectura (1)

• Arquitectura cliente-servidor de processamento do Email

Caixas de correio (INBOX, probable-spam) MUA

Nível utilizador

POP/IMAP

Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 21/40 MTA

(sendmail)

Internet

MDA

(procmail) SpamAssassin (INBOX, probable-spam) MUA

(pine)

Nível transmissão

SMTP

SpamAssassin – arquitectura (2)

A. Nível utilizador

– MUA-”Mail User Agent”

• Objectivos: prepara o Email para o utilizador e executa comandos de gestão da caixa de correio (listagem, eliminação,…)

• Exemplos de ferramentas : pine ou baseado em WWW (Thunderbird)

– MDA-”Mail Delivery Agent”: agente acessório – MDA-”Mail Delivery Agent”: agente acessório

• Objectivos: Processar Email vindo do MTA e inseri-lo em caixas de correio (tipicamente em ~/mail ou /var/spool/mail/username).

• Exemplos de ferramentas : procmail

B. Nível transmissão

– MTA-”Mail Transfer Agent”

• Objectivos: responsável por movimentar Email de um servidor para outro.

• Exemplos de ferramentas: sendmail, postfix, Qmail

(12)

SpamAssassin – testes (1)

• Testes executados sobre as mensagens de correio

– Campos do cabeçalho (“header”) – palavras no assunto (“subject”), validade de datas.

– Conteúdo da mensagem.

– Endereços indicados automaticamente/manualmente em listas brancas (”whitelist”) e negras (”blacklist”).

– Acesso a bases de dados identificadoras de Spam (DCC, Pyzor, Razor2)

– Listas bloqueadas de endereços IP

• Novas regras adquiridas por indicação do utilizador dos

falsos negativos e falsos positivos.

SpamAssassin – testes (2)

• Grande bateria de testes, sendo a cada resultado atribuída

uma pontuação:

– Número de série inserido no cabeçalho X_MESSAGE_INFO para o Spammer identificar destinatário em caso de problemas na entrega

4.2 X_MESSAGE_INFO Bulk email fingerprint (X-Message-Info) found 4.2 X_MESSAGE_INFO Bulk email fingerprint (X-Message-Info) found

– Mistificação (“hoax”)

3.4 NIGERIAN_BODY1 Message body looks like a Nigerian spam message

– MUA forjado

3.0 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook

– Caracteres inválidos no assunto

2.9 SUBJ_ILLEGAL_CHARS Subject contains too many raw illegal characters

– Palavras chave suspeitas

2.7 DRUGS_MANYKINDS Refers to at least four kinds of drugs 2.1 WHY_WAIT BODY: What are you waiting for

(13)

SpamAssassin – testes (3)

– Retransmissão (“relay”) em nó suspeito

2.5 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL

* [59.152.146.138 listed in sbl-xbl.spamhaus.org]

– Identificadores inválidos

1.4 INVALID_MSGID Message-Id is not valid, according to RFC 3022

– Datas incoerentes

1.1 DATE_IN_PAST_96_XX Date: is 96 hours or more before Received: date 0.6 INVALID_TZ_GMT Invalid date in header (wrong GMT/UTC timezone)

– Mensagem chegada de nó com IP improvável – Mensagem chegada de nó com IP improvável

0.8 HELO_DYNAMIC_IPADDR2 Relay HELO'd using suspicious hostname (IP addr 2)

– Obscurecimento (“obfuscation”) por inserção de HTML

0.7 HTML_OBFUSCATE_10_20 BODY: Message is 10% to 20% HTML obfuscation

– Caracteres suspeitos

0.4 PLING_PLING Subject has lots of exclamation marks

– Identificação suspeita de utilizadores

0.5 FROM_ENDS_IN_NUMS From: ends in numbers

– Prioridade suspeita

0.3 X_MSMAIL_PRIORITY_HIGH Sent with 'X-Msmail-Priority' set to high Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 25/40

SpamAssassin – testes (4)

• Pontuação dos testes indica probabilidade de Spam

X-Spam-Level: ************

X-Spam-Status: Yes, score=12.5 required=5.0 tests=DNS_FROM_RFC_ABUSE, DNS_FROM_RFC_POST, DNS_FROM_RFC_WHOIS,

FORGED_RCVD_HELO,

MIME_SUSPECT_NAME, PLING_QUERY, REMOVE_PAGE,

URIBL_JP_SURBL, URIBL_OB_SURBL, URIBL_SBL, URIBL_SC_SURBL, URIBL_WS_SURBL autolearn=spam version=3.0.4

• Eficiência do SpamAssassin pode melhorar por

alimentação de casos de Spam. Para tal, indicar a

mensagem pelo comando sa-learn com opções

– --spam sobre falsos negativos – --ham sobre falsos positivos

(14)

SpamAssassin – testes (5)

• Experiência pessoal

– Em finais de Agosto 2007 recolhi os resultados do filtro SpamAssassin no meu endereço Email durante 4 dias, numa média diária de 116 mensagens SPAM.

• Spam de nível superior a 15 : média diária 37 (desvio padrão 13.0)

• Spam de nível entre 5 e 15 : média diária 60 (desvio padrão 6.8)

• Falsos negativos : média diária 20 (desvio padrão 5.3)

• Falsos positivos : 0

– Eficiência na filtragem: 83%

SpamAssassin – contramedidas

• À medida que vão sendo instalados filtros, os spammers

tentam contornar as protecções.

A detecção de palavras chave (VIAGRA,…) pode ser

combatida

– Inserindo um caracter numa posição aleatória das palavras chave. – Inserindo um caracter numa posição aleatória das palavras chave. – Inserindo no meio dessas palavras comentários HTML, que são

absorvidos pelos navegadores (“browsers”) de email. Ex:

We want to help you get lower HOUSE payments

lido pelo navegador de email como

We want to help you get lower HOUSE payments

(15)

sendmail (1)

A. Historia

– Derivado do delivermail, implementado em 1979 por Eric Allman na University of California at Berkeley e distribuído no BSD 4.0. – Acessível em http://www.sendmail.org (versão 8.14.1 de

2007/04/03) incorporado nas distribuições do Linux. Curiosidade, não faz parte da avaliação

B. Configuração

Ficheiro de configuração /etc/mail/sendmail.cf, gerado pelo macroprocessador m4 a partir do script /etc/mail/sendmail.mc

– Formato indigesto (Nota: ninguém é um verdadeiro administrador de Linux enquanto não editar com sucesso um ficheiro! )

– Recomenda-se guardar cópia antes de ser alterado o script – Várias macros definidas em /usr/share/sendmail-cf – Geração pelo comando

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

sendmail (2)

C. Comandos do script sendmail.mc

– Comentários entre # e fim de linha, por omissão copiados para sendmail.cf

– Macros

• include : importa definições de ficheiro Curiosidade, não faz parte da avaliação

• include : importa definições de ficheiro

ex: include(`/usr/share/sendmail-cf/m4/cf.m4')

• define : define macro

define(‘SMART_HOST','smtp.ist.utl.pt') # servidor de Email

• undefine : torna macro indeterminada

• dnl : para comentários até fim de linha

• divert : gere fluxos de saída

divert(-1)

# deixa de enviar comentários para sendmail.cf divert(0)

– MASQUERADE_AS : mascara máquinas locais MASQUERADE_AS(charlie)

(16)

sendmail (3)

– OSTYPE : identifica sistema operativo

OSTYPE('linux')carrega /usr/share/sendmail-cf/ostype/linux.m4 – VERSIONID : versão a ser construída

VERSIONID(`linux setup for Red Hat Linux')

– DOMAIN : ficheiros de domínios, usado na configuração de Curiosidade, não faz parte da avaliação

– DOMAIN : ficheiros de domínios, usado na configuração de grande número de nós

DOMAIN(generic)carrega macro definida em /usr/share/sendmail-cf/domain/generic.m4 – MAILER : especifica agentes de distribuição

• local: implementa transportes locais para caixas de correio e para programas locais

• smtp: implementa protocolos smtp, esmtp, smtp8 e relay

• procmail

sendmail (4)

– FEATURE : serviços de sendmail, indicados na forma FEATURE(nome) ou FEATURE(nome,parm)

FEATURE(redirect)permite redirecção para endereço determinado em

~/.forward

FEATURE(use_cw_file)aceita operar mensagens de outros nós. Curiosidade, não faz parte da avaliação

FEATURE(‘access_db','hash –T<TMPF> /etc/mail/access.db')

identifica ficheiro que contém os nome dos nós, para os quais o presente nó aceita operar mensagens. O ficheiro deve ter entradas na forma endereçoIP oper (oper pode ser REJECT-rejeitar, RELAY- reenviar, OK-aceita, DISCARD-elimina).

FEATURE('ALIAS_FILE','/etc/aliases')identifica ficheiro

Nome.Apelido: user@comp.ist.utl.pt # nome alternativo Caixa: :include:ficheiro # listas de endereços

Nota: depois de alterado o ficheiro /etc/aliases, a base de dados tem de ser reconstruída através do comando /usr/bin/newaliases

(17)

sendmail (5)

Exemplo:sendmail recusa receber mail vindo de endereços

de má reputação

1. Inserir no ficheiro /etc/sendmail.mc

#

FEATURE(`dnsbl', `list.dsbl.org')dnl

FEATURE(`dnsbl', `list.dsbl.org')dnl FEATURE(`dnsbl', `bl.spamcop.net')dnl FEATURE(`dnsbl', `sbl.spamhaus.org')dnl

FEATURE(`dnsbl', `blackholes.mail-abuse.org')dnl FEATURE(`dnsbl', `relays.mail-abuse.org')dnl

#

2. Executar comandos

cd /etc/mail make all

/sbin/service sendmail restart

sendmail (6)

Exemplo retirado de http://www.faqs.org/docs/linux_network/ (entrada sendmail) divert(-1)

#

# Sample configuration file for vstout - smtp only

# divert(0)

VERSIONID(`@(#)sendmail.mc 8.7 (Linux) 3/5/96') Curiosidade, não faz parte da avaliação

VERSIONID(`@(#)sendmail.mc 8.7 (Linux) 3/5/96') OSTYPE(`linux')

#

# Include support for the local and smtp mail transport protocols. MAILER('local')

MAILER('smtp')

#

FEATURE(rbl) FEATURE(access_db)

# end

Nota: se considera o script ser difícil de entender, veja primeiro o conteúdo do ficheiro de configuração gerado /etc/mail/sendmail.cf ;-)

(18)

sendmail (7)

D. Caixas de correio

– Várias caixas de correio são criadas para depositar mensagens

• /var/spool/USERNAME: mensagens recebidas. Frequentemente é criada uma ligação simbólica ~/mail/INBOX

• ~/mail/sent-mail: cópia de mensagens enviadas

– Criação de caixas de correio Curiosidade, não faz parte da avaliação

– Criação de caixas de correio

• Pine : menu ListFolders, comando A

• Unix: pelo comando cp /dev/null ~/mail/FolderName

– Possuem um cabeçalho na forma

From MAILER-DAEMON Thu Aug 24 17:40:59 2006 Date: 24 Aug 2006 17:40:59 +0100

From: Mail System Internal Data <MAILER-DAEMON@mega.ist.utl.pt> Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA Message-ID: <1156437659@mega.ist.utl.pt>

X-IMAP: 1005231421 0000000078 Status: RO

This text is part of the internal format of your mail folder, and is not a real message. It is created automatically by the mail system software. If deleted, important folder data will be lost, and it will be re-created with the data reset to initial values.

sendmail (8)

E. Lançamento do sendmail no Linux FC

– O daemon é lançado, pelo administrador, através do comando /sbin/service sendmail start

Nota: opção status lista os PIDs dos cliente e servidor

asterix.ist.utl.pt> /sbin/service sendmail status Curiosidade, não faz parte da avaliação

sendmail (pid 2157 2148) is running... asterix.ist.utl.pt>

– Para que o lançamento de um “deamon” seja efectuado automaticamente pelo Linux no arranque, o administrador deve executar o comando

/sbin/chkconfig --level 5 sendmail on

• O daemon corre como root para

– obter ligação ao porto 25

– conseguir privilégio de escrita nas caixas de correio dos utilizadores

• Alternativas Postfix, Qmail são melhores!

(19)

procmail (1)

A. Objectivos

– Ferramenta de processamento de Emails em Unix, nomeadamente ordenação e filtragem,

– Acessível em http://www.procmail.org (versão 3.22 de 2001/09/10) incorporado nas distribuições do Linux.

2001/09/10) incorporado nas distribuições do Linux.

B. Configuração

Ficheiro de configuração instalado em ~/.procmailrc

# Ferrolho para assegurar haver apenas 1 execução de spamassassin :0fw: spamassassin.lock

* < 256000

| spamc

Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 37/40 Dimensão máxima da mensagem a fiscalizar

Cliente spamassassin

procmail (2)

#

# despacho de Email registados como Spam para pastas apropriadas

#

# mail de nível 15, ou superior, inserido numa pasta especial :0:

:0:

* ^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\* mail/almost-certainly-spam

# mail designado por Spam inserido numa pasta especial :0:

* ^X-Spam-Status: Yes mail/probably-spam

(20)

procmail (3)

#

# em alternativa, devolver à origem mensagem de erro

#

:0 H

* ^X-Spam-Status:.*Yes Curiosidade, não faz parte da avaliação

Comando aplicado ao cabeçalho (“header”) Expressão regular pesquisada

* ^X-Spam-Status:.*Yes {

EXITCODE=67 :0:

/dev/null }

• Nas versões antigas do Linux o utilizador tinha de reenviar o

Email para o procmail, através do .forward

Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 39/40 Mbox para onde Email é realmente enviado Indica ao sendmail inexistência do destinatário Expressão regular pesquisada

procmail (4)

• Nas versões antigas do Linux o utilizador tinha de reenviar o

Email do MTA sendmail para o MDA procmail, através

da seguinte linha no ~/.forward

“|/usr/bin/procmail“ – Os “são necessários

– Os “são necessários

– Obrigatório indicar caminho absoluto até ao programa procmail (lembrar que o sendmail corre como root, não como utilizador)