[ QMAIL ] 메일 첨부파일 바이러스 악성 코드 탐지 simscan #1 용-ILE/잡다구리2012. 3. 26. 18:55
http://suite.tistory.com 2012.03
먼저 용어 정리
qmail 처음 사용해보니 여러 인터넷 글에 보면 설치 번거롭고 별별 연동 모듈이 나온다
clamav , qmail-scanner , ripmime, rblsmtpd , simscan , vpopmail , maildrop , knetqmail,ripmime, qmailadmin , spamassassin ....
1. clamav ? 오픈소스 안티바이러스 제품 http://www.clamav.com 윈도우/리눅스 모두 있음
* 2012.03 기준 110만건 (clamscan 실행하면 나옴)
2. qmail-scanner? qmail 도식화에서 qmail-smptd -> qmail-queue 중간에서 삽입하여 clamav 를 연동 시켜주는
perl로 작성된 스크립트 모듈 (clamav만 연동하는건아니고 스팸어세씬등 여러가지 스팸모듈과 연동 가능)
3. rblsmtpd? RBL 을 처리해주는 데몬 rbl(real-time blocking list) 발신지 IP가 스팸 IP로 등록된경우 TCPSERVER 단에서 deny 시켜버림 (spamhaus.org,spamlist.or.kr ... 오픈해주는 곳이 있음)
4. simscan? qmail-scanner 가 perl 버전이라면 이건 C 버전임 소스도 오히려 perl 보다 간단?해 보임 그래서 이걸 사용함
5. vpopmail ? MDA에서 사용하는 모듈로 sendmail 경우 메일 생성할려면 실제 리눅스 계정을 생성?했던것 같은데
vpopmail을 qmail과 연동하면 리눅스 게정 만들 필요없이 가상계정 또는 도메인을 걍 만들어 사용 가능 기타 검색해보면 여러가지 장점이 나옴
6. maildrop? 사용하지 않아서 잘모르지만 MDA단에서 스팸 처리 용도가능한것으로 보임 "실제 사용안해봄"
7. spamassassin? qmail-scanner , simscan 과 연동해서 스팸처리하는데 이건 메일 내용(스트링)을 가지고 스팸처리 하는 모듈 (ex) 메일 제목에 "광고" 등 실제 "사용안해봄"
8.qmailadmin? 웹환경에서 계정을 생성하고 관리등 해주는 모듈 인데 "실제 사용안해봄"
9.knetqmail? netqmail? kldp.net 그룹에서 QMAIL과 각종 모듈 설치가 번거로우니 잘 팩키지해준 이름 현재 1.0.6 까지인데
rpm버전이( http://mail.linuxstudy.pe.kr/download/) 가있어 rpm 버전으로 설치 했는데 잘됨 (qmail+vpopmail)
* http://mail.linuxstudy.pe.kr/ , http://qmail.kldp.net 고맙습니다.
10.ripmime? 메일 mime을 이 바이러리를 수행하면 첨부파일이 뚝 떨어짐 http://www.pldaniels.com/ripmime/
* 첨부파일을 스팸 처리시 QMAIL에서 qmail-queue 오기전에 simscan 모듈 있음 http://www.inter7.com/?page=simscan
qmail 패치된버전임 : http://www.qmail.org/qmailqueue-patch knetqmail 이라면 이미 되어있음
* 원본 qmail architecture
http://www.nrg4u.com/qmail/the-big-qmail-picture-103-a4.pdf
'용-ILE > 잡다구리' 카테고리의 다른 글
[ QMAIL ] 메일 첨부파일 바이러스 악성 코드 탐지 simscan #2 (0) | 2012.03.30 |
---|---|
[OOD] 객체 지향 설계중 LSP , ISP JAVA 예제 코드 (0) | 2011.11.24 |
ascii vi 대응표 (0) | 2010.01.27 |
[ Domino / Notes ] Begin MIME to CD Conversion - Domino log 안보이게 하는거 (0) | 2010.01.12 |
[ Notes ] API 계층 설명 잘되어있는 그림 DIIOP , C API C++ , NRPC (0) | 2010.01.04 |