Сканирование архивов на пограничном почтовом обменнике вещь нужная и обязательная. Помимо обычного антивирусного сканирования имеет смысл настроить блокировку по расширениям файлов как вложенных в письмо, так и запакованных в архивы. К примеру атакующий может отправить архив с вложенным зараженным exe файлом, который жертва из бухгалтерии запустит приняв его за отчет из налоговой.
PMG и RAR
К сожалению из коробки почтовый фильтр Proxmox Mail Gateway умеет работать только с открытыми форматами архивов (zip, gz и т.д.) и не умеет работать с форматом Rar, которым злоумышленники пользуются все чаще. Другими словами можно сказать, что PMG не видит RAR архивы.
В логах мы получаем сообщение вида:
Dec 11 14:56:04 mgw pmg-smtp-filter[3361]: 20CE55FD342343E7E5: new mail message-id=<998221607680556@mail.yandex.ru>#012
Dec 11 14:56:04 mgw pmg-smtp-filter[3361]: 20CE55FD342343E7E5: found archive 'ChromeSetup-1.rar' (application/vnd.rar)
Dec 11 14:56:04 mgw pmg-smtp-filter[3361]: 20CE55FD342343E7E5: unpack failed - child '3392' failed: 512
Dec 11 14:56:04 mgw pmg-smtp-filter[3361]: 20CE55FD342343E7E5: unpack archive 'ChromeSetup-1.rar' done (36 ms)
Установка поддержки RAR в PMG
Решается данная проблема довольно просто — необходимо установить соответствующие библиотеки. Для этого сначала подключим репозитории Debian. Для PMG 6-й версии создаем в /etc/apt/source.list.d/ файл со ссылками на репозитории Debian (например debian.list) со следующим содержимым:
deb http://deb.debian.org/debian buster main contrib non-free
deb-src http://deb.debian.org/debian buster main contrib non-free
deb http://deb.debian.org/debian-security/ buster/updates main contrib non-free
deb-src http://deb.debian.org/debian-security/ buster/updates main contrib non-free
deb http://deb.debian.org/debian buster-updates main contrib non-free
deb-src http://deb.debian.org/debian buster-updates main contrib non-free
Обновляем перечень пакетов и устанавливаем библиотеки RAR для Proxmox Mail Gateway:
apt update
apt install libclamunrar p7zip-rar
После этого возможно потребуется перезапустить службы PMG. Для проверки отправьте себе заархивированный в RAR исполняемый файл и в разделе Tracking Center убедитесь, что почтовый фильтр успешно работает с RAR архивами.
Dec 11 15:08:40 mgw pmg-smtp-filter[1151]: 20CF25FD34528A822F: new mail message-id=<3130131607681302@mail.yandex.ru>#012
Dec 11 15:08:41 mgw pmg-smtp-filter[1151]: 20CF25FD34528A822F: found archive 'ChromeSetup-1.rar' (application/vnd.rar)
Dec 11 15:08:41 mgw pmg-smtp-filter[1151]: 20CF25FD34528A822F: unpack archive 'ChromeSetup-1.rar' done (63 ms) Dec 11
...
Dec 11 15:08:45 mgw pmg-smtp-filter[1151]: 20CF25FD34528A822F: removed attachment 3 ('ChromeSetup.rar', rule: Block Dangerous Files)
Dec 11 15:08:45 mgw pmg-smtp-filter[1151]: 20CF25FD34528A822F: added disclaimer (rule: Block Dangerous Files)
Читайте так же статью о том как установить и настроить Proxmox Mail Gateway. Из нее вы узнаете как произвести установку и превоначальную настройку почтового фильтра, а так же как связать PMG с Exchange. Информация там на основе PMG 5, но она в целом актуальна и для текущей версии.
Внимание! Нажимая кнопку "Отправить комментарий" вы соглашаетесь с политикой конфиденциальности сайта.