鉄壁の防御をしているつもりでも、やっぱりウイルスメールはやってきます。
送られてくるウイルスはいつも最新です。
商用のウイルスソフトでもすべてトラップできないでしょう。
ましてフリーのウイルスソフトでリアルタイムに検出することはほぼ不可能です。
わたしはClam AntiVirusを使っていますが、朝届いたウイルス用のパターンファイルがアップデートされるのは夕方なんです。
ゲートウェイでのウイルス検索は、ほとんど無意味なので、ClamAVの適用は、もっぱらメールボックスのスキャンになっています。
結局ゲートウェイでのウイルス対策もSpamAssassinに任せるしかないんですね。
今回のウイルスは、Trojanです。zipなどでアーカイブされたjavaScriptが添付されてくるんです。
今回もゲートウェイのClamAVはスルーでした。
ほぼ同時に2通のTrojan添付メールが届きました。
1つめのメールはSPF、dns逆引きともにクリア。
2つめはSPFがありませんでしたが、dns逆引きはクリアしています。
うちではスコア5.0以上でスパム扱い。
この2つはそれぞれ
score=1.9
score=2.5
でした。
マッチしたルールはこんな感じでした。
X-Spam-Status: No, score=2.5 required=5.0 tests=
BAYES_00,
HTML_MESSAGE,
PYZOR_CHECK,
RCVD_HELO_IP_MISMATCH,
RCVD_IN_DNSWL_NONE,
SPF_SOFTFAIL
X-Spam-Status: No, score=1.9 required=5.0 tests=
BAYES_00,
HTML_MESSAGE,
PYZOR_CHECK,
RCVD_HELO_IP_MISMATCH,
RCVD_IN_DNSWL_NONE,
SPF_HELO_PASS,
SPF_PASS
今回の対処は、初歩的なのですが
「zipやrarなどのアーカイブファイルが添付されていたら、スコア3.5をプラスする」
です。
どうして3.5かというと、届いたウイルスメールのスコアが低い方で、スパム判定になるようにしたいからです。
1.9+3.5=5.4
でスパムに判定されるというわけです。
当該メールのヘッダに以下の行が含まれていました。添付ファイルについてのファイル名やエンコードの方法ですね。
1通目
Content-Type: application/x-zip-compressed; name="doc2.zip" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="doc2.zip"
2通目
Content-Type: application/octet-stream; name="newdoocument.rar" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="newdoocument.rar"
マルチパートメッセージの各パートのMIMEヘッダに対するパターン検索をしたいので、SpamAssassinのMIMEHeaderプラグインを使います。
MIMEHeaderプラグインが読み込まれているか確認してみます。
find /etc/spamassassin/ -type f -print | xargs grep 'MIMEHeader' /etc/spamassassin/v310.pre:# MIMEHeader - apply regexp rules against MIME headers in the message /etc/spamassassin/v310.pre:loadplugin Mail::SpamAssassin::Plugin::MIMEHeader
ありました。
ルールを作ります。
①mimeヘッダのContent-Type:に、zipまたはrar(大文字小文字を区別しない)があるか? ②mimeヘッダのContent-Disposition:に、zipまたはrar(大文字小文字を区別しない)があるか? このどちらかがヒットすればスコア3.5を加算する。
mimeheader __ZIP_ATTACHED_CT Content-Type =~ /zip|rar/i mimeheader __ZIP_ATTACHED_CD Content-Disposition =~ /zip|rar/i meta ZIP_ATTACHED_1 __ZIP_ATTACHED_CT || __ZIP_ATTACHED_CD score ZIP_ATTACHED_1 3.5 describe ZIP_ATTACHED_1 Attached zip or rar files
こんな感じです。
zip添付のメールを受信して、設定が有効になっているか確認してみます。
受信メールのヘッダに次の行が確認できました
X-Spam-Status: No, score=3.3 required=5.0 tests=DKIM_SIGNED,DKIM_VALID, DKIM_VALID_AU,DKIM_VALID_EF,SPF_PASS,URIBL_BLOCKED,ZIP_ATTACHED_1
ZIP_ATTACHED_1にマッチしていることが確認できました。
このルールでTrojanメールがトラップできるかしばらく様子を見てみます。
ちなみに、次の日このTrojanウイルスについては免疫ができたようで、ClamAVでトラップできるようになっていました。
ちょっとレベルが高くていまのところ手が出ませんが、以下のようなプラグインもあるようです。
アーカイブを解凍して中身を調べてくれます。
zipのみ対応のようです。
[…] Trojanメール対策 その1 […]