Jan FEB Mar 25 2008 2009 2010 1 capture 25 Feb 09 - 25 Feb 09

Close Help

Antivirová filtrace pošty

Při zpracování pošty v prostředí Windows je důležité poštu průběžně kontrolovat na viry. Nebezpečí přichází skoro výhradně od příloh. Máme-li zvyk každou přílohu napřed uložit jako soubor a potom teprve otevřít, potom nám ji při otevírání zkontroluje každý dobrý antivirový program v rámci rezidentní ochrany. Vždy však je možnost, že se nám příloha otevře přímo jako stream z poštovního programu, ať už naší nepozorností, nebo chybou poštovního programu, nebo nějakou sofistikovanou konstrukcí přímo ve zprávě. Proto je správné mít filtraci pošty speciálně zabezpečenou. Následující text se týká zabezpečení pošty AV programem AVAST 4.x Professional, na který je ve FZÚ multilicence.

Antivirové systémy poskytují komunikační rozhraní, díky němuž může aplikace běžícímu antivirovému jádru přímo předkládat úlohy k filtraci. Každý antivirový systém má svoji verzi tohoto rozhraní a aplikace musí použít odpovídající přístupový formalismus. Ze SAVTem podporovaných poštovních programů podporuje přímou filtraci jedině THE BAT!. Je ale nutné do Avastu doinstalovat potřebnou komponentu. K tomu ze stránky Alwillu znovu stáhneme instalační program AVAST 4.x Professional a ve Windows spustíme. V instalačním programu zvolíme Změna : Rezidentní ochrana - The Bat!. Žádný restart není potřeba, jen je vhodné zkontrolovat, že máme v konfiguraci Avastu zapnutého poskytovatele Internet Mail. Pak už můžeme v programu THE BAT! zvolit Nastavení | Vlastnosti | Antivirová kontrola : Antivirové pluginy | Přidat. Nabídne se soubor AvBatEx.bav , ten schválíme. Na téže ovládací stránce si můžeme nastavit parametry filtrace. Zaškrtneme minimálně Kontrolovat přijaté zprávy, Kontrolovat přílohy před otevřením a Kontrolovat přílohy před uložením. Není špatné využít i kontrolu zpráv při odesílání. Od této chvíle nám Bat bude filtrovat.

Poštovní programy lehčího kalibru (Mozilla Thunderbird, MS Outlook Express, ...) přímou filtraci neumožňují. Přijaté i odesílané zprávy můžeme Avastem filtrovat pomocí poskytovatele nazvaného příznačně Outlook Express. Tento poskytovatel směrem vem předstírá, že je IMAP klient a odesílající poštovní program. Směrem dovnitř, t.j. směrem k našemu Thunderbirdu se zase vydává za SMTP server i za IMAP server. Veškerý poštovní provoz jde tedy přes něj a je filtrován. Toto ale může fungovat, jen pro nešifrovanou komunikaci. Jakmile pro příjem (IMAP) resp. odesílání (SMTP) zvolíme šifrování, filtrace neproběhne. Je tedy nutné volit kompromis a obejít se buď bez filtrace, nebo riskovat odposlechnutí hesla. Pro stanice připojené k metalickým rozvodům ve FZÚ doporučuji spíš nešifrovaný provoz, protože použité síťové prvky vzájemný odposlech mezi stanicemi neumožňují. Toto doporučení platí beze změny i tehdy, když pracujeme zvenčí a tunelujeme pomocí VPN. Při práci zvenčí bez použití VPN nezbývá než šifrovat a tedy nefiltrovat. Při práci z interních sítí WiFi bez použití VPN je nutné šifrovat aspoň příjem pošty (IMAP).

V konfiguraci Avastu je možné nastavit zviditelnění filtrace - vyskakujícími hlášeními v reálném čase a/nebo zápisem nějakého textu do těla poštovní zprávy. Obojí nemá jiný smysl, než kontrolu na uklidnění, že filtrace skutečně probíhá. Zviditelnění ale nefunguje pro činnost antivirového pluginu - zde je případné zviditelnění ponecháno na aplikaci, která plugin používá, a Bat skoro žádné zviditelnění neposkytuje, i když lze hlášení o probíhají filtraci zahlédnout v okně Komunikační centrum. Funkci filtrace si můžeme otestovat pomocí konstrukce EICAR - viz např. www.asw.cz/eng/eicar_standard_antiv.html Posloupnost znaků konvenčně chápanou jako virus si můžeme uložit do souboru (řekněme eicar.com) a zkusit odeslat jako přílohu. Stejný soubor si můžeme poslat také z Cedru nebo Sosny asi takto:

     mailx -s virus mojeid@fzu.cz <eicar.com

V obojím případě by se měl zdánlivý virus dostat až do Bata a řádně se ohlásit. Hlášení o viru bude vidět také v logu Bata (Ctrl-Shift-A).