- Trabalham numa empresa onde o número de funcionários é relativamente alto (> 5 utilizadores de internet já é um bom número) e todos tem endereços de e-mail, recebem e enviam mensagens o dia todo.
- Tem algumas unidades de Windows espalhados pela rede toda, vulneráveis _sempre_ às praguinhas virtuais.
- São administradores, técnicos ou analistas, preocupados com a segurança e integridade dos dados de sua rede.

Para essas pessoas, aqui vão minhas recomendações:

1) Bloquear todos os webmails conhecidos do mercado. Ou pelo menos certificar-se de que o webmail que o funcionário tenha acesso possua anti-vírus e anti-spam.

Isto pode ser feito facilmente com “ACL’s” no Squid. Se você usar um proxy transparente, tem também a opção de cortar a conexão com os webmails logo no iptables.

Aqui vai uma ACL fácil de se fazer no Squid:

acl webmails url_regex hotmail webmail mail

// Cuidado ! Esta acl irá bloquear todos os endereços que tenham as expressões citadas, como “hotmail”.. isso pode gerar efeitos colaterais desagradáveis. Este é apenas um exemplo para ilustrar o poder das ACL’s.

Se você não puder, ou não quiser bloquear webmails, temos a opção de instalar o viralator no Squid, para ele checar com o antivirus instalado no seu servidor local, todos os arquivos .exe .zip (entre outros) antes de permitir que o usuário os baixe. Mais detalhes sobre o Viralator em uma próxima matéria.

2) Usar o fetchmail para buscar nos webmails dos funcionários as mensagens, e servi-las a eles pelo POP local.

Esta saída tem o lado negativo deles terem de fornecer o login e senha deles, para o fetchmail conseguir baixar as mensagens.

Na verdade cada usuário pode ter seu arquivo .fetchmail, que fica em seu home directory, e dessa forma você não precisaria saber da senha dele, anulando o lado negativo que citei acima. De qualquer forma, você como root vai poder ler o arquivo depois. Mas é só não contar a eles que você tem essa possibilidade, ou não fazer isto de fato. Infringir os direitos à privacidade alheia é feio

Se você quiser fazer um único arquivo para todas as contas POP dos funcionários, crie um arquivo .fetchmailrc que contenha todas as informações de exemplo:

poll pop3.gmail.com with protocol pop3:
user ‘xxxxx’ there with password ‘xxxx’ is ‘xxxx’ here

Explicação : O comando “poll” significa algo como “ir buscar as mensagens”, seguido pelo endereço do servidor e o protocolo.

Logo a seguir temos “user xxxxx”, que representa o usuário no servidor de webmails. “with password xxxx” representa a senha da conta do usuário, e o “xxxx here”, nome LOCAL do usuario, no seu servidor Linux..

Feito isso, execute o comando :

/usr/bin/fetchmail -f /root/.fetchmailrc -a -s -K -F

Ou coloque-o em sua crontab (altamente recomendado), e assim você sempre terá as mensagens baixadas para o seu servidor.

O fetchmail precisa de um MTA (Mail Transport Agent) que pode ser o Sendmail, Postfix, QMAIL ou outros. No meu caso, estou usando o Postfix + MailScanner, que é uma combinação que deu muito certo no meu caso, apesar de ser meio pesada.

Quando seu servidor baixar as mensagens do POP remoto, ele irá colocá-las dentro da mailbox (ou maildir) do usuário, inicializando uma conexão SMTP de dentro para dentro, ou seja, de uma interface ethX para outra, e nessa hora a mensagem seria escaneada pelo seu ClamAV, já pré-configurado.

Um esboço de como a coisa toda funciona:

O usuario foo tem uma conta no Gmail, e o meu servidor local (Debian) irá, pelo fetchmail. buscar as mensagens no servidor pop3 deles.

Quando ele terminar de baixar, antes do conteúdo ir para a mailbox local do foo, meu servidor escanearia tudo em busca de conteúdo malicioso (por intermédio do MailScanner / ClamAV) e só entregaria de fato as mensagens que estiverem limpas.

Leia a segunda parte deste mini-tutorial clicando no link a seguir:
http://www.lsmod.net/2008/09/clamav-mailscanner-e-o-mta/

Leia também:

1. ClamAV, MailScanner e o MTA Vamos para a segunda etapa das dicas de como melhorar...
2. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...
3. Dicas para administração de usuários – Unix Aqui vai uma mini coleção de dicas para gerenciamento de...