Criptografia e Segurança

Criptografia e Segurança das Comunicações Ferramentas de protecção AV e AS Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 1/40 Detecção de virus (1) No mercado existem programas dedicado à detecção e erradicação de virus (McAfee, Synmatec..), que vamos referir por AVs. Há problemas na taxas de sucesso na detecção e probabilidade de falsas detecções. As 3 estratégias mais adoptadas na detecção são: Aparência: pesquisa código com grande probabilidade de não existir noutros programas. Comportamento: monitoriza sistema para encontrar acções dúbias. Alteração: compara atributos chave. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 2/40

Detecção de virus (2) A. Detecção por aparência Identificação de scan strings de virus previamente detectados. As tabelas do AV (designado por scanner ) devem ser periodicamente actualizadas. Apear de serem os menos efectivos, acabam por serem obtidos os melhores resultados (por obrigar o utilizar a actualizar as tabelas das scan strings ) Há 3 medidas de fuga à detecção e contra-resposta Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 3/40 Detecção de virus (3) 1. Fuga: cifra, com chaves limitadas, que obrigaria o AV ter de decifrar todas as hipóteses (logo, mais pesado). Contra-resposta: a rotina de cifra pode ser usada como scan string! 2. Fuga: polimorfismo, em que o código possui vários métodos de cifra sendo substituido sucessivamente o código aberto. O DAME é uma ferramenta de apoio ao polimorfismo. Inconveniente: o virus é muito maior (ex: o Whale, com 10KB, possui 33 alternativas). O efeito nos AVs é apenas aumentar as tabelas das scan strings. 3. Fuga: metamorfismo (mutação), substituindo instruções por outras equivalentes (ex: MOV AX,0 por SUB AX,AX ou XOR AX,AX). Contra-resposta: os AVs possuem tabelas de substituição durante a pesquisa e todas as alternativas são comparadas (logo, mais pesado). Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 4/40

Detecção de virus (4) B. Detecção por comportamento Um programa, ao pretender executar INT sob vigilância (ex: abrir ficheiros.com ou.exe em modo de escrita), leva o interceptador obter autorização para prosseguir. 1. Fuga: curto-circuito, o virus chama directamente as funções sob vigilância. C. Detecção por alteração Versão mais simples: virus alteram comprimento do ficheiro infectado, logo basta o AV verificar este atributo. Problema: versões, legítimas, alteram também o comprimento dos programas. Solução: checksum como atributo (a soma de todos os Bytes do programa com o checksum deve dar 0). Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 5/40 Detecção de virus (5) Detecção de virus por macros Instalar um AV, que deve ser periodicamente actualizado Versões actualizadas do Office avisam utilizador da possível presença no documento de macros infectadas. 1. Negar utilização das macros em todos os documentos suspeitos. 2. Usar o VBE para verificar macros suspeitas. Há virus que inibem opções do Tools->Macro. Para estes casos, editar o ficheiro (por exemplo, com MSDOS Edit) e procurar comandos suspeitos (DoWhile, Output As, ). Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 6/40

F-Secure (1) O IST subscreveu licença de campus, sendo carregado a partir de https://delta.ist.utl.pt/software/software.php Versões: i. Gestão centralizada, para computadores fixos: actualização feita por servidor do CIIST (mais rápida). ii. Gestão individual, para portáteis. Passos na instalação: 1. Dowload em Administrator 2. Lançar o programa Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 7/40 F-Secure (2) 1. Passos de instalação listados numa nova janela. 2. Executar restart do computador Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 8/40

F-Secure (3) Configuração e comandos do AV efectuados com a tecla direita do rato por cima do ícon mostrado na barra de tarefas. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 9/40 F-Secure (4) 3. Depois de instalado o F-Secure, verificar ( scan ) ficheiros pelo comando Verificar discos rígidos Nota: operação demora, tipicamente, meia hora. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 10/40

SPAM introdução (1) SPAM 1 mensagem Email não solicitada, dividida por Boato ( Hoax ): história falsa para benifício do lançador (ex: alegada informação de onda de calor/ciclone, por forma a regressar mais cedo do emprego) Corrente ( Chain ): promessa de prejuízo ao receptor se não reenviar mensagem a um número mínimo de outras pessoas, ou benefício se reenviar a mensagem. Propaganda de produtos: ex: venda de medicamentos (Viagra, ) Conto do vigário ( Scam ): oportunidade enganosa (ex: carta de Nigéria) HAM mensagem legítima de Email 1 Marca de carne enlatada, da empresa Hormel, acrónimo de Shoulder of Pork and ham. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 11/40 SPAM introdução (2) [1978] Convites para recepção enviados a todos os utilizadores da Arpanet na Costa oeste dos USA. [1988] Primera cadeia a solicitar contribuições para um fundo escolar enviada a muitos newsgroups. [18 Jan 1994] Primeiro SPAM global, com todos os newsgroups a receber a mensagem Global Alert for All: Jesus is Coming Soon, seguido em Abril pelo Green Card Lottery Final One. Segundo a Spamhaus, SPAM representa 90% do Email a circular (em Out 2007 estimado volume diário de 183 biliões de Emails)! Por vezes a mensagem não é enviada directamente à vitima. Ela é enviada a um utilizador inexistente, com From substituído pela vítima. O servidor de Email envia à vítima um aviso com conteúdo da mensagem rejeitada. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 12/40

SPAM arquitectura (1) Tal como no DoS, mensagens SPAM são enviadas por máquinas comprometidas - bots. 1. Operador de botnet infecta, por virus ou verme, um bot num nó (passa a comprometido). 2. Nó comprometido liga-se a um servidor de comando e controlo C&C. 3. Spammer adquire, ao operador de botnet, acesso a C&Cs. 4. Spammer instroi, via servidor C&C, os nós comprometidos a enviar Spam (ou ataques DoS). Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 13/40 SPAM - arquitectura (2) Cerca de 80% do SPAM gerado por 500/600 Spammers, registados em http://www.spamhaus.org/rokso Exemplo: Alan Ralsky Possuia 20 computadores. Controlava 190 servidores C&C. Enviava 650 mil mensages/hora. Registou 250 milhões de endereços. Recebia $500 por cada milhão de mensagens. Segundo Eric Allman State of the Spam em USENIX 04 90 Spammers de topo recebem, cada um, $100K/mês Legislação não intimida os maiores spammers comerciais. Nota: ROKSO=Register of Known Spam Operations Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 14/40

SPAM - arquitectura (3) Estudos revelam que 80% de PCs se encontram comprometidos. Exemplo: Bobax (bot que ataca por transposição de memória no MS LSASS) detectado em mais de 100K nós. Apenas 4% dos nós comprometidos, conhecidos, não são Windows. Nota: maior parte dos utilizadores domésticos e empresas prefere Windows. Cerca de 8% do SPAM provém de nós não Windows. Nota: servidores, com maior tempo de ligação, preferencialmente não Windows. Maior número de nós comprometidos nos EUA e na China. A maior parte dos nós comprometidos envia pequenas quantidades de SPAM. Nota: ISP mantêm listas negras, que cortam acesso a nós com elevado SPAM. Listas de nós comprometidos são designados por RBL-Realtime Blackhole List. CONCLUSÂO: SPAM vai continuar, a única solução possível é adoptar estratégias de diminuição do problema! Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 15/40 SPAM recolha de endereços (1) Spammers recolhem endereços ( harvest ) em diversos locais: Varrimento de páginas WWW por web crawlers. Respostas a ofertas e concursos afixados na Web. Virus que consultam agendas de utilizador. Endereços de autores em artigos (Journals, imprensa,...) NB pessoal! recebia diariamente à volta de 40 Spam, e o número saltou para mais de 100 quando em 2007 publiquei um artigo no Computer Networks Mensagens enviadas para UseNet. Listas recolhidas por outros Spammers. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 16/40

SPAM recolha de endereços (2) Extracto de um Email a publicitar spammer Date: Tue, 25 Mar 2008 00:30:15-0300 From: Programa de envio de emails <vlecbm@fetnet.net> [...] Subject: 50 Euros - Programa de envio de emails COMPLETO Até o dia 26/03/2008, você poderá adquirir o melhor programa de envio de emails do mercado em PORTUGAL e outros países, em um dos 5 novos pacotes com desconto exclusivo. Com o Magic Seven, você envia emails para qualquer provedor, sem limite de quantidade e sem bloqueios, com IP protegido, com velocidade de até 500.000 emails por hora. [...] Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 17/40 SPAM combate (1) 1. Disfarce endereços- address munging (nomeadamente em páginas Web) Substituição de separadores por texto (@-AT.-DOT) Substituição de texto por imagens, designadamente reenvio de nounce pelo leitor. 2. Silêncio: se responder à opção remove me, está a fornecer ao Spammer informação crucial Seu endereço de Email é real. O seu correio é lido por humanos. 3. Instalação de filtros Razor o primeiro de grande divulgação (1988) SpamAssassin adoptado no servidor WWW Apache, adaptativo por métodos estatísticos. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 18/40

SPAM combate (2) Um bom filtro deve evitar: Falsos positivos (Email válido catalogado como SPAM) devem ser inferiores a 0.02% Falsos negativos (SPAM catalogado como email válido) devem ser inferiores a 8% Efeitos negativos do SPAM: Sobrecarga de tráfego e nas caixas de correio. Perda de tempo dos receptores na determinação e eliminação de mensagens. Prejuízo nos que caem no conto do vigário. Nota [2008]: aumento do mercado asiático, aliado a um combate mais eficaz no mercado ocidental a spammers não acompanhado pelos administradores de sistemas asiáticos, tem levado ao aumento da percentagem de SPAM em língua oriental. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 19/40 SpamAssassin introdução Filtro de SPAM, implementado em 2001 em Perl por Justin Mason. Disponível em http://spamassassin.apache.org/, foi incorporado no servidor WWW Apache. Daemon lançado por /sbin/service spamassassin start,, ou automaticamente no boot por /sbin/chkconfig -level 5 spamassassin on Objectivos Muitas regras dinâmicas, combinadas para gerar um nível para cada mensagem de Email (tipicamente, valor superior a 5 indica elevada probabilidade de se tratar Spam). Facilmente integrável com os principais agentes de transferência de correio MTA-Mail Transfer Agent (sendmail, postfix). Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 20/40

SpamAssassin arquitectura (1) Arquitectura cliente-servidor de processamento do Email POP/IMAP Nível utilizador MUA (pine) Caixas de correio (INBOX, probable-spam) Nível transmissão MTA (sendmail) MDA (procmail) SpamAssassin Internet SMTP Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 21/40 SpamAssassin arquitectura (2) A. Nível utilizador MUA- Mail User Agent Objectivos: prepara o Email para o utilizador e executa comandos de gestão da caixa de correio (listagem, eliminação, ) Exemplos de ferramentas : pine ou baseado em WWW (Thunderbird) MDA- Mail Delivery Agent : agente acessório Objectivos: Processar Email vindo do MTA e inseri-lo em caixas de correio (tipicamente em ~/mail ou /var/spool/mail/username). Exemplos de ferramentas : procmail B. Nível transmissão MTA- Mail Transfer Agent Objectivos: responsável por movimentar Email de um servidor para outro. Exemplos de ferramentas: sendmail, postfix, Qmail Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 22/40

SpamAssassin testes (1) Testes executados sobre as mensagens de correio Campos do cabeçalho ( header ) palavras no assunto ( subject ), validade de datas. Conteúdo da mensagem. Endereços indicados automaticamente/manualmente em listas brancas ( whitelist ) e negras ( blacklist ). Acesso a bases de dados identificadoras de Spam (DCC, Pyzor, Razor2) Listas bloqueadas de endereços IP Novas regras adquiridas por indicação do utilizador dos falsos negativos e falsos positivos. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 23/40 SpamAssassin testes (2) Grande bateria de testes, sendo a cada resultado atribuída uma pontuação: Número de série inserido no cabeçalho X_MESSAGE_INFO para o Spammer identificar destinatário em caso de problemas na entrega 4.2 X_MESSAGE_INFO Bulk email fingerprint (X-Message-Info) found Mistificação ( hoax ) 3.4 NIGERIAN_BODY1 Message body looks like a Nigerian spam message MUA forjado 3.0 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook Caracteres inválidos no assunto 2.9 SUBJ_ILLEGAL_CHARS Subject contains too many raw illegal characters Palavras chave suspeitas 2.7 DRUGS_MANYKINDS Refers to at least four kinds of drugs 2.1 WHY_WAIT BODY: What are you waiting for Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 24/40

SpamAssassin testes (3) Retransmissão ( relay ) em nó suspeito 2.5 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL * [59.152.146.138 listed in sbl-xbl.spamhaus.org] Identificadores inválidos 1.4 INVALID_MSGID Message-Id is not valid, according to RFC 3022 Datas incoerentes 1.1 DATE_IN_PAST_96_XX Date: is 96 hours or more before Received: date 0.6 INVALID_TZ_GMT Invalid date in header (wrong GMT/UTC timezone) Mensagem chegada de nó com IP improvável 0.8 HELO_DYNAMIC_IPADDR2 Relay HELO'd using suspicious hostname (IP addr 2) Obscurecimento ( obfuscation ) por inserção de HTML 0.7 HTML_OBFUSCATE_10_20 BODY: Message is 10% to 20% HTML obfuscation Caracteres suspeitos 0.4 PLING_PLING Subject has lots of exclamation marks Identificação suspeita de utilizadores 0.5 FROM_ENDS_IN_NUMS From: ends in numbers Prioridade suspeita 0.3 X_MSMAIL_PRIORITY_HIGH Sent with 'X-Msmail-Priority' set to high Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 25/40 SpamAssassin testes (4) Pontuação dos testes indica probabilidade de Spam X-Spam-Level: ************ X-Spam-Status: Yes, score=12.5 required=5.0 tests=dns_from_rfc_abuse, DNS_FROM_RFC_POST, DNS_FROM_RFC_WHOIS, FORGED_RCVD_HELO, MIME_SUSPECT_NAME, PLING_QUERY, REMOVE_PAGE, URIBL_JP_SURBL, URIBL_OB_SURBL, URIBL_SBL, URIBL_SC_SURBL, URIBL_WS_SURBL autolearn=spam version=3.0.4 Eficiência do SpamAssassin pode melhorar por alimentação de casos de Spam. Para tal, indicar a mensagem pelo comandosa-learn com opções --spam sobre falsos negativos --ham sobre falsos positivos Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 26/40

SpamAssassin testes (5) Experiência pessoal Em finais de Agosto 2007 recolhi os resultados do filtro SpamAssassin no meu endereço Email durante 4 dias, numa média diária de 116 mensagens SPAM. Spam de nível superior a 15 : média diária 37 (desvio padrão 13.0) Spam de nível entre 5 e 15 : média diária 60 (desvio padrão 6.8) Falsos negativos : média diária 20 (desvio padrão 5.3) Falsos positivos : 0 Eficiência na filtragem: 83% Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 27/40 SpamAssassin contramedidas À medida que vão sendo instalados filtros, os spammers tentam contornar as protecções. A detecção de palavras chave (VIAGRA, ) pode ser combatida Inserindo um caracter numa posição aleatória das palavras chave. Inserindo no meio dessas palavras comentários HTML, que são absorvidos pelos navegadores ( browsers ) de email. Ex: We w<!--church-->ant to help you get lo<!--jesus-->wer HOUSE pa<!--dads trailer-->yments lido pelo navegador de email como We want to help you get lower HOUSE payments Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 28/40

sendmail (1) A. Historia Derivado do delivermail, implementado em 1979 por Eric Allman na University of California at Berkeley e distribuído no BSD 4.0. Acessível emhttp://www.sendmail.org (versão 8.14.1 de 2007/04/03) incorporado nas distribuições do Linux. B. Configuração Ficheiro de configuração/etc/mail/sendmail.cf, gerado pelo macroprocessador m4 a partir do script /etc/mail/sendmail.mc Formato indigesto (Nota: ninguém é um verdadeiro administrador de Linux enquanto não editar com sucesso um ficheiro! ) Recomenda-se guardar cópia antes de ser alterado o script Várias macros definidas em/usr/share/sendmail-cf Geração pelo comando m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 29/40 sendmail (2) C. Comandos do script sendmail.mc Comentários entre # e fim de linha, por omissão copiados para sendmail.cf Macros include : importa definições de ficheiro ex: include(`/usr/share/sendmail-cf/m4/cf.m4') define : define macro define( SMART_HOST','smtp.ist.utl.pt') # servidor de Email undefine : torna macro indeterminada dnl : para comentários até fim de linha divert : gere fluxos de saída divert(-1) # deixa de enviar comentários para sendmail.cf divert(0) MASQUERADE_AS : mascara máquinas locais MASQUERADE_AS(charlie) Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 30/40

sendmail (3) OSTYPE : identifica sistema operativo OSTYPE('linux') carrega /usr/share/sendmail-cf/ostype/linux.m4 VERSIONID : versão a ser construída VERSIONID(`linux setup for Red Hat Linux') DOMAIN : ficheiros de domínios, usado na configuração de grande número de nós DOMAIN(generic) carrega macro definida em /usr/share/sendmail-cf/domain/generic.m4 MAILER : especifica agentes de distribuição local : implementa transportes locais para caixas de correio e para programas locais smtp : implementa protocolos smtp, esmtp, smtp8 e relay procmail Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 31/40 sendmail (4) FEATURE : serviços de sendmail, indicados na forma FEATURE(nome) ou FEATURE(nome,parm) FEATURE(redirect) permite redirecção para endereço determinado em ~/.forward FEATURE(use_cw_file) aceita operar mensagens de outros nós. FEATURE( access_db','hash T<TMPF> /etc/mail/access.db') identifica ficheiro que contém os nome dos nós, para os quais o presente nó aceita operar mensagens. O ficheiro deve ter entradas na forma endereçoip oper (oper pode ser REJECT-rejeitar, RELAYreenviar, OK-aceita, DISCARD-elimina). FEATURE('ALIAS_FILE','/etc/aliases') identifica ficheiro Nome.Apelido: user@comp.ist.utl.pt # nome alternativo Caixa: :include:ficheiro # listas de endereços Nota: depois de alterado o ficheiro /etc/aliases, a base de dados tem de ser reconstruída através do comando/usr/bin/newaliases Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 32/40

sendmail (5) Exemplo:sendmail recusa receber mail vindo de endereços de má reputação 1. Inserir no ficheiro /etc/sendmail.mc # FEATURE(`dnsbl', `list.dsbl.org')dnl FEATURE(`dnsbl', `bl.spamcop.net')dnl FEATURE(`dnsbl', `sbl.spamhaus.org')dnl FEATURE(`dnsbl', `blackholes.mail-abuse.org')dnl FEATURE(`dnsbl', `relays.mail-abuse.org')dnl # 2. Executar comandos cd /etc/mail make all /sbin/service sendmail restart Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 33/40 sendmail (6) Exemplo retirado de http://www.faqs.org/docs/linux_network/ (entrada sendmail) divert(-1) # # Sample configuration file for vstout - smtp only # divert(0) VERSIONID(`@(#)sendmail.mc 8.7 (Linux) 3/5/96') OSTYPE(`linux') # # Include support for the local and smtp mail transport protocols. MAILER('local') MAILER('smtp') # FEATURE(rbl) FEATURE(access_db) # end Nota: se considera o script ser difícil de entender, veja primeiro o conteúdo do ficheiro de configuração gerado/etc/mail/sendmail.cf ;-) Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 34/40

sendmail (7) D. Caixas de correio Várias caixas de correio são criadas para depositar mensagens /var/spool/username : mensagens recebidas. Frequentemente é criada uma ligação simbólica ~/mail/inbox ~/mail/sent-mail : cópia de mensagens enviadas Criação de caixas de correio Pine : menu ListFolders, comando A Unix: pelo comandocp /dev/null ~/mail/foldername Possuem um cabeçalho na forma From MAILER-DAEMON Thu Aug 24 17:40:59 2006 Date: 24 Aug 2006 17:40:59 +0100 From: Mail System Internal Data <MAILER-DAEMON@mega.ist.utl.pt> Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA Message-ID: <1156437659@mega.ist.utl.pt> X-IMAP: 1005231421 0000000078 Status: RO This text is part of the internal format of your mail folder, and is not a real message. It is created automatically by the mail system software. If deleted, important folder data will be lost, and it will be re-created with the data reset to initial values. Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 35/40 sendmail (8) E. Lançamento do sendmail no Linux FC O daemon é lançado, pelo administrador, através do comando /sbin/service sendmail start Nota: opçãostatus lista os PIDs dos cliente e servidor asterix.ist.utl.pt> /sbin/service sendmail status sendmail (pid 2157 2148) is running... asterix.ist.utl.pt> Para que o lançamento de um deamon seja efectuado automaticamente pelo Linux no arranque, o administrador deve executar o comando /sbin/chkconfig --level 5 sendmail on O daemon corre como root para obter ligação ao porto 25 conseguir privilégio de escrita nas caixas de correio dos utilizadores AlternativasPostfix, Qmail são melhores! Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 36/40

procmail (1) A. Objectivos Ferramenta de processamento de Emails em Unix, nomeadamente ordenação e filtragem, Acessível emhttp://www.procmail.org (versão 3.22 de 2001/09/10) incorporado nas distribuições do Linux. B. Configuração Ficheiro de configuração instalado em ~/.procmailrc # Ferrolho para assegurar haver apenas 1 execução de spamassassin :0fw: spamassassin.lock * < 256000 Dimensão máxima da mensagem a fiscalizar spamc Cliente spamassassin Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 37/40 procmail (2) # # despacho de Email registados como Spam para pastas apropriadas # # mail de nível 15, ou superior, inserido numa pasta especial :0: * ^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\* mail/almost-certainly-spam # mail designado por Spam inserido numa pasta especial :0: * ^X-Spam-Status: Yes mail/probably-spam Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 38/40

procmail (3) # # em alternativa, devolver à origem mensagem de erro # :0 H * ^X-Spam-Status:.*Yes { EXITCODE=67 :0: /dev/null } Comando aplicado ao cabeçalho ( header ) Expressão regular pesquisada Indica ao sendmail inexistência do destinatário Mbox para onde Email é realmente enviado Nas versões antigas do Linux o utilizador tinha de reenviar o Email para o procmail, através do.forward Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 39/40 procmail (4) Nas versões antigas do Linux o utilizador tinha de reenviar o Email do MTA sendmail para o MDA procmail, através da seguinte linha no ~/.forward /usr/bin/procmail Os são necessários Obrigatório indicar caminho absoluto até ao programaprocmail (lembrar que o sendmail corre como root, não como utilizador) Nas versões mais actuais do Linux, tal não é necessário porque o procmail é declarado no servidorsendmail como MDA através da directiva MAILER(procmail) Prof RG Crespo Criptografia e Segurança das Comunicações Protecção AV e AS : 40/40