Escanear contenido y adjuntos email

trelerele

Buenas tardes,

Alguien tiene alguna idea o plugin, para poder escanear el contenido o adjunto de todos los email que passen por el pfsense en la version 2.3. De esta forma descartar virus antes de que lleguen el correo.
Muchas gracias.

javcasta

Hola

El paquete Suricata (IDS/IPS), es una buena alternativa.

Es algo laborioso de configurar (reglas y pass-list personalizada a cada escenario de red).

Por experiencia, me ha detectado trojans (y bloqueado claro) en tráfico http, en cuanto al tema del correo , dependerá si es pop3 (no encriptado) o (secure imap, secure pop3, etc, sí encriptado) y si los adjuntos vienen en un zip con encriptasción (password) o no…

La versión 2.1Beta2 de Suricata , sé que tiene esa nueva característica (feature):

https://suricata-ids.org/tag/file-extraction/

Feature #549: Extract file attachments from emails

Lo que no sé es si el paquete de Suricata en pfSense 2.3 tiene reglas predeterminadas para "extraer adjuntos de un email" y si lo haria en un tráfico de un protocolo de mail seguro (encriptado). Las reglas que he visto se aplican a smtp, imap y pop3

Investiga si te puedes hacer con un conjunto de reglas para ese objetivo (hay susbcripciones a listas de reglas de snort/suricata, muy avanzadas, pero de pago)

Salu2