Escanear contenido y adjuntos email


  • Buenas tardes,

    Alguien tiene alguna idea o plugin, para poder escanear el contenido o adjunto de todos los email que passen por el pfsense en la version 2.3. De esta forma descartar virus antes de que lleguen el correo.
    Muchas gracias.


  • Hola

    El paquete Suricata (IDS/IPS), es una buena alternativa.

    Es algo laborioso de configurar (reglas y pass-list personalizada a cada escenario de red).

    Por experiencia, me ha detectado trojans (y bloqueado claro) en tráfico http, en cuanto al tema del correo , dependerá si es pop3 (no encriptado) o (secure imap, secure pop3, etc, sí encriptado) y si los adjuntos vienen en un zip con encriptasción (password) o no…

    La versión 2.1Beta2 de Suricata , sé que tiene esa nueva característica (feature):

    https://suricata-ids.org/tag/file-extraction/

    Feature #549: Extract file attachments from emails

    Lo que no sé es si el paquete de Suricata en pfSense 2.3 tiene reglas predeterminadas para "extraer adjuntos de un email" y si lo haria en un tráfico de un protocolo de mail seguro (encriptado). Las reglas que he visto se aplican a smtp, imap y pop3

    Investiga si te puedes hacer con un conjunto de reglas para ese objetivo (hay susbcripciones a listas de reglas de snort/suricata, muy avanzadas, pero de pago)

    Salu2