loulou ange
11-02-2013, بتوقيت غرينيتش 02:05 AM
السلام عليكم و رحمة الله و بركاته ,
الاخوه اعضاء معهد تريد نت الكرام ،،
تحية طيبة و بعد ،،،
كم منا يزعجة دوما كم الرسائل التي يستقبلها علي بريده الالكتروني و لمن يملكون سيرفر SERVER كم مرة فوجئت بنفاذ موارد السيرفر SERVER عن طريق رسائل يتم ارسالها من سيرفر SERVERك دون معرفه المصدر او كيفيه ايقافها . و التي كانت في بعض الاحيان تدفع بالداتا سنتر الي مراسلتك لايقافها بل و من الممكن ان تقوم بإقاف سيرفر SERVERك نفسه لانك لا تستطيع السيطرة علي هذه الرسائل التي من الممكن ان تحتوي علي اعلانات لبعض المنتج pluginات او رسائل لسرقة ارقام الحسابات او او او .
لمن يملكون سيرفر SERVERات سي بانل CPANEL فانها تحتوي علي اداة رائعة تسمي AntiVirus.exim . كثير منا من الممكن انه لم يسمع عن تلك الاداه الرائعة من قبل .
هذه الاداة عباره عن فلتر مركزي لبرنامج البريد الالكتروني Exim Mail والتي تسمح له بتجهيز كل انواع الفلاتر لايقاف الاسبام من و الي السيرفر SERVER .
يسعدني ان اشارككم ملف اعداد antivirus.exim الخاص بي و اتمني من الله ان اكون قدمت لكم جزء بسيط من المساعده في حل مشكله من المشاكل التي تواجهنا جميعا . لاني اكره الاسبام و ما يسببه من استنفاذ لمواد السيرفر SERVER و اعتقد انكم تكرهون ذلك ايضا .
في البداية الملف الافتراضي موجود في المسار التالي
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/antivirus.exim
</code> </code>
و يحتوي الملف الافتراضب علي جزئين مختلفين . الجزء الاول او القاعده الاولي والتي تقوم بعمل فلتر لملفات المرفقات attachments التي يتم ارسالها مع الرسائل و هي علي سبيل المثال تقوم بايقاف الملفات التي تحتوي علي امتدادات .com , .exe , .src , ... etc
الجزء الثاني يحتوي علي بعض القواعد التي تسمح لك بمنع الاشخاص الذين يقومون بالاغراق من و الي سيرفر SERVERك .
في الحقيقة انا لم اقم بالتعمق كثيرا في نظام فلترة الرسائل الوارده لان هناك الكثير من البرامج التي تقوم بذلك و منها علي سبيل المثال Spam Assassin Handle
لتركيب install ملف الاعداد يلزمك في البداية ان تقوم بالدخول علي السيرفر SERVER الخاص بك بأستخدام الشل و يجب ان يكون معك صلاحيات root
و هناك الكثير من البرامج التي تمكنك من دخول الشيل مثل PUTTY
بعد الدخول من الشيل يلزمنا عمل ملف لوج Log و هذا الملف الذي سيتم تسجيل نتائج الفلتر الخاص بنا بيه في حال ما اذا اردنا مراجعته في اي وقت لاحق
لعمل ملف اللوج قم بتنفيذ الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> touch /var/log/mailantivirus.log
</code> </code>
بعد ذلك سلزمنا اعطاء التصريح المناسب لملف اللوج و الذي يسمح للاسكربت الخاص بنا باضافه البيانات اليه و يمكننا عمل ذلك عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> chmod 0644 /var/log/mailantivirus.log
</code> </code>
الان سوف نقوم بأخد نسخه احتياطيه من ملف الاعدادات الاصلي عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> cp /etc/antivirus.exim antivirus.exim,bak
</code> </code>
الان سنقوم بفتح ملف الاعدادات الاصلي للتعديل عليه عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> nano /etc/antivirus.exim
</code> </code>
عند فتح الملف سوف تجد امامك الكتير من الاكواد
و هذا هو ملف الاعداد الخاص فقط قم باضافته للملف الاصلي و قم بالحفظ . و سوف يبدا الاسكربت بالعمل فورا
رمز PHP:
<code style="white-space:nowrap"> <code> ### CUSTOM EGYONE.COM FILTERS by Alaa Eldin CHAThttp://www.dzbatna.com/images/mail.gifEGYONE.COM
################################################## ####
# START
# Filters all incoming an outgoing mail
logfile /var/log/mailantivirus.log 0644
## Common Spam
if
# Header Spam
$header_subject: contains "Pharmaceutical"
or $header_subject: contains "Viagra"
or $header_subject: contains "Cialis"
or $header_subject: is "The Ultimate Online Pharmaceutical"
or $header_subject: contains "***SPAM***"
or $header_subject: contains "[SPAM]"
# Body Spam
or $message_body: contains "Cialis"
or $message_body: contains "Viagra"
or $message_body: contains "Leavitra"
or $message_body: contains "St0ck"
or $message_body: contains "Viaagrra"
or $message_body: contains "Cia1iis"
or $message_body: contains "URGENT BUSINESS PROPOSAL"
or $message_body matches "angka[^s]+[net|com|org|biz|info|us|name]+?"
or $message_body matches "v(i|1)agra|vag(i|1)n(a|4)|pen( i|1)s|asu|seks|l(o|0)l(i|1)ta|dewacolok"
then
# Log Message - SENDS RESPONSE BACK TO SENDER
# SUGGESTED TO LEAVE OFF to prevent fail loops
# and more work for the mail system
#fail text "Message has been rejected because it hasn
# triggered our central filter."
logwrite "$tod_log $message_id from $sender_address contained spam keywords"
seen finish
endif
# END
# Filters all incoming an outgoing mail
# START
# All outgoing mail on the server only - what is sent out
#Check forwarders so it doesn't get blocked
#Forwarders still work =)
## FINANCIAL FAKE SENDERS
## Log all outgoing mail from server that matches rules
logfile /var/log/mailantivirus.log 0644
if (
$received_protocol is "local" or
$received_protocol is "esmtpa"
) and (
$header_from contains "http://www.dzbatna.com/images/mail.gifcitibank.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankofamerica.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifwamu.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifebay.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifchase.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifpaypal.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifwellsfargo.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankunited.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankerstrust.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankfirst.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifcapitalone.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifcitizensbank.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifjpmorgan.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifwachovia.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankone.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifsuntrust.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifamazon.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbanksecurity.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifvisa.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifmastercard.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifmbna.com"
)
then
logwrite "$tod_log $message_id from $sender_address is fraud"
seen finish
endif
## OTHER FAKE SENDERS SPAM
## Enable this to prevent users using http://www.dzbatna.com/images/mail.gifdomain from addresses
## Not recommended since users do use from addresses not on the server
## Log all outgoing mail from server that matches rules
logfile /var/log/mailantivirus.log 0644
if (
$received_protocol is "local" or
$received_protocol is "esmtpa"
) and (
$header_from contains "http://www.dzbatna.com/images/mail.gifhotmail.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifyahoo.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifaol.com"
)
then
logwrite "$tod_log $message_id from $sender_address is forged fake"
seen finish
endif
## KNOWN FAKE PHISHING
### Log all outgoing mail from server that matches rules
logfile /var/log/mailantivirus.log 0644
if (
$received_protocol is "local" or
$received_protocol is "esmtpa"
) and (
#Paypal
$message_body: contains "Dear valued PayPal member" or
$message_body: contains "Dear valued PayPal customer" or
$message_body: contains "Dear Paypal" or
$message_body: contains "The PayPal Team" or
$message_body: contains "Dear Paypal Customer" or
$message_body: contains "Paypal Account Review Department" or
#Ebay
$message_body: contains "Dear eBay member" or
$message_body: contains "Dear eBay User" or
$message_body: contains "The eBay team" or
$message_body: contains "Dear eBay Community Member" or
#Banks
$message_body: contains "Dear Charter One Customer" or
$message_body: contains "Dear wamu.com customer" or
$message_body: contains "Dear valued Citizens Bank member" or
$message_body: contains "Dear Visa" or
$message_body: contains "Dear Citibank" or
$message_body: contains "Citibank Email" or
$message_body: contains "Dear customer of Chase Bank" or
$message_body: contains "Dear Bank of America customer" or
#ISPs
$message_body: contains "Dear AOL Member" or
$message_body: contains "Dear AOL Customer"
)
then
logwrite "$tod_log $message_id from $sender_address is phishing"
seen finish
endif
# END
# All outgoing mail on the server only - what is sent out
</code> </code>
للحفظ قم بتطبيق الامر التالي بعد الاضافه
رمز PHP:
<code style="white-space:nowrap"> <code> Ctrl + X
ثم قم بالضغط علي Y
</code> </code>
ملف اللوج سوف يقوم بتسجيل ما يحدث بالشكل التالي
/var/log/mailantivirus.log
رمز PHP:
<code style="white-space:nowrap"> <code> 2014-05-10 12:05:13 1Fds7S-0002Sa-MV from xxxxxhttp://www.dzbatna.com/images/mail.gifgmail.com contained spam keywords
2014-05-10 14:18:47 1FduCn-0006GV-1r from xxxxxxxhttp://www.dzbatna.com/images/mail.gifgmail.com contained spam keywords
2014-04-27 15:44:35 1FZDLn-0005Mo-5z from xxxxhttp://www.dzbatna.com/images/mail.gifxxxxxx.com is fraud
2014-04-27 16:37:40 1FZEB9-0002KQ-VP from xxxxhttp://www.dzbatna.com/images/mail.gifxxxxxx.com is phishing
</code> </code>
اتمني ان يكون الشرح طريقة افادكم و نسألكم الدعاء
للاستفسارات يكمنكم مراسلتي علي
chathttp://www.dzbatna.com/images/mail.gifegyone.com
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
الاخوه اعضاء معهد تريد نت الكرام ،،
تحية طيبة و بعد ،،،
كم منا يزعجة دوما كم الرسائل التي يستقبلها علي بريده الالكتروني و لمن يملكون سيرفر SERVER كم مرة فوجئت بنفاذ موارد السيرفر SERVER عن طريق رسائل يتم ارسالها من سيرفر SERVERك دون معرفه المصدر او كيفيه ايقافها . و التي كانت في بعض الاحيان تدفع بالداتا سنتر الي مراسلتك لايقافها بل و من الممكن ان تقوم بإقاف سيرفر SERVERك نفسه لانك لا تستطيع السيطرة علي هذه الرسائل التي من الممكن ان تحتوي علي اعلانات لبعض المنتج pluginات او رسائل لسرقة ارقام الحسابات او او او .
لمن يملكون سيرفر SERVERات سي بانل CPANEL فانها تحتوي علي اداة رائعة تسمي AntiVirus.exim . كثير منا من الممكن انه لم يسمع عن تلك الاداه الرائعة من قبل .
هذه الاداة عباره عن فلتر مركزي لبرنامج البريد الالكتروني Exim Mail والتي تسمح له بتجهيز كل انواع الفلاتر لايقاف الاسبام من و الي السيرفر SERVER .
يسعدني ان اشارككم ملف اعداد antivirus.exim الخاص بي و اتمني من الله ان اكون قدمت لكم جزء بسيط من المساعده في حل مشكله من المشاكل التي تواجهنا جميعا . لاني اكره الاسبام و ما يسببه من استنفاذ لمواد السيرفر SERVER و اعتقد انكم تكرهون ذلك ايضا .
في البداية الملف الافتراضي موجود في المسار التالي
رمز PHP:
<code style="white-space:nowrap"> <code> /etc/antivirus.exim
</code> </code>
و يحتوي الملف الافتراضب علي جزئين مختلفين . الجزء الاول او القاعده الاولي والتي تقوم بعمل فلتر لملفات المرفقات attachments التي يتم ارسالها مع الرسائل و هي علي سبيل المثال تقوم بايقاف الملفات التي تحتوي علي امتدادات .com , .exe , .src , ... etc
الجزء الثاني يحتوي علي بعض القواعد التي تسمح لك بمنع الاشخاص الذين يقومون بالاغراق من و الي سيرفر SERVERك .
في الحقيقة انا لم اقم بالتعمق كثيرا في نظام فلترة الرسائل الوارده لان هناك الكثير من البرامج التي تقوم بذلك و منها علي سبيل المثال Spam Assassin Handle
لتركيب install ملف الاعداد يلزمك في البداية ان تقوم بالدخول علي السيرفر SERVER الخاص بك بأستخدام الشل و يجب ان يكون معك صلاحيات root
و هناك الكثير من البرامج التي تمكنك من دخول الشيل مثل PUTTY
بعد الدخول من الشيل يلزمنا عمل ملف لوج Log و هذا الملف الذي سيتم تسجيل نتائج الفلتر الخاص بنا بيه في حال ما اذا اردنا مراجعته في اي وقت لاحق
لعمل ملف اللوج قم بتنفيذ الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> touch /var/log/mailantivirus.log
</code> </code>
بعد ذلك سلزمنا اعطاء التصريح المناسب لملف اللوج و الذي يسمح للاسكربت الخاص بنا باضافه البيانات اليه و يمكننا عمل ذلك عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> chmod 0644 /var/log/mailantivirus.log
</code> </code>
الان سوف نقوم بأخد نسخه احتياطيه من ملف الاعدادات الاصلي عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> cp /etc/antivirus.exim antivirus.exim,bak
</code> </code>
الان سنقوم بفتح ملف الاعدادات الاصلي للتعديل عليه عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> nano /etc/antivirus.exim
</code> </code>
عند فتح الملف سوف تجد امامك الكتير من الاكواد
و هذا هو ملف الاعداد الخاص فقط قم باضافته للملف الاصلي و قم بالحفظ . و سوف يبدا الاسكربت بالعمل فورا
رمز PHP:
<code style="white-space:nowrap"> <code> ### CUSTOM EGYONE.COM FILTERS by Alaa Eldin CHAThttp://www.dzbatna.com/images/mail.gifEGYONE.COM
################################################## ####
# START
# Filters all incoming an outgoing mail
logfile /var/log/mailantivirus.log 0644
## Common Spam
if
# Header Spam
$header_subject: contains "Pharmaceutical"
or $header_subject: contains "Viagra"
or $header_subject: contains "Cialis"
or $header_subject: is "The Ultimate Online Pharmaceutical"
or $header_subject: contains "***SPAM***"
or $header_subject: contains "[SPAM]"
# Body Spam
or $message_body: contains "Cialis"
or $message_body: contains "Viagra"
or $message_body: contains "Leavitra"
or $message_body: contains "St0ck"
or $message_body: contains "Viaagrra"
or $message_body: contains "Cia1iis"
or $message_body: contains "URGENT BUSINESS PROPOSAL"
or $message_body matches "angka[^s]+[net|com|org|biz|info|us|name]+?"
or $message_body matches "v(i|1)agra|vag(i|1)n(a|4)|pen( i|1)s|asu|seks|l(o|0)l(i|1)ta|dewacolok"
then
# Log Message - SENDS RESPONSE BACK TO SENDER
# SUGGESTED TO LEAVE OFF to prevent fail loops
# and more work for the mail system
#fail text "Message has been rejected because it hasn
# triggered our central filter."
logwrite "$tod_log $message_id from $sender_address contained spam keywords"
seen finish
endif
# END
# Filters all incoming an outgoing mail
# START
# All outgoing mail on the server only - what is sent out
#Check forwarders so it doesn't get blocked
#Forwarders still work =)
## FINANCIAL FAKE SENDERS
## Log all outgoing mail from server that matches rules
logfile /var/log/mailantivirus.log 0644
if (
$received_protocol is "local" or
$received_protocol is "esmtpa"
) and (
$header_from contains "http://www.dzbatna.com/images/mail.gifcitibank.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankofamerica.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifwamu.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifebay.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifchase.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifpaypal.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifwellsfargo.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankunited.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankerstrust.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankfirst.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifcapitalone.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifcitizensbank.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifjpmorgan.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifwachovia.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbankone.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifsuntrust.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifamazon.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifbanksecurity.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifvisa.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifmastercard.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifmbna.com"
)
then
logwrite "$tod_log $message_id from $sender_address is fraud"
seen finish
endif
## OTHER FAKE SENDERS SPAM
## Enable this to prevent users using http://www.dzbatna.com/images/mail.gifdomain from addresses
## Not recommended since users do use from addresses not on the server
## Log all outgoing mail from server that matches rules
logfile /var/log/mailantivirus.log 0644
if (
$received_protocol is "local" or
$received_protocol is "esmtpa"
) and (
$header_from contains "http://www.dzbatna.com/images/mail.gifhotmail.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifyahoo.com" or
$header_from contains "http://www.dzbatna.com/images/mail.gifaol.com"
)
then
logwrite "$tod_log $message_id from $sender_address is forged fake"
seen finish
endif
## KNOWN FAKE PHISHING
### Log all outgoing mail from server that matches rules
logfile /var/log/mailantivirus.log 0644
if (
$received_protocol is "local" or
$received_protocol is "esmtpa"
) and (
#Paypal
$message_body: contains "Dear valued PayPal member" or
$message_body: contains "Dear valued PayPal customer" or
$message_body: contains "Dear Paypal" or
$message_body: contains "The PayPal Team" or
$message_body: contains "Dear Paypal Customer" or
$message_body: contains "Paypal Account Review Department" or
#Ebay
$message_body: contains "Dear eBay member" or
$message_body: contains "Dear eBay User" or
$message_body: contains "The eBay team" or
$message_body: contains "Dear eBay Community Member" or
#Banks
$message_body: contains "Dear Charter One Customer" or
$message_body: contains "Dear wamu.com customer" or
$message_body: contains "Dear valued Citizens Bank member" or
$message_body: contains "Dear Visa" or
$message_body: contains "Dear Citibank" or
$message_body: contains "Citibank Email" or
$message_body: contains "Dear customer of Chase Bank" or
$message_body: contains "Dear Bank of America customer" or
#ISPs
$message_body: contains "Dear AOL Member" or
$message_body: contains "Dear AOL Customer"
)
then
logwrite "$tod_log $message_id from $sender_address is phishing"
seen finish
endif
# END
# All outgoing mail on the server only - what is sent out
</code> </code>
للحفظ قم بتطبيق الامر التالي بعد الاضافه
رمز PHP:
<code style="white-space:nowrap"> <code> Ctrl + X
ثم قم بالضغط علي Y
</code> </code>
ملف اللوج سوف يقوم بتسجيل ما يحدث بالشكل التالي
/var/log/mailantivirus.log
رمز PHP:
<code style="white-space:nowrap"> <code> 2014-05-10 12:05:13 1Fds7S-0002Sa-MV from xxxxxhttp://www.dzbatna.com/images/mail.gifgmail.com contained spam keywords
2014-05-10 14:18:47 1FduCn-0006GV-1r from xxxxxxxhttp://www.dzbatna.com/images/mail.gifgmail.com contained spam keywords
2014-04-27 15:44:35 1FZDLn-0005Mo-5z from xxxxhttp://www.dzbatna.com/images/mail.gifxxxxxx.com is fraud
2014-04-27 16:37:40 1FZEB9-0002KQ-VP from xxxxhttp://www.dzbatna.com/images/mail.gifxxxxxx.com is phishing
</code> </code>
اتمني ان يكون الشرح طريقة افادكم و نسألكم الدعاء
للاستفسارات يكمنكم مراسلتي علي
chathttp://www.dzbatna.com/images/mail.gifegyone.com
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
