yaspi - Yosi's Anti-Spam POP3 fIlter bot
yaspi es un scanner para cuentas de correo accesibles a traces de POP3 con la capacidad de enviar reportes de abuso automaticamente.
Originalmente programe yaspi para poder limpiar mi cuenta de correo en Yahoo de los mail que recibia generador por virus como el Swen y otros similares.
En la actualidad al ser totalmente configurable se puede utilizar con cualquier cuenta de correo accesible por POP3 y tambien para combatir cualquier virus siempre que se configuren unas reglas adecuadas.
yaspi funciona conectandose al servidor POP3 y examinando las cabeceras de los nuevos correos recibidos, entonces aplica una serie de reglas heuristicas para determinar que correos son virus y cuales no.
Una de las caracteristicas mas interesantes de yaspi es que puede configurarse para que envie reportes automaticos de virus a los ISPs donde se originaron los correos infectados. De esta forma se consigue que en la mayoria de los casos los ordenadores infectados sean limpiados o desconectados de Internet con lo cual dejan de enviarnos virus.
En caso de activar el envio de reportes de virus automatico es recomendable seguir las siguientes normas:
complaint-template.cfg) para que nos envie una copia BCC
del reporte de virus, de esta forma siempre sabremos que
correos se han enviado en nuestro nombre y a quien.
Las plantillas que acompañan a yaspi ya estan configuradas de esta manera.
Ademas es muy sencillo configurar cualquier cliente de correo para que archive dichos reportes directamente en alguna carpeta sin nuestra intervencion
Con el reporte automatico vamos a recibir gran cantidad de respuestas, la mayoria generadas automaticamente y en ingles. Es conveniente hacer un seguimiento de dichas respuestas y ver que ISPs estan haciendo caso a nuestros reportes y cuales no.A veces, tambien recibiremos correos redactados manualmente por personas a las cuales no cuesta nada responderles dandoles las gracias por su atencion.
Si despues de algunos dias, observamos que en algun ISP en concreto ignoran todos nuestros reportes porque seguimos recibiendo los mismos correos infectados, se pueden buscar direcciones de correo alternativas como por ejemplo de sus empleados en RIPE http://www.ripe.net/whois, IANA http://whois.iana.org, etc., o en sus paginas web. Una vez localizadas estas direcciones de correo se puede enviar un correo educado informando de nuestro problema y como nuestras peticiones han sido ignoradas.
Algunos ISPs usan antivirus para filtrar las direcciones de correo donde reciben los reportes de abuso. Desafortunadamente la mayoria de los antivirus son incapaces de discernir entre un virus real y un reporte de virus. En estos casos lo mejor es reenviar el reporte de abuso (que tendremos guardado en alguna carpeta porque nos estamos enviando copias BCC a nosotros mismos :), pero eliminando todo rastro de anexos del mismo.Tambien podemos adjuntar una pequeña nota explicando porque es una mala idea usar antivirus en las cuentas donde reciben los reportes de abuso.
Algunos ISPs tambien rechazaran cualquier responsabilidad sobre la seguridad de los PCs de sus abonados, esta actitud no es licita y debemos responderles que aunque los PCs de sus abonados no son responsabilidad suya, el que desde los mismos no se cometan actividades ilegales (como el envio de correos infectados no solicitados) si lo es y que por lo tanto estan en la obligacion o bien de solicitar al usuario que limpie su ordenador o de desconectarlo directamente de Internet. De todas formas, debemos de tener presente que los administradores de sistemas y la gente que responde a nuestros correos son nuestros amigos, y que a ellos les gustan los virus tampoco como a nosotros porque sobrecargan sus servidores de correo y sus redes, les crean quejas y malgastan su tiempo y a sus compañias les cuesta dinero. Nuestros enemigos aqui son dos:Las personas que se dedican a crear virus en base a distintas motivaciones (para divertirse, por dinero, etc.) y que deben de ser denunciadas a las autoridades competentes en caso de que las conozcamos.
La gente ignorante que deja que sus ordenadores sean infectados. A estos se les combate brindandoles nuestra ayuda!!!
yaspi es una utilidad que funciona en modo consola y acepta los siguiente argumentos:
yaspi [-s] [-v] [-l] [-d] \
[-l<retardo>] [-f<config_alternativa>]
Sin este flag, yaspi no produce ninguna salida por pantalla y es completamente silencioso para facilitar su ejecucion automatica por otros programas como el demonio cron en entornos Unix.
Esta opcion causa que todos los correos en el servidor sean examinados.
retardo minutos.
Para instalar yaspi en ordenadores con el sistema operativo
windows es necesario descargar la ultima version disponible
etiquetada como yaspi-win32 desde SourceForge
(http://sourceforge.net/projects/yaspi).
A continuacion, con algun programa como el WinZip se
descomprime el archivo en algun lugar facilmente accesible,
por ejemplo C:\\.
Por ultimo con un editor que reconozca los retornos de carro
de Unix (el Wordpad, por ejemplo, Notepad no funciona) se
edita el fichero de configuracion bot.cfg que estara en
el directorio yaspi\\yaspi, por ejemplo
C:\\yaspi\\yaspi\\bot.cfg.
Es muy importante guardar el fichero de configuracion en
modo texto y con la extension .cfg, si lo guardamos como
por ejemplo en formato Word con extension .doc, yaspi no
lo reconocera!!!
Por ultimo, si se desea se pueden modificar las plantillas a nuestro gusto pero siempre que se entienda lo que se esta haciendo.
Para los usuarios de sistemas Unix/Linux el proceso de instalacion es como sigue:
LWP Net::POP3 Net::DNS Net::SMTP Net::XWhois Date::Format Mail::Internet Text::Template Config::Properties::Simple
(Puede que algunos de estos modulos requieran a su vez de otros modulos para funcionar!)
Dichos modulos pueden instalarse facilmente desde CPAN con
el modulo Perl del mismo nombre (CPAN):
perl -MCPAN -eshell $ install Net::POP3 ... $ install Mail::Sendmail ... $ install Config::Properties::Simple ... $ etc.
cp yaspi.pl /usr/local/bin/yaspi chmod 755 /usr/local/bin/yaspi
cp Ricochet.pm /usr/local/lib/perl5/site_perl/5.8.1/
o en un directorio particular:
cp Ricochet.pm ~/lib/perl5/
en cualquier caso tenemos que asegurarnos de que el interprete perl lo encuentra (se puede utilizar la variable de entorno PERL5LIB para ello). Consultese la documentacion de perl para ello perl y perlmod.
~/.yaspi/bot.cfg ~/.yaspi/myrules.cfg
(si lo desea tambien puede crear sus plantillas)
Las plantillas de ricochet en los directorios de configuraciones de yaspi (/etc/yaspi y ~/.yaspi) pueden ser modificadas.
yaspi -lvs
y examinar su salida y el fichero de traza yaspi.save
para ver que mensajes borraria. Si ha borrado mensajes
legitimos habra que ajustar las reglas en myrules.cfg
hasta que deje de hacerlo.
A continuacion ya se puede ejecutar yaspi de verdad :)
yaspi -lv
5,25,45 * * * * /usr/local/bin/yaspi
para que yaspi limpie el buzon de correo cada 20 minutos
Copyright (c) 2003 Salvador Fandiņo Garcia <sfandino@yahoo.com>
Este programa es software libre; puedes distribuirlo y/o modificarlo bajo los terminos de la ``General Public License'' de GNU tal como la publica la Free Software Foundation; en su version 2 o posterior (segun usted elija).
Este programa se distribuye con la idea de que resulte util a otros, pero SIN NINGUNA GARANTIA sobre su funcionamiento y se rechaza cualquier responsabilidad sobre sus acciones. Vease la ``General Public License'' de GNU para mas informacion.
Una copia de la ``General Public License'' deberia de venir acompañando a este software; si no, puede solicitarse escribiendo a la Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307, EEUU