Устанавливаем СlamAV

Стоит ли тебе рассказывать, что такое вирусы? Я думаю, что ты про эти гадости слышал не раз по телевизору. И последствия тебе тоже известны.

Попробуем защитить себя и свою сеть от проникновения вирусов через наш почтовый сервер. Для этого мы задействуем Clam AntiVirus (ClamAV).

Мы можем сразу ринуться в бой, но прежде установим две дополнительные библиотеки (zlib и GNU MP), без которых ClamAV не хочет устанавливаться.

Последнюю версию zlib (на момент написания - 1.2.2) мы утянем с сайта www.zlib.net, распакуем и установим.

$ cd $HOME/install $ links www.zlib.net $ tar xzfv zlib-1.2.2.tar.gz $ ./configure $ make $ su # make install

Библиотеку GNU MP мы установим из портов.

# cd /usr/ports/math/libgmp4 # make # make install # exit

Вот теперь можно и в бой. Забираем последнюю версию нашего антивируса (на момент написания - 0.83) с сайта www.clamav.net

$ cd $HOME/install $ links www.clamav.net $ tar xzfv clamav-0.83.tar.gz $ cd clamav-0.83

Для конфигурирования создадим скрипт.

$ ee config.sh
### config.sh for clamav ### ./configure \ --prefix=/usr/local/clamav \ --with-user=exim \ --with-group=mail

Что делать дальше, догадываешся?

$ sh config.sh $ make $ su # make install

Теперь создадим конфиг-файл для нашего антивирусного демона.

# ee /usr/local/clamav/etc/clamd.conf
### /usr/local/clamav/etc/clamd.conf ### LogFile /usr/local/clamav/var/log/clamd.log LogTime PidFile /usr/local/clamav/var/run/clamd.pid TemporaryDirectory /usr/local/clamav/var/tmp DatabaseDirectory /usr/local/clamav/share/clamav LocalSocket /usr/local/clamav/var/tmp/clamd.sock FixStaleSocket MaxConnectionQueueLength 150 MaxThreads 150 ReadTimeout 30 MaxDirectoryRecursion 20 User exim ScanOLE2 ScanArchive ArchiveMaxFileSize 10M ArchiveMaxRecursion 8 ArchiveMaxFiles 1000 ArchiveMaxCompressionRatio 200

И конфиг-файл для программы обновления.

# ee /usr/local/clamav/etc/freshclam.conf
### /usr/local/clamav/etc/freshclam.conf ### DatabaseDirectory /usr/local/clamav/share/clamav UpdateLogFile /usr/local/clamav/var/log/freshclam.log DatabaseOwner exim DNSDatabaseInfo current.cvd.clamav.net DatabaseMirror database.clamav.net MaxAttempts 5 Checks 24

Создадим нобходимые для работы антивируса каталоги и разберемся с правами.

# mkdir -p /usr/local/clamav/var/log \ ? /usr/local/clamav/var/run /usr/local/clamav/var/tmp # chown -R exim:mail /usr/local/clamav/share /usr/local/clamav/var

Напишем скрипт для запуска нашего демона при старте системы и присвоим ему исполняемый бит.

# ee /usr/local/etc/rc.d/00clamav.sh
#!/bin/sh case "$1" in start) echo -n "Starting ClamAV daemon..." /usr/local/clamav/sbin/clamd ;; stop) echo -n "Shutting down ClamAV daemon..." kill `cat /usr/local/clamav/var/run/clamd.pid | head -1` ;; restart) echo -n "Restarting ClamAV daemon..." kill `cat /usr/local/clamav/var/run/clamd.pid | head -1` sleep 1 /usr/local/clamav/sbin/clamd ;; *) echo "Usage: $0 {start|stop|restart}" exit 1 ;; esac

chmod +x /usr/local/etc/rc.d/00clamav.sh

Теперь пришло время запустить наш антивирус.

# /usr/local/etc/rc.d/00clamav.sh start

Вирусописатели не спят и все время чавой-то ваяют. Вот и мы будем ваять. Настроим обновление антивирусных баз. Тебе опять придется столкнуться с редактором vi. Неужели ты до сих про с ним не познакомился?

# crontab -e -u exim

Нажимаем клавишу o и вводим строку:

42 * * * * /usr/local/clamav/bin/freshclam --quiet

По окончании ввода нажимаем ESC, а не ENTER и затем последовательно :wq. Теперь на 42-й минуте каждого часа мы будем получать обновление наших антивирусных баз. Для меня этого вполне достаточно. Во время вирусных эпидемий (давненько не было) рекомендую изменить первую цифру 42 на */15. И обновления будут происходить каждые 15 минут.

Антивирус мы установили и даже запустили. Обновления настроили. Теперь пришло время связать его с нашим почтовым сервером.

Для этого нужно внести изменения в конфигурационный файл Exim. Добавить в раздел MAIN CONFIGURATION SETTINGS строки:

acl_smtp_data = acl_check_content av_scanner = clamd:/usr/local/clamav/var/tmp/clamd.sock

И в конец раздела ACL CONFIGURATION:

acl_check_content: deny message = Virus found ($malware_name) malware = * accept

Окончательный вид файла конфигураци /usr/local/exim/configure будет следующий:

(внесенные изменения выделены полужирным шрифтом)


###################################################################### # Runtime configuration file for Exim # ###################################################################### ####################################################################### # MAIN CONFIGURATION SETTINGS # ###################################################################### primary_hostname = mydomain.ru domainlist local_domains = ${lookup mysql{SELECT domain FROM domains \ WHERE domain='${domain}' AND \ (type='LOCAL' OR type='VIRTUAL')}} domainlist relay_to_domains = ${lookup mysql{SELECT domain FROM domains \ WHERE domain='${domain}' AND type='RELAY'}} hostlist relay_from_hosts = 127.0.0.1 auth_advertise_hosts = * daemon_smtp_ports = 25 : 465 tls_on_connect_ports = 465 tls_advertise_hosts = * tls_certificate = /etc/ssl/certs/mail.pem tls_privatekey = /etc/ssl/certs/mail.pem log_selector = \ +all_parents \ +lost_incoming_connection \ +received_sender \ +received_recipients \ +smtp_confirmation \ +smtp_syntax_error \ +smtp_protocol_error \ -queue_run acl_smtp_rcpt = acl_check_rcpt acl_smtp_mime = acl_check_mime acl_smtp_data = acl_check_content av_scanner = clamd:/usr/local/clamav/var/tmp/clamd.sock qualify_domain = mydomain.ru allow_domain_literals = false never_users = root host_lookup = * rfc1413_hosts = * rfc1413_query_timeout = 0s ignore_bounce_errors_after = 30m timeout_frozen_after = 3d freeze_tell = postmaster message_size_limit = 10M smtp_accept_max = 100 smtp_accept_max_per_connection = 5 #smtp_connect_backlog = 50 smtp_accept_max_per_host = 2 split_spool_directory = true remote_max_parallel = 15 smtp_banner = "Welcome on our mail server!\n\ This system does not accept Unsolicited \ Commercial Email\nand will blacklist \ offenders via our spam processor.\nHave a \ nice day!\n\n${primary_hostname} ESMTP" hide mysql_servers = localhost/exim/sqlmail/my_password ###################################################################### # ACL CONFIGURATION # # Specifies access control lists for incoming SMTP mail # ###################################################################### begin acl acl_check_rcpt: accept hosts = : deny domains = +local_domains local_parts = ^[.] : ^.*[@%!/|] deny domains = !+local_domains local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ accept local_parts = postmaster domains = +local_domains require verify = sender deny message = HELO/EHLO required by SMTP RFC condition = ${if eq{$sender_helo_name}{}{yes}{no}} deny message = Go Away! You are spammer. condition = ${if match{$sender_host_name} \ {bezeqint\\.net|net\\.il|dialup|dsl|pool|peer|dhcp} \ {yes}{no}} deny message = rejected because \ $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text log_message = found in $dnslist_domain dnslists = relays.ordb.org deny message = message from \ $sender_host_address rejected - see http://njabl.org/ log_message = found in $dnslist_domain dnslists = dnsbl.njabl.org deny message = rejected because \ $sender_host_address for bad WHOIS info, see http://www.rfc-ignorant.org/ log_message = found in $dnslist_domain dnslists = ipwhois.rfc-ignorant.org deny message = rejected because $sender_host_address \ is in a black list at $dnslist_domain\n$dnslist_text log_message = found in $dnslist_domain dnslists = dialups.mail-abuse.org deny message = rejected because $sender_host_address \ is in a black list at $dnslist_domain\n$dnslist_text log_message = found in $dnslist_domain dnslists = list.dsbl.org deny message = Spam blocked see: \ http://www.spamcop.net/w3m?action=checkblock&ip=$sender_host_address log_message = found in $dnslist_domain dnslists = bl.spamcop.net deny message = rejected, $sender_host_address \ Open Proxy, see: $dnslist_domain\n$dnslist_text log_message = found in $dnslist_domain dnslists = dnsbl.void.ru accept domains = +local_domains endpass message = unknown user verify = recipient accept domains = +relay_to_domains endpass message = unrouteable address verify = recipient accept hosts = +relay_from_hosts accept authenticated = * deny message = relay not permitted acl_check_mime: warn decode = default deny message = Blacklisted file extension detected ($mime_filename) condition = ${if match \ {${lc:$mime_filename}} \ {\N(\.exe|\.pif|\.bat|\.scr|\.lnk|\.com|\.vbs|\.cpl)$\N} \ {1}{0}} deny message = Sorry, noone speaks chinese here condition = ${if eq{$mime_charset}{gb2312}{1}{0}} accept acl_check_content: deny message = Virus found ($malware_name) malware = * accept ###################################################################### # ROUTERS CONFIGURATION # # Specifies how addresses are handled # ###################################################################### # THE ORDER IN WHICH THE ROUTERS ARE DEFINED IS IMPORTANT! # # An address is passed to each router in turn until it is accepted. # ###################################################################### begin routers dnslookup: driver = dnslookup domains = ! +local_domains transport = remote_smtp ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 no_more system_aliases: driver = redirect allow_fail allow_defer data = ${lookup mysql{SELECT recipients FROM aliases \ WHERE local_part='${local_part}' AND domain='${domain}'}} userforward: driver = redirect allow_fail allow_defer data = ${lookup mysql{SELECT recipients FROM userforward \ WHERE local_part='${local_part}' AND domain='${domain}'}} virtual_localuser: driver = accept domains = ${lookup mysql{SELECT domain from domains WHERE domain='${domain}'}} local_parts = ${lookup mysql{SELECT login from users \ WHERE login='${local_part}' AND domain='${domain}'}} transport = local_delivery ###################################################################### # TRANSPORTS CONFIGURATION # ###################################################################### # ORDER DOES NOT MATTER # # Only one appropriate transport is called for each delivery. # ###################################################################### begin transports remote_smtp: driver = smtp local_delivery: driver = appendfile check_string = "" create_directory delivery_date_add directory = /var/mail/$domain/$local_part directory_mode = 770 envelope_to_add group = mail maildir_format maildir_tag = ,S=$message_size message_prefix = "" message_suffix = "" mode = 0660 quota = ${lookup mysql{SELECT quota FROM users \ WHERE login='${local_part}' AND domain='${domain}'}{${value}M}} quota_size_regex = S=(\d+)$ quota_warn_threshold = 75% return_path_add address_pipe: driver = pipe return_output address_file: driver = appendfile delivery_date_add envelope_to_add return_path_add address_reply: driver = autoreply ###################################################################### # RETRY CONFIGURATION # ###################################################################### begin retry * quota * * F,2h,15m; G,16h,1h,1.5; F,4d,6h ###################################################################### # REWRITE CONFIGURATION # ###################################################################### begin rewrite ###################################################################### # AUTHENTICATION CONFIGURATION # ###################################################################### begin authenticators auth_plain: driver = plaintext public_name = PLAIN server_condition = ${lookup mysql{SELECT login FROM users \ WHERE login = '${quote_mysql:${local_part:$2}}' \ AND domain = '${quote_mysql:${domain:$2}}' \ AND decrypt = '${quote_mysql:$3}' \ AND status = '1'}{yes}{no}} server_prompts = : server_set_id = $2 auth_login: driver = plaintext public_name = LOGIN server_condition = ${lookup mysql{SELECT login FROM users \ WHERE login = '${quote_mysql:${local_part:$1}}' \ AND domain = '${quote_mysql:${domain:$1}}' \ AND decrypt = '${quote_mysql:$2}' \ AND status = '1'}{yes}{no}} server_prompts = Username:: : Password:: server_set_id = $1 auth_cram_md5: driver = cram_md5 public_name = CRAM-MD5 server_secret = ${lookup mysql{SELECT decrypt FROM users \ WHERE login = '${quote_mysql:${local_part:$1}}' \ AND domain = '${quote_mysql:${domain:$1}}' \ AND status = '1'}{$value}fail} server_set_id = $1 # End of Exim configuration file

После внесения изменений нам остается только перезапустить Exim

# /usr/local/etc/rc.d/exim.sh restart

и наслаждаться результатами нашего труда, заглядывая в логи.

Но на этом твои беды не закончились. Стоило засветиться твоему почтовому серверу в глобальной сети, как злобные спамеры начинают доставать тебя и твоих пользователей. Попробуем оградиться от спамеров. Но об этом далее.