The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Каталог документации / Раздел "Настройка почты (sendmail, postfix, qmail)" / Оглавление документа

Устанавливаем СlamAV

Стоит ли тебе рассказывать, что такое вирусы? Я думаю, что ты про эти гадости слышал не раз по телевизору. И последствия тебе тоже известны.

Попробуем защитить себя и свою сеть от проникновения вирусов через наш почтовый сервер. Для этого мы задействуем Clam AntiVirus (ClamAV).

Мы можем сразу ринуться в бой, но прежде установим две дополнительные библиотеки (zlib и GNU MP), без которых ClamAV не хочет устанавливаться.

Последнюю версию zlib (на момент написания - 1.2.2) мы утянем с сайта www.zlib.net, распакуем и установим.

$ cd $HOME/install
$ links www.zlib.net
$ tar xzfv zlib-1.2.2.tar.gz
$ ./configure
$ make
$ su
# make install

Библиотеку GNU MP мы установим из портов.

# cd /usr/ports/math/libgmp4
# make
# make install
# exit

Вот теперь можно и в бой. Забираем последнюю версию нашего антивируса (на момент написания - 0.83) с сайта www.clamav.net

$ cd $HOME/install
$ links www.clamav.net
$ tar xzfv clamav-0.83.tar.gz
$ cd clamav-0.83

Для конфигурирования создадим скрипт.

$ ee config.sh
### config.sh for clamav ###
./configure \
--prefix=/usr/local/clamav \
--with-user=exim \
--with-group=mail

Что делать дальше, догадываешся?

$ sh config.sh
$ make
$ su
# make install

Теперь создадим конфиг-файл для нашего антивирусного демона.

# ee /usr/local/clamav/etc/clamd.conf
### /usr/local/clamav/etc/clamd.conf ###
LogFile /usr/local/clamav/var/log/clamd.log
LogTime
PidFile /usr/local/clamav/var/run/clamd.pid
TemporaryDirectory /usr/local/clamav/var/tmp
DatabaseDirectory /usr/local/clamav/share/clamav
LocalSocket /usr/local/clamav/var/tmp/clamd.sock
FixStaleSocket
MaxConnectionQueueLength 150
MaxThreads 150
ReadTimeout 30
MaxDirectoryRecursion 20
User exim
ScanOLE2
ScanArchive
ArchiveMaxFileSize 10M
ArchiveMaxRecursion 8
ArchiveMaxFiles 1000
ArchiveMaxCompressionRatio 200

И конфиг-файл для программы обновления.

# ee /usr/local/clamav/etc/freshclam.conf
### /usr/local/clamav/etc/freshclam.conf ###
DatabaseDirectory /usr/local/clamav/share/clamav
UpdateLogFile /usr/local/clamav/var/log/freshclam.log
DatabaseOwner exim
DNSDatabaseInfo current.cvd.clamav.net
DatabaseMirror database.clamav.net
MaxAttempts 5
Checks 24

Создадим нобходимые для работы антивируса каталоги и разберемся с правами.

# mkdir -p /usr/local/clamav/var/log \
? /usr/local/clamav/var/run /usr/local/clamav/var/tmp
# chown -R exim:mail /usr/local/clamav/share /usr/local/clamav/var

Напишем скрипт для запуска нашего демона при старте системы и присвоим ему исполняемый бит.

# ee /usr/local/etc/rc.d/00clamav.sh
#!/bin/sh

case "$1" in
    start)
        echo -n "Starting ClamAV daemon..."
        /usr/local/clamav/sbin/clamd
    ;;
    stop)
        echo -n "Shutting down ClamAV daemon..."
        kill `cat /usr/local/clamav/var/run/clamd.pid | head -1`
    ;;
    restart)
        echo -n "Restarting ClamAV daemon..."
        kill `cat /usr/local/clamav/var/run/clamd.pid | head -1`
        sleep 1
        /usr/local/clamav/sbin/clamd
    ;;
    *)
        echo "Usage: $0 {start|stop|restart}"
        exit 1
    ;;
esac

chmod +x /usr/local/etc/rc.d/00clamav.sh

Теперь пришло время запустить наш антивирус.

# /usr/local/etc/rc.d/00clamav.sh start

Вирусописатели не спят и все время чавой-то ваяют. Вот и мы будем ваять. Настроим обновление антивирусных баз. Тебе опять придется столкнуться с редактором vi. Неужели ты до сих про с ним не познакомился?

# crontab -e -u exim

Нажимаем клавишу o и вводим строку:

42  *  *  *  *  /usr/local/clamav/bin/freshclam --quiet

По окончании ввода нажимаем ESC, а не ENTER и затем последовательно :wq. Теперь на 42-й минуте каждого часа мы будем получать обновление наших антивирусных баз. Для меня этого вполне достаточно. Во время вирусных эпидемий (давненько не было) рекомендую изменить первую цифру 42 на */15. И обновления будут происходить каждые 15 минут.

Антивирус мы установили и даже запустили. Обновления настроили. Теперь пришло время связать его с нашим почтовым сервером.

Для этого нужно внести изменения в конфигурационный файл Exim. Добавить в раздел MAIN CONFIGURATION SETTINGS строки:

acl_smtp_data = acl_check_content
av_scanner = clamd:/usr/local/clamav/var/tmp/clamd.sock

И в конец раздела ACL CONFIGURATION:

acl_check_content:

  deny  message = Virus found ($malware_name)
        malware = *

accept

Окончательный вид файла конфигураци /usr/local/exim/configure будет следующий:

(внесенные изменения выделены полужирным шрифтом)


######################################################################
#                  Runtime configuration file for Exim               #
######################################################################
#######################################################################
#                    MAIN CONFIGURATION SETTINGS                     #
######################################################################

primary_hostname = mydomain.ru
domainlist local_domains = ${lookup mysql{SELECT domain FROM domains \
                        WHERE domain='${domain}' AND \
                        (type='LOCAL' OR type='VIRTUAL')}}
domainlist relay_to_domains = ${lookup mysql{SELECT domain FROM domains \
                        WHERE domain='${domain}' AND type='RELAY'}}
hostlist   relay_from_hosts = 127.0.0.1
auth_advertise_hosts = *
daemon_smtp_ports = 25 : 465
tls_on_connect_ports = 465
tls_advertise_hosts = *
tls_certificate = /etc/ssl/certs/mail.pem
tls_privatekey = /etc/ssl/certs/mail.pem
log_selector = \
        +all_parents \
        +lost_incoming_connection \
        +received_sender \
        +received_recipients \
        +smtp_confirmation \
        +smtp_syntax_error \
        +smtp_protocol_error \
        -queue_run
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_mime = acl_check_mime
acl_smtp_data = acl_check_content
av_scanner = clamd:/usr/local/clamav/var/tmp/clamd.sock
qualify_domain = mydomain.ru
allow_domain_literals = false
never_users = root
host_lookup = *
rfc1413_hosts = *
rfc1413_query_timeout = 0s
ignore_bounce_errors_after = 30m
timeout_frozen_after = 3d
freeze_tell = postmaster
message_size_limit = 10M
smtp_accept_max = 100
smtp_accept_max_per_connection = 5
#smtp_connect_backlog = 50
smtp_accept_max_per_host = 2
split_spool_directory = true
remote_max_parallel = 15
smtp_banner = "Welcome on our mail server!\n\
    This system does not accept Unsolicited \
    Commercial Email\nand will blacklist \
    offenders via our spam processor.\nHave a \
    nice day!\n\n${primary_hostname} ESMTP"

hide mysql_servers = localhost/exim/sqlmail/my_password

######################################################################
#                       ACL CONFIGURATION                            #
#         Specifies access control lists for incoming SMTP mail      #
######################################################################
begin acl

acl_check_rcpt:

  accept  hosts = :

  deny    domains       = +local_domains
          local_parts   = ^[.] : ^.*[@%!/|]

  deny    domains       = !+local_domains
          local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./

  accept  local_parts   = postmaster
          domains       = +local_domains

  require verify        = sender

  deny    message       = HELO/EHLO required by SMTP RFC
          condition     = ${if eq{$sender_helo_name}{}{yes}{no}}

  deny    message       = Go Away! You are spammer.
          condition     = ${if match{$sender_host_name} \
                          {bezeqint\\.net|net\\.il|dialup|dsl|pool|peer|dhcp} \
                          {yes}{no}}

  deny    message       = rejected because \
  $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text
          log_message   = found in $dnslist_domain
          dnslists      = relays.ordb.org
  deny    message       = message from \
  $sender_host_address rejected - see http://njabl.org/
          log_message   = found in $dnslist_domain
          dnslists      = dnsbl.njabl.org
  deny    message       = rejected because \
  $sender_host_address for bad WHOIS info, see http://www.rfc-ignorant.org/
          log_message   = found in $dnslist_domain
          dnslists      = ipwhois.rfc-ignorant.org
  deny    message       = rejected because $sender_host_address \
  is in a black list at $dnslist_domain\n$dnslist_text
          log_message   = found in $dnslist_domain
          dnslists      = dialups.mail-abuse.org
  deny    message       = rejected because $sender_host_address \
  is in a black list at $dnslist_domain\n$dnslist_text
          log_message   = found in $dnslist_domain
          dnslists      = list.dsbl.org
  deny    message       = Spam blocked see: \
  http://www.spamcop.net/w3m?action=checkblock&ip=$sender_host_address
          log_message   = found in $dnslist_domain
          dnslists      = bl.spamcop.net
  deny    message       = rejected, $sender_host_address \
  Open Proxy, see: $dnslist_domain\n$dnslist_text
          log_message   = found in $dnslist_domain
          dnslists      = dnsbl.void.ru

  accept  domains       = +local_domains
          endpass
          message       = unknown user
          verify        = recipient

  accept  domains       = +relay_to_domains
          endpass
          message       = unrouteable address
          verify        = recipient

  accept  hosts         = +relay_from_hosts
  accept  authenticated = *
  deny    message       = relay not permitted

acl_check_mime:

  warn decode = default

  deny message = Blacklisted file extension detected ($mime_filename)
       condition = ${if match \
                    {${lc:$mime_filename}} \
                    {\N(\.exe|\.pif|\.bat|\.scr|\.lnk|\.com|\.vbs|\.cpl)$\N} \
                    {1}{0}}

  deny message = Sorry, noone speaks chinese here
       condition = ${if eq{$mime_charset}{gb2312}{1}{0}}

accept

acl_check_content:

  deny  message = Virus found ($malware_name)
        malware = *

accept

######################################################################
#                      ROUTERS CONFIGURATION                         #
#               Specifies how addresses are handled                  #
######################################################################
#     THE ORDER IN WHICH THE ROUTERS ARE DEFINED IS IMPORTANT!       #
# An address is passed to each router in turn until it is accepted.  #
######################################################################

begin routers

dnslookup:
  driver = dnslookup
  domains = ! +local_domains
  transport = remote_smtp
  ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
  no_more

system_aliases:
  driver = redirect
  allow_fail
  allow_defer
  data = ${lookup mysql{SELECT recipients FROM aliases \
         WHERE local_part='${local_part}' AND domain='${domain}'}}

userforward:
  driver = redirect
  allow_fail
  allow_defer
  data = ${lookup mysql{SELECT recipients FROM userforward \
         WHERE local_part='${local_part}' AND domain='${domain}'}}

virtual_localuser:
  driver = accept
  domains = ${lookup mysql{SELECT domain from domains WHERE domain='${domain}'}}
  local_parts = ${lookup mysql{SELECT login from users \
                WHERE login='${local_part}' AND domain='${domain}'}}
  transport = local_delivery

######################################################################
#                      TRANSPORTS CONFIGURATION                      #
######################################################################
#                       ORDER DOES NOT MATTER                        #
#     Only one appropriate transport is called for each delivery.    #
######################################################################

begin transports

remote_smtp:
  driver = smtp

local_delivery:
  driver = appendfile
  check_string = ""
  create_directory
  delivery_date_add
  directory = /var/mail/$domain/$local_part
  directory_mode = 770
  envelope_to_add
  group = mail
  maildir_format
  maildir_tag = ,S=$message_size
  message_prefix = ""
  message_suffix = ""
  mode = 0660
  quota = ${lookup mysql{SELECT quota FROM users \
          WHERE login='${local_part}' AND domain='${domain}'}{${value}M}}
  quota_size_regex = S=(\d+)$
  quota_warn_threshold = 75%
  return_path_add

 address_pipe:
  driver = pipe
  return_output

address_file:
  driver = appendfile
  delivery_date_add
  envelope_to_add
  return_path_add

address_reply:
  driver = autoreply

######################################################################
#                      RETRY CONFIGURATION                           #
######################################################################

begin retry

*                      quota
*                      *           F,2h,15m; G,16h,1h,1.5; F,4d,6h


######################################################################
#                      REWRITE CONFIGURATION                         #
######################################################################

begin rewrite

######################################################################
#                   AUTHENTICATION CONFIGURATION                     #
######################################################################

begin authenticators

auth_plain:
  driver = plaintext
  public_name = PLAIN
  server_condition = ${lookup mysql{SELECT login FROM users \
                        WHERE login = '${quote_mysql:${local_part:$2}}' \
                        AND domain = '${quote_mysql:${domain:$2}}' \
                        AND decrypt = '${quote_mysql:$3}' \
                        AND status = '1'}{yes}{no}}
  server_prompts = :
server_set_id = $2

auth_login:
  driver = plaintext
  public_name = LOGIN
  server_condition = ${lookup mysql{SELECT login FROM users \
                        WHERE login = '${quote_mysql:${local_part:$1}}' \
                        AND domain = '${quote_mysql:${domain:$1}}' \
                        AND decrypt = '${quote_mysql:$2}' \
                        AND status = '1'}{yes}{no}}
  server_prompts = Username:: : Password::
server_set_id = $1

auth_cram_md5:
  driver = cram_md5
  public_name = CRAM-MD5
  server_secret = ${lookup mysql{SELECT decrypt FROM users \
                        WHERE login = '${quote_mysql:${local_part:$1}}' \
                        AND domain = '${quote_mysql:${domain:$1}}' \
                        AND status = '1'}{$value}fail}
server_set_id = $1

# End of Exim configuration file

После внесения изменений нам остается только перезапустить Exim

# /usr/local/etc/rc.d/exim.sh restart

и наслаждаться результатами нашего труда, заглядывая в логи.

Но на этом твои беды не закончились. Стоило засветиться твоему почтовому серверу в глобальной сети, как злобные спамеры начинают доставать тебя и твоих пользователей. Попробуем оградиться от спамеров. Но об этом далее.

  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  

Hosting by Ihor TopList