AVG ciekawą alternatywą dla ClamAV

Poczta elektroniczna odgrywa dużą rolę w biznesie i budowaniu relacji międzyludzkich. Ważne jest, aby wiadomości które dostajemy nie zawierały wirusów i innych „niespodzianek” takich jak trojany.  Znanym i cenionym programem antywirusowym jest ClamAV. Dzisiaj jednak poświęcę trochę czasu innemu równie dobremu programowi, jakim jest AVG. Wielu zna go pewnie ze stacji roboczych. Można go pobrać w postaci pakietu rpm ze strony http://free.avg.com/cz-cs/stahnout.tpl-stdfull.prd-alf. Następnie jako root wykonujemy następujące polecenie:

rpm -ivh nazwa_pobranego_pakietu

Przykładowo:
[root@crypton ~]# rpm -ivh avg2012flx-r1786-a4748.i386.rpm
Przygotowywanie... ########################################### [100%]
1:avg2012flx ########################################### [100%]
Installing 'avgd' service initscripts...
Registering 'avgd' service to runlevels...
Registering with license: LU2BB-SYAMX-CJTJ7-ARBXD-3BDP7-S3CZM
AVG command line controller
Copyright (c) 2011 AVG Technologies CZ

License was successfully changed.
Operation successful.

Ustawiamy, aby AVG uruchamiał się automatycznie z systemem:

/sbin/chkconfig avgd on

Czas na integrację z MTA.
Aby zmusić naszego Sendmaila do skanowania przy pomocy omawianego narzędzie musimy wyedytować plik „/etc/mail/sendmail.mc” i dopisać:

INPUT_MAIL_FILTER(`avgtcpd’, `S=inet:10024@localhost’)dnl

W powyższej linii określiliśmy na którym porcie nasłuchuje milter od programu antywirusowego. Następnie:

make -C /etc/mail

Uruchamiamy demona AVG – avgd:

service avgd start

Restartujemy Sendmaila:

service sendmail restart

Następnie przystępujemy do konfiguracji naszego nowego antywirusa, przy pomocy konsolowego narzędzia „avgcfgctl”.

avgcfgctl -w 'Default.tcpd.milter.enabled=true’

avgcfgctl -w 'Default.tcpd.milter.socket=inet:10024@localhost’

avgcfgctl -w 'Default.tcpd.milter.verbosity=0′

Niezwykle przydatne mogą okazać się pozostałe opcje:

avgcfgctl -w 'Tcpd.scan.Options.UseHeuristics=true’

włączenie heurystyki

avgcfgctl -w 'Tcpd.scan.Options.MaxFileSize=268435456′

określenie maksymalnej wielkości wiadomości do skanowania
Przykładowa odpowiedź systemu po wydaniu pierwszego polecenia to:
[root@crypton ~]# avgcfgctl -w 'Tcpd.scan.Options.UseHeuristics=true'
AVG command line avgcfgctl
Copyright (c) 2011 AVG Technologies CZ

Setting configuration item Tcpd.scan.Options.UseHeuristics to value true.

avgcfgctl -w 'Tcpd.scan.mail.strip.allexelist=|COM|DRV|EXE|OV?|PGM|SYS|BIN|CMD|DEV|386|SMM|VXD|DLL|OCX|BOO|SCR|ESL|CLA|’

avgcfgctl -w 'Tcpd.scan.mail.strip.enable=false’

Powyższe linie odpowiedzialne są za detekcję wybranych rozszerzeń załączników.
Teraz czas na konfigurację Postfixa. Musimy wyedytować plik „/etc/postfix/master.cf” i dodać następujące linie:
avgtcpd unix - - y - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes
-o max_use=20

127.0.0.1:10025 inet n – n – – smtpd
-o content_filter=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o smtpd_restriction_classes=
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
-o local_header_rewrite_clients=

Następnie otwieramy i edytujemy plik „/etc/postfix/main.cf” i dopisujemy:
content_filter = avgtcpd:127.0.0.1:54321
receive_override_options = no_address_mappings
Uruchamiamy demona AVG:

service avgd start

Restartujemy Postfixa

service postfix restart

Przydatne polecenia konfiguracyjne:

avgcfgctl -w 'Default.tcpd.smtp.address=127.0.0.1′

avgcfgctl -w 'Default.tcpd.smtp.ports=|54321|’

Powyższe komendy odpowiedzialne są za ustawienie adresu i portu na którym nasłuchuje usługa typu serwer należąca do programu antywirusowego AVG.

avgcfgctl -w 'Default.tcpd.smtp.client_address=127.0.0.1′

avgcfgctl -w 'Default.tcpd.smtp.client_port=10025′

Powyższe komendy odpowiedzialne są za ustawienie adresu i portu na którym nasłuchuje usługa kliencka Postfixa.

avgcfgctl -w 'Default.tcpd.smtp.limiter_start=220′

avgcfgctl -w 'Default.tcpd.smtp.limiter_stop=250′

Powyższe opcje odpowiedzialne są za minimalne i dopuszczalne ilości aktywnych połączeń do skanera antywirusowego.

avgcfgctl -w 'Default.tcpd.smtp.read_buffer=102400′

Powyższe polecenie ustala wielkość bufora odczytu skanera antywirusowego.
Teraz czas na integrację AVG z oprogramowaniem Amavis używanym często z Postfixem. Jeśli go posiadamy nie musimy wykonywać powyższych czynności. Wystarczy tylko wyedytować plik „/etc/amavisd.conf” i odkomentować linie:
['AVG Anti-Virus',
\&ask_daemon, ["SCAN {}\n", '127.0.0.1:54322'],
qr/^200/m, qr/^403/m, qr/^403 .*?: ([^\r\n]+)/m ],
127.0.0.1:54322 -> domyślną wartością było 127.0.0.1:55555
Restartujemy Amavisa i powinno działać

service amavisd restart

Najprostszym sprawdzeniem, czy wiadomości są skanowane jest sprawdzenie nagłówka odebranej wiadomości po skonfigurowaniu oprogramowania antywirusowego. Powinniśmy zobaczyć podobny wpis do tego poniżej:
X-Antivirus-Avg: AVG 12.0.1786 for Linux/FreeBSD mailserver; Virus DB 2425/5052 2012-06-06; mail clean;
Niestety z tego co wiem omawiane oprogramowanie antywirusowe w wersji Free jest tylko do zastosowań niekomercyjnych. Czyżby pozostawał nam tylko ClamAV? Czekam na propozycję innych w pełni darmowych rozwiązań.