• MailScanner w CentOS i nie tylko

    dodany przez Przemysław Sikora

    MailScanner to kolejna aplikacja z serii kombajnów zabezpieczeń do serwerów pocztowych, takich jak np. Amavis. Według mnie jest ona bardziej elastyczna i ma więcej funkcji niż inne.

    Jest to jednak moja subiektywna opinia i możecie się z nią nie zgodzić. Czas przystąpić do instalacji:

    yum install gcc cpp perl bzip2 zip unrar make patch automake rpm-build perl-DBI perl-MIME-tools perl-DBD-SQLite binutils glibc-devel perl-Filesys-Df zlib zlib-devel

    Jeśli nie mamy skonfigurowanego repozytorium Epel, to proszę wykonać następujące polecenie:

    rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
    yum install clamd clamav spamassassin

    Do pliku „/etc/postfix/main.cf” dodajemy
    header_checks = regexp:/etc/postfix/header_checks

    a w powyższym pliku:
    /^Received:/ HOLD

    Następnie musimy pobrać właściwy program.

    wget http://www.mailscanner.info/files/4/rpm/MailScanner-4.84.6-1.rpm.tar.gz
    tar xvsf MailScanner-4.84.6-1.rpm.tar.gz
    cd MailScanner-4.84.6-1
    ./install.sh


    I am logging everything into "install.log".

    Good. You have the patch command.

    Okay, a recent system building into ~/rpmbuild.
    You are running release 5 of RedHat, or a clone.

    Writing a .rpmmacros file in your home directory to stop
    unpackaged files breaking the build process.
    You can delete it once MailScanner is installed if you want to.

    Adding to the .rpmmacros file in your home directory to stop
    RPM trying to be too clever finding Perl requirements.
    You can delete it once MailScanner is installed if you want to.

    Adding to the .rpmmacros file in your home directory to stop
    RPM trying to break on Fedora 8.
    You can delete it once MailScanner is installed if you want to.

    Good, you appear to only have 1 copy of Perl installed.

    I think you are running on RedHat Linux, Mandriva Linux or SuSE Linux.
    Good, you appear to have the basic development tools installed.

    This script will pause for a few seconds after each major step,
    so do not worry if it appears to stop for a while.
    If you want it to stop so you can scroll back through the output
    then press Ctrl-S to stop the output and Ctrl-Q to start it again.

    If this fails due to dependency checks, and you wish to ignore
    these problems, you can run
    ./install.sh nodeps

    Setting Perl5 search path

    I think your system will build architecture-dependent modules for x86_64

    Rebuilding all the Perl RPMs for your version of Perl

    Oh good, module File-Spec version 0.82 is already installed.

    Poniżej komunikat, który powinien Was uspokoić:
    Do not worry too much about errors from the next command.
    It is quite likely that some of the Perl modules are
    already installed on your system.

    I na zakończenie:
    Now to install MailScanner itself.

    NOTE: If you get lots of errors here, run the install.sh script
    NOTE: again with the command "./install.sh nodeps"

    Przygotowywanie... ##################################################
    mailscanner ##################################################

    Good, SpamAssassin site rules found in /etc/mail/spamassassin
    błąd podczas odczytywania informacji o usłudze sendmail: Nie ma takiego pliku ani katalogu

    To activate MailScanner run the following commands:

    service sendmail stop
    chkconfig sendmail off
    chkconfig MailScanner on
    service MailScanner start

    For technical support, please read the MAQ at www.mailscanner.biz/maq/
    and buy the book at www.mailscanner.info/store

    ----------------------------------------------------------
    Please buy the MailScanner book from www.mailscanner.info!
    It is a very useful administration guide and introduction
    to MailScanner. All the proceeds go directly to making
    MailScanner a better supported package than it is today.

    Następnie uruchamiamy nasz program antywirusowy.

    service clamd start

    Czas na właściwą konfigurację, znajdującą się w pliku „/etc/MailScanner/MailScanner.conf” 🙂

    ważne parametry tego pliku:
    MTA = # np. postfix
    %org-name% = # nazwa pokazywana w nagłówku np. X-CentOS-MailScanner-
    %org-long-name% = # pełna nazwa np. naszej firmy
    %web-site% = # adres strony internetowej
    Max Children = # maksymalna ilość procesów nasłuchujących (zalecane do 5 na 1 rdzeń)
    Run As User = # użytkownik z uprawnieniami którego odpalony będzie MailScanner
    Run As Group = # grupa z uprawnieniami której odpalony będzie MailScanner
    Queue Scan Interval = # co ile sekund ma być sprawdzana kolejka wiadomości przychodzących
    Virus Scanning = yes # włącz/wyłącz skanowanie antywirusowe
    Virus Scanners = # polecam clamd, domyślnie gdy nie wpiszemy innego zadziała clamscan, co spowoduje większą utylizację procesora, ponieważ skaner będzie się odpalał za każdym razem, gdy trzeba będzie coś sprawdzić
    Incoming Queue Dir = /var/spool/postfix/hold # właściwe ustawienie dla postfixa
    Outgoing Queue Dir = /var/spool/postfix/incoming # właściwe ustawienie dla postfixa
    Restart Every = # co ile sekund MailScanner ma się restartować, aby zabezpieczyć się przed wyciekiem pamięci
    Spam Checks = yes # włącz / wyłącz skanowanie antyspamowe
    Spam List = MAPS-RBL SORBS-DNSBL spamcop.net # lista włączonych list RBL (z pliku „/etc/MailScanner/spam.lists.conf”)
    Spam Lists To Be Spam = # określamy na ilu powyższych listach RBL musi znajdować się IP aby wiadomość została zaklasyfikowana jako spam
    Spam Lists To Reach High Score = # ——-/////——///////——- „poważny” spam
    Spam Actions = # akcja dla spamu, domyślnie ‚deliver header „X-Spam-Status: Yes”‚
    High Scoring Spam Actions = # akcja dla „poważnego” spamu, domyślnie ‚store’

    Poniżej opcje dotyczące daemona Clamd
    Clamd Port = 3310
    Clamd Socket = /var/run/clamav/clamd.sock

    Dodajemy lub modyfikujemy poniższy wpis:
    SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin

    # use_auto_whitelist 0 # musimy zakomentować ten wpis w pliku „/etc/mail/spamassassin/mailscanner.cf”, bo inaczej w przypadku włączenia testu diagnostycznego otrzymamy komunikat:
    config: failed to parse line, skipping, in "/etc/mail/spamassassin/mailscanner.cf": use_auto_whitelist 0

    Pamiętajmy o ustawieniu odpowiednich uprawnień / właścicieli. W naszym przypadku:

    chown postfix /var/spool/postfix
    chown postfix -R /var/spool/MailScanner/incoming/
    chown postfix -R /var/log/clamav/
    chown clam /var/log/clamav/freshclam.log

    Powinniśmy wyedytować plik „/etc/MailScanner/spam.assassin.prefs.conf”, konfigurując poniższy parametr:
    envelope_sender_header org-name-MailScanner-From

    Polecałbym dodanie „score DNS_FROM_AHBL_RHSBL 0” do pliku „/etc/mail/spamassassin/local.cf”, aby ochronić się przed fałszywymi alarmami spamowymi.
    Ostatnim etapem jest wykonanie testu, wydając polecenie:

    MailScanner --lint

    Pozytywny wynik powinien wyglądać następująco:
    [root@first ~]# MailScanner --lint
    Trying to setlogsock(unix)

    Reading configuration file /etc/MailScanner/MailScanner.conf
    Reading configuration file /etc/MailScanner/conf.d/README
    Read 876 hostnames from the phishing whitelist
    Read 5890 hostnames from the phishing blacklists

    Checking version numbers...
    Version number in MailScanner.conf (4.84.6) is correct.

    Unrar is not installed, it should be in /usr/bin/unrar.
    This is required for RAR archives to be read to check
    filenames and filetypes. Virus scanning is not affected.

    Your envelope_sender_header in spam.assassin.prefs.conf is correct.
    MailScanner setting GID to (89)
    MailScanner setting UID to (89)

    Checking for SpamAssassin errors (if you use it)...
    Using SpamAssassin results cache
    Connected to SpamAssassin cache database
    SpamAssassin reported no errors.
    Connected to Processing Attempts Database
    Created Processing Attempts Database successfully
    There are 2 messages in the Processing Attempts Database
    Using locktype = posix
    MailScanner.conf says "Virus Scanners = clamd"
    Found these virus scanners installed: clamd
    ===========================================================================
    Filename Checks: Windows/DOS Executable (1 eicar.com)
    Other Checks: Found 1 problems
    Virus and Content Scanning: Starting
    Clamd::INFECTED::Eicar-Test-Signature :: ./1/
    Clamd::INFECTED:: Eicar-Test-Signature :: ./1/eicar.com
    Virus Scanning: Clamd found 2 infections
    Infected message 1 came from 10.1.1.1
    Virus Scanning: Found 2 viruses
    ===========================================================================
    Virus Scanner test reports:
    Clamd said "eicar.com was infected: Eicar-Test-Signature"

    If any of your virus scanners (clamd)
    are not listed there, you should check that they are installed correctly
    and that MailScanner is finding them correctly via its virus.scanners.conf.

    Jeśli udało Wam się uzyskać powyższy rezultat, to gratuluję i życzę mniejszej ilości niechcianych wiadomości 🙂

Dodaj komentarz

Warto odwiedzić
Valid XHTML 1.0 Transitional centos.com.pl- mapa strony