如何使用Postfix配置来处理病毒

如何使用Postfix配置来防范病毒

在本指南中,您将学习如何调整Postfix(+ Auth SMTP + Quota)的youcl邮件指南, https://www.youcl.com/info/4368 ,以提供更好的病毒防护。 可悲的是,这总是在一个价格,你会看到稍后....

Falko youcl指南是默认的Postfix安装的好起点,但如果要实现业务级防病毒软件,我们需要做一些小事情,以便最新的最佳脚本小孩发明通过的机会较少。

在Postfix指南中,Amavis和ClamAV从Debian stable安装。 Debian Sarge太老了 在使用新的Amavis-new 2.4.2之后,Debian软件包中的/etc/amavis/amavisd.conf已被完全替换,因此我们将独自离开amavis-new,并将其从Debian sarge中删除稳定。 不过ClamAV有点过时,所以我们要从测试中拿出一份新的副本。

编辑/etc/apt/sources.list并将您的Debian源进行测试:

vi /etc/apt/sources.list
deb ftp://ftp.uk.debian.org/debian/ testing main

apt-get update
apt-get install clamav clamav-daemon

不要忘了让Debian的资源恢复稳定:

编辑/etc/apt/sources.list:

vi /etc/apt/sources.list
deb ftp://ftp.uk.debian.org/debian/ stable main

apt-get update

这将Clamav引擎更新为0.88,并应提供更好的病毒检测。 可以使用Debian的Volatile分支将Clamav引入最新版本,但是我遇到了一些糟糕的经历,所以最好在出现谨慎的一面错误。

接下来,我们希望增加Amavis在Postfix手中向Amavis发送邮件之后调用的病毒扫描程序。 本指南将介绍配置2。

F-Prot - 免费私人使用,并附带一个方便的Debian安装程序。

cd /usr/src
wget http://http.us.debian.org/debian/pool/contrib/f/f-prot-installer/f-prot-installer_0.5.22_i386.deb
apt-get install libwww-perl liburi-perl libhtml-parser-perl libhtml-tree-perl libhtml-tagset-perl
dpkg i f-prot-installer_0.5.22_i386.deb

按照屏幕上的安装程序,它会关闭并下载最新的F-Prot发行版,同时等待。

与使用Freshclam的Clamav不同,F-Prot不使用守护程序来保持其最新状态,而是需要通过Debian cron启用updater程序。

编辑/etc/cron.d/f-prot-installer并取消注释2个cronjob行的病毒和程序更新:

vi /etc/cron.d/f-prot-installer
27 4,16 * * * root if [ -x /usr/lib/f-prot/tools/check-updates ]; then /usr/lib/f-prot/tools/check-updates -cron; fi
#
# Uncomment to check for new version of program once a week
# 
00 12 * * 1 root if [ -x /usr/sbin/update-f-prot ]; then /usr/sbin/update-f-prot -i; fi 

最后,我们要在我们的Amavis配置中启用F-prot,所以编辑/etc/amavis/amavisd.conf并搜索@av_scanners。 我们要添加一个新的扫描仪到这个数组,所以它应该看起来像编辑后的跟随:

vi /etc/amavis/amavisd.conf
@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTE: run clamd under the same user as amavisd; match the socket
# name (LocalSocket) in clamav.conf to the socket name in this entry
# When running chrooted one may prefer: ["CONTSCAN {}\n","$MYHOME/clamd"],


### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);


最后重新启动Amavis以使更改生效:

/etc/init.d/amavis restart 

迅速移动,现在我们要启用McAfee UVScan - 可悲的是,这不是免费的通用目的,您必须购买许可证才能使用超过评估期。

cd /usr/src
wget http://download.nai.com/products/evaluation/virusscan/english/cmdline/linux/v5.10/vlp4510e.tar.Z
tar zxvf  vlp4510e.tar.Z
./install-uvscan

接受所有默认值,除非在安装结束时避免长时间的完整文件系统扫描。 此时如果您有许可证,您可以将其转储到通常安装在/ usr / local / uvscan下的程序目录中。

接下来我们从http://www.brijn.nu/Programming/中获取NAI更新程序(似乎McAfee不能打扰发布)

cd /usr/src
wget http://www.brijn.nu/Programming/nai/naiupdt-0.5.tar.gz
tar zxvf  naiupdt-0.5.tar.gz
./naiupdt.pl

接下来是将更新程序放入系统cron,以便每天至少运行一次,编辑/ etc / crontab:

vi /etc/crontab
15 8,15 * * *  root /usr/src/naiupdt-0.5/naiupdt.pl >> /dev/null

接下来,我们需要编辑Amavis配置,并将UVScan添加到混音中,以便编辑/etc/amavis/amavisd.conf,再次再次查找@av_scanners,并更改文件中的数组,使其对所有3个AV扫描仪看起来像这样:

@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTE: run clamd under the same user as amavisd; match the socket
# name (LocalSocket) in clamav.conf to the socket name in this entry
# When running chrooted one may prefer: ["CONTSCAN {}\n","$MYHOME/clamd"],

### http://www.nai.com/
['NAI McAfee AntiVirus (uvscan)', '/usr/local/uvscan/uvscan',
   '--secure -rv --mime --summary --noboot - {}', [0], [13],
   qr/(?x) Found (?:
     \ the\ (.+)\ (?:virus|trojan)  |
	 \ (?:virus|trojan)\ or\ variant\ ([^ ]+) |
	 :\ (.+)\ NOT\ a\ virus)/,
],

### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);

重新启动Amavis以使更改生效:

/etc/init.d/amavis restart 

最后通过系统发送一些邮件来检查它是否正常工作,并检查Amavis日志,如果尚未完成,请确保启用Amavis配置登录,并且您应该看到以下内容:

Sep  7 23:29:57 domain.net amavisd-new[11023]: (11023-08) TIMING [total 617 ms] - SMTP EHLO: 1 (0%), SMTP pre-MAIL: 0 (0%), SMTP pre-DATA-flush: 1 (0%), SMTP DA
TA: 39 (6%), body hash: 0 (0%), lookup_sql: 1 (0%), mime_decode: 8 (1%), get-file-type: 8 (1%), get-file-type: 7 (1%), decompose_part: 1 (0%), decompose_part: 0 (0%),
parts: 0 (0%), AV-scan-1: 4 (1%), AV-scan-2: 323 (52%), AV-scan-3: 171 (28%), fwd-connect: 4 (1%), fwd-mail-from: 0 (0%), fwd-rcpt-to: 2 (0%), write-header: 2 (0%), fw
d-data: 0 (0%), fwd-data-end: 41 (7%), fwd-rundown: 1 (0%), unlink-2-files: 2 (0%), rundown: 0 (0%)

您会注意到,有3次AV扫描发生,它给出了每个过程花费的时间的大致百分比。 看起来,远处的蛤蜊(AV-scan-1)在我的测试中是最快的,之后是F-Prot(AV-scan-3),其中UVScan(AV-scan-2)在第三名。 显然,如果您发现您的邮件设置受到安装好的扫描仪的打击,您所需要做的就是在amavis配置文件中禁用它们。

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏