如何使用Postfix配置来处理病毒-系统运维-优客志

如何使用Postfix配置来防范病毒

在本指南中，您将学习如何调整Postfix（+ Auth SMTP + Quota）的youcl邮件指南， https://www.youcl.com/info/4368 ，以提供更好的病毒防护。可悲的是，这总是在一个价格，你会看到稍后....

Falko youcl指南是默认的Postfix安装的好起点，但如果要实现业务级防病毒软件，我们需要做一些小事情，以便最新的最佳脚本小孩发明通过的机会较少。

在Postfix指南中，Amavis和ClamAV从Debian stable安装。 Debian Sarge太老了在使用新的Amavis-new 2.4.2之后，Debian软件包中的/etc/amavis/amavisd.conf已被完全替换，因此我们将独自离开amavis-new，并将其从Debian sarge中删除稳定。不过ClamAV有点过时，所以我们要从测试中拿出一份新的副本。

编辑/etc/apt/sources.list并将您的Debian源进行测试：

vi /etc/apt/sources.list

deb ftp://ftp.uk.debian.org/debian/ testing main

apt-get update

apt-get install clamav clamav-daemon

不要忘了让Debian的资源恢复稳定：

编辑/etc/apt/sources.list：

vi /etc/apt/sources.list

deb ftp://ftp.uk.debian.org/debian/ stable main

apt-get update

这将Clamav引擎更新为0.88，并应提供更好的病毒检测。可以使用Debian的Volatile分支将Clamav引入最新版本，但是我遇到了一些糟糕的经历，所以最好在出现谨慎的一面错误。

接下来，我们希望增加Amavis在Postfix手中向Amavis发送邮件之后调用的病毒扫描程序。本指南将介绍配置2。

F-Prot - 免费私人使用，并附带一个方便的Debian安装程序。

cd /usr/src

wget http://http.us.debian.org/debian/pool/contrib/f/f-prot-installer/f-prot-installer_0.5.22_i386.deb

apt-get install libwww-perl liburi-perl libhtml-parser-perl libhtml-tree-perl libhtml-tagset-perl

dpkg i f-prot-installer_0.5.22_i386.deb

按照屏幕上的安装程序，它会关闭并下载最新的F-Prot发行版，同时等待。

与使用Freshclam的Clamav不同，F-Prot不使用守护程序来保持其最新状态，而是需要通过Debian cron启用updater程序。

编辑/etc/cron.d/f-prot-installer并取消注释2个cronjob行的病毒和程序更新：

vi /etc/cron.d/f-prot-installer

27 4,16 * * * root if [ -x /usr/lib/f-prot/tools/check-updates ]; then /usr/lib/f-prot/tools/check-updates -cron; fi
#
# Uncomment to check for new version of program once a week
# 
00 12 * * 1 root if [ -x /usr/sbin/update-f-prot ]; then /usr/sbin/update-f-prot -i; fi

最后，我们要在我们的Amavis配置中启用F-prot，所以编辑/etc/amavis/amavisd.conf并搜索@av_scanners。我们要添加一个新的扫描仪到这个数组，所以它应该看起来像编辑后的跟随：

vi /etc/amavis/amavisd.conf

@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTE: run clamd under the same user as amavisd; match the socket
# name (LocalSocket) in clamav.conf to the socket name in this entry
# When running chrooted one may prefer: ["CONTSCAN {}\n","$MYHOME/clamd"],


### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);

最后重新启动Amavis以使更改生效：

/etc/init.d/amavis restart

迅速移动，现在我们要启用McAfee UVScan - 可悲的是，这不是免费的通用目的，您必须购买许可证才能使用超过评估期。

cd /usr/src

wget http://download.nai.com/products/evaluation/virusscan/english/cmdline/linux/v5.10/vlp4510e.tar.Z

tar zxvf  vlp4510e.tar.Z

./install-uvscan

接受所有默认值，除非在安装结束时避免长时间的完整文件系统扫描。此时如果您有许可证，您可以将其转储到通常安装在/ usr / local / uvscan下的程序目录中。

接下来我们从http://www.brijn.nu/Programming/中获取NAI更新程序（似乎McAfee不能打扰发布）

cd /usr/src

wget http://www.brijn.nu/Programming/nai/naiupdt-0.5.tar.gz

tar zxvf  naiupdt-0.5.tar.gz

./naiupdt.pl

接下来是将更新程序放入系统cron，以便每天至少运行一次，编辑/ etc / crontab：

vi /etc/crontab

15 8,15 * * *  root /usr/src/naiupdt-0.5/naiupdt.pl >> /dev/null

接下来，我们需要编辑Amavis配置，并将UVScan添加到混音中，以便编辑/etc/amavis/amavisd.conf，再次再次查找@av_scanners，并更改文件中的数组，使其对所有3个AV扫描仪看起来像这样：

@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTE: run clamd under the same user as amavisd; match the socket
# name (LocalSocket) in clamav.conf to the socket name in this entry
# When running chrooted one may prefer: ["CONTSCAN {}\n","$MYHOME/clamd"],

### http://www.nai.com/
['NAI McAfee AntiVirus (uvscan)', '/usr/local/uvscan/uvscan',
   '--secure -rv --mime --summary --noboot - {}', [0], [13],
   qr/(?x) Found (?:
     \ the\ (.+)\ (?:virus|trojan)  |
	 \ (?:virus|trojan)\ or\ variant\ ([^ ]+) |
	 :\ (.+)\ NOT\ a\ virus)/,
],

### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);

重新启动Amavis以使更改生效：

/etc/init.d/amavis restart

最后通过系统发送一些邮件来检查它是否正常工作，并检查Amavis日志，如果尚未完成，请确保启用Amavis配置登录，并且您应该看到以下内容：

Sep  7 23:29:57 domain.net amavisd-new[11023]: (11023-08) TIMING [total 617 ms] - SMTP EHLO: 1 (0%), SMTP pre-MAIL: 0 (0%), SMTP pre-DATA-flush: 1 (0%), SMTP DA
TA: 39 (6%), body hash: 0 (0%), lookup_sql: 1 (0%), mime_decode: 8 (1%), get-file-type: 8 (1%), get-file-type: 7 (1%), decompose_part: 1 (0%), decompose_part: 0 (0%), 
parts: 0 (0%), AV-scan-1: 4 (1%), AV-scan-2: 323 (52%), AV-scan-3: 171 (28%), fwd-connect: 4 (1%), fwd-mail-from: 0 (0%), fwd-rcpt-to: 2 (0%), write-header: 2 (0%), fw
d-data: 0 (0%), fwd-data-end: 41 (7%), fwd-rundown: 1 (0%), unlink-2-files: 2 (0%), rundown: 0 (0%)

您会注意到，有3次AV扫描发生，它给出了每个过程花费的时间的大致百分比。看起来，远处的蛤蜊（AV-scan-1）在我的测试中是最快的，之后是F-Prot（AV-scan-3），其中UVScan（AV-scan-2）在第三名。显然，如果您发现您的邮件设置受到安装好的扫描仪的打击，您所需要做的就是在amavis配置文件中禁用它们。