如何使用Postfix配置来防范病毒
在本指南中,您将学习如何调整Postfix(+ Auth SMTP + Quota)的youcl邮件指南, https://www.youcl.com/info/4368 ,以提供更好的病毒防护。 可悲的是,这总是在一个价格,你会看到稍后....
Falko youcl指南是默认的Postfix安装的好起点,但如果要实现业务级防病毒软件,我们需要做一些小事情,以便最新的最佳脚本小孩发明通过的机会较少。
在Postfix指南中,Amavis和ClamAV从Debian stable安装。 Debian Sarge太老了 在使用新的Amavis-new 2.4.2之后,Debian软件包中的/etc/amavis/amavisd.conf已被完全替换,因此我们将独自离开amavis-new,并将其从Debian sarge中删除稳定。 不过ClamAV有点过时,所以我们要从测试中拿出一份新的副本。
编辑/etc/apt/sources.list并将您的Debian源进行测试:
vi /etc/apt/sources.list
deb ftp://ftp.uk.debian.org/debian/ testing main
apt-get update
apt-get install clamav clamav-daemon
不要忘了让Debian的资源恢复稳定:
编辑/etc/apt/sources.list:
vi /etc/apt/sources.list
deb ftp://ftp.uk.debian.org/debian/ stable main
apt-get update
这将Clamav引擎更新为0.88,并应提供更好的病毒检测。 可以使用Debian的Volatile分支将Clamav引入最新版本,但是我遇到了一些糟糕的经历,所以最好在出现谨慎的一面错误。
接下来,我们希望增加Amavis在Postfix手中向Amavis发送邮件之后调用的病毒扫描程序。 本指南将介绍配置2。
F-Prot - 免费私人使用,并附带一个方便的Debian安装程序。
cd /usr/src
wget http://http.us.debian.org/debian/pool/contrib/f/f-prot-installer/f-prot-installer_0.5.22_i386.deb
apt-get install libwww-perl liburi-perl libhtml-parser-perl libhtml-tree-perl libhtml-tagset-perl
dpkg i f-prot-installer_0.5.22_i386.deb
按照屏幕上的安装程序,它会关闭并下载最新的F-Prot发行版,同时等待。
与使用Freshclam的Clamav不同,F-Prot不使用守护程序来保持其最新状态,而是需要通过Debian cron启用updater程序。
编辑/etc/cron.d/f-prot-installer并取消注释2个cronjob行的病毒和程序更新:
vi /etc/cron.d/f-prot-installer
27 4,16 * * * root if [ -x /usr/lib/f-prot/tools/check-updates ]; then /usr/lib/f-prot/tools/check-updates -cron; fi # # Uncomment to check for new version of program once a week # 00 12 * * 1 root if [ -x /usr/sbin/update-f-prot ]; then /usr/sbin/update-f-prot -i; fi
最后,我们要在我们的Amavis配置中启用F-prot,所以编辑/etc/amavis/amavisd.conf并搜索@av_scanners。 我们要添加一个新的扫描仪到这个数组,所以它应该看起来像编辑后的跟随:
vi /etc/amavis/amavisd.conf
@av_scanners = ( ### http://www.clamav.net/ ['Clam Antivirus-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], # NOTE: run clamd under the same user as amavisd; match the socket # name (LocalSocket) in clamav.conf to the socket name in this entry # When running chrooted one may prefer: ["CONTSCAN {}\n","$MYHOME/clamd"], ### F-Prot http://www.f-prot.com ['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)|\s+contains\s+(.+)$/ ], );
最后重新启动Amavis以使更改生效:
/etc/init.d/amavis restart
迅速移动,现在我们要启用McAfee UVScan - 可悲的是,这不是免费的通用目的,您必须购买许可证才能使用超过评估期。
cd /usr/src
wget http://download.nai.com/products/evaluation/virusscan/english/cmdline/linux/v5.10/vlp4510e.tar.Z
tar zxvf vlp4510e.tar.Z
./install-uvscan
接受所有默认值,除非在安装结束时避免长时间的完整文件系统扫描。 此时如果您有许可证,您可以将其转储到通常安装在/ usr / local / uvscan下的程序目录中。
接下来我们从http://www.brijn.nu/Programming/中获取NAI更新程序(似乎McAfee不能打扰发布)
cd /usr/src
wget http://www.brijn.nu/Programming/nai/naiupdt-0.5.tar.gz
tar zxvf naiupdt-0.5.tar.gz
./naiupdt.pl
接下来是将更新程序放入系统cron,以便每天至少运行一次,编辑/ etc / crontab:
vi /etc/crontab
15 8,15 * * * root /usr/src/naiupdt-0.5/naiupdt.pl >> /dev/null
接下来,我们需要编辑Amavis配置,并将UVScan添加到混音中,以便编辑/etc/amavis/amavisd.conf,再次再次查找@av_scanners,并更改文件中的数组,使其对所有3个AV扫描仪看起来像这样:
@av_scanners = ( ### http://www.clamav.net/ ['Clam Antivirus-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], # NOTE: run clamd under the same user as amavisd; match the socket # name (LocalSocket) in clamav.conf to the socket name in this entry # When running chrooted one may prefer: ["CONTSCAN {}\n","$MYHOME/clamd"], ### http://www.nai.com/ ['NAI McAfee AntiVirus (uvscan)', '/usr/local/uvscan/uvscan', '--secure -rv --mime --summary --noboot - {}', [0], [13], qr/(?x) Found (?: \ the\ (.+)\ (?:virus|trojan) | \ (?:virus|trojan)\ or\ variant\ ([^ ]+) | :\ (.+)\ NOT\ a\ virus)/, ], ### F-Prot http://www.f-prot.com ['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)|\s+contains\s+(.+)$/ ], );
重新启动Amavis以使更改生效:
/etc/init.d/amavis restart
最后通过系统发送一些邮件来检查它是否正常工作,并检查Amavis日志,如果尚未完成,请确保启用Amavis配置登录,并且您应该看到以下内容:
Sep 7 23:29:57 domain.net amavisd-new[11023]: (11023-08) TIMING [total 617 ms] - SMTP EHLO: 1 (0%), SMTP pre-MAIL: 0 (0%), SMTP pre-DATA-flush: 1 (0%), SMTP DA
TA: 39 (6%), body hash: 0 (0%), lookup_sql: 1 (0%), mime_decode: 8 (1%), get-file-type: 8 (1%), get-file-type: 7 (1%), decompose_part: 1 (0%), decompose_part: 0 (0%),
parts: 0 (0%), AV-scan-1: 4 (1%), AV-scan-2: 323 (52%), AV-scan-3: 171 (28%), fwd-connect: 4 (1%), fwd-mail-from: 0 (0%), fwd-rcpt-to: 2 (0%), write-header: 2 (0%), fw
d-data: 0 (0%), fwd-data-end: 41 (7%), fwd-rundown: 1 (0%), unlink-2-files: 2 (0%), rundown: 0 (0%)
您会注意到,有3次AV扫描发生,它给出了每个过程花费的时间的大致百分比。 看起来,远处的蛤蜊(AV-scan-1)在我的测试中是最快的,之后是F-Prot(AV-scan-3),其中UVScan(AV-scan-2)在第三名。 显然,如果您发现您的邮件设置受到安装好的扫描仪的打击,您所需要做的就是在amavis配置文件中禁用它们。