Filtern von PDF-/XLS-/Bild-Spam mit ClamAV (und ISPConfig) auf Debian/Ubuntu

Version 1.0
Autor: Till Brehm

Es gibt derzeit viel Spam, bei dem die Spam “Informationen” als .pdf- oder .xls-Dateien angehängt sind, manchmal auch in einer .zip-Datei versteckt. Während diese Spam-Mails nicht einfach mit z.B. SpamAssassin oder einem Bayes-Filter zu fangen sind, kann der ClamAV-Virenscanner sie leicht erkennen, wenn er mit den richtigen Signaturen gefüttert wird, da ClamAV dafür ausgelegt ist, E-Mail-Anhänge zu scannen.

Die Website Sanesecurity ( http://sanesecurity.co.uk) bietet aktuelle Signaturen für diese Arten von E-Mails, einschließlich Bildspam. Die folgende Anleitung zeigt Ihnen, wie Sie die Spam-, Phishing-, Betrugs- und Bildsignaturen von sanesecurity.co.uk und MSRBL in Ihre ISPConfig ClamAV-Installation unter Debian oder Ubuntu Linux installieren.

Wenn Sie die Sanesecurity-Signaturen ohne ISPConfig verwenden möchten, werfen Sie einen Blick auf die Erklärungen am Ende des Tutorials.

Installieren Sie einige Voraussetzungen

apt-get install gzip curl rsync

Laden Sie nun das Update-Skript für die Sansecurity-Signaturen herunter. Das ursprüngliche Skript wurde von Bill Landry geschrieben und ist hier verfügbar: http://www.sanesecurity.co.uk/clamav/usage.htm. Ich habe die Pfadvariablen angepasst, um sie an eine ISPConfig-Installation anzupassen - das modifizierte Skript ist hier verfügbar: http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh.

cd /usr/bin  
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh  
chmod +x sanesecurity_update.sh

Jetzt führen wir das Update-Skript aus, um zu überprüfen, ob der Download funktioniert:

./sanesecurity_update.sh

Das Ergebnis sollte ähnlich aussehen:

-----------------------------------------------------------------------------  
=================================  
SaneSecurity SCAM-Datenbank-Update  
=================================

% Total % Received % Xferd Average Speed Time Time Time Current  
Dload Upload Total Spent Left Speed  
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================  
SaneSecurity PHISH-Datenbank-Update  
==================================

% Total % Received % Xferd Average Speed Time Time Time Current  
Dload Upload Total Spent Left Speed  
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================  
MSRBL SPAM-Datenbank-Update  
==========================

Number of files: 1  
Number of files transferred: 1  
Total file size: 228436 bytes  
Total transferred file size: 228436 bytes  
Literal data: 228436 bytes  
Matched data: 0 bytes  
File list size: 33  
File list generation time: 0.001 seconds  
File list transfer time: 0.000 seconds  
Total bytes sent: 101  
Total bytes received: 228579

sent 101 bytes received 228579 bytes 26903.53 bytes/sec  
total size is 228436 speedup is 1.00

===========================  
MSRBL IMAGE-Datenbank-Update  
===========================

Number of files: 1  
Number of files transferred: 1  
Total file size: 550503 bytes  
Total transferred file size: 550503 bytes  
Literal data: 550503 bytes  
Matched data: 0 bytes  
File list size: 35  
File list generation time: 0.001 seconds  
File list transfer time: 0.000 seconds  
Total bytes sent: 103  
Total bytes received: 550688

sent 103 bytes received 550688 bytes 157368.86 bytes/sec  
total size is 550503 speedup is 1.00

-----------------------------------------------------------------------------

Jetzt fügen wir das Skript zur Root-Crontab hinzu, damit es einmal täglich ausgeführt wird:

crontab -e

Fügen Sie die folgende Zeile am Ende der Root-Crontab hinzu:

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

Das Skript wird um 04:53 Uhr ausgeführt, bitte ändern Sie die Uhrzeit in Ihrer Konfiguration ein wenig, um die Last auf dem Download-Server gering zu halten.

Verwendung von Sanesecurity-Signaturen ohne ISPConfig

Wenn Sie die Sanesecurity-Signaturen ohne ISPConfig verwenden möchten, müssen Sie das Download-Skript an Ihre ClamAV-Installation anpassen.

Laden Sie das ursprüngliche Skript von hier herunter:

http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh

Bearbeiten Sie die folgenden Variablen, um sie an Ihre Installation anzupassen:

clam_sigs="/var/lib/clamav"

Die Variable clam_sigs enthält den Pfad zum Verzeichnis, in dem Ihre ClamAV-Signaturen gespeichert sind.

clam_user="clamav"

Die Variable clam_user enthält den Benutzernamen, unter dem Ihr ClamAV oder clamd ausgeführt wird.