Virenschutz · 5 min read · Nov 27, 2025
Wie man Viren mit der Postfix-Konfiguration bekämpft
Wie man Viren mit der Postfix-Konfiguration bekämpft
In diesem Leitfaden lernen Sie, wie Sie den HowtoForge-Mail-Leitfaden für Postfix (+Auth SMTP + Quota), https://www.howtoforge.com/virtual_postfix_mysql_quota_courier, anpassen, um einen besseren Virenschutz zu bieten. Leider hat dies immer seinen Preis, wie Sie später sehen werden….
Der Falko HowtoForge-Leitfaden ist ein großartiger Einstieg für eine Standard-Postfix-Installation, aber wenn Sie eine geschäftstaugliche Antivirus-Lösung erreichen möchten, müssen wir ein paar kleine Dinge tun, damit die neuesten Erfindungen von Skriptkindern weniger Chancen haben, durchzukommen.
Im Postfix-Leitfaden werden Amavis und ClamAV aus Debian Stable installiert. Debian Sarge ist einfach viel zu alt. Nachdem ich mit dem neuen Amavis-new 2.4.2 gespielt habe, hat sich das Debian-Paket erheblich geändert, wo /etc/amavis/amavisd.conf vollständig ersetzt wurde, also werden wir amavis-new in Ruhe lassen und es einfach von Debian Sarge Stable belassen. ClamAV ist jedoch etwas veraltet, also werden wir eine frische Kopie aus Testing nehmen.
Bearbeiten Sie /etc/apt/sources.list und ändern Sie Ihre Debian-Quellen auf Testing:
vi /etc/apt/sources.listdeb ftp://ftp.uk.debian.org/debian/ testing mainapt-get updateapt-get install clamav clamav-daemonVergessen Sie nicht, Ihre Debian-Quellen danach wieder auf Stable zurückzusetzen:
Bearbeiten Sie /etc/apt/sources.list:
vi /etc/apt/sources.listdeb ftp://ftp.uk.debian.org/debian/ stable mainapt-get updateDies aktualisiert die Clamav-Engine auf 0.88 und sollte eine bessere Virenerkennung bieten. Es ist möglich, Clamav auf die neueste Version über den Volatile-Zweig von Debian zu bringen, aber ich hatte ein paar schlechte Erfahrungen, also ist es besser, auf der Seite der Vorsicht zu bleiben.
Als nächstes möchten wir die Virus-Scanner erhöhen, die Amavis aufruft, nachdem Postfix die E-Mail an Amavis übergeben hat. Dieser Leitfaden wird die Konfiguration von 2 betrachten.
F-Prot - Kostenlos für die private Nutzung und kommt mit einem praktischen Debian-Installer.
cd /usr/srcwget http://http.us.debian.org/debian/pool/contrib/f/f-prot-installer/f-prot-installer_0.5.22_i386.debapt-get install libwww-perl liburi-perl libhtml-parser-perl libhtml-tree-perl libhtml-tagset-perldpkg i f-prot-installer_0.5.22_i386.debFolgen Sie dem Installationsassistenten, der die neueste Version von F-Prot herunterlädt, während Sie warten.
Im Gegensatz zu Clamav, das Freshclam verwendet, verwendet F-Prot kein daemonisiertes Programm, um sich selbst auf dem neuesten Stand zu halten; stattdessen müssen wir das Aktualisierungsprogramm über die Debian-Crons aktivieren.
Bearbeiten Sie /etc/cron.d/f-prot-installer und entfernen Sie das Kommentarzeichen bei den 2 Cronjob-Zeilen für die Virus- und Programmupdates:
vi /etc/cron.d/f-prot-installer27 4,16 * * * root if [ -x /usr/lib/f-prot/tools/check-updates ]; then /usr/lib/f-prot/tools/check-updates -cron; fi
#
# Entfernen Sie das Kommentarzeichen, um einmal pro Woche nach einer neuen Version des Programms zu suchen
#
00 12 * * 1 root if [ -x /usr/sbin/update-f-prot ]; then /usr/sbin/update-f-prot -i; fi Schließlich möchten wir F-Prot in unserer Amavis-Konfiguration aktivieren, also bearbeiten Sie /etc/amavis/amavisd.conf und suchen Sie nach @av_scanners. Wir möchten einen neuen Scanner in dieses Array hinzufügen, sodass es nach der Bearbeitung etwa so aussehen sollte:
vi /etc/amavis/amavisd.conf@av_scanners = (
### http://www.clamav.net/
['Clam Antivirus-clamd',
\&ask_daemon, ["CONTSCAN {}
", "/var/run/clamav/clamd.ctl"],
qr/\bOK$/, qr/\bFOUND$/,
qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# HINWEIS: Führen Sie clamd unter demselben Benutzer wie amavisd aus; stimmen Sie den Socketnamen (LocalSocket) in clamav.conf mit dem Socketnamen in diesem Eintrag überein
# Wenn Sie chrooted arbeiten, möchten Sie möglicherweise: ["CONTSCAN {}
","$MYHOME/clamd"],
### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
'-dumb -archive -packed {}', [0,8], [3,6],
qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
);Starten Sie schließlich Amavis neu, damit die Änderungen wirksam werden:
/etc/init.d/amavis restart Schnell weiter, jetzt werden wir McAfee UVScan aktivieren - leider ist dies nicht kostenlos für den allgemeinen Gebrauch und Sie müssen eine Lizenz erwerben, um es länger als die Evaluierungsphase zu verwenden.
cd /usr/srcwget http://download.nai.com/products/evaluation/virusscan/english/cmdline/linux/v5.10/vlp4510e.tar.Ztar zxvf vlp4510e.tar.Z./install-uvscanAkzeptieren Sie alle Standardeinstellungen, außer dass Sie den langen vollständigen Dateisystemscan am Ende des Installationsverfahrens vermeiden. An diesem Punkt können Sie, wenn Sie eine Lizenz haben, diese in das Programmverzeichnis eingeben, das normalerweise unter /usr/local/uvscan installiert ist.
Als nächstes holen wir uns den NAI-Updater von http://www.brijn.nu/Programming/ (es scheint, dass McAfee sich nicht die Mühe macht, einen zu verteilen)
cd /usr/srcwget http://www.brijn.nu/Programming/nai/naiupdt-0.5.tar.gztar zxvf naiupdt-0.5.tar.gz./naiupdt.plAls nächstes platzieren wir den Updater in den System-Cron, sodass er mindestens einmal pro Tag ausgeführt wird, bearbeiten Sie /etc/crontab:
vi /etc/crontab15 8,15 * * * root /usr/src/naiupdt-0.5/naiupdt.pl >> /dev/nullAls nächstes müssen wir die Amavis-Konfiguration bearbeiten und UVScan in die Mischung aufnehmen, also bearbeiten Sie /etc/amavis/amavisd.conf und suchen Sie erneut nach @av_scanners und ändern Sie das Array in der Datei, sodass es für alle 3 AV-Scanner etwa so aussieht:
@av_scanners = (
### http://www.clamav.net/
['Clam Antivirus-clamd',
\&ask_daemon, ["CONTSCAN {}
", "/var/run/clamav/clamd.ctl"],
qr/\bOK$/, qr/\bFOUND$/,
qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# HINWEIS: Führen Sie clamd unter demselben Benutzer wie amavisd aus; stimmen Sie den Socketnamen (LocalSocket) in clamav.conf mit dem Socketnamen in diesem Eintrag überein
# Wenn Sie chrooted arbeiten, möchten Sie möglicherweise: ["CONTSCAN {}
","$MYHOME/clamd"],
### http://www.nai.com/
['NAI McAfee AntiVirus (uvscan)', '/usr/local/uvscan/uvscan',
'--secure -rv --mime --summary --noboot - {}', [0], [13],
qr/(?x) Found (?:
\ the\ (.+)\ (?:virus|trojan) |
\ (?:virus|trojan)\ or\ variant\ ([^ ]+) |
:\ (.+)\ NOT\ a\ virus)/,
],
### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
'-dumb -archive -packed {}', [0,8], [3,6],
qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
);Starten Sie Amavis neu, damit die Änderungen wirksam werden:
/etc/init.d/amavis restartSchließlich senden Sie einige E-Mails durch Ihr System, um zu überprüfen, ob alles funktioniert, und überprüfen Sie das Amavis-Protokoll. Stellen Sie sicher, dass Sie das Protokollieren in der Amavis-Konfiguration aktiviert haben, falls Sie dies noch nicht getan haben, und Sie sollten etwas wie dies sehen:
Sep 7 23:29:57 domain.net amavisd-new[11023]: (11023-08) TIMING [total 617 ms] - SMTP EHLO: 1 (0%), SMTP pre-MAIL: 0 (0%), SMTP pre-DATA-flush: 1 (0%), SMTP DA
TA: 39 (6%), body hash: 0 (0%), lookup_sql: 1 (0%), mime_decode: 8 (1%), get-file-type: 8 (1%), get-file-type: 7 (1%), decompose_part: 1 (0%), decompose_part: 0 (0%),
parts: 0 (0%), AV-scan-1: 4 (1%), AV-scan-2: 323 (52%), AV-scan-3: 171 (28%), fwd-connect: 4 (1%), fwd-mail-from: 0 (0%), fwd-rcpt-to: 2 (0%), write-header: 2 (0%), fw
d-data: 0 (0%), fwd-data-end: 41 (7%), fwd-rundown: 1 (0%), unlink-2-files: 2 (0%), rundown: 0 (0%)Sie werden feststellen, dass 3 AV-Scans stattfinden, und es gibt den ungefähren Prozentsatz an, wie lange jeder Prozess gedauert hat. Es scheint, dass Clam (AV-scan-1) in meinen Tests bei weitem der schnellste ist, gefolgt von F-Prot (AV-scan-3) mit UVScan (AV-scan-2), das hinterherhinkt. Offensichtlich, wenn Sie feststellen, dass Ihre Mail-Setup von so vielen installierten Scannern stark betroffen ist, müssen Sie sie nur in der Amavis-Konfigurationsdatei deaktivieren.
Erhalte neue Beiträge in deinem Posteingang.
Kein Spam. Jederzeit abmelden.