Filtrage des spams PDF-/XLS-/Image avec ClamAV (et ISPConfig) sur Debian/Ubuntu

Version 1.0
Auteur : Till Brehm

Il y a actuellement beaucoup de spams où les “informations” de spam sont jointes sous forme de fichiers .pdf ou .xls, parfois également cachés à l’intérieur d’un fichier .zip. Bien que ces e-mails de spam ne soient pas faciles à attraper avec par exemple SpamAssassin ou un filtre Bayes, le scanner de virus ClamAV peut les attraper facilement lorsqu’il est alimenté avec les bonnes signatures, car ClamAV est conçu pour scanner les pièces jointes des e-mails.

Le site web Sanesecurity ( http://sanesecurity.co.uk) fournit des signatures à jour pour ces types d’e-mails, y compris le spam d’images. Le guide suivant vous montrera comment installer les signatures de spam, de phishing, d’escroquerie et d’images de sanesecurity.co.uk et de MSRBL dans votre installation ClamAV ISPConfig sous Debian ou Ubuntu Linux.

Si vous souhaitez utiliser les signatures Sanesecurity sans ISPConfig, jetez un œil aux explications à la fin du tutoriel.

Installer quelques prérequis

apt-get install gzip curl rsync

Téléchargez maintenant le script de mise à jour pour les signatures Sansecurity. Le script original a été écrit par Bill Landry et est disponible ici : http://www.sanesecurity.co.uk/clamav/usage.htm. J’ai modifié les variables de chemin pour convenir à une installation ISPConfig - le script modifié est disponible ici : http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh.

cd /usr/bin  
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh  
chmod +x sanesecurity_update.sh

Maintenant, nous exécutons le script de mise à jour pour vérifier si le téléchargement fonctionne :

./sanesecurity_update.sh

Le résultat devrait ressembler à ceci :

-----------------------------------------------------------------------------  
=================================  
Mise à jour de la base de données SCAM SaneSecurity  
=================================

% Total % Reçu % Xferd Vitesse Moyenne Temps Temps Temps Actuel  
Dload Upload Total Dépensé Restant Vitesse  
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================  
Mise à jour de la base de données PHISH SaneSecurity  
==================================

% Total % Reçu % Xferd Vitesse Moyenne Temps Temps Temps Actuel  
Dload Upload Total Dépensé Restant Vitesse  
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================  
Mise à jour de la base de données SPAM MSRBL  
==========================

Nombre de fichiers : 1  
Nombre de fichiers transférés : 1  
Taille totale du fichier : 228436 octets  
Taille totale du fichier transféré : 228436 octets  
Données littérales : 228436 octets  
Données correspondantes : 0 octets  
Taille de la liste de fichiers : 33  
Temps de génération de la liste de fichiers : 0.001 secondes  
Temps de transfert de la liste de fichiers : 0.000 secondes  
Total des octets envoyés : 101  
Total des octets reçus : 228579

sent 101 bytes received 228579 bytes 26903.53 bytes/sec  
total size is 228436 speedup is 1.00

===========================  
Mise à jour de la base de données IMAGE MSRBL  
===========================

Nombre de fichiers : 1  
Nombre de fichiers transférés : 1  
Taille totale du fichier : 550503 octets  
Taille totale du fichier transféré : 550503 octets  
Données littérales : 550503 octets  
Données correspondantes : 0 octets  
Taille de la liste de fichiers : 35  
Temps de génération de la liste de fichiers : 0.001 secondes  
Temps de transfert de la liste de fichiers : 0.000 secondes  
Total des octets envoyés : 103  
Total des octets reçus : 550688

sent 103 bytes received 550688 bytes 157368.86 bytes/sec  
total size is 550503 speedup is 1.00

-----------------------------------------------------------------------------

Maintenant, nous ajoutons le script au crontab root pour qu’il soit exécuté une fois par jour :

crontab -e

Ajoutez la ligne suivante à la fin du crontab root :

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

Le script est exécuté à 04h53, veuillez modifier un peu l’heure dans votre configuration pour maintenir la charge basse sur le serveur de téléchargement.

Utilisation des signatures Sanesecurity sans ISPConfig

Si vous souhaitez utiliser les signatures Sanesecurity sans ISPConfig, vous devrez personnaliser le script de téléchargement pour correspondre à votre installation ClamAV.

Téléchargez le script original ici :

http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh

Modifiez les variables suivantes pour correspondre à votre installation :

clam_sigs="/var/lib/clamav"

La variable clamav_sigs contient le chemin vers le répertoire où vos signatures ClamAV sont stockées.

clam_user="clamav"

La variable clam_user contient le nom d’utilisateur sous lequel votre ClamAV ou clamd est exécuté.