Comment lutter contre les virus en utilisant votre configuration Postfix

Comment lutter contre les virus en utilisant votre configuration Postfix

Dans ce guide, vous apprendrez comment ajuster le guide de messagerie HowtoForge pour Postfix (+Auth SMTP + Quota), https://www.howtoforge.com/virtual_postfix_mysql_quota_courier, afin d’offrir une meilleure protection contre les virus. Malheureusement, cela a toujours un coût, comme vous le verrez plus tard….

Le guide Falko HowtoForge est un excellent point de départ pour une installation Postfix par défaut, mais si vous souhaitez atteindre un niveau antivirus de qualité professionnelle, nous devons faire quelques petites choses afin de réduire les chances que la dernière invention de script kiddie passe à travers.

Dans le guide Postfix, Amavis et ClamAV sont installés à partir de Debian stable. Debian Sarge est tout simplement trop ancien. Après avoir joué avec le nouveau Amavis-new 2.4.2, il a changé de manière significative dans le paquet Debian où /etc/amavis/amavisd.conf a été complètement remplacé, donc nous allons laisser amavis-new tranquille et simplement le laisser de Debian sarge stable. Cependant, ClamAV est un peu obsolète, donc nous allons prendre une copie fraîche à partir de testing.

Éditez /etc/apt/sources.list et passez vos sources Debian à testing :

vi /etc/apt/sources.list

deb ftp://ftp.uk.debian.org/debian/ testing main

apt-get update

apt-get install clamav clamav-daemon

N’oubliez pas de ramener vos sources Debian à stable par la suite :

Éditez /etc/apt/sources.list :

vi /etc/apt/sources.list

deb ftp://ftp.uk.debian.org/debian/ stable main

apt-get update

Cela met à jour le moteur Clamav à 0.88 et devrait offrir une meilleure détection des virus. Il est possible de prendre Clamav à la dernière version en utilisant la branche Volatile de Debian, mais j’ai eu quelques mauvaises expériences, donc il vaut mieux être prudent.

Ensuite, nous voulons augmenter les scanners de virus que Amavis appelle après que Postfix ait remis le mail à Amavis. Ce guide examinera la configuration de 2.

F-Prot - Gratuit pour un usage privé et vient avec un installateur Debian pratique.

cd /usr/src

wget http://http.us.debian.org/debian/pool/contrib/f/f-prot-installer/f-prot-installer_0.5.22_i386.deb

apt-get install libwww-perl liburi-perl libhtml-parser-perl libhtml-tree-perl libhtml-tagset-perl

dpkg i f-prot-installer_0.5.22_i386.deb

Suivez l’installateur à l’écran, qui va télécharger la dernière distribution de F-Prot pendant que vous attendez.

Contrairement à Clamav qui utilise Freshclam, F-Prot n’utilise pas de programme en mode démon pour se maintenir à jour, nous devons donc activer le programme de mise à jour via les cron de Debian.

Éditez /etc/cron.d/f-prot-installer et décommentez les 2 lignes de cronjob pour les mises à jour de virus et de programme :

vi /etc/cron.d/f-prot-installer

27 4,16 * * * root if [ -x /usr/lib/f-prot/tools/check-updates ]; then /usr/lib/f-prot/tools/check-updates -cron; fi
#
# Décommentez pour vérifier la nouvelle version du programme une fois par semaine
# 
00 12 * * 1 root if [ -x /usr/sbin/update-f-prot ]; then /usr/sbin/update-f-prot -i; fi 

Enfin, nous voulons activer F-prot dans notre configuration Amavis, donc éditez /etc/amavis/amavisd.conf et recherchez @av_scanners. Nous voulons ajouter un nouveau scanner dans ce tableau, donc il devrait ressembler à quelque chose comme ceci après l’édition :

vi /etc/amavis/amavisd.conf

@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}
", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTE: exécutez clamd sous le même utilisateur qu'amavisd ; faites correspondre le nom de socket (LocalSocket) dans clamav.conf au nom de socket dans cette entrée
# Lors de l'exécution en chroot, on peut préférer : ["CONTSCAN {}
","$MYHOME/clamd"],


### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);

Enfin, redémarrez Amavis pour que les changements prennent effet :

/etc/init.d/amavis restart 

Passons rapidement à la suite, maintenant nous allons activer McAfee UVScan - malheureusement, ce n’est pas gratuit à des fins générales et vous devez acheter une licence pour l’utiliser plus longtemps que la période d’évaluation.

cd /usr/src

wget http://download.nai.com/products/evaluation/virusscan/english/cmdline/linux/v5.10/vlp4510e.tar.Z

tar zxvf  vlp4510e.tar.Z

./install-uvscan

Acceptez tous les paramètres par défaut sauf évitez le long scan complet du système de fichiers à la fin de la procédure d’installation. À ce stade, si vous avez une licence, vous pouvez la déposer dans le répertoire du programme normalement installé sous /usr/local/uvscan.

Ensuite, nous récupérons le programme de mise à jour NAI depuis http://www.brijn.nu/Programming/ (il semble que McAfee ne se donne pas la peine de le distribuer)

cd /usr/src

wget http://www.brijn.nu/Programming/nai/naiupdt-0.5.tar.gz

tar zxvf  naiupdt-0.5.tar.gz

./naiupdt.pl

Ensuite, placez le programme de mise à jour dans le cron système afin qu’il s’exécute au moins une fois par jour, éditez /etc/crontab :

vi /etc/crontab

15 8,15 * * *  root /usr/src/naiupdt-0.5/naiupdt.pl >> /dev/null

Ensuite, nous devons éditer la configuration Amavis et ajouter UVScan dans le mélange, donc éditez /etc/amavis/amavisd.conf et trouvez encore une fois @av_scanners et changez le tableau dans le fichier pour qu’il ressemble à quelque chose comme ceci pour les 3 scanners AV :

@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}
", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTE: exécutez clamd sous le même utilisateur qu'amavisd ; faites correspondre le nom de socket (LocalSocket) dans clamav.conf au nom de socket dans cette entrée
# Lors de l'exécution en chroot, on peut préférer : ["CONTSCAN {}
","$MYHOME/clamd"],

### http://www.nai.com/
['NAI McAfee AntiVirus (uvscan)', '/usr/local/uvscan/uvscan',
   '--secure -rv --mime --summary --noboot - {}', [0], [13],
   qr/(?x) Found (?:
     \ the\ (.+)\ (?:virus|trojan)  |
     \ (?:virus|trojan) ou\ variante\ ([^ ]+) |
     :\ (.+)\ NOT\ a\ virus)/,
],

### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);

Redémarrez Amavis pour que les changements prennent effet :

/etc/init.d/amavis restart

Enfin, envoyez quelques mails à travers votre système pour vérifier que tout fonctionne et vérifiez le journal Amavis, assurez-vous d’activer la journalisation dans la configuration Amavis si vous ne l’avez pas déjà fait et vous devriez voir quelque chose comme ceci :

Sep  7 23:29:57 domain.net amavisd-new[11023]: (11023-08) TIMING [total 617 ms] - SMTP EHLO: 1 (0%), SMTP pre-MAIL: 0 (0%), SMTP pre-DATA-flush: 1 (0%), SMTP DA  
TA: 39 (6%), body hash: 0 (0%), lookup_sql: 1 (0%), mime_decode: 8 (1%), get-file-type: 8 (1%), get-file-type: 7 (1%), decompose_part: 1 (0%), decompose_part: 0 (0%),   
parts: 0 (0%), AV-scan-1: 4 (1%), AV-scan-2: 323 (52%), AV-scan-3: 171 (28%), fwd-connect: 4 (1%), fwd-mail-from: 0 (0%), fwd-rcpt-to: 2 (0%), write-header: 2 (0%), fw  
d-data: 0 (0%), fwd-data-end: 41 (7%), fwd-rundown: 1 (0%), unlink-2-files: 2 (0%), rundown: 0 (0%)

Vous remarquerez qu’il y a 3 scans AV en cours et cela donne le pourcentage approximatif de combien de temps chaque processus a pris. Il semble de loin que Clam (AV-scan-1) est le plus rapide dans mes tests, suivi de F-Prot (AV-scan-3) avec UVScan (AV-scan-2) en troisième position. Évidemment, si vous constatez que votre configuration de messagerie est fortement impactée par tant de scanners installés, il vous suffit de les désactiver dans le fichier de configuration amavis.