Sicurezza Virus · 5 min read · Nov 27, 2025

Come Combattere i Virus Utilizzando la Configurazione di Postfix

Come Combattere i Virus Utilizzando la Configurazione di Postfix

In questa guida imparerai come modificare la guida mail di HowtoForge per Postfix (+Auth SMTP + Quota), https://www.howtoforge.com/virtual_postfix_mysql_quota_courier, impostata per fornire una migliore protezione dai virus. Purtroppo, questo ha sempre un prezzo come vedrai più avanti….

La guida di Falko HowtoForge è un ottimo punto di partenza per un’installazione predefinita di Postfix, ma se vuoi ottenere un antivirus di livello aziendale dobbiamo fare alcune piccole cose in modo che ci sia meno possibilità che l’ultima invenzione di uno script kiddie riesca a passare.

Nella guida di Postfix, Amavis e ClamAV sono installati da Debian stable. Debian Sarge è semplicemente troppo vecchio. Dopo aver provato il nuovo Amavis-new 2.4.2, è cambiato significativamente nel pacchetto Debian dove /etc/amavis/amavisd.conf è stato completamente sostituito, quindi lasceremo amavis-new da solo e lo lasceremo da Debian sarge stable. Tuttavia, ClamAV è un po’ obsoleto, quindi prenderemo una copia fresca da testing.

Modifica /etc/apt/sources.list e porta le tue fonti Debian a testing:

vi /etc/apt/sources.list
deb ftp://ftp.uk.debian.org/debian/ testing main
apt-get update
apt-get install clamav clamav-daemon

Non dimenticare di riportare le tue fonti Debian a stable dopo:

Modifica /etc/apt/sources.list:

vi /etc/apt/sources.list
deb ftp://ftp.uk.debian.org/debian/ stable main
apt-get update

Questo aggiorna il motore Clamav a 0.88 e dovrebbe offrire una migliore rilevazione dei virus. È possibile portare Clamav all’ultima versione utilizzando il ramo Volatile di Debian, ma ho avuto alcune brutte esperienze, quindi è meglio essere cauti.

Successivamente vogliamo aumentare gli scanner di virus che Amavis chiama dopo che Postfix ha consegnato la mail ad Amavis. Questa guida si concentrerà sulla configurazione di 2.

F-Prot - Gratuito per uso privato e viene fornito con un comodo installer Debian.

cd /usr/src
wget http://http.us.debian.org/debian/pool/contrib/f/f-prot-installer/f-prot-installer_0.5.22_i386.deb
apt-get install libwww-perl liburi-perl libhtml-parser-perl libhtml-tree-perl libhtml-tagset-perl
dpkg i f-prot-installer_0.5.22_i386.deb

Segui l’installer a schermo, che scarica l’ultima distribuzione di F-Prot mentre aspetti.

A differenza di Clamav che utilizza Freshclam, F-Prot non utilizza un programma daemonizzato per mantenersi aggiornato, invece dobbiamo abilitare il programma di aggiornamento tramite i cron di Debian.

Modifica /etc/cron.d/f-prot-installer e decommenta le 2 righe di cronjob per gli aggiornamenti del virus e del programma:

vi /etc/cron.d/f-prot-installer
27 4,16 * * * root if [ -x /usr/lib/f-prot/tools/check-updates ]; then /usr/lib/f-prot/tools/check-updates -cron; fi
#
# Decommenta per controllare se ci sono nuove versioni del programma una volta a settimana
# 
00 12 * * 1 root if [ -x /usr/sbin/update-f-prot ]; then /usr/sbin/update-f-prot -i; fi

Infine vogliamo abilitare F-prot nella nostra configurazione di Amavis, quindi modifica /etc/amavis/amavisd.conf e cerca @av_scanners. Vogliamo aggiungere un nuovo scanner in questo array, quindi dovrebbe apparire qualcosa di simile dopo la modifica:

vi /etc/amavis/amavisd.conf
@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}
", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTA: eseguire clamd sotto lo stesso utente di amavisd; abbinare il nome del socket
# (LocalSocket) in clamav.conf al nome del socket in questa voce
# Quando si esegue chrooted si può preferire: ["CONTSCAN {}
","$MYHOME/clamd"],


### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);

Infine riavvia Amavis affinché le modifiche abbiano effetto:

/etc/init.d/amavis restart

Procedendo rapidamente, ora abiliteremo McAfee UVScan - purtroppo questo non è gratuito per uso generale e devi acquistare una licenza per utilizzarlo per più del periodo di valutazione.

cd /usr/src
wget http://download.nai.com/products/evaluation/virusscan/english/cmdline/linux/v5.10/vlp4510e.tar.Z
tar zxvf  vlp4510e.tar.Z
./install-uvscan

Accetta tutte le impostazioni predefinite tranne evita la lunga scansione completa del filesystem alla fine della procedura di installazione. A questo punto, se hai una licenza, puoi inserirla nella directory del programma normalmente installata sotto /usr/local/uvscan.

Successivamente prendiamo l’updater NAI da http://www.brijn.nu/Programming/ (sembra che McAfee non si prenda la briga di distribuirne uno)

cd /usr/src
wget http://www.brijn.nu/Programming/nai/naiupdt-0.5.tar.gz
tar zxvf  naiupdt-0.5.tar.gz
./naiupdt.pl

Successivamente dobbiamo posizionare l’updater nel cron di sistema in modo che venga eseguito almeno una volta al giorno, modifica /etc/crontab:

vi /etc/crontab
15 8,15 * * *  root /usr/src/naiupdt-0.5/naiupdt.pl >> /dev/null

Successivamente dobbiamo modificare la configurazione di Amavis e aggiungere UVScan nel mix, quindi modifica /etc/amavis/amavisd.conf e trova ancora una volta @av_scanners e cambia l’array nel file in modo che appaia qualcosa di simile per tutti e 3 gli scanner AV:

@av_scanners = (

### http://www.clamav.net/
['Clam Antivirus-clamd',
 \&ask_daemon, ["CONTSCAN {}
", "/var/run/clamav/clamd.ctl"],
 qr/\bOK$/, qr/\bFOUND$/,
 qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# NOTA: eseguire clamd sotto lo stesso utente di amavisd; abbinare il nome del socket
# (LocalSocket) in clamav.conf al nome del socket in questa voce
# Quando si esegue chrooted si può preferire: ["CONTSCAN {}
","$MYHOME/clamd"],

### http://www.nai.com/
['NAI McAfee AntiVirus (uvscan)', '/usr/local/uvscan/uvscan',
   '--secure -rv --mime --summary --noboot - {}', [0], [13],
   qr/(?x) Found (?:
     \ the\ (.+)\ (?:virus|trojan)  |
     \ (?:virus|trojan)\ or\ variant\ ([^ ]+) |
     :\ (.+)\ NOT\ a\ virus)/,
],

### F-Prot http://www.f-prot.com
['FRISK F-Prot Antivirus', ['f-prot','/usr/lib/f-prot/f-prot.sh'],
   '-dumb -archive -packed {}', [0,8], [3,6],
   qr/Infection: (.+)|\s+contains\s+(.+)$/ ],
   
);

Riavvia Amavis affinché le modifiche abbiano effetto:

/etc/init.d/amavis restart

Infine invia della posta attraverso il tuo sistema per controllare che tutto funzioni e controlla il log di Amavis, assicurati di abilitare il logging nella configurazione di Amavis se non lo hai già fatto e dovresti vedere qualcosa di simile:

Sep  7 23:29:57 domain.net amavisd-new[11023]: (11023-08) TIMING [total 617 ms] - SMTP EHLO: 1 (0%), SMTP pre-MAIL: 0 (0%), SMTP pre-DATA-flush: 1 (0%), SMTP DA  
TA: 39 (6%), body hash: 0 (0%), lookup_sql: 1 (0%), mime_decode: 8 (1%), get-file-type: 8 (1%), get-file-type: 7 (1%), decompose_part: 1 (0%), decompose_part: 0 (0%),   
parts: 0 (0%), AV-scan-1: 4 (1%), AV-scan-2: 323 (52%), AV-scan-3: 171 (28%), fwd-connect: 4 (1%), fwd-mail-from: 0 (0%), fwd-rcpt-to: 2 (0%), write-header: 2 (0%), fw  
d-data: 0 (0%), fwd-data-end: 41 (7%), fwd-rundown: 1 (0%), unlink-2-files: 2 (0%), rundown: 0 (0%)

Noterai che ci sono 3 scansioni AV in corso e fornisce la percentuale approssimativa di quanto tempo ha impiegato ciascun processo. Sembra che Clam (AV-scan-1) sia di gran lunga il più veloce nei miei test, seguito da F-Prot (AV-scan-3) con UVScan (AV-scan-2) che si colloca al terzo posto. Ovviamente, se trovi che la tua configurazione di posta venga colpita duramente da così tanti scanner installati, tutto ciò che devi fare è disabilitarli nel file di configurazione di amavis.

Share: X/Twitter LinkedIn
#Sicurezza Virus

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.