Filtrando Spam de PDF-/XLS-/Imagem Com ClamAV (E ISPConfig) No Debian/Ubuntu

Versão 1.0
Autor: Till Brehm

Atualmente, há muito spam onde as “informações” de spam estão anexadas como arquivos .pdf ou .xls, às vezes também ocultas dentro de um arquivo .zip. Embora esses e-mails de spam não sejam fáceis de capturar com, por exemplo, SpamAssassin ou um filtro Bayes, o scanner de vírus ClamAV pode capturá-los facilmente quando alimentado com as assinaturas corretas, já que o ClamAV é projetado para escanear anexos de e-mail.

O site Sanesecurity ( http://sanesecurity.co.uk) fornece assinaturas atualizadas para esses tipos de e-mails, incluindo spam de imagem. O seguinte guia mostrará como instalar as assinaturas de spam, phishing, golpe e imagem do sanesecurity.co.uk e MSRBL na sua instalação do ClamAV com ISPConfig no Debian ou Ubuntu Linux.

Se você quiser usar as assinaturas do Sanesecurity sem o ISPConfig, dê uma olhada nas explicações no final do tutorial.

Instalar Alguns Pré-requisitos

apt-get install gzip curl rsync

Agora baixe o script de atualização para as assinaturas do Sansecurity. O script original foi escrito por Bill Landry e está disponível aqui: http://www.sanesecurity.co.uk/clamav/usage.htm. Eu modifiquei as variáveis de caminho para se adequar a uma instalação do ISPConfig - o script modificado está disponível aqui: http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh.

cd /usr/bin  
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh  
chmod +x sanesecurity_update.sh

Agora executamos o script de atualização para verificar se o download funciona:

./sanesecurity_update.sh

O resultado deve ser semelhante a isto:

-----------------------------------------------------------------------------  
=================================  
Atualização do Banco de Dados SCAM da SaneSecurity  
=================================

% Total % Recebido % Xferd Velocidade Média Tempo Tempo Tempo Atual  
Dload Upload Total Gastou Esquerda Velocidade  
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================  
Atualização do Banco de Dados PHISH da SaneSecurity  
==================================

% Total % Recebido % Xferd Velocidade Média Tempo Tempo Tempo Atual  
Dload Upload Total Gastou Esquerda Velocidade  
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================  
Atualização do Banco de Dados SPAM MSRBL  
==========================

Número de arquivos: 1  
Número de arquivos transferidos: 1  
Tamanho total do arquivo: 228436 bytes  
Tamanho total do arquivo transferido: 228436 bytes  
Dados literais: 228436 bytes  
Dados correspondentes: 0 bytes  
Tamanho da lista de arquivos: 33  
Tempo de geração da lista de arquivos: 0.001 segundos  
Tempo de transferência da lista de arquivos: 0.000 segundos  
Total de bytes enviados: 101  
Total de bytes recebidos: 228579

sent 101 bytes received 228579 bytes 26903.53 bytes/sec  
total size is 228436 speedup is 1.00

===========================  
Atualização do Banco de Dados IMAGEM MSRBL  
===========================

Número de arquivos: 1  
Número de arquivos transferidos: 1  
Tamanho total do arquivo: 550503 bytes  
Tamanho total do arquivo transferido: 550503 bytes  
Dados literais: 550503 bytes  
Dados correspondentes: 0 bytes  
Tamanho da lista de arquivos: 35  
Tempo de geração da lista de arquivos: 0.001 segundos  
Tempo de transferência da lista de arquivos: 0.000 segundos  
Total de bytes enviados: 103  
Total de bytes recebidos: 550688

sent 103 bytes received 550688 bytes 157368.86 bytes/sec  
total size is 550503 speedup is 1.00

-----------------------------------------------------------------------------

Agora adicionamos o script ao crontab do root para ser executado uma vez por dia:

crontab -e

Adicione a seguinte linha ao final do crontab do root:

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

O script é executado às 04:53 AM, por favor, modifique o horário um pouco na sua configuração para manter a carga baixa no servidor de download.

Usando Assinaturas do Sanesecurity Sem ISPConfig

Se você quiser usar as assinaturas do Sanesecurity sem o ISPConfig, você terá que personalizar o script de download para corresponder à sua instalação do ClamAV.

Baixe o script original daqui:

http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh

Edite as seguintes variáveis para corresponder à sua instalação:

clam_sigs="/var/lib/clamav"

A variável clamav_sigs contém o caminho para o diretório onde suas assinaturas do ClamAV estão armazenadas.

clam_user="clamav"

A variável clam_user contém o nome de usuário sob o qual seu ClamAV ou clamd é executado.