Use amavisd-new Para Escaneamento de Spam e Vírus

Integrando amavisd-new Ao Postfix Para Escaneamento de Spam e Vírus

Versão 1.0
Autor: Falko Timme

Este artigo mostra como integrar amavisd-new em um servidor de email Postfix para escaneamento de spam e vírus. amavisd-new é uma interface de alto desempenho entre MTAs como Postfix e verificadores de conteúdo: scanners de vírus e/ou SpamAssassin. Usaremos ClamAV para escaneamento de vírus e SpamAssassin para escaneamento de spam neste tutorial.

Quero dizer primeiro que esta não é a única maneira de configurar tal sistema. Existem muitas maneiras de alcançar esse objetivo, mas este é o caminho que eu sigo. Não dou nenhuma garantia de que isso funcionará para você!

1 Nota Preliminar

Neste tutorial, descreverei como instalar/configurar amavisd-new no Debian Etch/Ubuntu 6.10 Edgy Eft (os passos são idênticos para ambas as distribuições) e no Debian Sarge. A configuração do amavisd-new é adequada para sistemas onde usuários do sistema são usados para contas de email; se você usar usuários virtuais, algumas modificações na configuração do amavisd-new podem ou não ser necessárias (mas isso depende da configuração real). Se você usar usuários de email virtuais, dê uma olhada nesses dois tutoriais:

• Usuários e Domínios Virtuais Com Postfix, Courier E MySQL (Fedora Core 5)
• Usuários e Domínios Virtuais Com Postfix, Courier E MySQL (Debian Sarge)

amavisd-new funciona assim: Postfix recebe um email na porta 25, passa para amavisd-new na porta 10024, que então invoca ClamAV e SpamAssassin, e depois amavisd-new reinjeta o email no Postfix na porta 10025, que finalmente entrega o email (se estiver limpo). Aqui está um pequeno layout do processo:

                                      [SpamAssassin]  
                                             ^  
                                             |  
 Email --> [(Port 25) Postfix] --> [(10024) amavisd-new] --> [(10025) Postfix] --> Mailbox  
                                             |  
                                             v  
                                          [ClamAV]

Assumo que o Postfix e suas contas de email já estão configurados e funcionando, pois não abordo a instalação/configuração do Postfix aqui.

Todos os passos deste tutorial são feitos como root, então certifique-se de que você está logado como root.

2 Debian Etch/Ubuntu 6.10 Edgy Eft

Primeiro, instalamos amavisd-new, SpamAssassin e ClamAV junto com alguns outros programas (principalmente programas que o amavisd-new precisa para descompactar arquivos, pois emails podem conter arquivos como anexos):

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 unzoo libnet-ph-perl libnet-snpp-perl libnet-telnet-perl nomarch lzop

Depois, devemos configurar o amavisd-new. A configuração é dividida em vários arquivos que residem no diretório /etc/amavis/conf.d. Dê uma olhada em cada um deles para se familiarizar com a configuração. A maioria das configurações está boa, no entanto, devemos modificar dois arquivos:

Primeiro, devemos habilitar ClamAV e SpamAssassin em /etc/amavis/conf.d/15-content_filter_mode descomentando as linhas @bypass_virus_checks_maps e @bypass_spam_checks_maps:

vi /etc/amavis/conf.d/15-content_filter_mode

O arquivo deve ficar assim:

| use strict; # Você pode modificar este arquivo para reabilitar a verificação de SPAM através do spamassassin # e para reabilitar a verificação de antivírus. # # Modo padrão de verificação de antivírus # Descomente as duas linhas abaixo para habilitá-lo novamente # @bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); # # Modo padrão de verificação de SPAM # Descomente as duas linhas abaixo para habilitá-lo novamente # @bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re); 1; # assegure um retorno definido |

E então você deve dar uma olhada nas configurações de spam e nas ações para emails de spam/vírus em /etc/amavis/conf.d/20-debian_defaults. Não há necessidade de mudar nada se as configurações padrão estiverem boas para você. O arquivo contém muitas explicações, então não há necessidade de explicar as configurações aqui:

vi /etc/amavis/conf.d/20-debian_defaults

| $QUARANTINEDIR = "$MYHOME/virusmails"; $log_recip_templ = undef; # desabilitar entradas de log nível-0 por destinatário $DO_SYSLOG = 1; # log via syslogd (preferido) $syslog_ident = 'amavis'; # tag de identificação do syslog, prependida a todas as mensagens $syslog_facility = 'mail'; $syslog_priority = 'debug'; # mude para info para descartar saída de debug, etc $enable_db = 1; # habilitar uso de BerkeleyDB/libdb (SNMP e nanny) $enable_global_cache = 1; # habilitar uso de cache baseado em libdb se $enable_db=1 $inet_socket_port = 10024; # socket padrão de escuta $sa_spam_subject_tag = '*SPAM* '; $sa_tag_level_deflt = 2.0; # adicionar cabeçalhos de info de spam se em, ou acima desse nível $sa_tag2_level_deflt = 6.31; # adicionar cabeçalhos 'spam detectado' nesse nível $sa_kill_level_deflt = 6.31; # aciona ações evasivas de spam $sa_dsn_cutoff_level = 10; # nível de spam além do qual um DSN não é enviado $sa_mail_body_size_limit = 200*1024; # não perca tempo no SA se o email for maior $sa_local_tests_only = 0; # apenas testes que não requerem acesso à internet? [...] $final_virus_destiny = D_DISCARD; # (dados não perdidos, veja quarentena de vírus) $final_banned_destiny = D_BOUNCE; # D_REJECT quando MTA frontal $final_spam_destiny = D_BOUNCE; $final_bad_header_destiny = D_PASS; # Propenso a falsos positivos (para spam) [...] |

Depois, execute esses comandos para adicionar o usuário clamav ao grupo amavis e reiniciar amavisd-new e ClamAV:

adduser clamav amavis  
 /etc/init.d/amavis restart  
 /etc/init.d/clamav-daemon restart

Em seguida, devemos editar o arquivo de configuração do daemon Freshclam (que é o daemon que busca regularmente e automaticamente as mais novas assinaturas de vírus de um espelho ClamAV) porque contém um pequeno bug. Abra /etc/clamav/freshclam.conf e modifique a linha NotifyClamd como mostrado abaixo:

vi /etc/clamav/freshclam.conf

| [...] NotifyClamd /etc/clamav/clamd.conf [...] |

Então reinicie o Freshclam (certifique-se de que nenhum outro processo Freshclam (talvez de outra instalação do ClamAV) esteja em execução, pois então nosso Freshclam falhará ao iniciar):

/etc/init.d/clamav-freshclam restart

Agora temos que configurar o Postfix para canalizar emails recebidos através do amavisd-new:

postconf -e 'content_filter = amavis:[127.0.0.1]:10024'  
 postconf -e 'receive_override_options = no_address_mappings'

Depois, adicione as seguintes linhas a /etc/postfix/master.cf:

vi /etc/postfix/master.cf

| [...] amavis unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes 127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks -o smtpd_bind_address=127.0.0.1 |

Então reinicie o Postfix:

/etc/init.d/postfix restart

Agora execute

netstat -tap

e você deve ver o Postfix ( master) escutando na porta 25 ( smtp) e 10025, e amavisd-new na porta 10024:

server1:~# netstat -tap  
 Conexões Internet ativas (servidores e estabelecidas)  
 Proto Recv-Q Send-Q Endereço Local           Endereço Estrangeiro         Estado       PID/Nome do Programa  
 tcp        0      0 *:4069                  *:*                     LISTEN     3457/rpc.statd  
 tcp        0      0 localhost.localdo:10024 *:*                     LISTEN     6886/amavisd (maste  
 tcp        0      0 localhost.localdo:10025 *:*                     LISTEN     7268/master  
 tcp        0      0 *:sunrpc                *:*                     LISTEN     3083/portmap  
 tcp        0      0 *:auth                  *:*                     LISTEN     3417/inetd  
 tcp        0      0 *:smtp                  *:*                     LISTEN     7268/master  
 tcp6       0      0 *:imaps                 *:*                     LISTEN     4952/couriertcpd  
 tcp6       0      0 *:pop3s                 *:*                     LISTEN     4872/couriertcpd  
 tcp6       0      0 *:pop3                  *:*                     LISTEN     4815/couriertcpd  
 tcp6       0      0 *:imap2                 *:*                     LISTEN     4905/couriertcpd  
 tcp6       0      0 *:ssh                   *:*                     LISTEN     3438/sshd  
 tcp6       0      0 *:smtp                  *:*                     LISTEN     7268/master  
 tcp6       0    148 server1.example.com:ssh localhost:3117          ESTABLISHED3519/0

Se você quiser, agora pode adicionar Razor, Pyzor e DCC ao SpamAssassin para melhorar seu desempenho de filtragem. Razor, Pyzor e DCC são filtros de spam que usam uma rede de filtragem colaborativa. Para instalá-los, execute

apt-get install razor pyzor dcc-client

Agora temos que dizer ao SpamAssassin para usar esses três programas. Edite /etc/spamassassin/local.cf e adicione as seguintes linhas a ele:

vi /etc/spamassassin/local.cf

| [...] # dcc use_dcc 1 dcc_path /usr/bin/dccproc dcc_add_header 1 dcc_dccifd_path /usr/sbin/dccifd #pyzor use_pyzor 1 pyzor_path /usr/bin/pyzor pyzor_add_header 1 #razor use_razor2 1 razor_config /etc/razor/razor-agent.conf #bayes use_bayes 1 use_bayes_rules 1 bayes_auto_learn 1 |

Reinicie o amavisd-new depois:

/etc/init.d/amavis restart

É isso. Agora observe seu log de email ( /var/log/mail.log) para ver se o amavisd-new está funcionando corretamente. O amavisd-new registrará sempre que encontrar um email de spam ou vírus. Quando você (re)iniciar o amavisd-new, ele também deve registrar que carrega seu código de escaneamento de spam e vírus (se não, você provavelmente fez algo errado).

Para dar uma olhada ao vivo no seu log de email, você pode usar este comando:

tail -f /var/log/mail.log

(Pressione CTRL + c para sair do log.)