Postfix: фильтрация вирусов и спама

После первоначальной настройки МТА возникает необходимость проверки почты на вирусы и спам. Что делать в этом случае? Как "подружить" MTA + antivirus + antispam? В интернете написано очень много статей на эту тему. Пожалуй, наиболее распространенное решение данной задачи - использование amavisd.

Но так как данный продукт написан на perl, то он требователен к ресурсам машины. Кроме того, для его установки требуется много модулей perl, которые отсутствуют в официальном репозитарии CentOS.

Я предлагаю альтернативное решение данной задачи. А именно использование clamav(clamsmtp) + spamassassin.

Итак, у нас имеется следующая система:

# uname -r
2.6.18-53.1.4.el5

# cat /etc/redhat-release
CentOS release 5 (Final)

Установка и настройка сlamav

К сожалению, данный пакет отсутствует в официальном репозитарии RHEL/CentOS. Так что вам придется либо устанавливать с других репозитариев, либо собрать rpm пакеты из src.rpm

# cd /usr/ports/security/clamav/
# make install clean

# cd /usr/ports/security/clamsmtp
# make install clean

# cd /usr/ports/mail/p5-Mail-SpamAssassin
# make config
# make install clean

# cd /usr/ports/mail/postfix
# make config
# make install clean

Если вы решили собирать из src.rpm, то советую воспользоваться известным репозитарием dag.wieers.com

# rpm -ivh http://dag.wieers.com/rpm/packages/clamav/clamav-0.92-1.rf.src.rpm
# cd /usr/src/redhat/SPECS
# rpmbuild -ba --target=i686 --without milter clamav.spec
Building target platforms: i686
Building for target i686
Executing(%prep): /bin/sh -e /var/tmp/rpm-tmp.25367
+ umask 022
...
...
...
Wrote: /usr/src/redhat/SRPMS/clamav-0.92-1.src.rpm
Wrote: /usr/src/redhat/RPMS/i686/clamav-0.92-1.i686.rpm
Wrote: /usr/src/redhat/RPMS/i686/clamd-0.92-1.i686.rpm
Wrote: /usr/src/redhat/RPMS/i686/clamav-db-0.92-1.i686.rpm
Wrote: /usr/src/redhat/RPMS/i686/clamav-devel-0.92-1.i686.rpm
Executing(%clean): /bin/sh -e /var/tmp/rpm-tmp.99381
+ umask 022
+ cd /usr/src/redhat/BUILD
+ cd clamav-0.92
+ /bin/rm -rf /var/tmp/clamav-0.92-1-root
+ exit 0

После успешной сборки устанавливаем пакеты.

# cd /usr/src/redhat/RPMS/i686/
# rpm -ivh clamav-0.92-1.i686.rpm clamav-db-0.92-1.i686.rpm clamd-0.92-1.i686.rpm
Preparing...                ########################################### [100%]
   1:clamav-db              ########################################### [ 33%]
   2:clamav                 ########################################### [ 67%]
   3:clamd                  ########################################### [100%]

Настраиваем clamav, для этого редактируем конфигурационный файл /etc/clamd.conf. Все параметры я оставил без изменений, кроме LocalSocket. На всякий случай привожу все содержимое clamd.conf.

# cat /etc/clamd.conf | grep -v ^# | grep -v ^$
LogFile /var/log/clamav/clamd.log
LogFileMaxSize 0
LogTime yes
LogSyslog yes
PidFile /var/run/clamav/clamd.pid
TemporaryDirectory /var/tmp
DatabaseDirectory /var/clamav
LocalSocket /var/run/clamav/clamd.sock
FixStaleSocket yes
TCPSocket 3310
TCPAddr 127.0.0.1
MaxConnectionQueueLength 30
MaxThreads 50
ReadTimeout 300
User clamav
AllowSupplementaryGroups yes
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanMail yes
ScanArchive yes
ArchiveMaxCompressionRatio 300
ArchiveBlockEncrypted no
ArchiveBlockMax no

После этого настраиваем запуск clamav при старте системы и запускаем сам демон.

# chkconfig --level 35 clamd on
# service clamd start
Starting Clam AntiVirus Daemon:                            [  OK  ]

При этом в логах должно быть примерно следующее:

# cat /var/log/clamav/clamd.log
Sun Jan 20 15:23:12 2008 -> +++ Started at Sun Jan 20 15:23:12 2008
Sun Jan 20 15:23:12 2008 -> clamd daemon 0.92 (OS: linux-gnu, ARCH: i386, CPU: i686)
Sun Jan 20 15:23:12 2008 -> Running as user clamav (UID 100, GID 101)
Sun Jan 20 15:23:12 2008 -> Log file size limit disabled.
Sun Jan 20 15:23:12 2008 -> Reading databases from /var/clamav
Sun Jan 20 15:23:12 2008 -> Not loading PUA signatures.
Sun Jan 20 15:23:20 2008 -> Loaded 356802 signatures.
Sun Jan 20 15:23:20 2008 -> Bound to address 127.0.0.1 on tcp port 3310
Sun Jan 20 15:23:20 2008 -> Setting connection queue length to 30
Sun Jan 20 15:23:20 2008 -> Unix socket file /var/run/clamav/clamd.sock
Sun Jan 20 15:23:20 2008 -> Setting connection queue length to 30
Sun Jan 20 15:23:20 2008 -> Archive: Archived file size limit set to 10485760 bytes.
Sun Jan 20 15:23:20 2008 -> Archive: Recursion level limit set to 8.
Sun Jan 20 15:23:20 2008 -> Archive: Files limit set to 1000.
Sun Jan 20 15:23:20 2008 -> Archive: Compression ratio limit set to 300.
Sun Jan 20 15:23:20 2008 -> Archive support enabled.
Sun Jan 20 15:23:20 2008 -> Algorithmic detection enabled.
Sun Jan 20 15:23:20 2008 -> Portable Executable support enabled.
Sun Jan 20 15:23:20 2008 -> ELF support enabled.
Sun Jan 20 15:23:20 2008 -> Detection of broken executables enabled.
Sun Jan 20 15:23:20 2008 -> Mail files support enabled.
Sun Jan 20 15:23:20 2008 -> Mail: Recursion level limit set to 64.
Sun Jan 20 15:23:20 2008 -> OLE2 support enabled.
Sun Jan 20 15:23:20 2008 -> PDF support disabled.
Sun Jan 20 15:23:20 2008 -> HTML support enabled.
Sun Jan 20 15:23:20 2008 -> Self checking every 1800 seconds.

После того, как сам антивирус успешно запустился нам необходимо обновить сами антивирусные базы данных. Для этого существует специальная программа freshclam, которая идет вместе с clamav. Для ее настройки необходимо отредактировать конфигурационный файл /etc/freshclam.conf.

По сути, в нем ничего не надо менять, единственное, что я поменял - зеркало (DatabaseMirror) с которого обновлять базы, так как были проблемы с украинскими зеркалами и периодичность обновлений (Checks) - каждый час (по умолчанию каждые два часа)

# cat /etc/freshclam.conf | grep -v ^# | grep -v ^$
DatabaseDirectory /var/clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogSyslog yes
DatabaseOwner clamav
DatabaseMirror db.ru.clamav.net
DatabaseMirror db.local.clamav.net
Checks 24
NotifyClamd /etc/clamd.conf

После этого запускаем freshclam:

# freshclam
ClamAV update process started at Fri Jan 18 15:39:58 2008
main.inc is up to date (version: 45, sigs: 169676, f-level: 21, builder: sven)
Downloading daily.cvd [100%]
daily.inc updated (version: 5519, sigs: 24841, f-level: 21, builder: ccordes)
Database updated (194517 signatures) from db.ru.clamav.net (IP: 62.181.41.8)
Clamd successfully notified about the update.

Установка и настройка сlamsmtp

clamsmtp представляет из себя smtp фильтр, который служит для "связки" МТА и clamav. В результате такого объединения вся почта будет проверяться на вирусы.

# rpm -ivh http://www.sys-adm.org.ua/srpms/clamsmtp-1.9-1.src.rpm
# cd /usr/src/redhat/SPECS
# rpmbuild -ba --target=i686 clamsmtp.spec
Building target platforms: i686
Building for target i686
Executing(%prep): /bin/sh -e /var/tmp/rpm-tmp.20999
+ umask 022
...
...
...
Wrote: /usr/src/redhat/SRPMS/clamsmtp-1.9-1.src.rpm
Wrote: /usr/src/redhat/RPMS/i686/clamsmtp-1.9-1.i686.rpm
Executing(%clean): /bin/sh -e /var/tmp/rpm-tmp.27982
+ umask 022
+ cd /usr/src/redhat/BUILD
+ cd clamsmtp-1.9
+ /bin/rm -rf /var/tmp/clamsmtp-1.9-root
+ exit 0

После успешной сборки устанавливаем clamsmtp.

# rpm -ivh clamsmtp-1.9-1.i686.rpm
Preparing...                ########################################### [100%]
   1:clamsmtp               ########################################### [100%]

Для настройки clamsmtp необходимо отредактировать его конфигурационный файл /etc/clamsmtpd.conf. В результате у вас должен получиться примерно такой файл:

# cat /etc/clamsmtpd.conf | grep -v ^# | grep -v ^$
OutAddress: 10026
Listen: 127.0.0.1:10025
ClamAddress: /var/run/clamav/clamd.sock
Header: X-Virus-Scanned: ClamAV using ClamSMTP
TempDirectory: /tmp
Action: drop
Quarantine: on
User: clamav

После этого настраиваем запуск clamsmtp при старте системы и запускаем сам демон.

# chkconfig --level 35 clamsmtpd on
# service clamsmtpd start
Starting ClamSmtpd:                                        [  OK  ]

Если все прошло успешно, то порт 10025 должен быть в состоянии LISTEN.

# netstat -an | grep :10025
tcp        0      0 0.0.0.0:10025               0.0.0.0:*                   LISTEN

Установка и настройка spamassassin

spamassassin пожалуй одно из наиболее распространенных ПО для борьбы со спамом. А точнее определения спама. Данный продукт присутствует в официальном репозитарии, так что для его установки воспользуемся утилитой yum.

# yum install spamassassin

После установки, производим настройку spamassassin. Для этого редактируем файл /etc/mail/spamassassin/local.cf.

# cat /etc/mail/spamassassin/local.cf | grep -v ^# | grep -v ^$
rewrite_header Subject *****SPAM*****
report_safe 1
required_score 7.0
use_bayes 1
bayes_auto_learn 1
bayes_ignore_header X-Bogosity
bayes_ignore_header X-Spam-Flag
bayes_ignore_header X-Spam-Status

Я привел лишь минимальный набор параметров, необходимый для проверки нашей системы. Для получения полного списка всех параметров, а также описания их назначения выполните следующую команду

# perldoc Mail::SpamAssassin::Conf

После этого настраиваем запуск spamassassin при старте системы и запускаем сам демон.

# chkconfig --level 35 spamassassin on
# service spamassassin start
Starting spamd:                                            [  OK  ]

При этом в log-файле должны быть примерно такие записи:

Jan 20 15:52:22 centos5 spamd[20715]: spamd: server started on port 783/tcp (running version 3.2.3)
Jan 20 15:52:22 centos5 spamd[20715]: spamd: server pid: 20715
Jan 20 15:52:22 centos5 spamd[20715]: spamd: server successfully spawned child process, pid 20717
Jan 20 15:52:22 centos5 spamd[20715]: spamd: server successfully spawned child process, pid 20718
Jan 20 15:52:22 centos5 spamd[20715]: prefork: child states: IS
Jan 20 15:52:22 centos5 spamd[20715]: prefork: child states: II

На этом первоначальную настройку spamassassin можно считать завершенной.

Установка и настройка postfix

Устанавливаем postfix:

# yum install postfix

После этого редактируем основной конфигурационный файл /etc/postfix/main.cf.

# postconf -n
content_filter = scan:[127.0.0.1]:10025
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = vmware.local
myhostname = centos5.vmware.local
mynetworks = 127.0.0.0/8
myorigin = $mydomain
virtual_alias_maps = hash:/etc/postfix/virtual_alias
virtual_gid_maps = static:1981
virtual_mailbox_base = /var/spool/mail
virtual_mailbox_domains = vmware.local
virtual_mailbox_maps = hash:/etc/postfix/virtual_user
virtual_uid_maps = static:1981

Как и раньше, я привел лишь минимальный набор параметров, достаточный для проверки нашей системы. Файлы virtual_user и virtual_alias надо создать самому и заполнить примерно таким содержимым:

# cat virtual_alias
Domoradov.Alex@vmware.local alex@vmware.local

# cat virtual_user
alex@vmware.local vmware.local/alex@vmware.local/

После этого создаем сами базы и пользователя virtual:

# postmap virtual_user
# postmap virtual_alias
# groupadd -g 1981 virtual
# useradd virtual -s /bin/false -g virtual -u 1981
# chown virtual:virtual /var/spool/mail/

Теперь нам осталось лишь связать все компоненты нашей системы между собой. Так как мы отказались от использования amavisd-new, то нам придется редактировать файл /etc/postfix/master.cf. Вставьте следующие строки в самое начало файла, сразу после комментариев.

# cat /etc/postfix/master.cf
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
scan      unix  -       -       n       -       16      smtp
    -o smtp_send_xforward_command=yes
    -o smtp_tls_security_level=none

127.0.0.1:10026 inet  n -       n       -       16      smtpd
    -o content_filter=
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks_style=host
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8

smtp      inet  n       -       n       -       -       smtpd
    -o content_filter=spam:dummy

spam      unix  -       n       n       -       -       pipe
  flags=R user=virtual argv=/usr/bin/spamc -u virtual -e /usr/sbin/sendmail -f $sender $recipient

Теперь у нас все готово для проверки, запускаем postfix

# service postfix start
Starting postfix:                                        [  OK  ]

Смотрим log-файл

# cat /var/log/maillog
Jan 20 16:03:09 centos5 postfix/postfix-script: starting the Postfix mail system
Jan 20 16:03:09 centos5 postfix/master[20839]: daemon started -- version 2.3.3, configuration /etc/postfix

При этом у порта 10026 должно быть состояние LISTEN

# netstat -an | grep :10026
tcp        0      0 127.0.0.1:10026             0.0.0.0:*                   LISTEN

Тестирование

Наконец то мы подошли к заключительному этапу - тестирования нашей системы. Для проверки работы нашей системы мы отправим три письма: первое будет чистым, второе содержать спам, а третье вирус.

Итак, начнем. Отправляем обычное письмо.

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 centos5.vmware.local ESMTP Postfix
helo localhost
250 centos5.vmware.local
mail from:<>
250 2.1.0 Ok
rcpt to:<alex@vmware.local>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
Hello world!!!
.
250 2.0.0 Ok: queued as 682786003B
quit
221 2.0.0 Bye
Connection closed by foreign host.

Из log-файл видно, что письмо доставлено пользователю. Давайте посмотрим на это письмо:

# cd /var/spool/mail/vmware.local/alex@vmware.local/new/
# cat 1200839238.Vfd00I60048M571836.centos5.vmware.local
Return-Path: <>
X-Original-To: alex@vmware.local
Delivered-To: alex@vmware.local
Received: from centos5.vmware.local (centos5.vmware.local [127.0.0.1])
        by centos5.vmware.local (Postfix) with ESMTP id 75A676003B
        for <alex@vmware.local>; Sun, 20 Jan 2008 16:27:18 +0200 (EET)
Received: by centos5.vmware.local (Postfix, from userid 1981)
        id 594F56004D; Sun, 20 Jan 2008 16:27:18 +0200 (EET)
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on centos5.vmware.local
X-Spam-Level: **
X-Spam-Status: No, score=2.8 required=7.0 tests=ALL_TRUSTED,AWL,
        FH_FROMEML_NOTLD,MISSING_SUBJECT autolearn=no version=3.2.3
Received: from localhost (centos5.vmware.local [127.0.0.1])
        by centos5.vmware.local (Postfix) with SMTP id 682786003B
        for <alex@vmware.local>; Sun, 20 Jan 2008 16:27:07 +0200 (EET)
Message-Id: <20080120142713.682786003B@centos5.vmware.local>
Date: Sun, 20 Jan 2008 16:27:07 +0200 (EET)
From: MAILER-DAEMON@vmware.local
To: undisclosed-recipients:;
X-Virus-Scanned: ClamAV using ClamSMTP

Hello world!!!

Как мы видим по заголовкам письма: X-Virus-Scanned: ClamAV using ClamSMTP и X-Spam-Checker-Version: SpamAssassin 3.2.3 письмо было проверенно антивирусом и антиспамом.

А теперь давайте отправим, письмо содержащее вирус. Чтобы не искать настоящий вирус, мы воспользуемся тестовой сигнатурой, разработанной как раз для целей тестирования.

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 centos5.vmware.local ESMTP Postfix
helo localhost
250 centos5.vmware.local
mail from:<>
250 2.1.0 Ok
rcpt to:<alex@vmware.local>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
.
250 2.0.0 Ok: queued as AFBA96003B
quit
221 2.0.0 Bye
Connection closed by foreign host.

Как мы видим, письмо с вирусом было заблокировано и сохранено в карантине. В принципе можно настроить отправку уведомления пользователю с помощью параметра VirusAction, который задается в файле /etc/clamsmtpd.conf. Но это уже на любителя.

Ну и осталась последняя проверка. Отправим сигнатуру спама.

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 centos5.vmware.local ESMTP Postfix
helo localhost
250 centos5.vmware.local
mail from:<>
250 2.1.0 Ok
rcpt to:<alex@vmware.local>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
Subject: Relax, be happy
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
.
250 2.0.0 Ok: queued as 406E060047
quit
221 2.0.0 Bye
Connection closed by foreign host.

# cd /var/spool/mail/vmware.local/alex@vmware.local/new
# cat 1201002453.Vfd00I60047M662523.centos5.vmware.local
Return-Path: <>
X-Original-To: alex@vmware.local
Delivered-To: alex@vmware.local
Received: from centos5.vmware.local (centos5.vmware.local [127.0.0.1])
        by centos5.vmware.local (Postfix) with ESMTP id 6BAE86004D
        for <alex@vmware.local>; Tue, 22 Jan 2008 13:47:33 +0200 (EET)
Received: by centos5.vmware.local (Postfix, from userid 1981)
        id 35FE060047; Tue, 22 Jan 2008 13:47:33 +0200 (EET)
Received: from localhost by centos5.vmware.local
        with SpamAssassin (version 3.2.3);
        Tue, 22 Jan 2008 13:47:33 +0200
From: MAILER-DAEMON@vmware.local
To: undisclosed-recipients:;
Subject: *****SPAM***** Relax, be happy
Date: Tue, 22 Jan 2008 13:47:06 +0200 (EET)
Message-Id: <20080122114709.406E060047@centos5.vmware.local>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on centos5.vmware.local
X-Spam-Level: **************************************************
X-Spam-Status: Yes, score=1002.2 required=7.0 tests=ALL_TRUSTED,AWL,
        FH_FROMEML_NOTLD,GTUBE autolearn=no version=3.2.3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_4795D7D5.98D12731"
X-Virus-Scanned: ClamAV using ClamSMTP

This is a multi-part message in MIME format.

------------=_4795D7D5.98D12731
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Spam detection software, running on the system "centos5.vmware.local", has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email.  If you have any questions, see
the administrator of that system for details.

Content preview:  XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
   [...]

Content analysis details:   (1002.2 points, 7.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
-1.4 ALL_TRUSTED            Passed through trusted hosts only via SMTP
 2.2 FH_FROMEML_NOTLD       E-mail address doesn't have TLD (.com, etc.)
1000 GTUBE                  BODY: Generic Test for Unsolicited Bulk Email
 1.4 AWL                    AWL: From: address is in the auto white-list



------------=_4795D7D5.98D12731
Content-Type: message/rfc822; x-spam-type=original
Content-Description: original message before SpamAssassin
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Return-Path: <MAILER-DAEMON>
Received: from localhost (centos5.vmware.local [127.0.0.1])
        by centos5.vmware.local (Postfix) with SMTP id 406E060047
        for <alex@vmware.local>; Tue, 22 Jan 2008 13:47:06 +0200 (EET)
subject: relax, be happy
Message-Id: <20080122114709.406E060047@centos5.vmware.local>
Date: Tue, 22 Jan 2008 13:47:06 +0200 (EET)
From: MAILER-DAEMON
To: undisclosed-recipients:;

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

------------=_4795D7D5.98D12731--

Как видно по заголовкам письма: X-Spam-Status: Yes и Subject: *****SPAM***** Relax, be happy, spamassassin определил это письмо как спам и перезаписал тему письма.

На этом настройку нашей системы можно считать завершенной.