Книга: Linux-сервер своими руками

22.2. Проверка входящей и исходящей почты

22.2. Проверка входящей и исходящей почты

Программа AVPKeeper выполняет поиск и удаление вирусов в сообщениях электронной почты. В состав AVP входят версии программы AVPKeeper, предназначенные для работы с такими агентами доставки почты (МТА): sendmail, postfix, qmail. Поскольку в книге рассматривается только программа sendmail, я рассмотрю сопряжение AVPDaemon только с этой программой.

AVPKeeper может работать в двух режимах: локальном и глобальном. Давайте разберемся, для чего предназначены эти режимы. Первый подойдет только в случае, если вы администрируете небольшой почтовик, который обслуживает небольшое количество пользователей. При выборе локального режима работы будут проверяться только входящие сообщения, то есть только те, которые приходят извне (из Internet) нашим пользователям. В этом случае предполагается, что в нашей сети нет вирусописателей, которые распространяют вирусы.

Глобальный режим работы больше подходит для почтовых серверов больших организаций. При этом режиме проверяется не только входящая почта, но и исходящие сообщения: вдруг среди наших пользователей есть распространители вирусов.

Надежнее работает локальный режим, поэтому мы будем использовать именно его. Принципиально большой разницы в настройках нет: скоро вы сами убедитесь в этом.

Начнем с установки программы AVPKeeper. В состав обычного дистрибутива AVP, который мы установили ранее эта программа не входит. Для ее установки скопируйте файл kavselinux.tgz из каталога /mnt/cdrom/Products/KAVLinux в какой-нибудь каталог вашей файловой системы. Затем установите нужные права доступа (нужно сбросить право на выполнение) и распакуйте его:

chmod 444 kavselinux.tgz
tar zxvf kavselinux.tgz

После этого запустите инсталлятор kavinstaller. В процессе установки ВНИМАТЕЛЬНО отвечайте на задаваемые инсталлятором вопросы. Во-первых, инсталлятор обнаружит, что уже установлена предыдущая версия AVP и спросит, что с ней делать. Нужно ответить «Оставить», чтобы предыдущая версия осталась на диске. Затем инсталлятор спросит вас, какие версии AVPKeeper нужно устанавливать. Ответить Да (у) нужно только на вопрос:

В пакете /KAVLinux/kavs/kavkeeper-sendmail-linux-3.5.136.tgz обнаружен kavkeeper-sendmail (KAV Keeper for sendmail), версия 3.5 build 135. Do you want to install it? у

Затем вам будет задана серия вопросов о том, что делать со старыми файлами:

Found [file] What do you want doing with this file? (Overwrite/Write with new extension/Skip)

Нужно ответить w – перезаписать с новым расширением. Потом, в случае некорректной установки, у вас будет возможность все восстановить. После установки нового антивируса — KAV (KasperskyAntiVirus) названия сканера, демона, программы настройки изменятся. Для сканирования нужно использовать программу kavscanner, для настройки – kavtuner. В качестве демона будет использоваться kavdaemon. Для автоматического обновления теперь нужно использовать программу kavupdater. Две программы — AVP и KAV — прекрасно «уживаются» на одном компьютере: поэтому я настоятельно не рекомендую удалять предыдущую версию.

Теперь перейдем к настройке sendmail. Прежде всего, остановите sendmail командой:

/etc/init.d/sendmail stop

После этого перейдите в каталог /opt/AVP/kavkeeper и скопируйте каталог sendmail-cf в каталог /usr/share. Затем выполните одну из следующих команд:

m4 kav_glb.mc > /etc/sendmail.cf m4 kav_loc.mc > /etc/sendmail.cf

Первую команду нужно выполнить, если вам нужен глобальный режим работы программы AVPKeeper, а вторую — если необходим локальный режим. Как видите, нет большой разницы в настройке режимов AVPKeeper.

В качестве примера приведу листинг файла локального режима работы kav_loc.mc (см. листинг 22.2).

divert(-1)
dnl This is the macro config file used to generate the /etc/sendmail.cf
dnl file. If you modify that file you will have to regenerate the
dnl /etc/sendmail.cf by running this macro config through the m4
dnl preprocessor:
dnl
dnl m4 /etc/sendmail.me > /etc/sendmail.cf
dnl
dnl You will need to have the sendmail-cf package installed for this to
dnl work.
include('../m4/cf .m4')
define('confDEF_USER_ID',"8:12")
OSTYPE('linux')
undefine('UUCP_RELAY' )
undefine('BITNET_RELAY')
define('confAUTO_REBUILD')
define('confTO_CONNECT', '1m')
define('confTRY_NULL_MX_LIST',true)
define('confDONT_PROBE_INTERFACES',true)
dnl define('KAVKEEPER_MAILER', '/usr/local/bin/kavkeeper')
dnl define('KAVKEEPER_CONFIG','/etc/kavkeeper.ini')
dnl define('KAVKEEPER_LOCAL_MAILER', 'mail.local')
FEATURE('smrsh',Vusr/sbin/smrsh')
FEATURE(mailertable)
FEATURE('virtusertable', 'hash-o /etc/mail/virtusertable')
FEATURE(redirect)
FEATURE(always_add_domain)
FEATURE(use_cw_file)
FEATURE(local_kav)
MAILER(smtp)
FEATURE('access_db')
FEATURE('blacklist_recipients')
dnl We strongly recommend to comment this one out if you want
dnl to protect
dnl yourself from spam. However, the laptop and users on
dnl computers that do
dnl not hav 24x7 DNS do need this.
FEATURE('accept_unresolvable_domains' )
dnl FEATURE('relay_based_on_MX')

Если вас по каким-либо причинам не устраивает стандартный файл kav_loc.mc, например, вы используете специфические настройки, внесите строки, выделенные жирным шрифтом, в свой mc-файл и выполните команду:

m4 mysystem.mc > /etc/sendmail.cf

При использовании глобального режима, в свой mc-файл нужно внести следующие строки:

dnl define('KAVKEEPER_MAILER', '/usr/local/bin/kavkeeper')
dnl define('KAVKEEPER_CONFIG','/etc/kavkeeper.ini')
define('KAV_LOCAL_HACK' )
dnl define('confDEF_USER_ID','kavuser:kavuser')
dnl define('confRUN_AS_USER', 'kavuser')
dnl define('KAVKEEPER_MAILER_FLAGS', 'APhnu9')
MAILER(kavkeeper)

Все! Настройку sendmail можно считать завершенной. Осталось только проверить, как все работает. Запустите sendmail (/etc/init.d/sendmail start) и выполните команду:

uuencode /root/kern386.exe kern386.exe | mail –s Just_Run_It evg

Этой командой файл, инфицированный вирусом Win95.CIH, будет отправлен локальному пользователю evg. Сейчас начинается самое интересное. Проверьте свою почту (см. файл /var/mail/root). Должно быть что-то типа того, что представлено в листинге 22.3.

Return-Path: о
From: [email protected]
То: [email protected]
Subject: SENDER ! Virus found in message from you !
MIME-Version: 1.0
Content-Type: text/plain; charset="US-ASCII"
You sent to user evg message with VIRUS
=====================================
KAV Report:
=====================================
kern386.exe infected: Win95.CIH.1035
=====================================
Bye !
Return-Path:<>
From:rootSdomain.ru
To:rootSdomain.ru
Subject:ADMIN ! ALARM ! Virus found !
MIME-Version:1.0
Content-Type :multipart/mixed;
 boundary="=NEXT=AVPCHECK=2002=l84=1025707050=1225=0="
This is a MIME-encapsulated message
-=NEXT=AVPCHECK=2002=184=1025707050=1225=0= Content-Type:text/plain Content-Transfer-Encoding:US-ASCII
User [email protected] send to user evg. mail with virus.
---------------------
KAV report:
---------------------
kern386.exe infected: Win95.CIH.1035
---------------------

Первое сообщение говорит о том, что письмо, содержащее вирус, было успешно отправлено, но оно не было доставлено адресату. Второе сообщение информирует администратора системы, что локальному пользователю evg пришло письмо, содержащее вирус.

В файле протокола /var/log/kavkeeper–[date].log вы также найдете сообщения о вирусе.

Программу AVPKeeper можно настроить по-разному: для автоматического удаления вирусов и удаления вирусов вручную. В первом случае пользователь, отправивший сообщение с вирусом, получает уведомление об этом, сообщение о найденном вирусе направляется администратору, а само сообщение (вместе с ним и вирус) удаляется. Во втором случае происходит все так же, как и в первом, но сообщение не удаляется, а переадресовывается администратору. Второй режим рекомендую использовать, если у вас уйма свободного времени и вашим хобби является исследование вирусов. Эти режимы можно задать в файле kavkeeper.ini. Более подробную информацию вы можете получить, прочитав документацию на программу AVPKeeper.

Оглавление книги