Teljes virtuális levélkiszolgáló/amavisd spamassassin clamav

A spam -kéretlen levelek- egyre nagyobb problémát jelent az interneten, ezért robusztus és megbízható megoldásra van szükség. Vannak fizetett szolgáltatások a még nagyobb spamvédelem érdekében, de ezekre valószínűleg nincs szükség, és ebben a cikkben nem lesznek tárgyalva.

Postfix

Az első védelmi vonal maga a postfix. A postfix néhány alapvető eszközt kínál a spam, pontosabban a spammerek blokkolására. Az smtpd_client_restrictions használatával lehetséges nyilvános DNS feketelistákat alkalmazni. Három népszerű DNS feketelista létezik, amelyek közül az egyik a másikba van beépítve. Ez a két lista a legpontosabbak közé tartozik. A legfontosabb a zen.spamhaus.org, és tartalékként használható a bl.spamcop.net. Ezek használata a Postfixszel rendkívül egyszerű. Adja hozzá ezeket a doméneket reject_rbl_client formájában a main.cf fájlhoz:

# Block spam using DNS blacklists
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net

Amavis

Bevezetés

A Spam-assassin és a ClamAV a spam és a vírusok blokkolására szolgáló szoftverek, azonban az amavis szükséges ahhoz, hogy mindezt összekapcsolja. Az amavis önmagában is levelezőszerverként fog működni, elfogadja a leveleket, szűri őket, majd továbbküldi azokat. Ehhez a postfixnek ténylegesen kétszer kell figyelnie a levelekre. Az alapértelmezett 25-ös port az, ahol a levelek kezdetben beérkeznek. Innen az amavis-hoz kerülnek, amely a 10024-es porton figyel. Miután az amavis feldolgozta az üzenetet, azt a postfixhez küldi egy másik porton, a 10025-ön. Ennek az oka nyilvánvaló: Ha a leveleket ismét a 25-ös portra továbbítanák, akkor újra az amavis szoftverhez kerülnének, így végtelen ciklus jönne létre. Nyilvánvaló, hogy a postfix a 10025-ös porton csak ismert host számítógépeket, például a localhostgépet fogadná, és már nem ellenőrizné a spamet.

Telepítés

Az amavis szoftvercsomagnak már telepítve kellett volna lennie. Ha nem így van, akkor telepítse az emerge parancs segítségével. A szoftverfüggőségek között szerepelnie kell a spam-assassin és clamav szoftvercsomagoknak is:

Alapbeállítás

Az amavisd szoftver rendkívül sok beállítási lehetőséget kínál, és ezek mindegyikének átnézése időigényes lesz. Azonban a /etc/amavisd.conf beállításfájl jól dokumentált és áttekinthető szakaszokra van osztva. Minden szakasz szükség szerint kerül megvizsgálásra. A szöveg érthetőségének érdekében csak a megváltoztatásra kerülő beállítások lesznek említve.

Ebben a példában az amavisd a foo nevű számítógépen fog futni, de ez lehet bármely másik számítógép is, mivel az amavisd nem igényli, hogy ugyanazon a számítógépen fusson, mint a postfix. Továbbá a használt domén kizárólag a szerver azonosítására szolgál, nem pedig azoknak a doméneknek a megjelölésére, amelyeket az amavisd fog vizsgálni.

Az első lépés az összes aktuális ellenőrzés kikapcsolása és a naplózás engedélyezése. Ezenkívül néhány alapértelmezett értéket be kell állítani:

@bypass_virus_checks_maps = (1);  # controls running of anti-virus code
@bypass_spam_checks_maps  = (1);  # controls running of anti-spam code
# $bypass_decode_parts = 1;         # controls running of decoders&dearchivers
 
$mydomain = 'example.com';
$myhostname = 'foo.example.com';
 
$log_level = 5;              # verbosity 0..5, -d

Normál esetben a postfix újraindítása az amavisd újraindítását is eredményezi. Egyelőre csak az amavisd szoftvert kell elindítani, hogy kiderüljön, vannak-e kezdeti problémák.

Az amavisd Postfixhez való összekapcsolása

Amavisd csupasz, alapvető módban történő működése elméletileg egyszerűen továbbítja a leveleket. Ez tökéletes a postfix -> amavisd -> postfix kapcsolat teszteléséhez.

Először hozzáadódik egy második postfix transzport, ahová az amavis be fogja injektálni az e-maileket. Számos opció alapértelmezésként üresre van állítva, mivel vagy már ellenőrizve lettek, vagy zavarják a működést.

localhost:10025 inet n  -       n       -       2       smtpd
  -o smtp_dns_support_level=enabled
  -o content_filter=
  -o myhostname=foo.example.com
  -o local_recipient_maps=
  -o relay_recipient_maps=
  -o smtpd_restriction_classes=
  -o smtpd_client_restrictions=
  -o smtpd_helo_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o mynetworks=127.0.0.0/8
  -o strict_rfc821_envelopes=yes
  -o smtpd_error_sleep_time=0
  -o smtpd_soft_error_limit=1001
  -o smtpd_hard_error_limit=1000
  -o smtpd_client_connection_count_limit=0
  -o smtpd_client_connection_rate_limit=0
  -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
  -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Ezzel a transzportnak csak a localhost számítógépen kell figyelnie, és csak a localhost számítógépről érkező e-maileket kell elfogadnia. Ezt ki kell terjeszteni, ha az amavis máshol fut, de vegye figyelembe, hogy bármit elfogad.

Ezután egy másik transzport adódik hozzá, amely bizonyos értelemben 'létezőnek' tekinthető amavis.

amavis    unix  -       -       n       -       2       lmtp
  -o disable_dns_lookups=yes
  -o lmtp_send_xforward_command=yes
  -o lmtp_data_done_timeout=1200

Miután hozzá van adva az amavis transzport, az smtp-t úgy kell beállítani, hogy az összes levelet az amavison keresztül irányítsa. Ehhez két opciót kell hozzáadni az smtpd-hez, és módosítani kell a maxproc értékét, hogy megfeleljen az amavis értékének.

smtp       inet  n       -       n       -       2       smtpd
  -o content_filter=amavis:[127.0.0.1]:10024
  -o receive_override_options=no_address_mappings
smtps     inet  n       -       n       -       2       smtpd
  -o smtpd_tls_wrappermode=yes
  -o content_filter=amavis:[127.0.0.1]:10024
  -o receive_override_options=no_address_mappings

Mind az amavisd, mind a postfix újraindítása után az összes levélnek át kell haladnia az amavisd szoftveren.

Tesztelés

Egy üzenet elküldése a testuser@example.com címre távolról és helyileg is megfelelően kell, hogy működjön. Miután az üzenet megérkezett, ellenőrizni kell a fejlécet.

A levelezési fejlécet megvizsgálva észre kell venni, hogy az amavisd szoftveren keresztül lett elküldve, majd újra lett kézbesítve a postfix szoftvernek.

Received: from localhost (localhost [127.0.0.1])
    by foo.example.com (Postfix) with ESMTP id 03ABA22E4C
    for <testuser@example.com>; Wed, 28 Dec 2011 11:41:05 +0100 (CET)
Received: from foo.example.com ([127.0.0.1])
    by localhost (foo.example.com [127.0.0.1]) (amavisd-new, port 10024)
    with LMTP id 6N9l4nIQa620 for <testuser@example.com>; Wed, 28 Dec 2011 11:41:04 +0100 (CET)
Received: from ext.example.net (ext.example.net [1.2.3.4])
    (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by foo.example.com (Postfix) with ESMTPS id C136021F97
    for <testuser@example.com>; Wed, 28 Dec 2011 11:41:04 +0100 (CET)

A fentieket megvizsgálva egyértelműen látható, hogy a levelet a postfix SMTPS-en keresztül fogadta. Ezután továbbították az amavisd szoftvernek a 10024-es porton keresztül LMTP segítségével, majd végül újra kézbesítették a postfixnek SMTP-n keresztül.

ClamAV

Bevezetés

A ClamAV a nyílt forráskódú víruskeresők de facto standardja Linux operációs rendszerre. Az amavis számos különböző ingyenes és kereskedelmi víruskeresővel összekapcsolható, de itt a ClamAV kerül alkalmazásra. A ClamAV kifejezetten az e-mailek ellenőrzésére lett tervezve. Két részből áll: maga a ClamAV és a Freshclam, a ClamAV frissítő szolgáltatás. Alapértelmezés szerint kétóránként frissít, ami bárki számára elegendő kell legyen.

Telepítés

A ClamAV szoftvernek már telepítve kellett, hogy legyen. Ha nem, akkor telepíteni kell a következő parancs kiadásával:

Beállítás

A ClamAV szoftver úgy lesz beállítva, hogy szolgáltatás módban fusson, azaz kapcsolatokra figyeljen (az amavisd szoftvertől). A másik lehetőség (és az amavisd alapértelmezett visszaesési módja) az, hogy az amavisd a parancssori keresőt használja, amely sokkal lassabb és sokkal erőforrás-igényesebb.

A ClamAV szoftvernek nem kell ugyanazon a számítógépen futnia, azonban teljesítmény szempontjából ajánlott ugyanazon a számítógépen tartani, a forráshasználattól függően.

Ahhoz, hogy a ClamAV képes legyen kommunikálni, az amavisd csoportjának részét kell képeznie.

Mindig hasznos engedélyezni, hogy a clamd némi hibakeresési információt adjon ki.

# Enable debug messages in libclamav.
# Default: no
Debug yes

A clamd beállításfájljában be kell állítani néhány beállítást, hogy az amavis kommunikálni tudjon vele.

# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
LocalSocket /var/run/clamav/clamd.sock
 
# Initialize supplementary group access (clamd must be started by root).
# Default: no
AllowSupplementaryGroups yes

Amikor a ClamAV egy megerősített kernel alatt fut, figyelmeztetések jelennek meg bizonyos műveletek tiltása miatt.

[LibClamAV] Bytecode: disabling JIT because SELinux is preventing 'execmem' access.

Ez várható és rendben van. A ClamAV JIT nélkül is megfelelően működik.

A ClamAV első indítása előtt le kell tölteni a vírusadatbázist. A Freshclam felelős a vírusadatbázis letöltéséért és naprakészen tartásáért. A Freshclam automatikusan elindul a clamd indítási szkriptje által, de a clamd nem fog elindulni az adatbázis hiánya miatt.

Most figyelje a ClamAV naplófájlját, hogy lássa, ahogyan a Freshclam letölti a kezdeti vírusadatbázist.

freshclam daemon 0.98.6 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
ClamAV update process started at Sat Mar 21 16:30:16 2015
Downloading main.cvd [100%]
main.cvd updated (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Downloading daily.cvd [100%]
daily.cvd updated (version: 20219, sigs: 1354642, f-level: 63, builder: neo)
Downloading bytecode.cvd [100%]
[LibClamAV] Bytecode: disabling JIT because SELinux is preventing 'execmem' access.
Run  'setsebool -P clamd_use_jit on'.
ERROR: During database load : LibClamAV Warning: RWX mapping denied: Can't allocate RWX Memory: Operation not permitted
WARNING: Database successfully loaded, but there is stderr output
bytecode.cvd updated (version: 247, sigs: 41, f-level: 63, builder: dgoddard)
Database updated (3778908 signatures) from database.clamav.net (IP: 200.236.31.1)
WARNING: Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.sock: No such file or directory

Most, hogy az adatbázis frissült, indítsa újra a clamd szoftvert:

Sat Mar 21 16:35:18 2015 -> clamd daemon 0.98.6 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
Sat Mar 21 16:35:18 2015 -> Running as user clamav (UID 105, GID 206)
Sat Mar 21 16:35:18 2015 -> Log file size limited to 1048576 bytes.
Sat Mar 21 16:35:18 2015 -> Reading databases from /var/lib/clamav
Sat Mar 21 16:35:18 2015 -> Not loading PUA signatures.
Sat Mar 21 16:35:18 2015 -> Bytecode: Security mode set to "TrustSigned".
Sat Mar 21 16:35:29 2015 -> Loaded 3773304 signatures.
Sat Mar 21 16:35:30 2015 -> LOCAL: Unix socket file /var/run/clamav/clamd.sock
Sat Mar 21 16:35:30 2015 -> LOCAL: Setting connection queue length to 200
Sat Mar 21 16:35:30 2015 -> Limits: Global size limit set to 104857600 bytes.
Sat Mar 21 16:35:30 2015 -> Limits: File size limit set to 26214400 bytes.
Sat Mar 21 16:35:30 2015 -> Limits: Recursion level limit set to 16.
Sat Mar 21 16:35:30 2015 -> Limits: Files limit set to 10000.
Sat Mar 21 16:35:30 2015 -> Limits: MaxEmbeddedPE limit set to 10485760 bytes.
Sat Mar 21 16:35:30 2015 -> Limits: MaxHTMLNormalize limit set to 10485760 bytes.
Sat Mar 21 16:35:30 2015 -> Limits: MaxHTMLNoTags limit set to 2097152 bytes.
Sat Mar 21 16:35:30 2015 -> Limits: MaxScriptNormalize limit set to 5242880 bytes.
Sat Mar 21 16:35:30 2015 -> Limits: MaxZipTypeRcg limit set to 1048576 bytes.
Sat Mar 21 16:35:30 2015 -> Limits: MaxPartitions limit set to 50.
Sat Mar 21 16:35:30 2015 -> Limits: MaxIconsPE limit set to 100.
Sat Mar 21 16:35:30 2015 -> Archive support enabled.
Sat Mar 21 16:35:30 2015 -> Algorithmic detection enabled.
Sat Mar 21 16:35:30 2015 -> Portable Executable support enabled.
Sat Mar 21 16:35:30 2015 -> ELF support enabled.
Sat Mar 21 16:35:30 2015 -> Mail files support enabled.
Sat Mar 21 16:35:30 2015 -> OLE2 support enabled.
Sat Mar 21 16:35:30 2015 -> PDF support enabled.
Sat Mar 21 16:35:30 2015 -> SWF support enabled.
Sat Mar 21 16:35:30 2015 -> HTML support enabled.
Sat Mar 21 16:35:30 2015 -> Self checking every 600 seconds.

Az amavisd összekapcsolása a ClamAV szoftverrel

Az amavisd szoftvernek kapcsolódnia kell a clamd sockethez, így a clamav szoftvert engedélyezni kell, mint egyik fő víruskeresőt. A clamav parancssorból történő meghívásának visszaállását nem szabad megváltoztatni. Emellett a vírusellenőrzés megkerülését hatékonyság érdekében le kell tiltani:

# @bypass_virus_checks_maps = (1);  # controls running of anti-virus code
 
['ClamAV-clamd',
  \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.sock"],
  qr/\bOK$/m, qr/\bFOUND$/m,
  qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ],

Az amavisd újraindítása után a vírusokat fel kell tudni ismerni és blokkolni:

Tesztelés

A vírusellenőrző működésének teszteléséhez létezik egy anti-malware tesztfájl, amelynek használatakor ennek a karakterláncnak az elküldése e-mailben aktiválhatja a víruskeresőt:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

A(z) mail.log fájl megtekintésekor a következőknek kell kiderülniük:

Dec 28 14:05:33 7of9 amavis[7554]: (07554-01) Blocked INFECTED (Eicar-Test-Signature) {DiscardedInternal,Quarantined}, MYNETS LOCAL [10.0.0.2]:41144 [10.0.0.2] <root@test.example.net> -> <testuser@example.com>, quarantine: virus-WYHuLpwdzPVr, Queue-ID: 7FC7B22DF6, mail_id: WYHuLpwdzPVr, Hits: -, size: 407, 166 ms
Dec 28 14:05:33 7of9 postfix/lmtp[15452]: 7FC7B22DF6: to=<testuser@example.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.41, delays=0.21/0.02/0.01/0.16, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=07554-01 - INFECTED: Eicar-Test-Signature)

Elméletileg a víruskeresőnek mostanra teljesen működőképesnek kell lennie.

Spam Assassin

Bevezetés

A Spam Assassin kiváló spam szűrő. Az évek során meglehetősen összetetté vált, és némi erőfeszítést igényel a megfelelő beállítása.

Telepítés

Valójában nem lenne szükség arra, hogy a spamassassint külön telepítsék. A spamassassin USE jelölőzászlónak automatikusan be kellett volna vonnia azt az amavisd-new szoftverfüggőségeként.

Beállítás

Az alapértelmezett beállítás elegendő a szokásos használathoz.

Frissítés

A Spam Assassin egyik kulcsfontosságú jellemzője az önfrissítési képessége. A frissítések egy úgynevezett frissítési csatornán keresztül történnek.

A Spam Assassin tartalmazza a sa-update eszközt, így a frissítések teljesen automatizálhatók. A Spam Assassin frissítések elvégezhetők a --nogpg jelölőzászló használatával a gpg kulcsok figyelmen kívül hagyásához, de ez valójában csak végső megoldásként ajánlott. A spamassassin GPG kulcs hozzáadása egy egyszerű, 2 lépéses folyamat.

A spamassassin frissítési csatorna hozzáadása után azt frissíteni kell. A parancs futtatása után ellenőrizze az esetleges hibákat:

Miután ezek a frissítések befejeződtek, azokat le kell fordítani a Spam Assassin használatához. Emellett itt észlelhetők az esetleges hibák is:

A clamav szoftvertől eltérően nincs 'freshassassin', ezért frissítések végrehajtásához szükséges a cronjob. A Spam Assassin naprakészen tartása érdekében létre kell hozni egy cronjobot a feladathoz:

#!/bin/sh
sa-update --allowplugins --channel updates.spamassassin.org
sa-compile

A cronjob végrehajthatóvá tétele biztosítja, hogy rendszeresen fusson:

Az amavisd összekapcsolása a Spam Assassin szoftverrel

Valójában a Spam Assassin szoftvert nem szükséges összekapcsolni az amavisd szoftverrel, mivel az az amavisd szerves része. A spam szűrő engedélyezése az amavisd szoftverben elvégzi a spam szűrést:

# @bypass_spam_checks_maps  = (1);  # controls running of anti-spam code

Ezzel a változtatással az amavisd szoftvert újra kell indítani:

Tesztelés

A tesztelés ismét egy olyan klienssel történik, amely a 25-ös porthoz csatlakozik, és nem rendelkezik saját spam szűrővel. Tartalomhoz a GTUBE használható. Az említett oldalon elérhető egy megfelelő e-mail üzenet is RFC-822 formátumban.

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

A tesztfelhasználók beérkező levelei között, vagy valószínűbb, hogy a spam mappában, megtalálható az üzenet, és annak fejlécét meg lehet vizsgálni:

Received: from localhost (localhost [127.0.0.1])
    by foo.example.com (Postfix) with ESMTP id B7EDA22F62
    for <testuser@example.com>; Wed, 28 Dec 2011 16:02:46 +0100 (CET)
X-Quarantine-ID: <BukBLFBE3OWo>
X-Virus-Scanned: amavisd-new at example.com
X-Spam-Flag: YES
X-Spam-Score: 1000.907
X-Spam-Level: ****************************************************************
X-Spam-Status: Yes, score=1000.907 required=6.2 tests=[ALL_TRUSTED=-1,
    FH_FROMEML_NOTLD=0.18, GTUBE=1000, MISSING_HEADERS=1.207,
    MISSING_MID=0.14, NO_DNS_FOR_FROM=0.379, TVD_SPACE_RATIO=0.001]
    autolearn=no

Az amavisd finomhangolása

Az amavis rendelkezik néhány további beállítással, amelyeket finomhangolás céljából meg lehet változtatni.

Címzett elválasztó

Amikor a postfix szoftvert használja a recipient_delimiter paraméterrel, az amavisd szoftvert be lehet állítani ennek a funkciónak a használatára:

# Delimiter must match the equivalent (final) MTA delimiter setting.
$recipient_delimiter = '+';		# (default is undef, i.e. disabled)

Érdekes lehet hozzáadni a következőket a /etc/postfix/main.cf fájlhoz, ellenkező esetben előfordulhat, hogy a user+foo@domain nem kerül kézbesítésre:

# ADDRESS EXTENSIONS (e.g., user+foo)
#
# The recipient_delimiter parameter specifies the separator between
# user names and address extensions (user+foo). See canonical(5),
# local(8), relocated(5) and virtual(5) for the effects this has on
# aliases, canonical, virtual, relocated and .forward file lookups.
# Basically, the software tries user+foo and .forward+foo before
# trying user and .forward.
#
recipient_delimiter = +

Karantén szétosztása

Lehetséges a karantént több al-könyvtárra szétosztani. Ehhez először létre kell hozni ezeket a könyvtárakat:

mkdir /var/amavis/quarantine/virus;
mkdir /var/amavis/quarantine/spam;
mkdir /var/amavis/quarantine/banned;
mkdir /var/amavis/quarantine/badh;
mkdir /var/amavis/quarantine/clean;
chown -R amavis:amavis /var/amavis/quarantine/*;
chmod -R gu+rwX /var/amavis/quarantine/*;
chmod -R o-rwx /var/amavis/quarantine/*

#$clean_quarantine_method          = 'local:clean/%m';
$virus_quarantine_method          = 'local:virus/%m';
$spam_quarantine_method           = 'local:spam/%m.gz';
$banned_files_quarantine_method   = 'local:banned/%m';
$bad_header_quarantine_method     = 'local:badh/%m';

A spam szint határértékének beállítása segít csökkenteni a tárolt spam mennyiségét. A határérték biztosítja, hogy egy bizonyos spam-pontszám felett a spam ne kerüljön tárolásra:

$sa_quarantine_cutoff_level = 25; # spam level beyond which quarantine is off

Spam Delivery

A $final_spam_destiny alapértelmezetten D_PASS értékre van állítva, ami azt jelenti, hogy még magas pontszám esetén is, amely alapján spamként van megjelölve, az üzenet továbbra is kézbesítésre kerül a felhasználók postaládájába. A modern e-mail kliensek, amelyek megbíznak a Spam Assassinben, ezután automatikusan áthelyezhetik azt a SPAM mappájukba.

Bayes adatbázis elérési út

Állítsa be a bayes_path opciót a SpamAssassin konfigurációs fájljában, hogy az olyan eszközök, mint a sa-learn, a megfelelő adatbázis helyére írjanak:

bayes_path /var/amavis/.spamassassin/bayes

Virtuális host számítógépek

Ha ez a szerver egynél több domént kezel, akkor az amavis tájékoztatása itt segíthet:

@local_domains_maps = ( [".$mydomain", "mail.example.net", "mail.example.org", "mail2.example.com"] );

Takarítás

Ha a Spam Assassin és a ClamAV megfelelően működik, akkor a hibakeresési információk a normál minimális szintre csökkenthetőek.

# Section III - Logging
# true (e.g. 1) => syslog;  false (e.g. 0) => logging to file
$do_syslog = 1;                   # (defaults to 0)
 
#NOTE: levels are not strictly observed and are somewhat arbitrary
$log_level = 0;		   # (defaults to 0), -d
 
# Turn on SpamAssassin debugging (output to STDERR, use with 'amavisd debug')
#$sa_debug = '1,all';  # defaults to false

# Enable debug messages in libclamav.
# Default: no
#Debug yes