Pokud přijímáte poštu na centrálním serveru pro více uživatelů a používáte k tomu program sendmail, postfix, qmail nebo exim, tak je asi ten pravý čas uvažovat o instalování antivirové ochrany přímo na tento server.
Instalací antivirové ochrany přímo na server si ušetříte řadu starostí s udržováním aktuálních verzí antivirů na jednotlivých pracovních stanicích, eliminujete problémy způsobené nepozorností uživatelů a omezíte pohyb virů (virus je odhalen hned při příchodu).
Jako nejvhodnější antivirový program jsem si vybral „AntiVir MailGate“ od německé firmy H+BEDV Datentechnik GmbH http://www.hbedv.com (stránky jsou v angličtině) nebo http://www.antivir.de (stránky jsou v němčině).
Výhodou tohoto programu je především to, že pro nekomerční účely je jeho použití zadarmo (podrobnější informace o licenci jsou přiloženy přímo u programu např. ve FAQ) a jeho instalace je také poměrně jednoduchá. Další nespornou výhodou je to, že na klientské straně (OUTLOOK, PINE, … ) není nutné nic měnit.
Po instalaci je ještě nutné provést registraci programu na domovských stránkách výrobce. Registrace je zdarma s omezením na jeden rok. Potom je nutné zaregistrovat se znova.
Jak to vlastně funguje
Nejprve se podíváme, jak funguje pošta bez antivirového programu.
MTA, např. program sendmail, čeká na portu 25 (SMTP) na příchod dopisu. Pokud dopis dorazí, podívá se, co s ním, a vyřídí ho.
Pokud nainstalujeme program AntiVir MailGate, tak se situace trochu změní.
Program sendmail je překonfigurován tak, že místo na portu 25 (SMTP) čeká na portu 825 (smtp-backdoor). Na portu 25 (SMTP) čeká program avgated.
Pokud dorazí dopis, zkontroluje program avgated hlavičky a TCP/IP adresy. Pokud je všechno v pořádku, tak program avgated uloží dopis do spool adresáře. Tam dopis čeká na další zpracování programem avgatefwd.
Program avgatefwd dopis otevře a zkontroluje ho na viry. Pokud je dopis v pořádku, doplní do záklaví dopisu informaci o tom, že dopis byl zkontrolován na viry (X-AntiVirus:) a předá ho programu sendmail. Záhlaví dopisu po úspěšné kontrole vypadá takto:
...
From: "Milan Istok" <AAAA@BBBB.cz>
To: XXXX@YYYY.cz
Date: Wed, 24 Jul 2002 20:07:10 +0200
MIME-Version: 1.0
Subject: Dopis
Message-ID: <3D3F08EE.7743.F2E5DC@localhost>
Priority: normal
X-mailer: Pegasus Mail for Windows (v4.01)
X-AntiVirus: OK! AntiVir MailGate Version 2.0.0.9;
AVE: 6.14.0.1; VDF: 6.14.0.13 at linux.YYYY.cz
has not found any known virus in this email.
....
Je-li ale nalezen virus, je zavirovaný dopis smazán a program avgatefwd vytvoří dopis, ve kterém informuje odesílatele, adresáta a správce poštovního serveru o nalezeném viru:
Datum odeslání: Wed, 24 Jul 2002 19:36:05 -0400
Od: AvMailGate@YYYY.cz
Komu: XXXX@YYYY.cz
Věc: Virus found in mail from Mail
Delivery Subsystem <AAAA@BBB.CCC.cz>
***********************************************************
AntiVir Virus Alert
***********************************************************
This version of AntiVir MailGate is licensed for private and
non-commercial use.
***********************************************************
AntiVir found these viruses in a mail for you from Mail
Delivery Subsystem <MAILER-DAEMON@ZZZZ.cz>:
Worm/Klez.E
The mail was not delivered.
AntiVir MailGate prevented a virus delivery. But
if you need to receive further email from Mail
Delivery Subsystem <MAILER-DAEMON@ZZZZ.cz>,
you should ask him/her to buy a professional antivirus
software such as AntiVir from H+BEDV Datentechnik GmbH.
He/She can contact mailto: sales@hbedv.com for further
information.
**********************************************************
For more information on AntiVir please visit our web site
http://www.antivir.de or http://www.hbedv.com
mailto: info@antivir.de
AntiVir is a registered trademark of
H+BEDV Datentechnik GmbH
**********************************************************
Tento dopis je také předán sendmailu. Z dopisu se tak dozvíte, kdo a kdy dopis poslal a jaký tam byl virus.
Sendmail potom vyřídí dopis standardním způsobem.
Způsob, kterým program avgatefwd dopis předáva sendmailu, záleží na nastavení parametru ForwardTo v konfiguračním souboru /etc/avmailgate.conf.
Defaultní parametr ForwardTo /usr/lib/sendmail -oem -oi znamená, že dopis je předán přímo programu sendmail.
Další možností je předat dopis sendmailu přes port 825. Potom vypadá parametr ForwardTo takto: ForwardTo SMTP: localhost port 825. Tímto způsobem je možné zařídit i předávání pošty na jiný počítač.
Pokud nemáte program AntiVir MailGate registrován, tak program AntiVir došlé dopisy zkontroluje a vloží je jako přílohu do dopisu, ve kterém adresáta informuje o tom, že program AntiVir není registrován a že registraci je možné provést na domovských stránkách firmy. Tento problém se dá velice jednoduše vyřešit registrací na domovských stránkách výrobce.
Instalace programu (REDHAT 6.2cz a AntiVir MailGate Version 2.0.0.9; AVE: 6.14.0.1 )
Instalace sestává z několika jednoduchých kroků (kopírování, nastavení práv a úpravy několika konfiguračních souborů) a je dobře popsána v manuálu.
V manuálu je také popsána instalace pro různé poštovní programy.
1. Nejprve je potřeba rozbalit soubor s antivirovým programem do libovolného adresáře.
Také si zkontrolujte, že máte vytvořeného uživatele a skupinu uucp (je to standardní uživatel a bývá vytvořen už při instalaci LINUXu), později to budete potřebovat.
2. Vytvořte adresář /usr/lib/AntiVir a do něj nakopírujte soubor
antivir.vdf (je uložen v adresáři vdf). Pozor, je nutné dodržet malá a velká písmena. Na vytvoření a nastavení tohoto adresáře je možné použít následující sekvenci příkazů:
mkdir /usr/lib/AntiVir
cp vdf/antivir.vdf /usr/lib/AntiVir
chown uucp:uucp /usr/lib/AntiVir
chown uucp:uucp /usr/lib/AntiVir/antivir.vdf
Tento soubor obsahuje vlastní databázi aktuálních virů.
3. Z adresáře bin zkopírujte do adresáře /usr/lib/AntiVir
soubor antivir.
cp bin/antivir /usr/lib/AntiVir
chown uucp:uucp /usr/lib/AntiVir/antivir
Tento program slouží k automatickému update virové databáze.
4. Do adresáře /etc nakopírujte konfigurační soubory avmailgate.conf, avmailgate.acl a antivir.conf.
cp etc/avmailgate.conf /etc
cp etc/avmailgate.acl /etc
cp etc/antivir.conf /etc
Tyto tři soubory obsahují nastavení antivirového programu.
5. V souboru avmailgate.acl opravte TCP/IP adresu, ze které může být posílána pošta (10.80.10.0/24) a název vaší domény (drum.cz).
local: localhost local: drum.cz relay: 127.0.0.1/8 10.80.10.0/24
V tomto případě může být přes tento server posílána pošta z lokální stanice (127.0.0.1) a TCP/IP adres začínajících 10.80.10.
Druhé dva soubory není nutné opravovat.
6. Dalším krokem je zkopírování vlastních antivirových programů avgated a avgatefwd do adresáře /usr/sbin:
cp bin/avgated /usr/sbin
cp bin/avgatefwd /usr/sbin
7. Následuje vytvoření spoolového adresáře. Defaultním adresářem je adresář /var/spool/avmailgate (viz. /etc/avmailgate.conf). Také je potřeba nastavit práva tak, aby tento adresář byl dostupný pro uživatele uucp.
Zároveň s tímto adresářem je potřeba vytvořit pomocné adresáře incoming, outgoing a rejected.
mkdir /var/spool/avmailgate
chown uucp:uucp /var/spool/avmailgate
chmod 700 /var/spool/avmailgate
cd /var/spool/avmailgate
mkdir incoming
mkdir outgoing
mkdir rejected
chown uucp:uucp *
chmod -R 700 *
8. Aby mohl antivirový program fungovat, je potřeba umožnit mu plný přístup do adresáře /var/run.
Aby to bylo možné, je nutné tento adresář plně zpřístupnit pro uživatele uucp.
Existuje několik možností, jak to udělat:
– změnit skupinu adresáře /var/run na uucp.
chgrp uucp /var/run
– spouštět antivir jako root – to není nejlepší volba
– změnit parametr PidFile v souboru /etc/avmailgate.conf.
V mém případě stačilo změnit skupinu a práva u adresáře /var/run
z root:root na root:uucp.
9. Pokud máte už k dispozici i licenční klíč hbedv.key je potřeba ho zkopírovat do adresáře /usr/lib/AntiVir pod jménem avmgate.key a upravit práva:
cp hbedv.key /usr/lib/AntiVir/avmgate.key
chown uucp:uucp /usr/lib/AntiVir/avmgate.key
Pokud licenční klíč nemáte, nevadí, antivir bude fungovat i bez něj.
10. Dalším nezbytným krokem je začlenit antivirový program do poštovního programu. Výrobce popisuje instalaci na sendmailu, postfixu, qmailu a na eximu.
Jelikož používám sendmail, zaměřím se právě na tento program.
Úprava je jednoduchá a spočívá v opravě dvou souborů.
a) stopněte sendmail
b) najděte soubor /etc/services a doplňte do něj následující řádek:
smtp-backdoor 825/tcp
c) najděte váš soubor sendmail.cf (v adresáři /etc nebo /etc/mail) a opravte údaj O DaemonPortOptions.
Pokud údaj O DaemonPortOptions vypadá takto
#O DaemonPortOptions=Port=esmtp
, opravte ho na
O DaemonPortOptions=Port=smtp-backdoor
Má-li tento tvar
#O DaemonPortOptions=Name=MTA
, potom ho opravte takto:
O DaemonPortOptions=Name=MTA,Port=smtp-backdoor
d) znovu spusťte program sendmail
11. Nyní je už možné spustit programy /usr/sbin/avgated a /usr/sbin/avgatefwd.
/usr/sbin/avgated
/usr/sbin/avgatefwd
Informace o tom, zda naběhly oba programy dobře, si můžete ověřit v logách poštovního programu (/var/log/mail, /var/log/maillog nebo
/var/log/mail.log).
12. Výrobce také popisuje instalaci automatického update virové databáze – každý den 25 minut po půlnoci.
Úprava je jednoduchá. Stačí do souboru /etc/crontab doplnit následující řádek
25 0 * * * root /usr/lib/AntiVir/antivir --update -q
a restartovat program cron.
Osobně tento způsob nepoužívám, protože virová databáze je úzce vázaná na verzi antivirového programu. Pokud dojde ke změně verze virové databáze, je už nepoužitelná a je nutné program přeinstalovat.
Tím je instalace programu ukončena. Na straně poštovních klientů není potřeba nic měnit. Zkuste poslat několik dopisů. Pokud dopisy dorazí a hlavička dopisu je doplněná o X-AntiVirus:…, je vše v pořádku.
Je-li odeslaný dopis vložen jako příloha dopisu a text dopisu je doplněn informací o tom, že používáte neregistrovanou verzi programu, je rovněž všechno v pořádku. Je potřeba se jen zaregistrovat u výrobce a získat soubor hbedv.key (viz. výše).
Funguje-li vše tak, jak má, tak už nezbývá nic jiného, než doplnit startování programů /usr/sbin/avgated a /usr/sbin/avgatefwd přímo při startu LINUXu. Vzory startovacích skriptů najdete v adresáři init. Jsou zde skripty pro SUSE a REDHAT. Tím je instalace ukončena.
Nyní je jen potřeba sledovat vývoj virové databáze a včas ji updatovat.
Pokud dodržíte postup instalace, nemělo by dojít k problémům. Problém by mohl vzniknout snad jen s nevhodným nastavení práv pro některý soubor nebo adresář.
Mohou se však objevit potíže při update virové databáze. Pokud si stáhnete novou verzi virové databáze a program začne hlásit „wrong virus definition file (VDF)“, pak si nejprve zkontrolujte čísla verzí programu a virové databáze. První dvě čísla se musí shodovat (např. 6.14.x.x.). Pokud se neshodují, musíte si stáhnout novou verzi programu (novou registraci ale dělat nemusíte).
ČLÁNKY DO MAILU