Postfix で ウィルスメール対策

ウィルスが添付されたメールがやたらに届くので、 Postfix にウィルススキャンソフトを仕込んで、 全て排除するようにしました。

Postfix のぺーじの 「AMaViS と Sophos Anti-Virus によるウィルススキャン」 を参考にしました。

Postfix が受けとったメールを AMaViS が ウィルススキャンソフトの H+BEDV AntiVir に渡して ウィルスチェックを行うようにします。

H+BEDV AntiVir のインストール

ウィルスを検出するウィルススキャンソフトは、 Linux/FreeBSDで個人利用なら無料で使える Linux/FreeBSDで個人利用なら無料で使える、H+BEDV AntiVir を使いました。
H+BEDV AntiVir のインストール方法は「無料のウィルススキャナー(H+BEDV AntiVir)を導入」をご覧ください。

AMaViS のインストール

以前はパッケージがなかったので、 ソースからインストールしていましたが、 woodyに、AMaViSのパッケージが追加されましたので、インストール作業がとても簡単になりました。
apt-getで一発インストールできます。 
$ apt-get install amavis-postfix
apt-getで一発で、必要なたくさんの外部コマンドやperlのモジュールも一緒にインストールしてくれます。

しかし、arc は Debianのパッケージにはありません。 arcで圧縮されているウィルスはます来ないでしょうから、ほっておいても良いのですが、 せっかくなので、 RedHat のrpmパッケージ(arc-5.21e-6.i386.rpm)を、 alienで deb に変換してインストールしました。 

$ alien arc-5.21e-6.i386.rpm
$ dpkg -i arc_5.21e-7_i386.deb

何故か、unrarでの解凍もうまくいってなかったので、rarもインストールしました。 

$ apt-get install rar

AMaViS の設定

AMaViSの設定ファイル /etc/amavisd.conf を修正します。 
# H+BEDV AntiVir
$antivir = "antivir"; <H+BEDV AntiVirを使うように設定>
基本的に上の1行を修正するだけで良いのですが、rarをインストールしたので、 
#$unrar = "/usr/share/amavis/unrar";

$unrar = "/usr/bin/rar";
に修正しました。 また、送信アドレスを偽ったウィルスが増えており、送信者が必ず感染しているとは限らないので、 送信者へウィルスを検出したことを通知するメールを送らないように、 
$warnsender = "yes";

$warnsender = "no";
に修正しました。

Postfixの設定

Postfix の contents_filter 機能を使う設定をします。
/etc/postfix/main.cf に次の行を追加します。 
content_filter = vscan:

/etc/postfix/master.cf に次の行を追加します。 

vscan            unix  -  n  n  -  10  pipe flags=q user=amavis argv=/usr/sbin/amavis ${sender} ${recipient}
localhost:10025  inet  n  -  n  -  -   smtpd -o content_filter=
最後に、Postfixに設定ファイルを読み込ませます。 
$ postfix reload

ウィルスを検出すると

テストも兼ねて、AMaViS のmake checkでチェックに使われている、 test.arcを抜きだしてメールで送ってみました。
(または、test.arc を解凍した EICAR.COM を送っても同じです)

ウィルスを検出すると virusalert 宛に、

Subject: FOUND VIRUS IN MAIL from sousin@domain.jp
From: postmaster@domain.jp
To: virusalert@domain.jp

A virus was found in an email from:

sousin@domain.jp

The message was addressed to: 

-> jyusin@domain.jp

The message has been quarantined as:

/var/lib/amavis/virusmails/virus-20020830-201717-2949

Here is the output of the scanner:

AntiVir / Linux Version 2.0.3.22
Copyright (C) 1994-2002 by H+BEDV Datentechnik GmbH.
All rights reserved.

Loading /usr/lib/AntiVir/antivir.vdf ...

VDF version: 6.15.0.5 created 27 Aug 2002

AntiVir license: XXXXXXXX for Yamamoto Michinari , XXXXX

checking drive/path (list): /usr/../var/lib/amavis/amavis-XXWSukmp/parts
/usr/../var/lib/amavis/amavis-XXWSukmp/parts/msg-2949-1.txt
 Date: 30.08.2002  Time: 20:17:16  Size: 69
 VIRUS: file contains code of the virus 'Eicar-Test-Signatur'



----- scan results -----
 directories:        1
       files:        1
    infected:        1
    repaired:        0
     deleted:        0
     renamed:        0
   scan time: 00:00:01
------------------------
Thank you for using AntiVir.

Here are the headers:

------------------------- BEGIN HEADERS -----------------------------

ここに、ウィルスに感染したメールのヘッダーが添付されます。

-------------------------- END HEADERS ------------------------------
というメールが送られます。
戻る