2022年8月、ホームページを全面リニューアルしました! 情報を分かりやすくお伝えできるサイト作りを目指してまいります。

AntiVirMailgateセットアップ!

お知らせ:
残念ながら、この記事のH+BEDV AntiVir Mailgateは2005年に有料化したそうだ。だから、FreeのVirusScanを探してる方は、 Clamd なんていかがだろう。サイトはすでに有料化のサイトに変身している。したがって、この記事は効果がないが一応掲載しておくことにした。残念ながら、有料化してしまったので、結局Sophos社と同じである。

AMavis+SophosとかのSMTPウィルス撃退モジュールを説明してきたが、今度も同じくSMTPウィルス撃退エンジンである。このエンジンは、 どこかのSophosと違って 個人利用に限り無料とされているH+BEDVの 「AntiVir Mailgate for Linux & FreeBSD」 だ。さらに、定期的にワクチンも配布されておりcronでスケジューリングを行えば、ほぼメンテナンスフリーの環境ができあがる。まず初めにレジストリファイルが後で必要になるため、 ここ でユーザ登録をしておくこと。場合によっては、レジストリーキーのメール到着まで数十分から数時間かかるかもしれない。登録は、一年更新のようだ。一年経過したら、更新の案内がメール配送されてくる。
俺は、FreeBSD 4.7Rにセットアップしたので、BSD環境で説明する(だけどLinuxでもセットアップ方法は変わらないよ~ん d=(^o^)=b)。
さらに、MTAはPostfixで行った。当たり前の事であるがMTAによって設定方法が変わってくるが、しかしmailgateのファイルの中にMTA別の設定方法が書いてあるので苦労しなくて済むと思う。ちなみに、

INSTALL.sendmail
INSTALL.postfix
INSTALL.qmail
INSTALL.exim

こんなテキストファイルがあってその中にMTA別の設定方法が記載してある。非常に親切!!!


1.ファイルのゲットと解凍

とりあえず鯖のどこかにおっこどす。

avlxmgt.tgzは、Linux用    ← 今回はこれで説明する。
avfbmgt.tgzは、FreeBSD用

# wget http://www.antivir.de/dateien/antivir/release/avlxmgt.tgz

# tar zxvf avlxmgt.tgz

# cd antivir-mailgate-x.x.x.xx

# cd avmailgate


2.必要なディレクトリ作成と設定ファイルのコピー(実はオール手動です)

# mkdir /usr/lib/AntiVir
# cp vdf/antivir.vdf /usr/lib/AntiVir
# chown uucp:uucp /usr/lib/AntiVir
# chown uucp:uucp /usr/lib/AntiVir/antivir.vdf

# cp bin/antivir /usr/lib/AntiVir
# chown uucp:uucp /usr/lib/AntiVir/antivir

# cp etc/avmailgate.conf /etc
# cp etc/avmailgate.acl /etc
# cp etc/antivir.conf /etc

バイナリのコピー

# cp bin/avgated /usr/sbin
# cp bin/avgatefwd /usr/sbin

# mkdir /var/spool/avmailgate
# chown uucp:uucp /var/spool/avmailgate
# chmod 700 /var/spool/avmailgate
# cd /var/spool/avmailgate
# mkdir incoming
# mkdir outgoing
# mkdir rejected
# chown uucp:uucp *
# chmod -R 700 *


3.登録レジストリキー(サイトで登録してもらったkey)のコピー

# cp hbedv.key /usr/lib/AntiVir/avmgate.key
# chown uucp:uucp /usr/lib/AntiVir/avmgate.key


4./etc/servicesにポートを追加

# vi /etc/services

antivir 10024/tcp                           #Port for avgated
smtp-backdoor 10025/tcp                #Port for postfix backdoor


5./etc/avmailgate.confの編集(項目の編集は必要に応じてね!)

# vi /etc/avmailgate.conf

User uucp

Group uucp

Postmaster postmaster

MyHostName hoge.hogehoge.net

SpoolDir /var/spool/avmailgate

AntiVirDir /usr/lib/AntiVir

TemporaryDir /tmp

SMTPBanner “AntiVir MailGate”

ListenAddress localhost port antivir

ForwardTo SMTP: localhost port smtp-backdoor

VirusAlertsUser root

 


6.起動

# /usr/sbin/avgated
# /usr/sbin/avgatefwd

プロセスの確認

176 ?? Is 0:00.02 /usr/sbin/avgated
178 ?? Is 0:00.05 (unlinkd) (unlinkd)
181 ?? I 0:00.05 /usr/lib/AntiVir/antivir –mailgate –temp=/tmp
184 ?? Is 0:00.06 /usr/sbin/avgatefwd
185 ?? S 0:00.29 /usr/sbin/avgatefwd
186 ?? S 0:00.28 /usr/sbin/avgatefwd

動いてる状態!


7.Postfix側の設定

1) /etc/postfix/master.cfの設定

# vi /etc/postfix/master.cf

# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (50)
smtp        inet        n      –       n      –      –       smtpd

中略

# F<FC>r AntiVir Maild<E4>mon
localhost:smtp-backdoor inet      n      –      n       – – smtpd -o content_filter=

2) /etc/postfix/main.cfの設定

# vi /etc/postfix/main.cf

# Antivir Einbindung
content_filter = smtp:127.0.0.1:10024

3) Postfix再起動

# postfix reload


7.cronで定期的に定義ファイルをゲットする(crontabへ追加)

# vi /etc/crontab                   (crontab -eでも良い)

省略

25   0   *   *   *   root   /usr/sbin/antivirupdater -q         ← 旧バージョン設定

or

25   0   *   *   *   root   /usr/lib/AntiVir/antivir –update -q  ← 新バージョン設定(多分これが正解!)


8.起動スクリプト作成

# vi antivir.sh

#!/bin/sh

# AntiVir start
if [ -x /usr/sbin/avgated ]; then
/usr/sbin/avgated
fi

if [ -x /usr/sbin/avgatefwd ]; then
/usr/sbin/avgatefwd
fi


9.動作確認

動作確認は、SMTPサーバを通過したメールのヘッダを見てみればよい。次のように記録されていれば良い。

X-AntiVirus: checked by AntiVir MailGate (version: x.x.x.x ; AVE: 6.18.0.2; VDF: 6.18.0.7; host: hoge.hogehoge.net) 

ウイルスが発見されると次のようなメールが/etc/avmailgate.confファイル内で設定したPostmasterで指定のアカウント宛に届く。

AntiVir ALERT [mail from: unko@otoire.com]

* * * * * * * * * * * * * * * AntiVir ALERT * * * * * * * * * * * * * * * 
This version of AntiVir is licensed for private and non-commercial use.

AntiVir has detected the following in a mail sent through your server:

     Worm/Klez.E virus

The mail was not delivered.

It has been quarantined with the following queue id:

     25647-579F1CED

Mail-Info:

省略

あとこんな感じ(2003年10月15日一部加工)

* * * * * * * * * * * * * * * AntiVir ALERT * * * * * * * * * * * * * * *
This version of AntiVir is licensed for private and non-commercial use.

AntiVir has detected the following in a mail sent through your server:

     Worm/Gibe.C.1 virus

The mail was not delivered.

It has been quarantined with the following queue id:

     25973-740682B6

Mail-Info:
–8<–
Message-Id: <20031014092634702.AAA1788@EMSRV01.e-m.co.jp@nrqptq>
From: “MS Network Security Division” <fpjguezyyt-lrjdewu@updates.msn.net>
To: “User” <user.dfplegqd@updates.msn.net>
Date: Tue, 14 Oct 2003 18:26:34 +0900
Subject: Latest Pack
Mail-From: hoge@hogehoge.co.jp
Rcpt: pantsu@marumie.com
Rcpt: 20010911132354.d828.pantsu@marumie.com
Queue-Id: 25973-740682B6
Status: The mail was not delivered!
–8<–

Log-File:
–8<–
info: extracting attachment 1 to /tmp/av-25974-q736RQ/av-0
(encoding=”quoted-printable”, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 2 to /tmp/av-25974-q736RQ/av-1
(encoding=”quoted-printable”, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 3 to /tmp/av-25974-q736RQ/av-2
(encoding=”base64″, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 4 to /tmp/av-25974-q736RQ/av-3
(encoding=”base64″, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 5 to /tmp/av-25974-q736RQ/av-4
(encoding=”base64″, name=”Q597165.exe”, filename=”(no name)”)
checking file “/tmp/av-25974-q736RQ/av-0”
checking file “/tmp/av-25974-q736RQ/av-1”
checking file “/tmp/av-25974-q736RQ/av-2”
checking file “/tmp/av-25974-q736RQ/av-3”
checking file “/tmp/av-25974-q736RQ/av-4”
–8<–


AntiVir for UNIX
Copyright (C) 1994-2002 by H+BEDV Datentechnik GmbH. All rights reserved.
For more information see http://www.antivir.de/ or http://www.hbedv.com/

以上

コメント