お知らせ:
残念ながら、この記事のH+BEDV AntiVir Mailgateは2005年に有料化したそうだ。だから、FreeのVirusScanを探してる方は、 Clamd なんていかがだろう。サイトはすでに有料化のサイトに変身している。したがって、この記事は効果がないが一応掲載しておくことにした。残念ながら、有料化してしまったので、結局Sophos社と同じである。
AMavis+SophosとかのSMTPウィルス撃退モジュールを説明してきたが、今度も同じくSMTPウィルス撃退エンジンである。このエンジンは、 どこかのSophosと違って 個人利用に限り無料とされているH+BEDVの 「AntiVir Mailgate for Linux & FreeBSD」 だ。さらに、定期的にワクチンも配布されておりcronでスケジューリングを行えば、ほぼメンテナンスフリーの環境ができあがる。まず初めにレジストリファイルが後で必要になるため、 ここ でユーザ登録をしておくこと。場合によっては、レジストリーキーのメール到着まで数十分から数時間かかるかもしれない。登録は、一年更新のようだ。一年経過したら、更新の案内がメール配送されてくる。
俺は、FreeBSD 4.7Rにセットアップしたので、BSD環境で説明する(だけどLinuxでもセットアップ方法は変わらないよ~ん d=(^o^)=b)。
さらに、MTAはPostfixで行った。当たり前の事であるがMTAによって設定方法が変わってくるが、しかしmailgateのファイルの中にMTA別の設定方法が書いてあるので苦労しなくて済むと思う。ちなみに、
INSTALL.sendmail
INSTALL.postfix
INSTALL.qmail
INSTALL.exim
こんなテキストファイルがあってその中にMTA別の設定方法が記載してある。非常に親切!!!
1.ファイルのゲットと解凍
とりあえず鯖のどこかにおっこどす。
avlxmgt.tgzは、Linux用 ← 今回はこれで説明する。
avfbmgt.tgzは、FreeBSD用
# wget http://www.antivir.de/dateien/antivir/release/avlxmgt.tgz
# tar zxvf avlxmgt.tgz
# cd antivir-mailgate-x.x.x.xx
# cd avmailgate
2.必要なディレクトリ作成と設定ファイルのコピー(実はオール手動です)
# mkdir /usr/lib/AntiVir
# cp vdf/antivir.vdf /usr/lib/AntiVir
# chown uucp:uucp /usr/lib/AntiVir
# chown uucp:uucp /usr/lib/AntiVir/antivir.vdf
# cp bin/antivir /usr/lib/AntiVir
# chown uucp:uucp /usr/lib/AntiVir/antivir
# cp etc/avmailgate.conf /etc
# cp etc/avmailgate.acl /etc
# cp etc/antivir.conf /etc
バイナリのコピー
# cp bin/avgated /usr/sbin
# cp bin/avgatefwd /usr/sbin
# mkdir /var/spool/avmailgate
# chown uucp:uucp /var/spool/avmailgate
# chmod 700 /var/spool/avmailgate
# cd /var/spool/avmailgate
# mkdir incoming
# mkdir outgoing
# mkdir rejected
# chown uucp:uucp *
# chmod -R 700 *
3.登録レジストリキー(サイトで登録してもらったkey)のコピー
# cp hbedv.key /usr/lib/AntiVir/avmgate.key
# chown uucp:uucp /usr/lib/AntiVir/avmgate.key
4./etc/servicesにポートを追加
# vi /etc/services
antivir 10024/tcp #Port for avgated
smtp-backdoor 10025/tcp #Port for postfix backdoor
5./etc/avmailgate.confの編集(項目の編集は必要に応じてね!)
# vi /etc/avmailgate.conf
User uucp
Group uucp
Postmaster postmaster
MyHostName hoge.hogehoge.net
SpoolDir /var/spool/avmailgate
AntiVirDir /usr/lib/AntiVir
TemporaryDir /tmp
SMTPBanner “AntiVir MailGate”
ListenAddress localhost port antivir
ForwardTo SMTP: localhost port smtp-backdoor
VirusAlertsUser root
6.起動
# /usr/sbin/avgated
# /usr/sbin/avgatefwd
プロセスの確認
176 ?? Is 0:00.02 /usr/sbin/avgated
178 ?? Is 0:00.05 (unlinkd) (unlinkd)
181 ?? I 0:00.05 /usr/lib/AntiVir/antivir –mailgate –temp=/tmp
184 ?? Is 0:00.06 /usr/sbin/avgatefwd
185 ?? S 0:00.29 /usr/sbin/avgatefwd
186 ?? S 0:00.28 /usr/sbin/avgatefwd
動いてる状態!
7.Postfix側の設定
1) /etc/postfix/master.cfの設定
# vi /etc/postfix/master.cf
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (50)
smtp inet n – n – – smtpd
中略
# F<FC>r AntiVir Maild<E4>mon
localhost:smtp-backdoor inet n – n – – smtpd -o content_filter=
2) /etc/postfix/main.cfの設定
# vi /etc/postfix/main.cf
# Antivir Einbindung
content_filter = smtp:127.0.0.1:10024
3) Postfix再起動
# postfix reload
7.cronで定期的に定義ファイルをゲットする(crontabへ追加)
# vi /etc/crontab (crontab -eでも良い)
省略
25 0 * * * root /usr/sbin/antivirupdater -q ← 旧バージョン設定
or
25 0 * * * root /usr/lib/AntiVir/antivir –update -q ← 新バージョン設定(多分これが正解!)
8.起動スクリプト作成
# vi antivir.sh
#!/bin/sh
# AntiVir start
if [ -x /usr/sbin/avgated ]; then
/usr/sbin/avgated
fi
if [ -x /usr/sbin/avgatefwd ]; then
/usr/sbin/avgatefwd
fi
9.動作確認
動作確認は、SMTPサーバを通過したメールのヘッダを見てみればよい。次のように記録されていれば良い。
X-AntiVirus: checked by AntiVir MailGate (version: x.x.x.x ; AVE: 6.18.0.2; VDF: 6.18.0.7; host: hoge.hogehoge.net)
ウイルスが発見されると次のようなメールが/etc/avmailgate.confファイル内で設定したPostmasterで指定のアカウント宛に届く。
AntiVir ALERT [mail from: unko@otoire.com]
* * * * * * * * * * * * * * * AntiVir ALERT * * * * * * * * * * * * * * *
This version of AntiVir is licensed for private and non-commercial use.
AntiVir has detected the following in a mail sent through your server:
Worm/Klez.E virus
The mail was not delivered.
It has been quarantined with the following queue id:
25647-579F1CED
Mail-Info:
省略
あとこんな感じ(2003年10月15日一部加工)
* * * * * * * * * * * * * * * AntiVir ALERT * * * * * * * * * * * * * * *
This version of AntiVir is licensed for private and non-commercial use.
AntiVir has detected the following in a mail sent through your server:
Worm/Gibe.C.1 virus
The mail was not delivered.
It has been quarantined with the following queue id:
25973-740682B6
Mail-Info:
–8<–
Message-Id: <20031014092634702.AAA1788@EMSRV01.e-m.co.jp@nrqptq>
From: “MS Network Security Division” <fpjguezyyt-lrjdewu@updates.msn.net>
To: “User” <user.dfplegqd@updates.msn.net>
Date: Tue, 14 Oct 2003 18:26:34 +0900
Subject: Latest Pack
Mail-From: hoge@hogehoge.co.jp
Rcpt: pantsu@marumie.com
Rcpt: 20010911132354.d828.pantsu@marumie.com
Queue-Id: 25973-740682B6
Status: The mail was not delivered!
–8<–
Log-File:
–8<–
info: extracting attachment 1 to /tmp/av-25974-q736RQ/av-0
(encoding=”quoted-printable”, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 2 to /tmp/av-25974-q736RQ/av-1
(encoding=”quoted-printable”, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 3 to /tmp/av-25974-q736RQ/av-2
(encoding=”base64″, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 4 to /tmp/av-25974-q736RQ/av-3
(encoding=”base64″, name=”(no name)”, filename=”(no name)”)
info: extracting attachment 5 to /tmp/av-25974-q736RQ/av-4
(encoding=”base64″, name=”Q597165.exe”, filename=”(no name)”)
checking file “/tmp/av-25974-q736RQ/av-0”
checking file “/tmp/av-25974-q736RQ/av-1”
checking file “/tmp/av-25974-q736RQ/av-2”
checking file “/tmp/av-25974-q736RQ/av-3”
checking file “/tmp/av-25974-q736RQ/av-4”
–8<–
—
AntiVir for UNIX
Copyright (C) 1994-2002 by H+BEDV Datentechnik GmbH. All rights reserved.
For more information see http://www.antivir.de/ or http://www.hbedv.com/
以上
コメント