«Ужасы войны». Защита Microsoft Groupware Environments под Unix (Часть вторая)
Во второй части мы рассмотрим те же самые вопросы и попытаемся их решить с помощью других средств. В частности мы рассмотрим использование Qmail, Qmail-Scanner, Clam Anti-Virus, и снова SpamAssassin как дополнительного средства в войне против вирусов и спама. Напомним, что все эти программы являются открытыми источниками, реализующими дополнительный уровень защиты в системах электронной почты компании Microsoft.
Боб Рудис, перевод Алексей Антипов
Введение
В первой части этой статьи мы рассмотрели использование несколько Unix программ, действующих в качестве эффективных спам и вирусных препроцессоров для продуктов компании Microsoft Exchange, Notes и Groupwise. Была рассмотрена концепция многоуровневой защиты, а в случае фильтрации спамсообщений были рассмотрены различные варианты удаления, пересылки и модификации сообщений для последующей обработки на Exchange сервере или Outlook клиентом.
Во второй части мы рассмотрим те же самые вопросы и попытаемся их решить с помощью других средств. В частности мы рассмотрим использование Qmail, Qmail-Scanner, Clam Anti-Virus, и снова SpamAssassin как дополнительного средства в войне против вирусов и спама. Напомним, что все эти программы являются открытыми источниками, реализующими дополнительный уровень защиты в системах электронной почты компании Microsoft.
Дополнительная стратегия
Sendmail это только один из возможных MTA, используемых для защиты вашего почтового ящика. Другой популярной программой, работающей быстрее и более простой в конфигурировании является qmail [13]. При использовании qmail неплохо иметь следующий набор программ:
Qmail-Scanner[14] Qmail-Scanner расширяет существующие возможности qmail, реализуя расширенный способ сканирования и фильтрации. Данная программа работает практически с любым вирусным сканером, так что вы не ограничены представленными в этой статье предложениями.
Clam Anti-Virus [15] ClamAV - это мощный антивирусный набор инструментов, хорошо интегрируемый с qmail. Он предусматривает автоматическое обновление вирусный баз по Интернет и работает даже с архивными вложениями.
SpamAssassin - предпочтительный инструмент для фильтрации остальной части нежелательной электронной почты.
Если вы еще не работали с qmail, та Вам необходимо прочитать руководство по установке [16]. Обратите внимание, что для использования различных сканеров необходимо установить патч [17].
Как и с sendmail, есть несколько шагов необходимых для создания рабочего MTA. По умолчанию ретрансляция заблокирована, но при необходимости её всегда можно включить. Вам необходимо отредактировать файл /etc/tcp.smtp и добавить записи для доступа клиента к ретрансляции:
Ip.address.of.client:allow, RELAYCLIENT = ""
После этого значение системной переменной RELAYCLIENT принимает значение IP-BY-IP. После редактирования файла, вам необходимо заново перестроить базу данных:
Qmail cdb
Как минимум, вы должны будете включить адрес вашего Exchange сервера, что даст возможность отсылки почты через шлюз. Также, необходимо отредактировать файл /var/qmail/control/smtproutes и добавить запись необходимую для пересылки входящей почты на Exchange сервер:
example.org:10.5.60.100
И снова необходимо перестроить базу данных.
Конфигурация SpamAssassin немного отличается в данном случае. Вам необходимо проделать ту же подготовительную работу для установки и компоновки SpamAssassin, но на этот раз программа будет выполняться как собственный daemon - spamd. Это потребует создания init сценария, необходимого для корректной работы после перезагрузки.
Полные инструкции по установке ClamAV можно найти на сайте программы [19], однако имеются некоторые особенности установки и интегрирования с qmail, которые необходимо рассмотреть.
Сначала создайте пользователя и группу clamav пользователя и группу. Затем, если вы хотите разрешить автоматическое обновление вирусных баз, Вы должны установить необходимые файлы/права доступа:
# touch /var/log/clam-update.log
# chmod 600 /var/log/clam-update.log
# chown clamav:clamav /var/log/clam-update.log
Подготовка Qmail к битве
После установки всех компонентов необходимо сосредоточить внимание на интегрирующей технологии, которая обеспечит работу всех этих компонентов вместе: qmail-scanner. На сайте qmail-scanner перечислены все действия необходимые для успешной установки, но вы должны удостовериться в наличии всех компонентов, перечисленных в разделе "Требования" (особенно Perl модулей).
Если вы уже выполнили настройку qmail-scanner, то для получения нужной вам конфигурации необходимо будет провести ручную настройку некоторых параметров. Ниже предоставлена таблица, показывающая значения некоторых наиболее используемых параметров конфигурации qmail-scanner:
Configure option |
Value | Explanation |
--spooldir | /var/spool/qmailscan |
Каталог для записи почты |
--qmaildir |
/var/qmail | Верхний уровень qmail каталога |
--bindir | /var/qmail/bin | Каталог установки сканера |
--qmail-queue-binary | /var/qmail/bin/qmail-queue |
Полный путь к исходникам qmail-queue binary |
--admin | maildude | Пользователь, которому будут посылаться предупреждения |
--domain | example.org | –admin домен |
--local-domains | example.org | Заданное по умолчанию значение –domain (разделенный запятыми список локальных доменов) |
--silent-viruses | klez, bugbear, nimda, swen |
Any virus found in this list will be quarantined and the user will not be notified |
--unzip | 1 | Разархивирование всех архивных файлов |
--log-details | yes | Сохранение данных об активности в mailstats.csv |
--scanners | "fast_spamassassin clamscan" |
Определяет список активных в данной конфигурации сканеров |
--install | 1 | Создает каталог и устанавливает программу |
Полный список параметров можно найти на сайте qmail-scanner[20]. После установки создайте пользователя и рабочую группу qscand.
Для правильной работы вы должны будете установить qmail-scanner-queue (находится в каталоге contrib источника qmail-scanner). Выполните команду make, а затем скопируйте файл qmail-scanner-queue в каталог qmail. Проверьте правильность полномочий, выполнив:
# chmod 6755 qmail-scanner-queue
# chmod 0755 qmail-scanner-queue.pl
# chown qscand:qscand qmail-scanner-queue*
Напоследок необходимо скопировать файл quarantine-attachments.txt из дистрибутива в qmailscan каталог и проверить принадлежность всех файлов qscand. Не забудьте изменить значение параметра softlimit для обработки почты программой qmail.
Также вы должны сообщить qmail об использовании qmail-scanner. Для этого нужно добавить параметры в строки файла tcp.smtp:
QS_SPAMASSASSIN="yes",QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue "
После всех изменений перестройте базу данных
Бесконечная битва
Спаммеры становиться с каждым изощреннее, авторы вирусов становятся более умными, и пользователи никогда не прекращают жаловаться на спам. В результате этого Вам придется проводить регулярные проверки обновлений к MIMEDEFANG, qmail-scanner, ClamAV и особенно к SpamAssassin.
Другим вопросом для рассмотрения остается пересылка или удаление. Если вы пойдете по пути удаления всех подозреваемых на спам сообщений, то остается шанс (зависящий от правильности настройки), что нормальная почта будет неправильно классифицирована и удалена. Из-за этого многие сайты идут по пути "очистить, пометить, переслать". Они удаляют вирусы и зараженные вирусами вложения, отмечают плохую почту как вирус, отклоненную политикой почту или как спам и пересылают сообщение пользователю. Пользователи могут быть проинструктированы, как правильно настраивать клиентские фильтры, а почтовые сервера стирают спам-папки через определенные промежутки времени. Однако это занимает дополнительное время и аппаратные ресурсы, поэтому вам самим придется искать лучший выход из ситуации.
Также в должны оптимизировать процесс фильтрации MIMEDEFANG/SPAMASSASSIN, потребляющий оперативную память, процессор и дисковое пространство для обработки каждого сообщения. Если Вы заметили, что обработка почты занимает много времени, то не стоит бежать за покупкой нового компьютера. MIMEDefang можно оптимизировать, выполнив его как серверный пул, избежав, таким образом, потребности в запуске Perl процесса для каждого сообщения. SpamAssassin занимает много времени при проверке больший сообщений, поэтому вы можете изменить правила, чтобы не проверять большие сообщения (более 100Кб), которые практически на 100% не являются спамом.
Союзники
Даже если успешно внедрили MIMEDEFRAG/SPAMASSASSIN или qmail-scanner/ClamAV/SpamAssassin, Вы можете понять, что не в силах поддерживать сопротивление на должном уровне. Но это не значит, что нужно поддаваться спаму или вирусам. Можно найти союзников для борьбы с ними. Практически безболезненным вариантом может быть сотрудничество с компаниями типа Sprint или Postini. За определенную плату и простое изменение в DNS записях, такие компании предоставят вам услуги по фильтрации и настройке. Использование таких услуг поможет высвободить рабочее время и аппаратные ресурсы, которые ваша компания может по-своему использовать.
И внутренние средства и средства союзников должны помочь Вам при борьбе с спамом и вирусами.
Ссылки
[13] qmail home page - http://www.qmail.org/
[14] Qmail-scanner home page - http://qmail-scanner.sourceforge.net/
[15] ClamAV home page - http://clamav.net/
[16] Life with qmail - http://www.lifewithqmail.org/
[17] QMAILQUEUE patch - http://www.qmail.org/qmailqueue-patch
[18] ClamAV stable binaries v0.70 - http://clamav.net/doc/0.70/html/node8.html
[19] ClamAV documentation v0.70 - http://clamav.net/doc/0.70/html/node1.html
[20] Qmail-configure ./configure options -- http://qmail-scanner.sourceforge.net/configure-options.php
[21] Qmail rocks - http://www.qmailrocks.org/
[22] Sprint Security Services - http://www.sprintbiz.com/products/email_protection/spam/
[23] Postini, Inc. - http://www.postini.com/
Ваш провайдер знает о вас больше, чем ваша девушка?