Clamav e p3scan: un proxy per il filtraggio delle email
 

A cura di: Michela Chiucini: tommik@inwind.it

Premessa:
Prendiamo il caso di una lan in cui la posta proveniente dall'esterno viene scaricata direttamente dal server del provider sui PC dei destinatari.
Vorremmo fare in modo da avere un filtraggio antivirus centralizzato di tutta la posta in arrivo invece che affidare questo compito unicamente ai software installati sui singoli PC.
Una valida soluzione può essere quella di implementare un proxy server della posta in modo che sia del tutto trasparente ai pc della lan, ma che svolga un efficace servizio di filtraggio antivirus.
In questa guida verrà descritto in modo dettagliato come implementare questa soluzione utilizzando come prodotto antivirus Clamav e come server proxy P3scan.
La configurazione proposta assume che il server proxy venga installato sulla stessa macchina che fa da firewall per la lan.
 

CLAMAV
Come prodotto antivirus è stato scelto Clamav, uno scanner OpenSource di semplice installazione e configurazione.

La prima cosa da fare è creare utente e gruppo clamav con i seguenti comandi:

#groupadd clamav
#useradd -g clamav -s /bin/false -c "Clam Antivirus" clamav

scaricare Clamav sul sito http://www.clamav.net e salvarlo in una directory a piacere (nel mio caso /home/download).
Decomprimerlo con il comando

#tar xvzfp clamav-x.yz.tar.gz

verrà creata una nuova directory clamav-x.yz

spostarsi nella directory clamav-x.yz

#cd clamav-x.yz

procedere all'installazione con

#./configure --sysconfdir=/etc
# make && make install

A questo punto siamo pronti per la configurazione di Clamav.

Aprire con un editor il file /etc/clamd.conf e commentare la riga

Example

impostare l'opzione user con

clamav

salvare le modifiche e chiudere il file.

In Clamav si trova anche il programma Freshclam che si occupa di fare l'aggiornamento automatico delle definizioni dei virus.
Aprire il file di configurazione di Freshclam /etc/freshclam.conf

anche in questo caso commentare la riga

Example

per default freshclam esegue 12 controlli al giorno per verificare se ci sono nuove versioni dei database dei virus
si può modificare il numero di queste iterazioni con l'opzione

Checks

questa opzione di default è impostata a 12, vale a dire che viene effettuato un controllo ogni 2 ore.
Per fare in modo che ogni volta che viene aggiornato il database dei virus, Freshclam lo renda disponibile a clamd attivare l'opzione

NotifyClamd

a questo punto salvare le modifiche e chiudere il file.
Siamo pronti per avviare e testare il nostro antivirus.

avviare il demone clamd con

#clamd

e avviare freshclam in background con

#freshclam -d

per verificare che tutto funzioni provare ad eseguire il comando

#clamdscan nomefile_con_virustest


P3SCAN
Si tratta di un software Open Source che associato ad un software antivirus effettua la scansione dei messaggi di posta elettronica.

Scaricare il file rpm con P3scan da http://p3scan.sourceforge.net
e installarlo con

#rpm -i nomedelfile.rpm

IL file di configurazione è /etc/p3scan/p3scan.conf.
Si può creare utilizzando la configurazione di default contenuta in /etc/p3scan/p3scan.conf.sample e modificarne alcune opzioni.
Le opzioni da impostare per il corretto funzionamento sono:

user = clamav

cercare la sezione Scanner Type e aggiungere

scannertype = basic

nella sezione Virusscanner aggiungere

scanner = /usr/local/bin/clamdscan
demime

quest’ultima per fare in modo che vengano estratti gli allegati delle email.

spostarsi alla sezione Regular Expression for Virusname e aggiungere la riga

virusregexp = .*: (.*) FOUND

Il template del messaggio che viene inviato al destinatario quando viene rilevato un virus si trova in /etc/p3scan/p3scan.mail.
Il testo del template può essere personalizzato.
Il resto del file p3scan.conf può esser lasciato di default.
A questo punto bisogna assicurarsi che tutte le directory relative a P3scan siano dell’utente clamav

#chown clamav.clamav /etc/p3scan
#chown clamav.clamav /var/run/p3scan
#chown clamav.clamav /var/spool/p3scan
#chown clamav.clamav /var/spool/p3scan/children
#chown clamav.clamav /var/spool/p3scannotify

Non siamo ancora pronti per avviare il servizio, infatti bisogna apportare alcune modifiche al firewall: tutte le richieste provenienti dalla lan e destinate alla porta 110 del provider devono essere redirette alla porta 8110 sulla quale sta in ascolto p3scan.
Come prima cosa assicurarsi che il kernel supporti il REDIRECT, che consente di cambiare la porta di destinazione di un pacchetto. In caso negativo è necessario abilitare questa opzione.
La regola da aggiungere al firewall è:

IPTABLES –t nat –A PREROUTING –p tcp –i $INTERNALIF –dport 110 –j REDIRECT –-to-port 8110

Infine bisogna controllare che il firewall non blocchi le connessioni sulla porta 8110.

a questo punto possiamo avviare il servizio con

#service p3scan start

se tutto è andato bene provando a inviare in allegato ad uno dei destinatari un virus-test, dopo aver scaricato la nuova posta troveremo il messaggio di p3scan che ci avverte che ha trovato e rimosso il virus allegato al messaggio.

riferimenti
http://www.clamav.net
http://p3scan.sourceforge.net

 

Torna al menù delle guide