« ClamAV » : différence entre les versions

De NCad Wiki
Aller à la navigation Aller à la recherche
Ligne 51 : Ligne 51 :
=== Validation ===
=== Validation ===


* PJ
* Pour vérifier le comportement de '''ClamAV''' on va envoyer un faux positif. On enverra un mail avec un fichier texte en pièce jointe. Dans ce fichier texte nous renseigneront la ligne suivante :


  X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


* Postfix
* Dans notre cas, nous envoyons le message à la boîte mail cacheln@mail.glx. Voici les logs relevé dans Postfix :
 
Feb  9 17:37:59 alice postfix/smtpd[7876]: EC96E462205: client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:37:59 alice postfix/cleanup[7881]: EC96E462205: message-id=<ea7adebb357308308e914b0ebd6a60ed@ncad.me>
Feb  9 17:38:00 alice postfix/qmgr[6777]: EC96E462205: from=<nicolas.cachelou@ncad.me>, size=2022, nrcpt=1 (queue active)
Feb  9 17:38:00 alice clamsmtpd: 100006: accepted connection from: 127.0.0.1
Feb  9 17:38:00 alice postfix/smtpd[7884]: 1537A462207: client=localhost[127.0.0.1], orig_queue_id=EC96E462205, orig_client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:38:00 alice postfix/smtp[7882]: EC96E462205: to=<cacheln@mail.glx>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.14, delays=0.06/0.01/0.06/0.01, dsn=2.0.0, status=sent <font color=red>(250 Virus Detected; Discarded Email)</font>
Feb  9 17:38:00 alice postfix/qmgr[6777]: EC96E462205: removed
Feb  9 17:38:00 alice clamsmtpd: 100006: from=nicolas.cachelou@ncad.me, to=cacheln@mail.glx, status=<font color=red>VIRUS:Eicar-Test-Signature</font>
Feb  9 17:38:00 alice postfix/smtpd[7884]: disconnect from localhost[127.0.0.1]
 
* Nous voyons que '''ClamAV''' supprime le mail infecté. Recommençons le test sans le faux positif :
 
Feb  9 17:24:55 alice postfix/smtpd[7845]: 717D94621F3: client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:24:55 alice postfix/cleanup[7850]: 717D94621F3: message-id=<fdba2ffadb52abbccc0390fc89987e84@ncad.me>
Feb  9 17:24:55 alice postfix/qmgr[6777]: 717D94621F3: from=<nicolas.cachelou@ncad.me>, size=1563, nrcpt=1 (queue active)
Feb  9 17:24:55 alice clamsmtpd: 100005: accepted connection from: 127.0.0.1
Feb  9 17:24:55 alice postfix/smtpd[7853]: 894B3462205: client=localhost[127.0.0.1], orig_queue_id=717D94621F3,
  orig_client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:24:55 alice postfix/cleanup[7850]: 894B3462205: message-id=<fdba2ffadb52abbccc0390fc89987e84@ncad.me>
Feb  9 17:24:55 alice postfix/qmgr[6777]: 894B3462205: from=<nicolas.cachelou@ncad.me>, size=1768, nrcpt=1 (queue active)
Feb  9 17:24:55 alice clamsmtpd: 100005: from=nicolas.cachelou@ncad.me, to=cacheln@mail.glx, status=CLEAN
Feb  9 17:24:55 alice postfix/smtp[7851]: 717D94621F3: to=<cacheln@mail.glx>, relay=127.0.0.1[127.0.0.1]:10026,
  delay=0.18, delays=0.04/0.01/0.05/0.07, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 894B3462205)
Feb  9 17:24:55 alice postfix/virtual[7855]: 894B3462205: to=<cacheln@mail.glx>, relay=virtual, delay=0.13,
  delays=0.07/0.01/0/0.05, dsn=2.0.0, status=sent (delivered to maildir)
 
* En regardons aussi l'en-tête mail :
 
Received: from alice.lan (localhost [127.0.0.1])
by alice.lan (Postfix) with ESMTP id 894B3462205
for <cacheln@mail.glx>; Sun,  9 Feb 2014 17:24:55 +0100 (CET)
Received: from geocoucou.net.ncad.fr (geocoucou.net.ncad.fr [10.0.0.49])
by alice.lan (Postfix) with ESMTP id 717D94621F3
for <cacheln@mail.glx>; Sun,  9 Feb 2014 17:24:55 +0100 (CET)
Received: by geocoucou.net.ncad.fr (Postfix, from userid 999)
id 82E792104D; Sun,  9 Feb 2014 17:25:00 +0100 (CET)
Received: from webmail.ncad.me (ro-010.net.ncad.fr [109.190.9.125])
by geocoucou.net.ncad.fr (Postfix) with ESMTPA id 8717F20FD5
for <cacheln@mail.glx>; Sun,  9 Feb 2014 17:24:59 +0100 (CET)






[[Category:Serveur de Messagerie]]
[[Category:Serveur de Messagerie]]

Version du 9 février 2014 à 23:26

.:[ Serveur de Messagerie ]:.

Installation >> Postfix avec MySQL

Filtrage anti-spam : Anti-Spam SpamAssassin | Anti-Virus Clamav


Filtrage anti-virus : Plateforme de filtrage Amavis >> Amavis avec MySQL


Plus de fonctions : Ajouter un Disclaimer | Signature DKIM | Mailman | Maildrop


Clients de messagerie : Configurer Thundirbird | Configurer Roundcube


Pour aller plus loin : Commandes messagerie | DNSBL | MX Backup
ClamAV Logo.png

Suite à la nouvelle version de l'article Postfix, cet article doit être mis à jour.
Cette article est un brouillon.


Intégration dans Postfix

Installation

  • Il faut installer le programme de base clamav, avec sa base de données (clamav-base) et l'outil de mise à jour de cette dernière (clamav-freshclam). Dans le cadre de son exploitation avec Postfix on installera le daemon smtp de ClamAV (clamsmtp).

clamsmtp clamav-daemon clamav clamav-freshclam clamav-base

  • On procède à la mise à jour des signatures de ClamAV :

freshclam

  • Lancement de ClamAV :

service clamav-daemon restart

Configuration

  • On va demander à Postfix d'interroger ClamAV pour savoir si les courriels reçus contiennent des virus. Pour cela, on va renseigner un filtre dans le fichier /etc/postfix/main.cf. Les mails seront envoyés sur ce filtre :
content_filter = clamav:127.0.0.1:10026
receive_override_options = no_address_mappings
  • La configuration du filtre et plus particulièrement son action va être définit dans le fichier /etc/postfix/master.cf. En début de fichier juste en dessous de la ligne smtp, on va renseigner la ligne suivante :
clamav      unix  -       -       n       -       16      smtp
       -o smtp_send_xforward_command=yes:q
  • En fin de fichier, on ajoutera le connecteur de sortie du serveur SMTP de ClamAV pour autoriser le relayage des mails via Postfix :
127.0.0.1:10025 inet  n -       n       -       16      smtpd
       -o content_filter=
       -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
       -o smtpd_helo_restrictions=
       -o smtpd_client_restrictions=
       -o smtpd_sender_restrictions=
       -o smtpd_recipient_restrictions=permit_mynetworks,reject
       -o mynetworks_style=host
       -o smtpd_authorized_xforward_hosts=127.0.0.0/8

service postfix restart

Validation

  • Pour vérifier le comportement de ClamAV on va envoyer un faux positif. On enverra un mail avec un fichier texte en pièce jointe. Dans ce fichier texte nous renseigneront la ligne suivante :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  • Dans notre cas, nous envoyons le message à la boîte mail cacheln@mail.glx. Voici les logs relevé dans Postfix :
Feb  9 17:37:59 alice postfix/smtpd[7876]: EC96E462205: client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:37:59 alice postfix/cleanup[7881]: EC96E462205: message-id=<ea7adebb357308308e914b0ebd6a60ed@ncad.me>
Feb  9 17:38:00 alice postfix/qmgr[6777]: EC96E462205: from=<nicolas.cachelou@ncad.me>, size=2022, nrcpt=1 (queue active)
Feb  9 17:38:00 alice clamsmtpd: 100006: accepted connection from: 127.0.0.1
Feb  9 17:38:00 alice postfix/smtpd[7884]: 1537A462207: client=localhost[127.0.0.1], orig_queue_id=EC96E462205, orig_client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:38:00 alice postfix/smtp[7882]: EC96E462205: to=<cacheln@mail.glx>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.14, delays=0.06/0.01/0.06/0.01, dsn=2.0.0, status=sent (250 Virus Detected; Discarded Email)
Feb  9 17:38:00 alice postfix/qmgr[6777]: EC96E462205: removed
Feb  9 17:38:00 alice clamsmtpd: 100006: from=nicolas.cachelou@ncad.me, to=cacheln@mail.glx, status=VIRUS:Eicar-Test-Signature
Feb  9 17:38:00 alice postfix/smtpd[7884]: disconnect from localhost[127.0.0.1]
  • Nous voyons que ClamAV supprime le mail infecté. Recommençons le test sans le faux positif :
Feb  9 17:24:55 alice postfix/smtpd[7845]: 717D94621F3: client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:24:55 alice postfix/cleanup[7850]: 717D94621F3: message-id=<fdba2ffadb52abbccc0390fc89987e84@ncad.me>
Feb  9 17:24:55 alice postfix/qmgr[6777]: 717D94621F3: from=<nicolas.cachelou@ncad.me>, size=1563, nrcpt=1 (queue active)
Feb  9 17:24:55 alice clamsmtpd: 100005: accepted connection from: 127.0.0.1
Feb  9 17:24:55 alice postfix/smtpd[7853]: 894B3462205: client=localhost[127.0.0.1], orig_queue_id=717D94621F3,
 orig_client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:24:55 alice postfix/cleanup[7850]: 894B3462205: message-id=<fdba2ffadb52abbccc0390fc89987e84@ncad.me>
Feb  9 17:24:55 alice postfix/qmgr[6777]: 894B3462205: from=<nicolas.cachelou@ncad.me>, size=1768, nrcpt=1 (queue active)
Feb  9 17:24:55 alice clamsmtpd: 100005: from=nicolas.cachelou@ncad.me, to=cacheln@mail.glx, status=CLEAN
Feb  9 17:24:55 alice postfix/smtp[7851]: 717D94621F3: to=<cacheln@mail.glx>, relay=127.0.0.1[127.0.0.1]:10026,
 delay=0.18, delays=0.04/0.01/0.05/0.07, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 894B3462205)
Feb  9 17:24:55 alice postfix/virtual[7855]: 894B3462205: to=<cacheln@mail.glx>, relay=virtual, delay=0.13,
 delays=0.07/0.01/0/0.05, dsn=2.0.0, status=sent (delivered to maildir)
  • En regardons aussi l'en-tête mail :
Received: from alice.lan (localhost [127.0.0.1])

by alice.lan (Postfix) with ESMTP id 894B3462205 for <cacheln@mail.glx>; Sun, 9 Feb 2014 17:24:55 +0100 (CET)

Received: from geocoucou.net.ncad.fr (geocoucou.net.ncad.fr [10.0.0.49])

by alice.lan (Postfix) with ESMTP id 717D94621F3 for <cacheln@mail.glx>; Sun, 9 Feb 2014 17:24:55 +0100 (CET)

Received: by geocoucou.net.ncad.fr (Postfix, from userid 999)

id 82E792104D; Sun, 9 Feb 2014 17:25:00 +0100 (CET)

Received: from webmail.ncad.me (ro-010.net.ncad.fr [109.190.9.125])

by geocoucou.net.ncad.fr (Postfix) with ESMTPA id 8717F20FD5 for <cacheln@mail.glx>; Sun, 9 Feb 2014 17:24:59 +0100 (CET)