« ClamAV » : différence entre les versions

Architecture

Architecture ClamAV avec Postfix

• Le serveur SMTP ClamAV est exploité par Postfix pour lui soumettre les courriels à analyser. Une fois analysés par ClamAV, les courriers sont ré-injecté dans Postfix avec le résultat de l'analyse.

Installation

• Il faut installer le programme de base clamav, avec sa base de données (clamav-base) et l'outil de mise à jour de cette dernière (clamav-freshclam). Dans le cadre de son exploitation avec Postfix on installera le daemon smtp de ClamAV (clamsmtp).

• On procède à la mise à jour des signatures de ClamAV :

• Lancement de ClamAV :

Intégration dans Postfix

Configuration

• On va demander à Postfix d'interroger ClamAV pour savoir si les courriels reçus contiennent des virus. Pour cela, on va renseigner un filtre dans le fichier /etc/postfix/main.cf. Les mails seront envoyés sur ce filtre :

content_filter = clamav:127.0.0.1:10026
receive_override_options = no_address_mappings

• La configuration du filtre et plus particulièrement son action va être définit dans le fichier /etc/postfix/master.cf. En début de fichier juste en dessous de la ligne smtp, on va renseigner la ligne suivante :

clamav      unix  -       -       n       -       16      smtp
       -o smtp_send_xforward_command=yes:q

• En fin de fichier, on ajoutera le connecteur de sortie du serveur SMTP de ClamAV pour autoriser le relayage des mails via Postfix :

127.0.0.1:10025 inet  n -       n       -       16      smtpd
       -o content_filter=
       -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
       -o smtpd_helo_restrictions=
       -o smtpd_client_restrictions=
       -o smtpd_sender_restrictions=
       -o smtpd_recipient_restrictions=permit_mynetworks,reject
       -o mynetworks_style=host
       -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Validation

Message sain

• Pour vérifier que Postfix route bien les message vers ClamAV, on effectue un test de réception sur la boîte cacheln@mail.glx. On observe ensuite les logs dans /var/log/mail.log :

Feb  9 17:24:55 alice postfix/smtpd[7845]: 717D94621F3: client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:24:55 alice postfix/cleanup[7850]: 717D94621F3:
 message-id=<fdba2ffadb52abbccc0390fc89987e84@ncad.me>
Feb  9 17:24:55 alice postfix/qmgr[6777]: 717D94621F3: from=<nicolas.cachelou@ncad.me>,
 size=1563, nrcpt=1 (queue active)
Feb  9 17:24:55 alice clamsmtpd: 100005: accepted connection from: 127.0.0.1

• Une fois le mail analysé par ClamAV, il est renvoyé à Postfix mais avec un ID différent. Le message étant CLEAN, il est transmis dans la boîte mail du destinataire. La copie du message en file d'attente est supprimée.

2 Feb  9 17:24:55 alice postfix/smtpd[7853]: 894B3462205: client=localhost[127.0.0.1],
 orig_queue_id=717D94621F3,  orig_client=geocoucou.net.ncad.fr[10.0.0.49]
3 Feb  9 17:24:55 alice postfix/cleanup[7850]: 894B3462205:
 message-id=<fdba2ffadb52abbccc0390fc89987e84@ncad.me>
4 Feb  9 17:24:55 alice postfix/qmgr[6777]: 894B3462205: from=<nicolas.cachelou@ncad.me>,
 size=1768, nrcpt=1 (queue active)
Feb  9 17:24:55 alice clamsmtpd: 100005: from=nicolas.cachelou@ncad.me, to=cacheln@mail.glx,
 status=CLEAN
6 Feb  9 17:24:55 alice postfix/smtp[7851]: 717D94621F3: to=<cacheln@mail.glx>,
 relay=127.0.0.1[127.0.0.1]:10026, delay=0.18, delays=0.04/0.01/0.05/0.07, dsn=2.0.0,
 status=sent (250 2.0.0 Ok: queued as 894B3462205)
5 Feb  9 17:24:55 alice postfix/virtual[7855]: 894B3462205: to=<cacheln@mail.glx>, relay=virtual,
 delay=0.13,delays=0.07/0.01/0/0.05, dsn=2.0.0, status=sent (delivered to maildir)

• Et regardons aussi l'en-tête mail :

Received: from alice.lan (localhost [127.0.0.1])
	by alice.lan (Postfix) with ESMTP id 894B3462205
	for <cacheln@mail.glx>; Sun,  9 Feb 2014 17:24:55 +0100 (CET)
Received: from geocoucou.net.ncad.fr (geocoucou.net.ncad.fr [10.0.0.49])
	by alice.lan (Postfix) with ESMTP id 717D94621F3
	for <cacheln@mail.glx>; Sun,  9 Feb 2014 17:24:55 +0100 (CET)
Received: by geocoucou.net.ncad.fr (Postfix, from userid 999)
	id 82E792104D; Sun,  9 Feb 2014 17:25:00 +0100 (CET)
Received: from webmail.ncad.me (ro-010.net.ncad.fr [109.190.9.125])
	by geocoucou.net.ncad.fr (Postfix) with ESMTPA id 8717F20FD5
	for <cacheln@mail.glx>; Sun,  9 Feb 2014 17:24:59 +0100 (CET)

Message infecté

• Pour vérifier le comportement de ClamAV on va envoyer un faux positif. On enverra un mail avec un fichier texte en pièce jointe. Dans ce fichier texte nous renseigneront la ligne suivante :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

• Dans notre cas, nous envoyons le message à la boîte mail cacheln@mail.glx. Voici les logs relevé dans /var/log/mail.log :

Feb  9 17:37:59 alice postfix/smtpd[7876]: EC96E462205: client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:37:59 alice postfix/cleanup[7881]: EC96E462205: message-id=<ea7adebb357308308e914b0ebd6a60ed@ncad.me>
Feb  9 17:38:00 alice postfix/qmgr[6777]: EC96E462205: from=<nicolas.cachelou@ncad.me>, size=2022, nrcpt=1 (queue active)
Feb  9 17:38:00 alice clamsmtpd: 100006: accepted connection from: 127.0.0.1
Feb  9 17:38:00 alice postfix/smtpd[7884]: 1537A462207: client=localhost[127.0.0.1], orig_queue_id=EC96E462205,
 orig_client=geocoucou.net.ncad.fr[10.0.0.49]
Feb  9 17:38:00 alice postfix/smtp[7882]: EC96E462205: to=<cacheln@mail.glx>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.14,
 delays=0.06/0.01/0.06/0.01, dsn=2.0.0, status=sent (250 Virus Detected; Discarded Email)
Feb  9 17:38:00 alice postfix/qmgr[6777]: EC96E462205: removed
Feb  9 17:38:00 alice clamsmtpd: 100006: from=nicolas.cachelou@ncad.me, to=cacheln@mail.glx,
 status=VIRUS:Eicar-Test-Signature
Feb  9 17:38:00 alice postfix/smtpd[7884]: disconnect from localhost[127.0.0.1]