Titulo: Amavisd+Mcafee sobre PostFix
Autor: Carmelo Zubeldia
V 1.1
avinash@2500hz.net
03/01/03

- Indice -

Introducción
¿Qué es Amavisd?
Productos Antiviricos
¿Porqué Postfix?
Empezando...
Instalación y configuración de VirusScan
Instalación y configuración de Amavisd
Pruebas
Agradecimientos




INTRODUCCiÓN

La gran oleada producida por virus como Klez, I love you, etc, junto con la
desinteresada ayuda de Ms Outlook/Express son motivos más que
suficientes para justificar la instalación de una aplicación "anti-virica" en
nuestros MTAs.

Tambien tienes la opción de educar informáticamente al usuario final y
cambiarles de MUA  (estarían perdidos si su outlook).

Mi iniciativa por redactar este documento es la falta de ellos en Castellano.

Espero encontreis la ayuda necesaria para poder implantar estas aplicaciones
en vuestros servidores.

¿QUÉ ES AMAVISD?

Es una aplicación que coje un correo entrante/saliente (eso dependerá de
nuestra configuracón) lo detiene, se lo da a una aplicación en nuestro caso
sera VirusScan para que lo examine y posteriormente lo vuelve a
enviar/depositar/rechazar/alertar. Es una explicación un tanto pobre, pero mi
intención era solo dar una idea de su funcionamiento.

PRODUCTOS ANTIVÍRICOS

En el mercado actual podemos encontrar gran cantidad de estos productos
ya sea, PandaSoftware, Norton, Mcafee y una extensa lista de opciones a
nuestro alcance, pero no de nuestro bolsillo (en algunos casos :-) ).

Encontré aquí un antivirus gratuito para FreeBSD, no lo probe, pero si
alguien lo hace le estaría muy agradecido por su opinión,
avinash@2500Hz.net :-).

Lo importante para nosotros es la compatibilidad con Linux/BSD/Solaris,
es hay donde se estrechan un poco las opciones, pero aun así seguimos
teniendo un amplio repertorio.

Mi decisión fue la de elejir VirusScan, por que ya teniamos un paquete
llamado "Total Virus Defense", en la cual vienen incluido infinidad
de software tanto para clientes finales (windows), como para servidores
Lotus, Exchange (es esto un MTA?), compatibilidad con *BSD, Linux,
Solaris, AIX, etc.

¿PORQUÉ POSTFIX?

Facil de instalar, estable, rápido, seguro, ... .

Sencillamente por que era el que estaba usando es ese momento.

Fantástica la lista de correo en castellano sobre Postfix, aprovecho para
saludar a todos sus colaboradores y a su creador Simon J Mudd


EMPEZANDO ...

Empezaremos por VirusScan despues pasaremos a Amavisd y más tarde
a configurar Postfix para que acepte jugar junto con Amavisd y Mcafee.

INSTALACIÓN Y CONFIGURACIÓN DE VIRUSSCAN

Lo primero que tendremos que hacer es copiar vlnx407l.tar.Z, que es ni
más ni menos el paquete de virusscan compatible con linux, en nuestro
HD.

*Ojo es posible que encuentres algun error a la hora de la instalación,
está compilado para versiones antiguas de linux y quizas tengas que
instalar una de estas librerias en tu sistema para su correcta instalación,
libc.so.5 o libdb-3.3.so .

Una vez tengamos esto en nuestro sistema tendremos que descomprimir
y despues ejecutar install-uvscan.

[root@malaria]# tar xzvf  vlnx407l.tar.Z
[root@malaria]# cd uvscan
[root@malaria]# ./install-uvscan


Como resultado a la ejecución de tal comando, obtendremos una serie de
preguntas en cuando a la instalación.

/usr/local/uvscan doesn't exist. Create it? [y]/n
Do you want a link to uvscan placed in /usr/local/bin [y]/n


A estas dos preguntas responderemos afirmativamente a menos que no
desees instalarlo en dicho directorio y tampoco quieras incluirlo en
/usr/local/bin .

Tras contestar a estas dos preguntas VirusScan se pondra a escanear tu
HD en busca de virus.

Lo primero que realizaremos sera actualizar nuestro antivirus, para ello
tendremos que acceder por ftp a ftp.nai.com.

El path donde encontrareis las actualizaciones para nuestro VirusScan
reposan en /pub/antivirus/datfiles/4.x/*tar, nuestras actualizaciones
para que podais diferenciarlas, son las unicas que acaban en .tar.

Tras bajar nuestro paquete en el directorio /usr/local/uvscan
creamos un directorio que tenga como nombre la fecha de la bajada,
o algo que lo identifique para posteriores actualizaciones e
introducimos hay nuestra actualización.

Tambien te recomiendo que realices una backup del directorio uvscan
(por si metemos la pata en algo =) ).

Una vez tengamos todo esto nos introducimos en el directorio donde
tenemos nuestra actualización descomprimimos y copiamos todos los
.dat al directorio uvscan, contestando afirmativamente a la
sobre-escritura de los archivos ya contenidos en el directorio.

Realiza un uvscan -h, para ver las opciones que tienes a tu alcance :-).

Te aconsejo que hagas algun script y lo instroduzcas en el cron para
automatizar esta tarea tan aburrida y repetitiva.

Ya tenemos actualizado e instalado nuestro antivirus, felicidades!.

INSTALACIÓN Y CONFIGURACIÓN DE AMAVISD

Empezaremos por descagaar amavisd desde su web, yo te adjunto el link
directamente, aquí lo tienes:

http://www.amavis.org/dist/perl/amavisd-snapshot-20020300.tar.gz .

*Amavisd requiere de una serie de aplicaciones/dependencias, las listo
para que marches en su instalación antes de seguir adelante:

IO-stringy
Unix-Syslog
MailTools
MIME-Base64
MIME-tools version 5.313
Convert-UUlib version 0.111 ó 0.201
Convert-TNEF 0.06
Compress-Zlib 1.14
Archive-Tar
Archive-Zip
libnet

Estos modulos de Perl puedes encontrarlos en (www.cpan.org).

Incluyo versión pero si encuentras una versión más actual es recomendable
que la sustituyas.

Una vez tengamos este archivo en nuestro sistema e instaladas las
dependencias pasamos a descomprimir nuestro amavisd.

[root@malaria]# tar xzvf amavisd-snapshot-20020300.tar.gz
[root@malaria]# cd amavisd-snapshot-20020300

Estando en el interior del directorio de amavisd, vamos a modificar lo
que serian los avisos que recivirian, tanto la persona que nos envia el
virus como la del destinatario (nuestro cliente).

Los correos genéricos o plantillas estan en /amavis/notify y los
archivos son:

[root@malaria]# ls -l
-rw-r--r--    1 root     root          685 oct 21 17:27 admin
-rw-r--r--    1 root     root          555 oct 21 17:27 recip
-rw-r--r--    1 root     root          725 oct 21 17:27 sender


Solo tendremos que editar y modificar a nuestro antojo, esto dará un
toque más personal/corporativo a esos correos que enviara nuestro
amavisd.

Una vez acabemos con las pijadas pasaremos a compilar amavisd.

Para ello nos ponemos en el raiz de nuestra carpeta y seguimos los pasos
que pondré a continuación despues explicare por encima lo que hicimos.

1) [root@malaria]# groupadd antivirus
2) [root@malaria]# useradd vscan -s /bin/sh -g antivirus -c "Usuario para
amavisd"

3) [root@malaria]# passwd vscan
4) [root@malaria]# ./configure --with-amavisuser=vscan --enable-postfix
5) [root@malaria]# make & make install & make clean

1) Damos de alta el grupo antivirus
2) Damos de alta el usuario vscan, este usuario sera el encargado de
ejecutar amavisd
3) Le asignamos una password, ponle una pass en condiciones ;P, nada de 1234....
4) Le decimos a amavisd que su usuario de ejecución será vscan y que
funcionara junto con Postfix
5) Sin comentarios

Si todo esto salio bien, tendremos amavisd  compilado para ejecutarse con soporte
para Postfix.

Solo nos queda decirle a Postfix que tiene como compañero amavisd.

Editamos el archivo main.cf y añadimos content_filter=vscan.
Editamos el archivo master.cf e introducimos lo siguiente:

vscan unix - n n - 10 pipe flags=q user=vscan argv=/usr/sbin/amavis ${sender}
${recipient}

localhost:10025 inet n - n - - smtpd -o content_filter=

Son dos lineas diferentes.

Paramos Postfix, ejecutamos /usr/bin/perl -T /usr/sbin/amavisd
(esta ejecución tiene que correr por parte de "vscan", sudo sería una buena opción
para ello), yo lo ejecuto con sudo y sería algo así como..
sudo -u vscan /usr/bin/perl -T /usr/sbin/amavisd
y por ultimo rearrancamos
Postfix.

PRUEBAS

Para ver si amavisd está a la escucha solo tenemos que poner "ps -ax | grep :10025"
si nos sale algo parecido a  "tcp  0  0  127.0.0.1:10025  0.0.0.0:*  LISTEN", es que
amavisd está por lo menos a la escucha, pero la prueba definitiva la realizaremos
con EICAR.

Acude a esta web para bajarte EICAR http://www.eicar.org/download/eicar.com
una vez lo tengas manda eso como archivo adjunto a alguna cuenta de correo que
este en tu sistema, mientras envias eso te recomiendo que tengas una consola
abierta con un tail -f /var/log/maillog, para ver si aparece algun error.

AGRADECIMIENTOS

A la lista de Postfix en Castellano, Chui, Itzhak, Neuronal, Asejua y sobre todo a
mi mujer, por su paciencia (Georgina!).

www.2500Hz.net - @_2500Hz Labs
avinash@2500Hz.net

Carmelo Zubeldia