Arquivos históricos do BR-Linux.org apresenta:

Linux in Brazil (Mailscanner )

Mailscanner

Anderson de Souza (slaier@iphan.gov.br)

Com a preocupação da propagação de vírus pelo e-mail, eu sempre utilizei o AMAVIS (http://www.amavis.org) para tratar do trafego de mensagens do meu servidor de e-mail. Mas o AMAVIS não apresenta ainda a checagem de vírus nas mensagens do QUEUE. Que são mensagens que saem da nossa rede para a INTERNET.

Um de meus usuários trouxe de casa um arquivo infectado que infectou sua maquina do serviço e logo começou a enviar mensagens para todos de seu catalogo de endereços com arquivos anexados do seu próprio "Meus Documentos". O meu SMTP enviava estas mensagens para internet, por que o AMAVIS não executava o SCANNER no /var/spool/mqueue, e as mensagens contaminadas saiam da minha rede para a internet.

Com isso eu procurei uma ferramenta GPL que pudesse procurar vírus no MAIL- QUEUE e achei o MAILSCANNER - http://www.sng.ecs.soton.ac.uk/mailscanner.

Em sua URL existem maiores detalhes da instalação em outras distribuições. Estou apresentando a instalação que foi totalmente testado em LINUX nas distribuições: MANDRAKE 8.0 e CONECTIVA 4.2, ambos com SENDMAIL com o antivírus McAfee 4.14.

Outra grande vantagem do MAILSCANNER é o tratamento de SPAM, onde se for habilitado no arquivo de configuração o SMTP devolve as mensagens de SPAMMER's listados no ORBS (http://www.orbsorg) e no ORBL (http://www.orbl.org).

E a vantagem de se configurar as os arquivos cujo as extensões os usuários não receberão em sua rede como: PIF, SCR, CNF ... etc. Se você não quiser que seus usuários recebam arquivos com extensão BAT, EXE e COM você pode colocar esta regra.

1 AQUISIÇÃO DOS ARQUIVOS

Entre no site: http://www.sng.ecs.soton.ac.uk/mailscanner/files/ e faça download do arquivo mailscanner-2.30-1.i386.rpm (ou mais recente).

Iremos instalar com o anti-virus McAfee http://www.nai.com (providencie posteriormente uma cópia registrada do mesmo). Iremos fazer o download dos arquivos de configuração para o McAfee, pois o antivirus que vem configurado como padrão é o SOPHOS http://www.sophos.com. Em: http://www.sng.ecs.soton.ac.uk/mailscanner/files/mcafee/ faça download dos arquivos:

autoupdate
mcafeewrapper
sweep.pl

2 INSTALAÇÃO

Recomendo que se faça backup do sendmail.cf, pois ao instalar o mailscanner por RPM ele irá substituir o sendmail.cf por outro mais simples sem o controle de RELAY e SPAM que eu acho muito importante para limitar o RELAY e bloquear os SPAMMER's que não estão listados no ORBS.

Hoje o antivírus da McAfee para LINUX em arquitetura PC mais atual é o 4.14, faça download dele, descompacte-o:

[root@taurus tmp]# tar xzvvf vlnx414e.tar.Z
-rw-r--r-- root/root   1427705 2001-02-15 23:14:00 scan.dat
-rw-r--r-- root/root    264092 2001-02-15 23:14:00 names.dat
-rw-r--r-- root/root    281145 2001-02-15 23:14:00 clean.dat
-rw-r--r-- root/root     30544 2001-02-15 23:14:00 readme.txt
-rw-r--r-- root/root     12383 2001-02-15 23:14:00 license.txt
-rw-r--r-- root/root       155 2001-02-15 23:14:00 reseller.txt
-rw-r--r-- root/root    720212 2001-02-15 23:14:00 unxadmin.pdf
-rw-r--r-- root/root     11775 2001-02-15 23:14:00 uvscan.1
-rw-r--r-- root/root   1542066 2001-02-15 23:14:00 liblnxfv.so
-rw-r--r-- root/root    120831 2001-02-15 23:14:00 uvscan
-rw-r--r-- root/root     55303 2001-02-15 23:14:00 messages.dat
-rw-r--r-- root/root      1056 2001-02-15 23:14:00 license.dat
-rwxr-xr-x root/root      8467 2001-02-15 23:14:00 install-uvscan
-rw-r--r-- root/root      3556 2001-02-15 23:14:00 uninstall-uvscan

Para instalar o instale o antivírus no /usr/local/mcafee:

[root@taurus tmp]# ./install-uvscan
Which directory do you want to install into? [/usr/local/uvscan] /usr/local/mcafee

Para atualizar o antivírus faça download do ultimo DAT-FILE em: ftp.nai.com/pub/antivirus/datfiles/4.x/, descompacte e copie os arquivos para /usr/local/mcafee substituindo quando for necessário.

No caso do MANDRAKE 8.0 foi necessário instalar o pacote que continha a biblioteca compat-libstdc++ para o McAfee funcionar. Este pacote não existia no CD-1 do Mandrake8, se isso ocorrer procure no http://rpmfind.net por compat-libstdc++ , baixe e instale o pacote que mais se aproxima da sua versão.

A instalação do mailscanner é relativamente simples:

rpm -ivh mailscanner-2.30-1.i386.rpm

Esta instalação costuma demorar um pouco, pois ele instala os módulos do PERL necessários ao funcionamento dos scripts, e compila o suporte a MS-TNEF (coisas do outlook). Após a instalação, remova o arquivo sophos.update que esta no /etc/cron.daily, este arquivo faz o update automático do SOPHOS ANTIVIRUS.

Copie o mcafeewrapper para /usr/local/mcafee e digite: chmod 700 /usr/local/mcafee/mcafeewrapper.

Copie o arquivo autoupdate para /etc/cron.daily e digite chmod 700 /etc/cron.daily/autoupdate, para que seja feito o update do banco de dados de vírus todos os dias por volta das 4:00 da manha.

Substitua também o /usr/local/MailScanner/bin/sweep.pl pelo que foi feito download para dar suporte ao McAfee.

Para configurar quais arquivos os usuários não poderão receber nos anexos basta adicionar no: /usr/local/MailScanner/etc/filename.rules.conf seguindo os exemplos dentro do próprio arquivo. Eu mesmo irei filtrar todos os arquivos com extensão BAT:

deny    \.bat$          Arquivo de Lote da Microsoft

No /usr/local/MailScanner/etc/ existem os arquivos com os textos que serão enviados em caso de anexo com vírus. Estes deverão ser editados se houver necessidade de se enviar o texto em português:

deleted.message.txt = Mensagem para o destinatário informando que substituiu um anexo que estava infectado e o mesmo foi deletado.
stored.message.txt = Mensagem para o destinatário informando que substituiu um anexo que estava infectado e o mesmo foi está em quarentena aguardando uma analise posterior.
disinfected.report.txt = Aviso de que a mensagem que foi enviada por um determinado remetente e que o anexo estava em quarentena foi finalmente desinfetado e esta em anexo nesta mensagem.
sender.report.txt = Aviso ao remetente da mensagem com vírus sobre o problema (neste arquivo eu gosto de deixar bem claro que alguns vírus enviam e-mail sem o conhecimento do usuário e que esse pode ser o caso deste remetente).
clean_quarantine = Script que apaga os arquivos em quarentena após se passar os X dias sem a possibilidade de desinfecção. Este arquivo esta disponível em: http://www.sng.ecs.soton.ac.uk/mailscanner/files/clean_quarantine e deve ser editado a quantidade de dias e colocado no crontab.

Edite o arquivo: /usr/local/MailScanner/etc/mailscanner.conf e altere as linhas:

Sweepp              = /usr/local/mcafee/mcafeewrapper
Local Postmaster = seu-email@seu-dominio.com.br

3 COLOCAR EM OPERAÇÃO

Você deve digitar: ntsysv e desmarcar o sendmail para que o mesmo não inicialize em tempo de boot, e marque o mailscanner (se não estiver marcado), pois é ele quem inicia o sendmail e monitora todas as suas atividades. (Nota do Editor: nem todas as distribuições possuem o ntsysv - consulte a documentação de sua distribuição para saber como habilitar ou desabilitar serviços no boot do sistema)

Para começar a operar digite:

/etc/rc.d/init.d/sendmail stop
/etc/rc.d/init.d/mailscannet start

Para testar use o ERICA ANTI-VIRUS TEST: http://www.eicar.org/download/eicar.com

O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação) notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter histórico, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.