In meinem letzten Beitrag zu Mailservern bin ich auf das Filtern von Spammails mit Spamassassin und Amavis eingegangen. Amavis kann nebenbei aber auch noch eine andere Art von E-Mails behandeln: Mit Viren infizierte E-Mails. Die spielen im Linux-Umfeld zwar kaum eine Rolle, doch für jemanden, der über Windows Clients auf seine E-Mails zugreift, macht ein serverseitiger Virenschutz für E-Mails Sinn.
Ähnlich wie Spamassassin klinkt sich auch das Antivirenprogramm ClamAV in Amavis ein. Amavis führt dann die entsprechenden Operationen mit der verseuchten E-Mail aus: In eine Quarantäne verschieben oder löschen (Derzeit ist mir leider noch keine Möglichkeit bekannt, diese Mails nur zu markieren).
Vorbereitungen: Amavis
Am besten folgt ihr dem Beitrag zu Spamassassin, um zu erfahren, wie ihr Amavis mit Postfix koppelt. Spamassassin könnt ihr gleich mit einrichten – einen Spamfilter kann man schließlich immer brauchen ;) Kehrt dann hierher zurück, um mit der ClamAV Einrichtung fortzufahren:
Anleitung: Postfix: Amavis Spamfilter mit Spamassassin und Sieve
(Sieve kann für den Antivirenschutz ignoriert werden)
ClamAV installieren
Nun geht es weiter mit der Installation von ClamAV. Ihr habt die Wahl zwischen zwei Quellen. Die normalen Ubuntu (Server) Paketquellen, die eine etwas ältere ClamAV Version enthalten… oder ein ClamAV PPA, das die neueste Version enthält. Es wird empfohlen, die Ubuntu Paketquellen zu nutzen. Wer trotzdem die neueste Version haben will, fügt einfach die PPA zu seinem System hinzu:
sudo add-apt-repository ppa:ubuntu-clamav
ClamAV wird installiert:
sudo -s apt-get install clamav-daemon
Ausgabe nach Installation:
* Clamav signatures not found in /var/lib/clamav * Please retrieve them using freshclam * Then run '/etc/init.d/clamav-daemon start'
Das ist nicht weiter schlimm. Mit dem Befehl
freshclam
holen wir die neuesten Virensignaturen manuell ab und installieren sie. Das geschieht in Zukunft automatisch.
Nun wird der Benutzer clamav noch der Gruppe amavis zugeordnet:
adduser clamav amavis
ClamAV wird zum Schluss neu gestartet:
service clamav-daemon restart
Amavis konfigurieren
In der Amavis Konfiguration wird jetzt noch die Unterstützung für Antivirensoftware aktiviert. Kommentiert in der Datei /etc/amavis/conf.d/15-content_filter_mode die folgenden Zeilen ein:
@bypass_virus_checks_maps = (
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);
Erkannte, verseuchte E-Mails werden standardmäßig in Quarantäne unter /var/lib/amavis/virusmails verschoben. Je nach E-Mail aufkommen kann die Quarantäne mit der Zeit viel Speicherplatz belegen. Wer Virenmails nicht in die Quarantäne verschieben will, sondern direkt löschen lassen will, fügt zur Datei /etc/amavis/conf.d/21-ubuntu_defaults noch folgende Zeile hinzu: (direkt unter „$spam_admin = undef;”)
$virus_quarantine_to = undef;
Amavis wird neu gestartet:
service amavis restart
Virenschutz testen
Nicht nur zum Testen des Spamfiltern gibt es eine standardisierte Möglichkeit: Den sog. Eicar Virus muss jeder Virenscanner erkennen. Es handelt sich um eine ungefährliche Datei, die nur für Testzwecke bestimmt ist. Ihr könnt sie unter http://www.rexswain.com/eicar.html herunterladen. Die Datei wird in einen E-Mail Anhang gepackt und dann an ein Mailkonto auf dem Server geschickt. Kommt die Mail nicht bis zum Postfach durch, funktionieren die Schutzmechanismen.
Zusätzlich ist anzuraten, die Mail-Logfiles zu kontrollieren. Bei einer erfolgreichen Erkennung des Testviruses ist dort zu lesen:
[...] amavis[18191]: (18191-01) Blocked INFECTED (Eicar-Test-Signature) [..]