Antivirus para Postfix
Hola, Creo que, muy a mi pesar :_( ya ha llegado el momento. Necesito poner un antivirus para Postfix, porque los .zip con virus y algunos formatos de imágenes me están llegando cada vez más a menudo, y la única solución efectiva es poner un antivirus para cerrar el ciclo. El eficiente asesino me ha acostumbrado a no recibir ningún correo más de la cuenta y cuando veo un "Hi, check this!" me subo por la paredes... :-) Se busca: antivirus eficiente y flexible, disponible en rpm para SuSE 8.2 y de fácil configuración. En el punto de mira tengo a Amavis-new y ClamAV, pero no descarto otros. Lo que sí me gustaría es que analizara todo tipo de especímenes, tanto ficheros comprimidos (.zip), como ejecutables (.com, .bat, .exe) y el resto de extensiones .scr, .cab, etc... Me gustaría saber qué experiencias tenéis con vuestros antivirus a nivel de servidor de correo, cuáles utilizáis y el nivel de eficacia que conseguís. La idea es que trabaje junto con Postfix y SpamAssassin. Saludos, -- Camaleón
Hola, Mi experiencia es la siguiente; Tengo Sendmail, Spamassassin y ClamAV trabajando sin problemas... aparte tengo PROCMAIL filtrando archivos con extenciones especificas, lo unico que deja pasar el PROCMAIL son imagenes, archivos de OpenOffice y lastimosamente todavia no puedo bloquear los de Excel y Word, el resto si quieren pasar deberan estar comprimidos o renombrados a .zip o .rar .... luego se encarga el CLAMAV de pillarlos, lo que todavia no pude lograr es la actualización automática del ClamAV, lo hago manualmente de ves en cuando, ya que la incidencia de virus es poquisima y de spam mucho menor. Algo que no se si esta funcionando bien en el clamav es que en algunos correos me lo marca "Mensaje con Virus: Virus NN" NN es el nombre del virus que pilla... pero no lo limpia, solo deja ese mensaje, no se si ese debe ser el funcionamiento o que, pero tampoco me crea mucho problemas. El servidor maneja solamente entre 170 a 200 cuentas de un solo dominio, lo que no es mucho.... Saludos! Camaleón wrote:
Hola,
Creo que, muy a mi pesar :_( ya ha llegado el momento. Necesito poner un antivirus para Postfix, porque los .zip con virus y algunos formatos de imágenes me están llegando cada vez más a menudo, y la única solución efectiva es poner un antivirus para cerrar el ciclo. El eficiente asesino me ha acostumbrado a no recibir ningún correo más de la cuenta y cuando veo un "Hi, check this!" me subo por la paredes...
:-)
Se busca: antivirus eficiente y flexible, disponible en rpm para SuSE 8.2 y de fácil configuración. En el punto de mira tengo a Amavis-new y ClamAV, pero no descarto otros. Lo que sí me gustaría es que analizara todo tipo de especímenes, tanto ficheros comprimidos (.zip), como ejecutables (.com, .bat, .exe) y el resto de extensiones .scr, .cab, etc...
Me gustaría saber qué experiencias tenéis con vuestros antivirus a nivel de servidor de correo, cuáles utilizáis y el nivel de eficacia que conseguís. La idea es que trabaje junto con Postfix y SpamAssassin.
Saludos,
-- //*Armindo Díaz Argaña*// Dpto. Informática / Div. Desarrollo _ Coop. Medalla Milagrosa Ltda._ (595)021 507979 "Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." *-- Albert Einstein* /"No es la forma de gobierno lo que constituye la felicidad de una nación, sino las virtudes de los jefes y de los magistrados." /*-- Aristóteles*
El 2004-11-08 a las 13:14 +0100, Camaleón escribió:
Creo que, muy a mi pesar :_( ya ha llegado el momento. Necesito poner un antivirus para Postfix, porque los .zip con virus y algunos formatos de imágenes me están llegando cada vez más a menudo, y la única solución efectiva es poner un antivirus para cerrar el ciclo. El eficiente asesino me ha acostumbrado a no recibir ningún correo más de la cuenta y cuando veo un "Hi, check this!" me subo por la paredes...
:-)
Si, y encima a los que usamos modem nos cuesta dinero. Primer paso: en /etc/postfix/header_checks pon esto: /^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+\.( 386|ba[st]|bin|c[ho]m|cmd|cpl|dll|drv|exe|hlp|hta| in[fis]|isp|js|jse|lnk|ms[cipt]|ocx|pif|reg|sc[rt]| sh[bs]|sys|url|vb|vb[es]|vxd|ws[cfh]))"?\s*$/ REJECT Attachment file type "$3" not allowed ("$2") # REJECT Attachment file type not allowed ("$2" has the extension ".$3") Eso de entrada corta todos los correos que declaran tener anexos con esas extensiones - y son unos cuantos. Hay algunos que atraviesan: vale, pues ahí está el amavis-new. El amavis-new por defecto mira si alguno de los correos contiene anexos, aún comprimidos, que al expandirlos el comando "file" diga que son ejectuables, y se los cepilla. No importa si son virus o no: simplemente no admite ejecutables, a no ser que vengan en un zip con password. Hay que tener cuidado, porque tanto el postfix como el amavis generan correos de rechazo devueltos al originante. El amavis al menos se puede configurar un tanto eso. En el postfix, como en mi caso el rechazo lo envia el fetchmail, se los intercepto con una regla en /etc/postfix/access. O bien, en vez de reject pones creo que era ignore. Hace como que los acepta, pero van a /dev/null En el amavis se puede activar la detección de virus en lugar de la detección de ejecutables; pero el antivirus es externo. En el caso de ciertos virus sabe que no debe enviar correos de vuelta.
Me gustaría saber qué experiencias tenéis con vuestros antivirus a nivel de servidor de correo, cuáles utilizáis y el nivel de eficacia que conseguís. La idea es que trabaje junto con Postfix y SpamAssassin.
El amavis-new lo usa suse, precisamente en la lista (por lo menos). Ahora bien, es perl, es pesado, come bastante CPU. Pero se puede poner en otro u otros ordenadores (round-robin). También el antivirus come lo suyo, pero es un binario. -- Saludos Carlos Robinson
On Mon, 8 Nov 2004 21:27:08 +0100 (CET), Carlos E. R. wrote:
Primer paso: en /etc/postfix/header_checks pon esto:
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+\.( 386|ba[st]|bin|c[ho]m|cmd|cpl|dll|drv|exe|hlp|hta| in[fis]|isp|js|jse|lnk|ms[cipt]|ocx|pif|reg|sc[rt]| sh[bs]|sys|url|vb|vb[es]|vxd|ws[cfh]))"?\s*$/ REJECT Attachment file type "$3" not allowed ("$2")
# REJECT Attachment file type not allowed ("$2" has the extension ".$3")
Sí, eso lo tengo puesto (parecido, claro), pero en vez de "reject" le digo "discard" para que lo coja educadamente y lo borre educadamente y sin generar respuesta al remitente. :-)
El amavis-new por defecto mira si alguno de los correos contiene anexos, aún comprimidos, que al expandirlos el comando "file" diga que son ejectuables, y se los cepilla. No importa si son virus o no: simplemente no admite ejecutables, a no ser que vengan en un zip con password.
¿No importa si son virus o no? :-O ¿Pero no es un antivirus? Porque si va a piñón fijo no me gusta, quiero que analice si se trata de un virus o no.
En el amavis se puede activar la detección de virus en lugar de la detección de ejecutables; pero el antivirus es externo. En el caso de ciertos virus sabe que no debe enviar correos de vuelta.
He estado leyendo la documentación de ClamAV y de Amavis, así como también he buscado en foros por Internet para ver las opiniones de la gente y lo que me sorprende es que la mayoría utiliza ClamAV junto con Amavisd-new, lo que me deja un tanto fuera de juego... ¿no funciona sólo con uno?
El amavis-new lo usa suse, precisamente en la lista (por lo menos). Ahora bien, es perl, es pesado, come bastante CPU. Pero se puede poner en otro u otros ordenadores (round-robin). También el antivirus come lo suyo, pero es un binario.
Humm, creo que voy a probar ClamAV, me suena a más antivirus (quiero decir, más especializado) que Amavis. Gracias Carlos, por los cometarios. :-) Saludos, -- Camaleón
El 2004-11-09 a las 10:24 +0100, Camaleón escribió:
REJECT Attachment file type "$3" not allowed ("$2")
# REJECT Attachment file type not allowed ("$2" has the extension ".$3")
Sí, eso lo tengo puesto (parecido, claro), pero en vez de "reject" le digo "discard" para que lo coja educadamente y lo borre educadamente y sin generar respuesta al remitente.
:-)
La duda que yo tengo - porque no tengo dominio propio y no lo puedo experimentar - es que pasa cuando en un dialogo smtp el que va a recibir dice que lo rechaza. Yo creo que la conersación se corta en ese momento sin más, lo único que recibe es la frase "Attachment file type "$3" not allowed ("$2")" que definí arriba. Es decir, es el SMTP del que está enviando el que tiene que generar el correo de rechazo. En ese caso, el que envia no ve una aceptación, como ocurre en el caso del "discard", y además, los recursos se liberan antes (en el momento que el postfix ve la cabecera del fichero, corta. Con discard lo recibe entero y luego lo tira).
El amavis-new por defecto mira si alguno de los correos contiene anexos, aún comprimidos, que al expandirlos el comando "file" diga que son ejectuables, y se los cepilla. No importa si son virus o no: simplemente no admite ejecutables, a no ser que vengan en un zip con password.
¿No importa si son virus o no? :-O ¿Pero no es un antivirus? Porque si va a piñón fijo no me gusta, quiero que analice si se trata de un virus o no.
No, el amavis no es un antivirus, es un filtro muy sofisticado y configurable. Lo que hace el amavis, si se lo pides, es llamar al antivirus y preguntarle si "eso" es un virus y cual. Yo lo tengo así, con un antivirus, y solo me tira los que son virus. Y estoy bastante contento. Pero podría pasar del antivirus, y tirar todos lo ejecutables sin más. A freir monas :-p
En el amavis se puede activar la detección de virus en lugar de la detección de ejecutables; pero el antivirus es externo. En el caso de ciertos virus sabe que no debe enviar correos de vuelta.
He estado leyendo la documentación de ClamAV y de Amavis, así como también he buscado en foros por Internet para ver las opiniones de la gente y lo que me sorprende es que la mayoría utiliza ClamAV junto con Amavisd-new, lo que me deja un tanto fuera de juego... ¿no funciona sólo con uno?
Eso es lo que te estaba comentando. El amavis actua de interfaz para muchos antivirus.
El amavis-new lo usa suse, precisamente en la lista (por lo menos). Ahora bien, es perl, es pesado, come bastante CPU. Pero se puede poner en otro u otros ordenadores (round-robin). También el antivirus come lo suyo, pero es un binario.
Humm, creo que voy a probar ClamAV, me suena a más antivirus (quiero decir, más especializado) que Amavis.
La ventaja de amavis-new (¿Porqué lo de "-new"? La referencia al Amavis de Gaula está muy bonita, y más en este año del Quijote) es que si no te gusta un antivirus, pones otro, sin cambiar la configuración del sistema. Sigue siendo amavis quien se da las tortas. -- Saludos Carlos Robinson
On Tue, 9 Nov 2004 16:24:07 +0100 (CET), Carlos E. R. wrote:
En ese caso, el que envia no ve una aceptación, como ocurre en el caso del "discard", y además, los recursos se liberan antes (en el momento que el postfix ve la cabecera del fichero, corta. Con discard lo recibe entero y luego lo tira).
Efectivamente, me tengo que tragar en ancho de banda, pero no quiero problemas de "bounces" perdidos ni que vayan a un remitente "falso", así es opto por zampar y eliminar. :-)
No, el amavis no es un antivirus, es un filtro muy sofisticado y configurable. Lo que hace el amavis, si se lo pides, es llamar al antivirus y preguntarle si "eso" es un virus y cual.
Ah, por eso hay tantas referencias en Google a "Amavis+ClamAV+Postfix+SA".
Yo lo tengo así, con un antivirus, y solo me tira los que son virus.
Y si no es mucha indiscreción... ¿qué antivirus utilizas? ¿funciona bien?
estoy bastante contento. Pero podría pasar del antivirus, y tirar todos lo ejecutables sin más. A freir monas :-p
Pero no es plan, porque no todos los .zip llevan un virus ni todos los .com son gusanos. Habría muchos falsos positivos.
La ventaja de amavis-new (¿Porqué lo de "-new"? La referencia al Amavis de Gaula está muy bonita, y más en este año del Quijote) es que si no te gusta un antivirus, pones otro, sin cambiar la configuración del sistema. Sigue siendo amavis quien se da las tortas.
Ya... y el que te da los disgustos cuando las cosas dejan de funcionar. ;-) Estoy mirando el ClamAV, y en cuanto encuentre una FAQ de cómo integrarlo de una forma clara y sencilla junto con SA y Postfix, me lo pongo. Saludos, -- Camaleón
El 2004-11-09 a las 21:51 +0100, Camaleón escribió:
On Tue, 9 Nov 2004 16:24:07 +0100 (CET), Carlos E. R. wrote:
En ese caso, el que envia no ve una aceptación, como ocurre en el caso del "discard", y además, los recursos se liberan antes (en el momento que el postfix ve la cabecera del fichero, corta. Con discard lo recibe entero y luego lo tira).
Efectivamente, me tengo que tragar en ancho de banda, pero no quiero problemas de "bounces" perdidos ni que vayan a un remitente "falso", así es opto por zampar y eliminar.
:-)
Observa que de esa forma, el spammer tiene la información que necesita: ha sido aceptado. Sabe que puede enviar más. Con reject tiene casi la misma, pero cargas trabajo al SMTP anterior que lo dejó colar. Ten en cuenta que con "reject" tu no generas un correo de rechazo. Generas una simple linea de rechazo, de no aceptación de la conexión. Es el servidor que te lo está enviando el que tiene que generar el correo si quiere.
No, el amavis no es un antivirus, es un filtro muy sofisticado y configurable. Lo que hace el amavis, si se lo pides, es llamar al antivirus y preguntarle si "eso" es un virus y cual.
Ah, por eso hay tantas referencias en Google a "Amavis+ClamAV+Postfix+SA".
Claro.
Yo lo tengo así, con un antivirus, y solo me tira los que son virus.
Y si no es mucha indiscreción... ¿qué antivirus utilizas? ¿funciona bien?
Si, uso el antivir: This is the AntiVir virus scanner software package of H+BEDV Datentechnik GmbH, Germany. The package ships with an evaluation license only. Please register your copy at http://www.hbedv.com/ (a private, non-commercial license is free of charge) Si no lo he dicho antes es porque para servidores no es gratuito. Para particulares, si.
estoy bastante contento. Pero podría pasar del antivirus, y tirar todos lo ejecutables sin más. A freir monas :-p
Pero no es plan, porque no todos los .zip llevan un virus ni todos los .com son gusanos. Habría muchos falsos positivos.
Cualquier ejecutable es potencialmente peligroso, y hay que ponerlo en cuarentena. En cualquier red corporativa mosquean, puesto que no se debe instalar nada en las máquinas que no haya sido certificado. El amavis-new no destruye correos, sólo los aparta.
La ventaja de amavis-new (¿Porqué lo de "-new"? La referencia al Amavis de Gaula está muy bonita, y más en este año del Quijote) es que si no te gusta un antivirus, pones otro, sin cambiar la configuración del sistema. Sigue siendo amavis quien se da las tortas.
Ya... y el que te da los disgustos cuando las cosas dejan de funcionar. ;-)
pero a mi me funciona O:-)
Estoy mirando el ClamAV, y en cuanto encuentre una FAQ de cómo integrarlo de una forma clara y sencilla junto con SA y Postfix, me lo pongo.
Es que la forma sencilla de integrar esos tres es el amavis-new ;-) Estuve haciendo experimentos hace unos dias, lo puse aquí:
Date: Fri, 29 Oct 2004 22:34:45 +0200 (CEST) From: Carlos E. R. Subject: Re: [suse-linux-s] Correos de error de postfix
De veras, el amavis-new es bueno. La pega es que no trae documentación como tal. -- Saludos Carlos Robinson
participants (3)
-
Armindo Díaz Argaña
-
Camaleón
-
Carlos E. R.