Configuracin de MailScanner con el Antivirus CLAMAV

MailScanner, es un robusto servicio que examina el correo electrnico e identifica y etiqueta correo masivo no solicitado (Spam) y fraudes electrnicos (Phishing). Combinado con ClamAV, un anti-virus gratuito, resulta una de las soluciones ms robustas para la proteccin contra virus, gusanos y troyanos en un servidor de correo electrnico. La ltima versin de MailScanner se puede encontrar en http://www.mailscanner.info/downloads.html . La ltima versin Clamav se puede encontrar en http://www.clamav.net/ una versin rpm para Centos 4.x se la encuentra en http://www.linuxparatodos.net/lpt/whitebox/4.0/mailscanner/ Instalacin de MailScanner Ejecutar tar -zxvf MailScanner-4.55.10-3.rpm.tar.gz Ejecutar cd MailScanner-4.55.10-3 Ejecutar ./install.sh Instalacin de Clamav Ejecutar rpm -ivh clamav-0.88.4-1.9.el4.lpt.i386.rpm Los archivos con las definiciones de los virus se instalan en /var/lib/clamav/*.cvd

Configuracin de MailScanner El archivo de configuracin de MailScanner es /etc/MailScanner/MailScanner.conf se edita este archivo y se realizan los siguientes cambios: %org-name% = UDA %org-long-name% = Universidad del Azuay %web-site% = http://www.uazuay.edu.ec %report-dir% = /etc/MailScanner/reports/es Incoming Work User = clamav Incoming Work Group = 0640 Virus Scanning = yes Virus Scanners = clamav Monitors for ClamAV Updates = /var/lib/clamav/*.cvd Quarantine Infections = yes // para mantener copias de los archivos infectados Notify Senders Of Viruses = yes //Notifica si el mail es infectado a quien enva Virus Subject Text = {Virus Eliminado?} Content Subject Text = {Contenido Peligroso?} Disarmed Subject Text = {Revisado HTML} Phishing Subject Text = {Posible intento de Fraude?} Notices To = virus@uazuay.edu.ec // cuenta en donde se recibe los mensajes de los mails que estn infectados Local Postmaster = virus@uazuay.edu.ec // igual que el anterior Spam List = ORDB-RBL spamhaus.org spamhaus-XBL SBL+XBL spamcop.net NJABL //para habilitar las listas negras de SPAM

Nota: Si se configuro Sendmail con listas negras, no se debe activar esta funcionalidad en MailScanner para no duplicar las consultas hacia los DNSBL. Si se desea aumentar mas listas negras se debe modificar el archivo /etc/MailScanner/spam.lists.conf

Spam Actions = delete Si se desea que se acepten archivos .exe se modifica el archivo /etc/MailScanner/filetype.rules.conf deny executable por allow executable No executables No executables No programs allowed No programs allowed

Si se desea que se acepten archivos .exe se modifica el archivo /etc/MailScanner/filename.rules.conf deny \.exe$ por allow \.exe$ Windows/DOS Executable Windows/DOS Executable

Se inician los servicios de CLAMAV chkconfig clamd on chkconfig freshclam on service clamd start service freshclam start Se inician los servicios de MailScanner Se apaga el servicio de sendmail ya que MailScanner va a manejar esto chkconfig sendmail off service sendmail stop Se activa el servicio de MailScanner chkconfig MailScanner on service MailScanner start Para revisar si MailScanner se esta ejecutando Se ejecuta la instruccin /usr/sbin/check_mailscanner y saldr MailScanner running with pid 20360 20361 20366 20368 20374 20375 Probando el funcionamiento del Antivirus Todos los antivirus tienen un test de pruebas con un archivo llamado eicar en diferentes formatos estos archivos se encuentran en http://www.eicar.org/anti_virus_test_file.htm baje cualquiera de ellos y mande un mail con esos archivos si todo esta correcto

mailscanner le enviara un mail con un mensaje indicando que el mail que mando esta con virus. (Mediante la consola tambin se puede probar con la instruccin mail v cuenta@uazuay.edu.ec < eicar.com ). La actualizacin del antivirus es automtica por lo tanto no hay que preocuparse de que las definiciones de virus estn viejas. Si se esta detrs de un firewall los puertos que se deben habilitar son: SMTP, puerto 25 a travs de TCP (entrada y salida). DNS, puerto 53 a travs de TCP y UDP (salida). Razor23, puerto 2703 a travs de TCP y puerto 7 a travs de UDP (salida). DCC, puerto 6277 a travs de UDP (salida). Pyzor, puerto 24441 a travs de UDP (salida). HTTP, puerto 80 (salida).

Configuraciones Adicionales Bloqueando el envi de mail segn su tamao y por usuario Para bloquear que un determinado usuario no envie correo que tenga un tamao mayor que X se modifica el archivo MailScanner.conf cambiando la lnea Maximum Message Size = 0 por Maximum Message Size = %rules-dir%/messagesize.rule. Luego se crea el archivo /etc/MailScanner/rules/messagesize.rule con la siguiente informacin: FromOrTo: FromOrTo: FromOrTo: FromOrTo: usuario1@* 100000 usuario2@* 200000 usuario3@* 300000 default 0

El usuario1 esta limitado a 100 Kb, el usuario2 a 200 Kb y el usuario3 a 300Kb para el resto de usuarios no se les limita nada (eso indica el valor 0).