玄箱HGのウィルスメール対策(ClamAV + AmaViSd)

ウィルスメール対策は、ClamAVとAmaViSdで行いました。参考にしたサイトは次の通りです。

• 大阪てきとー日記さん
• 駆け出しのdebianさん

私の場合、先にAmaViSdからインストールしましたが、どちらからやっても同じだと思います。いつものように、aptitudeでインストールです。インストールするのは、amavisd-newです。

$ aptitude update
$ aptitude search amavisd
$ aptitude install amavisd-new

インストールが終わったら、/etc/amavis/amavisd.confを編集します。編集箇所は次の一箇所です。先人の中には、いろいろ変更されている方がいらっしゃいますが、デフォルトで構わなければ$mydomainだけの変更でOKです。
2007年4月にリリースされたetchでは、amavisd-newの設定方法が異なります。etchで動かしている方は、「etchでのメール設定」も参考にしてください。ClamAVやPostFixは同じです。

$mydomain = 'arakin.dyndns.org';      # (no useful default)

次に、ClamAVをインストールします。
Ddbianの公式安定版ではClamAVのDB更新に失敗します。そのため、/etc/apt/sources.listを修正した方がいいです。詳しくは、「ClamAVのアップデート」を参考にしてください。ClamAVの設定方法は同じです。

# aptitude search clamav
# aptitude install clamav clamav-daemon

インストールの途中で、次の４つのことを聞かれますが、次のように答えました。

ウィルスデータベースの更新方法　　→　デーモン
ローカルデータベースミラーサイト　→　db.jp.clamav.net(Japan)
HTTPプロキシ情報　　　　　　　　　→　空で了解
変更後にclamdに教示しますか？　　 →　はい

ClamAVのインストールが終わると、/etc/clamavに幾つかファイルができています。特に変更する箇所はないと思いますが、/etc/clamav/freshclam.confを見ると、毎時間、ウィルス定義ファイルのチェックを行い、/var/log/clamavにログを書き込むみたいです。（また、これで玄箱のHDDが１時間ごとに動き出すのですね。せっかく静かにさせたのに。。。）とりあえず、ウィルス定義ファイルは日々更新されているので、freshclamでアップデートします。

$ /usr/bin/freshclam

最後に、PostFixの設定です。PostFixの設定ファイルである/etc/postfix/main.cfの最後に、次の１行を追加します。これにより、PostFixが届いたメールをAmaViSdに渡します。

content_filter = smtp-amavis:[127.0.0.1]:10024

次に、私にはまったく意味不明ですが、次のものを、/etc/postfix/master.cfの最後に追加します。PostFixが起動するデーモンを設定しているようです。

smtp-amavis unix -      -       n       -       2        smtp
 -o smtp_data_done_timeout=1200
 -o disable_dns_lookups=yes

127.0.0.1:10025 inet n  -       n       -       -       smtpd
 -o content_filter=
 -o local_recipient_maps=
 -o relay_recipient_maps=
 -o smtpd_restriction_classes=
 -o smtpd_client_restrictions=
 -o smtpd_helo_restrictions=
 -o smtpd_sender_restrictions=
 -o smtpd_recipient_restrictions=permit_mynetworks,reject
 -o mynetworks=127.0.0.0/8
 -o strict_rfc821_envelopes=yes
 -o smtpd_soft_error_limit=1001
 -o smtpd_hard_error_limit=1000

これで設定は終了です。次のようにAmaViSdとPostFixを再起動します。

/etc/init.d/amavis restart
/etc/init.d/postfix restart

動作確認ですが、EICARで公開しているテスト用のウィルスで試します。もちろん、このウィルスは無害です。（と信じています。）EICARのアンチウィルステストページの下のほうに、次のような部分があります。

ダウンロードファイルの中の、eicar.com.txtをクリックすれば、怪しげな文字列１行がHTMLブラウザに現れるので、これをコピーし、メールの本文にペーストします。そして、自分あてにメールを送ります。正常に機能していれば、/var/log/mail.logに次のようなログが付加され、削除されたことが分かります。もちろん、メールクライアント（私の場合、Beckey）には、メールが着ません。

Mar 31 17:07:04 kurohg amavis[17639]: (17639-10) INFECTED (Eicar-Test-Sign
ature), <kurokin@arakin.dyndns.org> -> <kurokin@arakin.dyndns.org>, quaran
tine virus-20070331-170703-17639-10, Message-ID: <20070331170534.EADB.KURO
KIN@arakin.dyndns.org>, Hits: -
Mar 31 17:07:04 kurohg postfix/qmgr[17624]: A5DF1305AE: from=<>, size=2589
, nrcpt=1 (queue active)
Mar 31 17:07:04 kurohg postfix/smtp[18863]: F18BD305A7: to=<kurokin@arakin
.dyndns.org>, relay=127.0.0.1[127.0.0.1], delay=33, status=sent (250 2.7.1
 Ok, discarded, id=17639-10 - VIRUS: Eicar-Test-Signature)
Mar 31 17:07:05 kurohg postfix/qmgr[17624]: F18BD305A7: removed

これで、ほぼメール設定が終了したので、自分のPROFILEにメールアドレスを追記しました。質問があれば、メールしてみてください。最初のうちは、喜んで答えると思います。

このページのトップへ