Zoeken op website

Hoe u Sagator, een antivirus-/antispam-gateway, gebruikt om uw e-mailserver te beschermen

We lezen over virusinfecties (er komen voortdurend nieuwe uit) en worden op een of andere manier dagelijks getroffen door spammail. Hoewel er tal van gratis en commerciële oplossingen (beschikbaar als clientapplicaties) voor beide overlast bestaan, moeten systeembeheerders een strategie hebben om met deze bedreigingen om te gaan, lang voordat ze de mailboxen van de gebruikers bereiken.

Eén van deze strategieën is het opzetten van een antivirus/antispam gateway. Je kunt deze tool zien als een tussenlaag (of filter) tussen de buitenwereld en je interne netwerk wat de e-mailinhoud betreft.

Bovendien is het, als je erover nadenkt, veel eenvoudiger om één enkel stukje software op één enkele machine (de mailserver) te installeren en te onderhouden dan om hetzelfde op verschillende machines afzonderlijk te doen.

In dit artikel laten we u kennismaken met Sagator, een antivirus-/antispamgateway voor Linux-mailservers geschreven in Python. Sagator biedt onder meer databaselogboekregistratie, gebruiksstatistieken en dagelijkse rapporten voor gebruikers. Dat gezegd hebbende, laten we aan de slag gaan.

Sagator en Postfix Mail Server installeren

Om Sagator in CentOS/RHEL 7 te installeren, downloadt en installeert u de volgende RPM-pakketten. De nieuwste bètaversie (7) bevat ondersteuning en oplossingen voor systemd – daarom geven wij er de voorkeur aan om het op deze manier te installeren in plaats van het pakket uit de repository's te downloaden.

rpm -Uvh https://www.salstar.sk/pub/sagator/epel/testing/7/i386/sagator-core-1.3.2-0.beta7.el7.noarch.rpm
rpm -Uvh https://www.salstar.sk/pub/sagator/epel/testing/7/i386/sagator-1.3.2-0.beta7.el7.noarch.rpm

Als u deze installatie op een nieuwe server uitvoert, houd er dan rekening mee dat verschillende andere pakketten als afhankelijkheden moeten worden geïnstalleerd, waaronder we Postfix, ClamAV en SpamAssassin kunnen noemen.

Daarnaast wilt u misschien ook Rrdtool installeren, een hulpprogramma voor het maken en weergeven van dag/week/maand/jaar grafiek van totaal/schoon/virus/spam aantal e-mails.

Deze afbeeldingen zullen beschikbaar zijn in /var/www/html/sagator zodra de service en zijn afhankelijkheden volledig functioneel zijn.

yum install epel-release
yum install postfix spamassassin clamav clamav-scanner clamav-scanner-systemd clamav-data clamav-update rrdtool

Dit is geen verrassing, aangezien we een mailserver nodig hebben en antivirus-/antispamsoftware waar Sagator verbinding mee kan maken. Daarnaast moeten we mogelijk het mailx-pakket installeren, dat MUA-functionaliteiten (Mail User Agent, ook wel Email Agent genoemd) biedt.

In Debian en Ubuntu moet u Sagator installeren vanuit een voorgecompileerd .deb-pakket, dat u hier kunt downloaden en als volgt kunt installeren:

Debian Jessie:

wget https://www.salstar.sk/pub/sagator/debian/pool/jessie/testing/sagator-base_1.3.2-0.beta7_all.deb 
wget https://www.salstar.sk/pub/sagator/debian/pool/jessie/testing/sagator_1.3.2-0.beta7_all.deb 
dpkg -i sagator-base_1.3.2-0.beta7_all.deb
dpkg -i sagator_1.3.2-0.beta7_all.deb

Ubuntu betrouwbaar:

wget https://www.salstar.sk/pub/sagator/ubuntu/pool/trusty/testing/sagator-base_1.3.2-0.beta7_all.deb 
wget https://www.salstar.sk/pub/sagator/ubuntu/pool/trusty/testing/sagator_1.3.2-0.beta7_all.deb 
sudo dpkg -i sagator-base_1.3.2-0.beta7_all.deb
sudo dpkg -i sagator_1.3.2-0.beta7_all.deb

Zoals het geval was met CentOS, moet u de mailserver-, SpamAssassin- en ClamAV-pakketten installeren en configureren:

aptitude install postfix spamassassin clamav clamav-daemon -y

Vergeet niet sudo te gebruiken in Ubuntu.

Vervolgens moet u, ongeacht de distributie, de virusdefinitie bijwerken voordat u ClamAV start. Voordat u dit doet, bewerkt u /etc/clamd.d/scan.conf en /etc/freshclam.conf en verwijdert u de volgende regel:

Example

Zorg er ook voor dat in /etc/clamd.d/scan.conf de volgende regel geen commentaar bevat:

LocalSocket /var/run/clamd.scan/clamd.sock

Eindelijk doen

freshclam

En start/schakel ClamAV, SpamAssassin en Sagator in:

systemctl start clamd@scan
systemctl start spamassassin
systemctl start sagator
systemctl enable clamd@scan
systemctl enable spamassassin
systemctl enable sagator

Mogelijk wilt u het Sagator-logboek controleren om er zeker van te zijn dat de service correct is gestart:

systemctl status -l sagator

of voor meer details,

tail -f /var/spool/vscan/var/log/sagator/sagator.log

De bovenstaande opdrachten worden geïllustreerd in de volgende afbeelding:

Sagator configureren onder Linux

Het hoofdconfiguratiebestand bevindt zich op /etc/sagator.conf. Laten we eens kijken naar de minimale reeks richtlijnen die we moeten instellen om Sagator correct te laten werken:

Stap 1 – We gebruiken Sagator in een chroot, dus zorg ervoor dat de volgende regel geen commentaar bevat:

CHROOT = '/var/spool/vscan'

Stap 2 – Zorg ervoor dat de LOGFILE richtlijn overeenkomt met de volgende waarde:

LOGFILE = CHROOT + '/var/log/sagator/sagator.log'

Stap 3 – Kies een antivirusprogramma dat met Sagator wordt geïntegreerd. Om dit te doen, moet u ervoor zorgen dat de lijnen die in de onderstaande afbeelding zijn gemarkeerd, geen commentaar bevatten:

Hoewel u vrij bent om te kiezen uit een grote verscheidenheid aan antivirusoplossingen, biedt ClamAV hogere prestaties en stabiliteit. Hoewel we ClamAV in deze handleiding gebruiken, moet u er rekening mee houden dat het configuratiebestand instructies bevat om Sagator aan andere antivirus-/antispamoplossingen te koppelen.

Als je klaar bent, ren dan

sagator --test

Om het configuratiebestand te controleren. Geen output is een goede zaak! Anders dient u eventuele gevonden fouten op te lossen voordat u verdergaat.

Sagator integreren met Postfix

Om Sagator te integreren met Postfix, zorg ervoor dat de volgende regels aanwezig zijn in /etc/postfix/main.cf en / etc/postfix/master.cf:

mynetworks = 127.0.0.0/8
content_filter = smtp:[127.0.0.1]:27

#smtp inet n - n -- smtpd
127.0.0.1:26 inet n - n - 30 smtpd
-o content_filter=
-o myhostname=localhost
-o local_recipient_maps=  -o relay_recipient_maps=
-o mynetworks=127.0.0.0/8  -o mynetworks_style=host
-o smtpd_restriction_classes=  -o smtpd_client_restrictions=
-o smtpd_helo_restrictions=  -o smtpd_sender_restrictions=
-o smtpd_data_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_use_tls=no

Start vervolgens postfix opnieuw op en zorg ervoor dat het is ingeschakeld om automatisch te starten bij het opstarten:

systemctl restart postfix
systemctl enable postfix

We kunnen nu doorgaan met testen.

Sagator testen

Om Sagator te testen, stuurt u een e-mail van gebruiker root naar gebruiker gacanepa met de volgende tekst. Dit is niets meer en niets minder dan de standaard GTUBE (Generieke test voor ongevraagde bulk-e-mail) geleverd door SpamAssassin, zoals weergegeven in de onderstaande afbeelding :

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Laten we nu eens kijken wat er gebeurt als een virus als bijlage wordt verzonden. In het volgende voorbeeld gebruiken we de EICAR-test (raadpleeg dit Wikipedia-artikel voor meer details):

wget http://www.eicar.org/download/eicar.com
mail -a eicar.com gacanepa

Controleer dan het logboek:

tail -f /var/spool/vscan/var/log/sagator/sagator.log

Geweigerde e-mails worden vervolgens teruggestuurd naar de afzender met de bijbehorende kennisgeving:

Wat is hier zo goed aan? Zoals u kunt zien, bereiken spam en virussen nooit de bestemmingsmailserver en de mailboxen van de gebruikers, maar worden ze op gatewayniveau verwijderd of afgewezen.

Zoals we eerder vermeldden, zijn de grafieken beschikbaar op http:///sagator:

Samenvatting

In dit artikel hebben we uitgelegd hoe u Sagator installeert en configureert, een antivirus-/antispam-gateway die naadloos integreert met uw mailserver en deze beschermt.

Voor meer informatie en verdere functionaliteit (deze ongelooflijke software omvat veel meer dan we in één artikel adequaat kunnen behandelen!), kunt u de website van het project raadplegen op http://www.salstar.sk/sagator.

Aarzel zoals altijd niet om ons een bericht te sturen via het onderstaande opmerkingenformulier als u vragen of opmerkingen heeft.

Speciale dank aan Jan ONDREJ (SAL), de ontwikkelaar van Sagator, voor zijn uitstekende ondersteuning terwijl ik dit artikel aan het schrijven was.