FreeBSD 14 にClamAVをインストールし、Postfixに対しAmavisで連携させます。
ClamAVはアンチウイルスソフトウェアです。
Postfixをすでに実装しているという前提で進めます。
1. ClamAV
1.1 インストール
|
1 2 |
# cd /usr/ports/security/clamav # make install clean |
各々オプションはとりあえずデフォルトでインストールします
clamavバージョンチェック
|
1 2 |
# pkg version -v | grep clamav clamav-1.2.1,1 = up-to-date with index |
1.2 設定ファイル編集
①clamd.conf 編集
ClamAVはrootユーザで実行する
|
1 2 3 4 5 6 7 8 9 10 |
# chmod 640 /usr/local/etc/clamd.conf # vi /usr/local/etc/clamd.conf 35行目: コメント解除 #LogTime yes LogTime yes 227行目 : コメントアウトする User clamav #User clamav |
➁freshclam.conf 編集
ウイルスのパターンファイルについての設定
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# chmod 640 /usr/local/etc/freshclam.conf # vi /usr/local/etc/freshclam.conf 60行目 : 変更 DatabaseOwner clamav ↓ DatabaseOwner root 76行目 : ミラーサイト変更 #DatabaseMirror database.clamav.net DatabaseMirror db.jp.clamav.net 119行目 : コメント解除 #Checks 24 Checks 24 |
1.3 ウイルスデータベース更新
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
# freshclam ClamAV update process started at Sun Jul 30 16:24:12 2023 daily database available for download (remote version: 26984) Time: 3.4s, ETA: 0.0s [========================>] 58.80MiB/58.80MiB WARNING: ******* RESULT 200, SIZE: 61651705 ******* Testing database: '/var/db/clamav/tmp.f72e85ffba/clamav-646abc997b2bb3ce93f906a9f4b8a601.tmp-daily.cvd' ... Database test passed. daily.cvd updated (version: 26984, sigs: 2039433, f-level: 90, builder: raynman) main database available for download (remote version: 62) Time: 9.1s, ETA: 0.0s [========================>] 162.58MiB/162.58MiB WARNING: ******* RESULT 200, SIZE: 170479789 ******* Testing database: '/var/db/clamav/tmp.f72e85ffba/clamav-ebbe3d29c4dc3f4a215f27e9a22a1884.tmp-main.cvd' ... Database test passed. main.cvd updated (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr) bytecode database available for download (remote version: 334) Time: 0.3s, ETA: 0.0s [========================>] 285.12KiB/285.12KiB WARNING: ******* RESULT 200, SIZE: 291965 ******* Testing database: '/var/db/clamav/tmp.f72e85ffba/clamav-6255c6444f66eec3a9faa4e90a30a0be.tmp-bytecode.cvd' ... Database test passed. bytecode.cvd updated (version: 334, sigs: 91, f-level: 90, builder: anvilleg) WARNING: Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.sock: No such file or directory |
1.4 ClamAV起動
ClamAVの自動起動設定
|
1 2 3 4 |
# vi /etc/rc.conf 以下を追記 clamav_clamd_enable="YES" clamav_freshclam_enable="YES" |
起動する
|
1 2 3 4 5 |
# /usr/local/etc/rc.d/clamav-clamd start Starting clamav_clamd. # /usr/local/etc/rc.d/clamav-freshclam start Starting clamav_freshclam. |
1.5 手動ウイルスチェック
手動でウイルスチェックを行う場合は以下を実行
|
1 2 3 4 5 6 7 8 9 10 11 12 |
# clamscan --infected --remove --recursive -r /home ----------- SCAN SUMMARY ----------- Known viruses: 8679505 Engine version: 1.2.1 Scanned directories: 18 Scanned files: 37 Infected files: 0 Data scanned: 0.02 MB Data read: 0.01 MB (ratio 2.00:1) Time: 15.209 sec (0 m 15 s) Start Date: 2023:11:24 18:12:30 End Date: 2023:11:24 18:12:45 |
1.6 自動ウイルススキャン
• スキャン範囲は /home/ とする
• スキャン結果を /var/log/clamav.log に出力
• 検知したウイルスを自動削除
• 毎日実行
上記条件で実行スクリプトを作成する
①ウイルス格納ディレクトリの作成
|
1 |
# mkdir -p /var/lib/clamav/virus |
➁シェルスクリプト作成
|
1 2 3 4 5 6 7 8 |
# vi /etc/clamscan.sh 下記内容を記述 #!/bin/sh # clamscan script CLAMSCAN='/usr/local/bin/clamscan' echo "clamscan start "`date '+%Y%m%d'` $CLAMSCAN --log=/var/log/clamav/clamav.log -i --move=/var/lib/clamav/virus/ -r /home |
スクリプトに実行権限を付与
|
1 |
# chmod 755 /etc/clamscan.sh |
AM0:00に実行されるようcronに登録
|
1 2 3 |
# crontab -e 下記内容記述 0 0 * * * /etc/clamscan.sh > /dev/null 2>&1 |
試しに下記を実行する
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
# /etc/clamscan.sh clamscan start 20230730 ----------- SCAN SUMMARY ----------- Known viruses: 8671328 Engine version: 1.1.0 Scanned directories: 21 Scanned files: 63 Infected files: 0 Data scanned: 0.00 MB Data read: 0.00 MB (ratio 0.00:1) Time: 23.208 sec (0 m 23 s) Start Date: 2023:07:30 17:13:26 End Date: 2023:07:30 17:13:49 |
/var/log/clamav/clamav.logを見ると上記と同様のログがあります
2. Amavis
ClamAVとPostfixを連携させるAmavisをインストールします
2.1 インストール
|
1 2 |
# cd /usr/ports/security/amavisd-new # make config |
オプション設定は以下のようにしました
SPAMASSASINは入れておく
|
1 |
# make install clean |
IPv6は必要ないので項目を外す
その他はデフォルトで進めます
2.2 設定ファイル編集
amavisd.conf編集
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
# vi /usr/local/etc/amavisd.conf 13行目 : コメント解除 # @bypass_spam_checks_maps = (1); @bypass_spam_checks_maps = (1); 23行目: 自ドメイン名に変更する $mydomain = '<domain name>'; 155行目 : 自ホスト名に変更 # $myhostname = 'host.example.com'; $myhostname = 'mail.<domain name>'; #自ホスト名に変更 157-158行目 : コメント解除 # $notify_method = 'smtp:[127.0.0.1]:10025'; # $forward_method = 'smtp:[127.0.0.1]:10025'; ↓ $notify_method = 'smtp:[127.0.0.1]:10025'; $forward_method = 'smtp:[127.0.0.1]:10025'; 386-389 行目 : コメント解除 # ### http://www.clamav.net/ # ['ClamAV-clamd', # \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.sock"], # qr/\bOK$/m, qr/\bFOUND$/m, # qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ], ↓ ### http://www.clamav.net/ ['ClamAV-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.sock"], qr/\bOK$/m, qr/\bFOUND$/m, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ], |
2.3 Amavis 自動起動設定
|
1 2 3 |
# vi /etc/rc.conf 下記を記述追加 amavisd_enable="YES" |
Amavis 起動
|
1 |
# /usr/local/etc/rc.d/amavisd start |
2.4 Postfixの設定
①main.cf編集
|
1 2 3 4 |
# vi /usr/local/etc/postfix/main.cf #最終行に追記 # Filter configuration content_filter = smtp-amavis:[127.0.0.1]:10024 |
➁master.cf編集
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
# vi /usr/local/etc/postfix/master.cf #最終行下記を追記 # Amavis configuration smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks |
3. SpamAssassinでスパム対策
3.1 SpamAssassinインストール
Amavisをインストールした際、オプションでspamassassinを選択しなかった場合下記要領でインストールする
|
1 2 |
# cd /usr/ports/mail/spamassassin # make install clean |
|
1 |
# chmod 644 /usr/local/etc/mail/spamassassin/v310.pre |
3.2 設定ファイル編集
|
1 2 3 4 |
# vi /usr/local/etc/mail/spamassassin/v310.pre 24行目 : コメント解除(TextCatを有効にする) loadplugin Mail::SpamAssassin::Plugin::DCC |
3.3 Spamassassin起動
|
1 2 3 4 |
# vi /etc/rc.conf 下記追加記述 spamd_enable="YES" |
|
1 2 3 |
# sa-update # /usr/local/etc/rc.d/sa-spamd start Starting spamd. |
3.4 SpamassAssinアップデート
アップデートスクリプトを作成する
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
# vi /etc/periodic/daily/620.spamassassin 下記内容を記入 #!/bin/sh PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin cd /usr/local/etc/mail/spamassassin wget -q https://github.com/kittyfreak/spamassassin_user_prefs/archive/refs/heads/main.zip [ $? -ne 0 ] && exit unzip main.zip >/dev/null 2>&1 [ $? -ne 0 ] && exit rm -f main.zip mv spamassassin_user_prefs-main/user_prefs . rm -rf spamassassin_user_prefs-main cp user_prefs local.cf cat << EOF >> local.cf report_safe 0 rewrite_header Subject ***SPAM*** EOF /usr/local/etc/rc.d/sa-spamd restart > /dev/null |
スクリプトに実行権限を付与
|
1 |
# chmod 755 /etc/periodic/daily/620.spamassassin |
スクリプトを実行すると、実行した日時のlocal.cffが作成される
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
# pkg install wget -y # /etc/periodic/daily/620.spamassassin # ls -l /usr/local/etc/mail/spamassassin total 520 -rw-r--r-- 1 root wheel 1649 Jul 31 19:08 init.pre -rw-r--r-- 1 root wheel 1649 Jul 31 19:08 init.pre.sample -rw-r--r-- 1 root wheel 500636 Aug 2 11:08 local.cf -rw-r--r-- 1 root wheel 3218 Jul 31 19:08 local.cf.sample drwx------ 2 root wheel 6 Jul 31 19:11 sa-update-keys/ -rw-r--r-- 1 root wheel 500588 Apr 30 10:24 user_prefs -rw-r--r-- 1 root wheel 2266 Jul 31 19:11 v310.pre -rw-r--r-- 1 root wheel 2267 Jul 31 19:08 v310.pre.sample -rw-r--r-- 1 root wheel 1168 Jul 31 19:08 v312.pre -rw-r--r-- 1 root wheel 1168 Jul 31 19:08 v312.pre.sample -rw-r--r-- 1 root wheel 2416 Jul 31 19:08 v320.pre -rw-r--r-- 1 root wheel 2416 Jul 31 19:08 v320.pre.sample -rw-r--r-- 1 root wheel 1237 Jul 31 19:08 v330.pre -rw-r--r-- 1 root wheel 1237 Jul 31 19:08 v330.pre.sample -rw-r--r-- 1 root wheel 1020 Jul 31 19:08 v340.pre -rw-r--r-- 1 root wheel 1020 Jul 31 19:08 v340.pre.sample -rw-r--r-- 1 root wheel 1315 Jul 31 19:08 v341.pre -rw-r--r-- 1 root wheel 1315 Jul 31 19:08 v341.pre.sample -rw-r--r-- 1 root wheel 1475 Jul 31 19:08 v342.pre -rw-r--r-- 1 root wheel 1475 Jul 31 19:08 v342.pre.sample -rw-r--r-- 1 root wheel 1266 Jul 31 19:08 v343.pre -rw-r--r-- 1 root wheel 1266 Jul 31 19:08 v343.pre.sample -rw-r--r-- 1 root wheel 1482 Jul 31 19:08 v400.pre -rw-r--r-- 1 root wheel 1482 Jul 31 19:08 v400.pre.sample |
3.5 postfix再起動
|
1 2 3 |
# /usr/local/etc/rc.d/postfix restart postfix/postfix-script: stopping the Postfix mail system postfix/postfix-script: starting the Postfix mail system |
3.6 スパムメールボックス作成
今回はIMAPを利用する場合
①既存ユーザー用スパムメールボックス作成
既存ユーザーをhuongとします
|
1 2 3 |
# mkdir -p /home/huong/Maildir/.spam/{cur,new,tmp} # chmod -R 700 /home/huong/Maildir/.spam # chown -R huong:huong /home/huong/Maildir/.spam |
➁追加ユーザー用スパムメールボックス作成
|
1 2 |
# mkdir -p /usr/share/skel/Maildir/.spam/{cur,new,tmp} # chmod -R 700 /usr/share/skel/Maildir/.spam |
3.7 procmailrc編集(IMAPの場合)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# vi /usr/local/etc/procmailrc 下記を記入 SHELL=/bin/sh PATH=/bin:/usr/bin:/usr/local/bin DROPPRIVS=yes MAILDIR=$HOME/Maildir DEFAULT=$MAILDIR/ SPAM=$MAILDIR/.spam/ #LOGFILE=$MAILDIR/procmail.log :0 * ^Subject:.*=\?[Ii][Ss][Oo]-2022-[Jj][Pp]\?[Bb]\?GyRCTCQ\+NUJ6OS05cCIo /dev/null # ヘッダーに「X-Spam-***」がない場合 spamassassin を起動 :0fw *!^X-Spam.* |spamassassin # ヘッダーに「X-Spam-Status: Yes」がある場合「.spam」ディレクトリに格納 :0 *^X-Spam-Status: Yes $SPAM |
3.8 スパムメール学習
スパムメール学習スクリプトを作成する
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# vi /etc/periodic/daily/620.sa-learn 下記を記入 #!/bin/sh # spamフォルダをスパムとして学習 /usr/local/bin/sa-learn --spam /home/*/Maildir/.spam/cur # Maildirフォルダを通常のメールとして学習 /usr/local/bin/sa-learn --ham /home/*/Maildir/cur # spamフォルダ削除する場合は下記をコメント解除 #/bin/rm -f /home/*/Maildir/.spam/cur/* |
3.9 スパムメール送信テスト
Thunderbirdで本文に下記を記入し、自分あてに送信する
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
受信メールのヘッダーに下記のような表示が出る
X-Spam-Checker-Version: SpamAssassin 4.0.0 (2022-12-14) on Lepard
X-Spam-Flag: YES
X-Spam-Level:**************************************************
X-Spam-Status: Yes, score=1002.4 required=13.0 tests=ALL_TRUSTED,
CONTENT_TYPE_PRESENT,GTUBE,HTML_MESSAGE,MIMEQENC,MPART_ALT_DIFF,
MULTIPART_ALTERNATIVE,QENCPTR1,QENCPTR2,T_SCC_BODY_TEXT_LINE
autolearn=no autolearn_force=no version=4.0.0
X-Spam-Report:
* 0.1 ALL_TRUSTED Passed through trusted hosts only via SMTP
* -0.1 CONTENT_TYPE_PRESENT exists:Content-Type
* 0.1 MULTIPART_ALTERNATIVE Multipart/alternative
* 1000 GTUBE BODY: Generic Test for Unsolicited Bulk Email
* 1.0 HTML_MESSAGE BODY: HTML included in message
* 0.7 MPART_ALT_DIFF BODY: HTML and text parts are different
* 0.2 QENCPTR2 FULL: Quoted-Printable mime pattern
* 0.2 MIMEQENC FULL: Quoted-Printable mime definition
* 0.2 QENCPTR1 FULL: Quoted-Printable mime pattern
* -0.0 T_SCC_BODY_TEXT_LINE No description available.