Amavis - A Mail Virus Scanner

Što je to amavisd, amavisd-new, amavis-ng?

• Amavis je ispočetka bio obična shell skripta, a njen razvoj je davno zaustavljen.
  
• Amavis-perl je (očekivano) prerađena i popravljena inačica Amavisa napisana u interpreterskom jeziku perl. Razvoj ove inačice je također zaustavljen.
  
• Amavisd je daemonizirana perl inačica Amavisa, a njeno službeno ime je vraćeno na Amavis. Detalje pogledajte na www.amavis.org.
  
• Amavisd-new (inačica koju paketiramo i dajemo vama na uporabu) je prepravljena verzija amavisda, a održava je Mark Martinec, i to iz susjedne Slovenije. Ova inačica se najbrže razvija i uključuje mnoge stvari koje ne postoje ni u službenoj inačici Amavisa.
  
• Amavis-ng je nova generacija Amavisa (od istih autora), ali nije razvijena kao ostale inačice. Vjerojatno će jedina opstati kao službena, a bilo bi dobro kad bi uključivala sve što ima Amavisd-new.

Kako instalirati Amavis?

Linux: apt-get install amavisd-cn

Solaris (nema apt-geta, pa ćete sve morati ručno sa dpkg -i)
Trebaju vam ovi paketi:

sweep
amavisd
bunch-perl-modules
bunch-archivers
file
perl
zlib
findutils
carnet-tools
spamassassin
razor
sophie od inačice 20021227 više nije potrebna

VRLO VAŽNO: Instalacijom sweep paketa (i linux i solaris inačice) NE DOBIJATE antivirusnu provjeru. Razlog je nemogućnost distribucije Sweepa u njegovoj binarnoj inačici. Ono što dobijate je cjelokupno sučelje prema skidanju, instaliranju i distribuciji sweepa. Prije startanja amavis(d)-a MORATE je pokrenuti naredbu 'sophos-sweep-update' koja će vas pitati za Password dodijeljen vašoj instituciji, te sve ostalo sama napraviti.

Hoće li mi se izgubiti neki važan mail?

Prije slanja ikakvih poruka na sistemci@carnet.hr ili bug reporta na sistemac@carnet.hr, ubijte sve amavis procese sa

pkill amavis

te startajte amavis:

amavisd debug

Ovdje će vam se u konzoli ispisati detaljan proces podizanja procesa, te je velika šansa da ćete naći uzrok problema sami. Ako nađete uzrok, a ne znate rješenje, onda napravite Copy/Paste i šaljite bug-report.

Možete učiniti i ovako: povećajte $log_level varijablu na barem 2 i restartajte amavis. Onda možete pratiti situaciju u log datoteci

/var/log/mail/mail.log (linux) 

ili

/var/log/mail.log (solaris)

Gdje mogu promijeniti parametre Amavisa?

Linux: /etc/amavisd.conf

Solaris: /usr/local/etc/amavisd.conf

Gdje mogu naći više podataka o Amavisu (i srodnim programima)?

Moram li rabiti baš Sophos sweep?

Ne. No, kako je MZT kupilo licence Sweepa bilo je logično orijentirati se na Sweep. Vi možete rabiti bilo koji drugi AV program koji radi na Unixu, i eventualno uključiti podršku za njega u amavisd.conf (velika većina je već uključena). Ipak, instalirajte naš paket sweep, kako bi postojao korisnik 'sweep' i bile učinjene sve predradnje koje zahtijeva amavisd paket.

Sophosovi developeri su neoprezno promijenili neke opcije u svom SAVI biblioteci, što je naglo prouzročilo pad svim Amavis instalacija. Nova inačica je izašla baš u petak, što je dodatno otežalo okolnost.

Otkomentirajte slijedeći redak u amavisd.conf:

@bypass_spam_checks_acl  = qw( . );

Otkomentirajte slijedeći redak u amavisd.conf:

@bypass_virus_checks_acl  = qw( . );

Promijenite redak u amavisd.conf u:

$bypass_decode_parts = 1;

Ovo će isključiti raspakiranje attachmenta u mailovima, što će primjetno doprinijeti brzini pregleda. OPREZ, ovime se pouzdajete da vaš AV softver zna pregledavati arhive tog tipa (ne mislimo ovdje samo na ZIP, nego i na UUE, XXE, yenc, tnef...). Ako on to iz nekog razloga ne uspije, postoji određena šansa da će virus proći, pogotovo noviji tipovi koji rabe svakakve trikove ne bi li se uspjeli provući kroz zaštitu (Yaha-K rabi nepravilno enkodirane Base64 poruke, koje Amavisovi moduli ne mogu raspakirati, ali zato MS Outlook Express i Outlook mogu).

Trenutno ne postoji podrška za isključivanje samo nekih (de)arhivera (inačica 20031606-p6), ali se planira u slijedećem izdanju. Do tad je dovoljno zakomentirati, primjerice:

 /^\.zip$/  && return do_unzip($part,0,$tempdir);

za isključivanje raspakiravanja .zip arhiva.

Kako isključiti inicijalizaciju SAVI-ja svaki put kad novi child starta?

Od inačice paketa 0.0.20030314 inicijalizacija je isključena

Od inačice paketa 0.0.20030616-p6 inicijalizacija je ponovo uključena (vidi razlog dolje)!

Otkomentirajte slijedeći redak u amavisd (redak 5028):

$savi = Amavis::AV::sophos_savi_init(@$_)  if $savi_module_ok;

Ovo će isključiti inicijalizaciju SAVI-ja (što dosta traje od inačice 3.67) svakih $max_requests puta. No, ovime povećate šansu da koji najnoviji virus promakne (sjetite se kako se brzo Slammer crv proširio), jer će SAVI biti inicijaliziran samo jednom kod startanja i do slijedećeg signala HUP se baza virusa neće povećavati (što može trajati danima!).

Pokrenite amavisd s parametrom debug-sa:

# amavisd debug-sa

amavisd foreground

Kako blokirati mail s cijele domene?

map { $blacklist_sender{lc($_)}=1 } (qw( .nepozeljna.domena.com ));

ili

@blacklist_sender_acl = qw( .nepozeljna.domena.com );

Koje greške u logovima mogu ignorirati??

1. forward_method is null (probably milter setup), DISABLING SMTP-in AS A
   PRECAUTION
   

   Kako rabimo milter način povezivanja, ovu poruku je moguće zanemariti.

2. Lookup::SQL code       NOT loaded
   

   Kako (još) ne rabimo SQL Lookupe, ovu poruku je moguće zanemariti.

3. SMTP-in protocol code  NOT loaded
   

   Kako rabimo milter način povezivanja, ovu poruku je moguće zanemariti.

4. Mar 18 13:48:22 stroj amavis[1922]: [ID 702911 mail.info]
   (01122614) spam_scan: not wasting time on SA, message body longer than 65536 bytes
   

   Samo 1% spamova je veće od 64 kB, pa amavis ovakve mailove ne pregledava u potrazi za spamovima (virusi se i dalje pokušavaju pronaći!).

5. The mail originated from: <>
   

   Ova se "greška" ni ne pojavljuje u logovima, nego u obavijestima pošiljatelju i/ili primatelju i adminu. Virus nije ispostavio e-mail adresu prilikom SMTP sesije (gdje se nalazi Envelope From) pa je amavis ni nije mogao vidjeti. Ignorirati.

Što znači greška...

1. Net::Server: 2003/02/28-11:35:22
   Pid_file already exists for running process (3072)... aborting%0A%0A  at
   line 226 in file /usr/local/share/perl/5.8.0/Net/Server.pm
   

   Prvo napomena...

   Ovaj perl modul se na linuxu ovdje ne smije nalaziti. Osvjezite verzije perl-cn (najmanje 5.8.0-2) i bunch-perl-modules-cn (najmanje 5.8.0-4). Iako -cn paketi nose oznaku 5.8.0, perl na linuxu je još uvijek 5.6.1! Putanja na Solarisu je ova:

   /usr/local/lib/perl5/site_perl/5.8.0/Net/Server.pm
   

   Rješenje:

   /etc/init.d/amavis stop
   rm -f /var/lib/amavis/amavisd.pid
   rm -f /var/run/amavis/amavisd.pid
   /etc/init.d/amavis start
   

2. Mar  4 16:01:26 stroj amavis[1165]: (08443152) TROUBLE in check_mail:
   decoding FAILED: Insecure directory in $ENV{PATH} while running with -T
   switch at /usr/sbin/amavisd line 3082.
   

   Neki od direktorija u putanji (PATH-u) ima previše prava pisanja, ili se u njoj nalazi '..' ili '.'. Pregledajte koji je to direktorij i smanjite prava (chmod-om). Default putanja je:

   /usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin
   

3. Net::SMTP version 2.24 required--this is only version 2.22 at
   /usr/sbin/amavisd line 2225.
   BEGIN failed--compilation aborted at /usr/sbin/amavisd line 2225.
   

   Problem se javlja samo na Linuxu. Rješenje: Pobrišite perl module u

   /usr/local/lib/perl/5.6.1/Net
   

   U principu možete obrisati sve perl module u /usr/local direktorijima, ali napravite backup prije toga, da ne biste obrisali nešto što treba nekom drugom paketu. Ovo je zaostatak od starog amavisa koji je nosio perl module sa sobom...

4. Failed to create default user preference file /var/lib/amavis/.spamassassin/user_prefs
   

   touch /var/lib/amavis/.spamassassin/user_prefs
   chown sweep:sweep /var/lib/amavis/.spamassassin/user_prefs
   

Ako ne želite obavijesti pošiljateljima ni primateljima, ali adminu da, postavite u amavisd.conf:

$final_virus_destiny = D_DISCARD;

Postoji linija u amavisd.conf gdje upisujete za koje viruse ne treba slati obavijesti, jer lažiraju From polje:

$viruses_that_fake_sender_re = new_RE(
  qr'nimda|hybris|klez|bugbear|yaha|braid|sobig|fizzer|palyh|sobig'i );

Ako hocemo sprijeciti poruke adminu:

# $virus_admin = undef;   # do not send virus admin notifications

Ne preporučuje se, bolje je preusmjeriti obavijesti na neku drugu adresu:

$virus_admin = "pero.zdero\@$mydomain";

Ova se poruka javlja u obliku sličnom ovom:

UNIX socket /var/run/clamd/sock: Permission denied

Problem je što korisnik 'viruser' nema pravo čitanja i pisanja po tom socketu. Provjerite imaju li korisnici 'viruser' i 'sweep' iste ID oznake:

id viruser
id sweep

Ako nemaju isti UID, pomoću naredbe usermod promijenite jednom od korisnika UID na UID onog drugog. Ili, najjednostavnije, redoslijed instaliranja treba biti:

apt-get install sweep-cn
sophos-passwd
sophos-sweep-update
apt-get install amavisd-cn

Spammassassin provjera može dugo potrajati,a ova će skripta pomoći u procjeni treba li isključiti spamassassin ili isključiti samo neke testove itd. Vjerojatno će trebati uključiti veći 'log level' da biste vidjeli TIMING unose u logovima.

Korist od ovog je u slučaju da vaš mail-server radi kao odlazni mail-server za više domena.

 
$local_domains_re = new_RE(qr'.*'i);

 
@local_domains_acl = ('.');

 
@local_domains_acl = qw(!.exclude1.com !exclude.this.dom .);

Moguća uporaba ove opcije je kad pojedinim (provjerenim i pouzdanim) korisnicima želite omogućiti primanje poruka koje inače branite drugima (s attachmentima .wmv, .mp3, .pps itd.).

 
@bypass_banned_checks_acl = qw( user1@mydomain.com user2@mydomain.com );

 
@banned_files_lovers_acl = qw( user1@mydomain.com user2@mydomain.com );

Ovo niti je preporučljivo, niti izvedivo u potpunosti (barem u inačici 20031606-p6). Ne treba vršiti odluke na osnovu e-mail adrese koja može biti lažirana.

@bypass_banned_checks_acl = ( "!.$mydomain", "." );

Mana ove solucije je da neće raditi ukoliko je i primatelj lokalni, ili barem jedan od primatelja na listi lokalni korisnik. Slijedeće inačice amavisa će podržavati opciju 'banned_files_lovers'.

$final_spam_destiny = $final_virus_destiny = D_REJECT;
@spam_lovers_acl = @virus_lovers_acl = qw( !user1@example.com !user2@example.com .example.com );

$max_requests varijabla određuje koliko će zahtjeva odraditi svaki thread amavisa. Nakon toga se taj thread gasi. Obično ova vrijednost ni u kom slučaju ne treba biti veća od 10 (u najgorem slučaju 20). Default vrijednost je 10. Razlog zašto je to tako je povećanje virtualne memorije za svaki mail. Ukoliko ne rabite spamassassin, ili imate ograničenje na veličinu maila, onda se ova vrijednost može povećavati. Pogledajte dio "Kako radi amavis?".

Postoji, i to na adresi:

Amavis je složen skup perl skripti, perl modula i vanjskih programa. Objasnit ćemo neke principe rada (ovaj dio je još u izradi!). ...

Svaki mail se otpakirava (ako ima attachment. Tijelo poruke se snima u datoteku email.txt, a zaglavlja se spremaju u memoriju. Snimanje na disk je sporo, ali nužno zbog traženja virusa. Joše jedna (ne tako očita) prednost je ta što se ne uzimaju velike količine memorije za svaki mail. Izuzetak je spamassassin koji cijelu poruku sprema u memoriju.

Spremanje u memoriju nije "opasno" samo po sebi, jer procesi oslobode memoriju nakon završetka. No, povećava se i nikad ne smanjuje virtualna memorija. Može se samo povećati kako bi mogla primiti najveći mail koji je do sad obrađen. Tek nakon $max_requests puta može se i virtualna memorija anulirati. Posljedica povećanja $max_requests je dakle dulji vijek trajanja virtualne memorije (koja se ne oslobođa za cijelo vrijeme trajanja threada).

Radi se o pluginu za squirrelmail koji omogućava korisnicima da sami postavljaju whiteliste u amavisd, odnosno spamassassin. Također, mogu pregledavati karantenu u potrazi za eventualnim "false positive" porukama.

Točno. Ako ipak želite spriječiti pregled maila za neke korisnike u potrazi za spamom (što zna dugo trajati), rabite @bypass_spam_checks_acl. Ako je mail poslan na više adresa, onda svi primatelji moraju biti navedeni u @bypass_spam_checks_acl. Najbrži način za postizanje cilja:

@spam_lovers_acl = qw( user@somewhere.net .client.org );
@bypass_spam_checks_acl = @spam_lovers_acl;

$warnbannedrecip = 1;

Postoje tri moguća razloga:

• Digest maila je već pronađen u cacheu i zato nije provedeno ponovno skeniranje
• rabili ste bypass_virus_checks?
• Obrana od mail bombi je stavila mail na čekanje (pogledajte logove za točno objašnjenje)

$warnbannedrecip = 1;

SpamAssassin ima skup ugrađenih pravila po kojima može prepoznati spam. Ova se pravila mogu nadograđivati. Jednostavno, postavite svoja pravila u direktorij /etc/mail/spamassassin. Neki primjeri:

http://www.merchantsoverseas.com/wwwroot/gorilla/bigevil.cf
http://www.merchantsoverseas.com/wwwroot/gorilla/sa_rules.htm
http://spamhammers.nxtek.net/
http://www.emtinc.net/spamhammers.htm
http://www.exit0.us

Dobra praksa je pokrenuti 'spamassassin -D --lint' prije ponovnog pokretanja amavisda ('amavisd reload') kako biste provjerili jesu li nova pravila korektno napisana.

Ovaj način je zgodan jer može načiniti sustav koji će 'učiti' na postojećim mailovima i sprječavati nove sliče mailova. Ova funkcija se bazira na Bayesovim bazama i šteta je ne korstiti je. Da biste preusmjerili sav spam na jednu adresu, upišite u amavisd.conf:

$spam_quarantine_to='spammailbox@'

$warnvirussender radi samo ako je $final_virus_destiny postavljen na D_PASS. Ako želite slati obavijesti pošiljatelju (nije više poželjno, jer većina novih virusa lažira podatke), postavite $final_virus_destiny na D_BOUNCE. Ako ih želite spiječiti, postavite $final_virus_destiny na D_DISCARD (što nije baš lijepo s gledišta mail servera, ali...).

Omogućava sa SpamAssassin rabi vanjske testove (RBL-ove preko Interneta, poput ordb.org) u potrazi za spamom. Ovo naravno usporava isporuku maila (i server), ali je preciznije u prepoznavanju maila i traži da mreža radi.

$sa_local_tests_only = 0;

$sa_local_tests_only = 1;

amavis-stats je baziran na rrd-toolu, a omogućava kreiranje statistike o spamu, zaraženim i "čistim" mailovima. RRD datoteke se generiraju iz crona, a grafovi se generiraju iz php skripte. Softver može skinuti sa:

http://chili.nar.com.au/~mark/amavis-stats/

Obično su /var/amavis/amavis-* datoteke samo kopije mailova i mogu se obrisati. No, ako ste slučajno izgubili te mailove iz queuea, možete te mailove pokušati poslati sa:

sendmail -i -f sender recip1 recip2 recip3  < email.txt

Prije toga valja iz datoteka email.txt izvaditi podatke o primateljima i pošiljateljima (možete obrisati parts/* datoteke).

Najbitnija je razlika da amavis nikad ne mijenja tijelo poruke, nego samo zaglavlje (a i to u ograničenom smislu u milter načinu koji CARNet rabi). Stoga, samo se neki parametri iz /etc/mail/spamassassin rabe, poput onih koji kontroliraju izračun scorea, omogućava vanjskih testova, kontrolu Bayes baze itd.

Bayes auto-expire traje dulje nego defaultni timeout. Da biste to spriječili, u cron ubacite redak poput ovog:

su amavis;  sa-learn --force-expire --rebuild

U CARNetovom paketu se ovo događa prilikom svakog startanja amavisa.

amavisd debug-sa >0.log 2>&1

Odkomentirajte dio u amavisd izvršnoj datoteci

      # $hdr_edits->append_header('X-Spam-Report',
      #                           $spam_report,1)  if $spam_report ne '';

Stavite pošiljatelja čije poruke želite pratiti u polje @debug_sender_acl i te se poruke neće brisati iz amavis direktorija.

  @debug_sender_acl = qw( debug@example.com );

Stavite pošiljatelja čije poruke želite pratiti u polje @debug_sender_acl i te se poruke neće brisati iz amavis direktorija.

  @debug_sender_acl = qw( debug@example.com );

U amavisd.conf ukucajte u polje @av_scanners_backup ovo:

['always-clean', sub {0}],

Pogledajte slijedeće URL-ove za objašnjenje:

http://www.paulgraham.com/spam.html
http://www.paulgraham.com/better.html

http://www.emtinc.net/includes/pbw.cf
http://www.merchantsoverseas.com/wwwroot/gorilla/bigevil.cf
http://bane.moonblade.net/~teun/obfu.cf

Amavis uvažava sve postavke iz local.cf (ili korisničke konfiguracije), ali ne prihvaća bilo koju opciju koja ne neki način mijenja sadržaj poruke. Amavis nikada ne mijenja sadržaj poruke, samo zaglavlje. Osim toga, opcije $sa_* u amavisd.conf zamjenjuje opcije 'required_hits' i neke 'add_header' opcije SpamAssassina.

Tzv. crne i bijele liste služe za pravljenje iznimaka u odnosu na neka globalna pravila u Amavisu. Primjerice, želite primati samo poruke od određenog korisnika, a ostale s domene 'yahoo.com' ignorirati. I obrnuto je također moguće, a navest ćemo samo najbitnije parametre, dok konfiguracija slijedi već uobičajeni stil u amavisd.conf.

  %whitelist_sender, @whitelist_sender_acl, $whitelist_sender_re
  %blacklist_sender, @blacklist_sender_acl, $blacklist_sender_re
  $per_recip_blacklist_sender_lookup_tables
  $per_recip_whitelist_sender_lookup_tables
  %spam_lovers, @spam_lovers_acl, $spam_lovers_re

Najbolje je što popisi korisnika koj iželite primati spam ili korisnika na crnoj listi mogu biti u posebnim datotekama. Učitavanje se vrši s naredbom (dopušteni su komentari i prazne linije, a unosi su case-insensitive):

  read_hash(\%spam_lovers,      "$MYHOME/spam_lovers");
  read_hash(\%blacklist_sender, "$MYHOME/blacklist_sender");

Pozor: bijele liste unutar amavisa vide envelope adresu pošiljatelja (onu iz SMTP sesije), dok SA bijele liste vide zaglavlje (From: polje). Isto tako, ako je nešto već ubačeno u bijelu listu amavisa, preskače se pozivanje SpamAssassina u potpunosti.
Za detalje pogledajte README.lookups. Lookupi preko nekog SQL servera su također podržani!