14、邮件服务器病毒扫描配置指南

邮件服务器病毒扫描配置指南

在当今数字化的时代，邮件安全至关重要。为了确保邮件服务器的安全性，我们可以使用不同的工具进行病毒扫描。本文将详细介绍如何使用 AVMailGate 和 AMaViSd-new 作为邮件的病毒扫描器，并提供具体的操作步骤。

1. 使用 AVMailGate 作为邮件病毒扫描器

AVMailGate 是一款强大的邮件病毒扫描工具，以下是安装和配置它的详细步骤：
1.安装 AVMailGate
- 从主菜单启动 YaST。
- 输入根密码（novell）并选择“确定”。
- 在 YaST 控制中心中，选择“软件”>“软件管理”。
- 从过滤器下拉菜单中选择“搜索”。
- 在搜索字段中输入“avmailgate”，然后选择“搜索”。
- 在右侧选择“avmailgate”软件包。
- 选择“接受”，然后插入 SUSE Linux Enterprise Server 10 DVD。
- 选择“继续”以解决依赖关系。
- 安装完成后，取出 DVD 并关闭 YaST 控制中心。
2.配置 Postfix 使用 AVMailGate 作为内容过滤器
- 使用文本编辑器打开文件/etc/postfix/master.cf。
- 取消注释以下行（在一行上）：

localhost:10025 inet n - n - - smtpd -o content_filter=

- 在 `/etc/postfix/main.cf` 中添加以下行：

content_filter = smtp:127.0.0.1:10024

- 保存文件。 - 输入 `postfix reload` 重新加载 Postfix。

3. 配置 AVMailGate 使用的端口
   • 编辑/etc/avmailgate.conf，确保 AVMailGate 监听端口 10024 而不是端口 25：

ListenAddress 127.0.0.1 port 10024

- 编辑 `/etc/avmailgate.conf`，确保 AvMailGate 通过 SMTP 在主机 `localhost` 上通过端口 10025 将邮件发送回 Postfix：

ForwardTo SMTP: localhost port 10025

- 由于 AvMailGate 以 AvMailGate 的身份发送通知消息，因此在 `/etc/aliases` 中设置别名：

avmailgate: root

- 输入 `newaliases` 更新别名。 - 输入 `rcavgate start` 启动 AVMailGate。

4. 使用 CD 中的病毒文件检查配置
   • 以用户geeko身份登录。
   • 输入以下命令向用户root发送受感染的邮件：

mail root -s “Virus Test” -a /media/cdrecorder/section_4/sample-virus-executable.txt

- 输入一些邮件消息文本：

This is an infected mail.

- 以用户 `root` 身份登录。 - 输入 `mailq` 检查邮件队列是否为空。 - 输入 `mail` 检查受感染的邮件是否到达。 - 输入 `ls /var/spool/avmailgate/rejected` 检查受感染的邮件是否被检测到。

5. 更新病毒签名
   • 输入/usr/lib/AntiVir/antivir --update --check检查病毒签名的新版本。
   • 输入/usr/lib/AntiVir/antivir --update下载病毒签名。

2. AMaViSd-new 简介

AMaViSd-new 是一个邮件病毒扫描器，由守护进程和一些可选的辅助程序组成。邮件服务器将所有传入和传出的邮件发送到 AMaViSd，它会提取并测试这些邮件。AMaViSd 可以识别四种不需要的邮件：
- 无效标题的邮件。
- 禁止的文件类型的邮件。
- 包含病毒的邮件。
- 垃圾邮件。

AMaViSd 按上述顺序测试传入的邮件。如果没有发现问题，AMaViSd-new 将把邮件发送回邮件服务器，准备投递。默认情况下，AMaViSd-new 在端口 10024 监听来自邮件服务器的传入邮件，并通过端口 10025 将干净的邮件发送回邮件服务器。

3. 安装 AMaViSd-new

要安装 AMaViSd-new，选择amavisd-new软件包。需要注意的是，如果系统上没有安装病毒扫描器，AMaViSd-new 将无法工作。如果只想使用 AMaViSd-new 进行垃圾邮件过滤，可以在/etc/amavisd.conf中搜索@bypass_virus_checks_acl并删除该行开头的注释符号（“#”）。此外，还应该安装压缩工具gzip、bzip2、arc、lha、unrar、zoo、cpio和lzop。

在 SUSE Linux Enterprise Server 10 安装期间，会创建一个用户vscan，用于 AMaViSd。安装完成后，可以使用rcamavis start启动守护进程，该守护进程应监听端口 10024。

以下是启动守护进程后检查端口监听情况的示例：

da51:~ # grep vscan /etc/passwd vscan:x:65:104:Vscan account:/var/spool/amavis:/bin/false da51:~ # telnet 127.0.0.1 10024 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 [127.0.0.1] ESMTP amavisd-new service ready

使用 SMTP 命令可以编写邮件，示例如下：

da51:~ # telnet 127.0.0.1 10024 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 [127.0.0.1] ESMTP amavisd-new service ready mail from: jgoldman@digitalairlines.com 250 2.1.0 Sender jgoldman@digitalairlines.com OK rcpt to: geeko@digitalairlines.com 250 2.1.5 Recipient geeko@digitalairlines.com OK data 354 End data with <CR><LF>.<CR><LF> Subject: Test Test . 250 2.6.0 Ok, id=09232-01, from MTA([127.0.0.1]:10025): 250 Ok: queued as 5747B16A68 quit 221 2.0.0 [127.0.0.1] amavisd-new closing transmission channel Connection closed by foreign host.

邮件头应该包含amavisd的行，示例如下：

From jgoldman@digitalairlines.com Tue May 16 15:30:58 2006 X-Original-To: geeko@digitalairlines.com Delivered-To: geeko@digitalairlines.com Subject: Test X-Virus-Scanned: amavisd-new at example.com Date: Tue, 16 May 2006 15:30:58 -0400 (EDT) From: jgoldman@digitalairlines.com To: undisclosed-recipients:; Test

4. 配置 AMaViSd-new

在 SUSE Linux Enterprise Server 10 上，可以通过编辑以下文件来配置 AMaViSd-new：
-/etc/sysconfig/amavis
-/etc/amavisd.conf

4.1/etc/sysconfig/amavis

该配置文件仅适用于 SUSE Linux 产品，其中只有两个参数：
-USE_AMAVIS：如果设置为“yes”，Sendmail 或 Postfix 将准备使用 AMaViSd-new。
-AMAVIS_SENDMAIL_MILTER：如果设置为“yes”，将启动 Sendmail 的 milter（邮件过滤器）接口。

修改/etc/sysconfig/amavis文件后，需要运行SuSEconfig命令。将USE_AMAVIS设置为“yes”会在/etc/postfix/master.cf中进行三个更改：
-smtp协议
-smtps协议（仍标记为注释）
- 端口 10025

还需要在该文件中为amavis添加一个进程：

smtp inet n - n - 2 smtpd -o content_filter=smtp:[127.0.0.1]:10024 #smtps inet n - n - 2 smtpd -o smtpd_tls_wrappermode=yes -o content_filter=smtp:[127.0.0.1]:10024 localhost:10025 inet n - n - - smtpd -o content_filter= smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20

在 Postfix 配置文件/etc/postfix/main.cf中，需要添加以下行：

content_filter = smtp-amavis:[127.0.0.1]:10024

然后通过输入rcpostfix reload重启 Postfix。

4.2/etc/amavisd.conf

AMaViSd 通过编辑/etc/amavisd.conf文件进行配置，该配置文件的语法是纯 Perl 代码，每行以分号结尾。在双引号字符串中，“$”和“@”有特殊含义，需要使用反斜杠转义；在单引号字符串中，“$”和“@”失去特殊含义，通常使用单引号字符串更方便。在两种情况下，反斜杠都需要加倍。

在 AMaViSd-new 的文档目录/usr/share/doc/packages/amavisd-new/中，还有另外两个版本的配置文件：
-amavisd.conf-default：包含所有可能的参数及其默认值。
-amavisd.conf-sample：一个结构更清晰的文件，包含大量的解释和示例。

以下是/etc/amavisd.conf文件中一些重要参数的介绍：
-@bypass_virus_checks_maps：该数组包含病毒查找表的列表。可以通过将该数组设置为“1”（取消注释该行）来禁用病毒检查。
-@bypass_spam_checks_maps：该数组包含垃圾邮件查找表的列表。可以通过将该数组设置为“1”（取消注释该行）来禁用垃圾邮件检查。
-@bypass_banned_checks_maps：启用对禁止名称或文件类型的检查。
-@bypass_header_checks_maps：启用对无效标题的检查。
-$max_servers：预派生子进程的数量，应与 MTA 管道的数量匹配，例如/etc/postfix/master.cf中的maxproc字段。
-$daemon_user和$daemon_group：守护进程将切换到的用户和组。
-$mydomain：域名。
-$MYHOME：AMaViSd-new 文件的存储位置。
-$TEMPBASE：AMaViSd-new 可以使用的临时目录的路径，该目录必须存在或需要手动创建。
-$QUARANTINEDIR：受感染邮件的存放路径，可以是文件（路径不以反斜杠结尾）、目录（路径以反斜杠结尾）或禁用（留空）。
-$quarantine_subdir_levels：如果设置为“1”，将在$QUARANTINEDIR中创建子目录以分散隔离。
-$daemon_chroot_dir：在指定的 chroot 监狱中运行守护进程，如果不想使用 chroot，留空即可。
-$db_home：数据库的路径，默认值为$MYHOME/db。
-$helpers_home：设置环境变量$HOME，该值将传递给其他 SpamAssassin 模块。
-$pid_file：PID 文件的路径。
-$lock_file：锁文件的路径。
-@local_domains_maps：用于确定收件人是否为本地收件人的查找表列表，即消息是否为外发消息。
-@mynetworks：IP 范围列表，用于确定原始 SMTP 客户端 IP 地址是否属于内部网络，即邮件是否来自内部。
-$log_level：日志级别，不同级别有不同的日志输出内容：
- 0：启动/退出/失败消息，检测到的病毒。
- 1：从客户端传递的参数，一些更有趣的消息。
- 2：病毒扫描器输出，时间。
- 3：服务器，客户端。
- 4：分解部分。
- 5：更多调试细节。
-$log_recip_templ：日志文件条目的模板，可用宏的列表可以在/usr/share/doc/packages/amavisd-new/README_FILES/README.customize中找到。
-$DO_SYSLOG：如果设置为“1”，将使用 syslog 守护进程进行日志记录。
-$SYSLOG_LEVEL：syslog 日志记录的级别。
-$enable_db：启用 BerkeleyDB/libdb 的使用。如果启用，可以使用$enable_global_cache启用 libdb 缓存。
-$inet_socket_port：AMaViSd-new 应监听的端口号。
-$unix_socketname：如果使用 Sendmail milter，需要在此处输入套接字名称。
-$sa_tag_level_deflt：如果垃圾邮件级别达到或超过给定数字，将向邮件添加垃圾邮件信息头。
-$sa_tag2_level_deflt：如果垃圾邮件级别达到或超过给定数字，将向邮件添加检测到垃圾邮件的头。
-$sa_kill_level_deflt：如果垃圾邮件级别达到或超过给定数字，将触发垃圾邮件规避操作（反弹/拒绝/丢弃）。
-$sa_dsn_cutoff_level：垃圾邮件级别超过此数字的邮件将不发送。
-$sa_quarantine_cutoff_level：垃圾邮件级别超过此数字的邮件将不隔离。
-$sa_mail_body_size_limit：大于给定数字的电子邮件消息将不传递给 SpamAssassin（小于 1% 的垃圾邮件大于 64 KB）。
-$sa_local_tests_only：如果设置为“1”，将不执行需要 Internet 访问的 SpamAssassin 测试。
-$sa_auto_whitelist：如果设置为“1”，将打开 SpamAssassin 2.63 或更早版本中的 AWL（自动白名单）（对于 SpamAssassin 3.0 无关，在 SUSE Linux Enterprise Server 10 上，可用版本为 3.1.0）。
-@lookup_sql_dsn：包含有关在哪里找到 SQL 服务器和数据库以支持 SQL 查找的信息的数组，一个项目包含三个数据：源名称、用户和密码。
-$virus_admin： antivirus 管理员的完全限定地址。
-$mailfrom_notify_admin：管理员通知的发件人的完全限定地址。
-$mailfrom_notify_recip：病毒通知的发件人的完全限定地址。
-$mailfrom_notify_spamadmin：垃圾邮件通知的发件人的完全限定地址。
-$mailfrom_to_quarantine：隔离消息看起来是从谁发送的，如果未定义，将使用原始发件人。
-@addr_extension_virus_maps：如果检测到病毒，将指定的字符串添加到收件人的地址。@addr_extension_spam_maps、@addr_extension_banned_maps和@addr_extension_bad_header_maps字符串的工作方式相同，字符串与收件人地址由$recipient_delimiter中指定的字符串分隔。
-$path：该变量的内容将传递给PATH环境变量。
-$dspam：激活 dspam 内容过滤器（http://www.nuclearelephant.com/projects/dspam/）。
-$MAXLEVELS：提取和解码的最大递归级别。
-$MAXFILES：提取的最大文件数。
-$MIN_EXPANSION_QUOTA和$MAX_EXPANSION_QUOTA：邮件提取可用的最小和最大存储大小（以字节为单位）。
-$sa_spam_subject_tag：当消息超过$sa_tag2_level_deflt级别时，将该字符串添加到主题头之前。
-@*_lovers_maps：发送到指定收件人的电子邮件将不进行检查和过滤。
-@blacklist_sender_maps：来自列入黑名单的信封发件人地址的消息将被标记为垃圾邮件。还有一个@whitelist_sender_maps，来自该数组中发件人地址的邮件即使被标记为垃圾邮件也会被投递。
-@score_sender_maps：使用此变量可以向垃圾邮件值添加或减去指定的值。

其他一些重要变量还包括：
-$final_virus_destiny、$final_banned_destiny、$final_spam_destiny和$final_bad_header_destiny：定义如何处理包含病毒、禁止发件人、垃圾邮件内容或不正确标题的电子邮件，可以使用以下值：
-D_PASS：邮件将传递给收件人，无论内容是否不良。
-D_DISCARD：邮件将不传递给收件人，发件人将不会收到通知。
-D_BOUNCE：邮件将不传递给收件人，AMaViSd-new 将向发件人发送未送达通知（反弹）。
-D_REJECT：邮件将不传递给收件人，发件人最好收到拒绝通知（SMTP 永久拒绝响应或 MTA 的未送达通知），如果不可能，AMaViSd-new 将自己发送反弹（与D_BOUNCE相同）。
-$notify_method：指定通知发送到的主机和端口。
-$notify_sender_templ：如果不想通知电子邮件的发件人，可以添加此变量。
-$notify_virus_sender_templ：如果不想将默认通知发送到包含病毒的电子邮件的发件人，可以指定一个文本文件。
-$notify_virus_admin_templ：如果不想在检测到病毒时通知管理员，可以指定一个文本文件。
-$notify_virus_recips_templ：如果不想通知包含病毒的电子邮件的收件人，可以指定一个文本文件。
-$notify_spam_sender_templ：如果不想通知包含垃圾邮件的电子邮件的发件人，可以指定一个文本文件。
-$notify_spam_admin_templ：如果不想在检测到垃圾邮件时通知管理员，可以指定一个文本文件。

5. 使用 AMaViSd 作为邮件病毒扫描器的练习

以下是一个使用 AMaViSd 作为邮件病毒扫描器的练习，包括安装、配置和测试的步骤：
1.安装 AMaViSd
- 从主菜单启动 YaST。
- 输入根密码（novell）并选择“确定”。
- 在 YaST 控制中心中，选择“软件”>“软件管理”。
- 从过滤器下拉菜单中选择“搜索”。
- 在搜索字段中输入“amavis”，然后选择“搜索”。
- 在右侧选择“amavisd-new”软件包。
- 选择“接受”，然后插入 SUSE Linux Enterprise Server 10 DVD。
- 选择“继续”以解决依赖关系。
- 安装完成后，取出 DVD 并关闭 YaST 控制中心。
2.更改/etc/sysconfig/amavis
- 输入vi /etc/sysconfig/amavis打开文件。
- 将USE_AMAVIS变量的行更改为USE_AMAVIS=”yes”。
- 输入:wq退出 vi。
- 输入SuSEconfig。
- 查看输出消息，如果/etc/postfix/master.cf文件未被修改，输入mv /etc/postfix/master.cf.SuSEconfig /etc/postfix/master.cf覆盖该文件。
- 输入vi /etc/postfix/master.cf打开文件。
- 在/etc/postfix/master.cf文件中添加以下行：

smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20

- 输入 `:wq` 退出 vi。 - 输入 `vi /etc/postfix/main.cf` 打开文件。 - 为了从 `mailbox_command` 中删除 Procmail（在之前的练习中输入），输入：

mailbox_command =

- 在 `/etc/postfix/main.cf` 中添加以下行：

content_filter = smtp-amavis:[127.0.0.1]:10024

- 输入 `:wq` 退出 vi。 - 输入 `rcpostfix reload` 重启 Postfix。

3. 更改/etc/amavisd.conf
   • 输入vi /etc/amavis.conf打开文件。
   • 将$mydomain变量修改为$mydomain = 'digitalairlines.com';。
   • 将病毒通知应发送到的邮件地址更改为 root：

$virus_admin = "root\@$mydomain";

- 输入 `:wq` 退出 vi。 - 输入 `rcamavis start` 启动 AMaViSd。

4. 测试配置
   • 输入telnet 127.0.0.1 10025检查 Postfix 是否在端口 10025 监听。
   • 输入quit。
   • 输入telnet 127.0.0.1 10024检查 AMaViSd 是否在端口 10024 监听。
   • 输入mail from: jgoldman@digitalairlines.com。
   • 输入rcpt to: geeko@digitalairlines.com。
   • 输入data。
   • 打开文件/usr/share/doc/packages/amavisd-new/test-messages/sample-virus-simple.txt，将最后一行复制到剪贴板，该行如下：

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD- ANTIVIRUS-TEST-FILE!$H+H*

- 将剪贴板的内容粘贴到第一个终端，并执行以下操作： - 按 Enter 键。 - 输入 `.`（点）。 - 按 Enter 键。 - 应该会收到如下病毒警告：

250 2.7.1 Ok, discarded, id=14069-01-2 - VIRUS: Eicar-Test-Signature

- 输入 `quit`。

5. 发送病毒邮件
   • 输入su - jgoldman以用户jgoldman身份登录。
   • 输入以下命令向用户tux发送病毒邮件：

mail geeko@digitalairlines.com < /usr/share/doc/packages/amavisd-new/test-messages/sample -virus-simple.txt

- 输入 `exit` 注销。 - 以 root 身份输入 `mail` 查找新邮件，邮件文件夹中应该有一封来自 `virusalert` 的邮件。

通过以上步骤，你可以成功安装和配置 AVMailGate 和 AMaViSd-new 作为邮件的病毒扫描器，并进行相应的测试，确保邮件服务器的安全性。在实际操作中，要根据自己的需求和环境进行适当的调整。

邮件服务器病毒扫描配置指南

6. 配置流程总结与对比

为了更清晰地展示使用 AVMailGate 和 AMaViSd-new 进行邮件病毒扫描的配置过程，下面通过表格和流程图进行总结对比。

6.1 配置步骤对比表格

6.2 配置流程 mermaid 流程图

graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A([开始]):::startend --> B{选择工具}:::process B -->|AVMailGate| C(安装 AVMailGate):::process B -->|AMaViSd-new| D(安装 AMaViSd-new):::process C --> E(配置 Postfix 使用 AVMailGate):::process D --> F(修改 /etc/sysconfig/amavis):::process E --> G(配置 AVMailGate 端口):::process F --> H(修改 /etc/amavisd.conf):::process G --> I(使用病毒文件检查配置):::process H --> J(测试 AMaViSd 配置):::process I --> K(更新病毒签名):::process J --> L(发送病毒邮件测试):::process K --> M([结束]):::startend L --> M

7. 常见问题及解决方法

在配置和使用 AVMailGate 和 AMaViSd-new 过程中，可能会遇到一些常见问题，以下是一些问题及对应的解决方法。

7.1 安装问题

• 问题：安装过程中提示依赖项缺失。
  • 解决方法：插入 SUSE Linux Enterprise Server 10 DVD 并选择“继续”以解决依赖关系。如果仍然无法解决，可以手动安装缺失的依赖包。
• 问题：找不到软件包。
  • 解决方法：确保在 YaST 的软件管理中正确搜索软件包名称，如 “avmailgate” 或 “amavisd-new”。如果还是找不到，检查软件源是否配置正确。

7.2 配置问题

• 问题：修改配置文件后，服务无法启动。
  • 解决方法：检查配置文件中的语法错误，特别是/etc/amavisd.conf是 Perl 代码，注意每行结尾的分号和特殊字符的转义。可以使用perl -c /etc/amavisd.conf检查语法。
• 问题：邮件无法正常过滤或检测到病毒。
  • 解决方法：检查配置文件中内容过滤器和端口的设置是否正确，确保 AVMailGate 或 AMaViSd-new 监听的端口与 Postfix 配置的端口一致。同时，检查病毒签名是否为最新版本。

7.3 测试问题

• 问题：使用telnet测试时无法连接到指定端口。
  • 解决方法：检查服务是否已经启动，如使用rcavgate start启动 AVMailGate，使用rcamavis start启动 AMaViSd。同时，检查防火墙是否阻止了相应端口的访问。
• 问题：发送测试邮件没有收到预期的病毒警告或通知。
  • 解决方法：检查配置文件中通知地址和通知方法的设置是否正确，确保邮件服务器能够正常发送和接收邮件。

8. 性能优化建议

为了提高邮件服务器病毒扫描的性能和效率，可以考虑以下优化建议。

8.1 资源分配

• 调整进程数量：根据服务器的硬件资源和邮件流量，调整$max_servers参数，确保有足够的进程处理邮件扫描任务，但也不要过多占用系统资源。
• 合理分配内存：确保服务器有足够的内存来运行 AVMailGate 和 AMaViSd-new，特别是在处理大量邮件时。可以通过监控系统内存使用情况，适当调整服务器的内存分配。

8.2 缓存设置

• 启用缓存：在/etc/amavisd.conf中，使用$enable_db启用 BerkeleyDB/libdb 的使用，并使用$enable_global_cache启用 libdb 缓存，减少重复扫描的时间。
• 设置合理的缓存大小：根据服务器的存储容量和邮件流量，合理设置缓存的大小，避免缓存过大占用过多磁盘空间，或过小导致缓存效果不佳。

8.3 定期更新

• 病毒签名更新：定期使用/usr/lib/AntiVir/antivir --update命令更新病毒签名，确保能够及时检测到最新的病毒。
• 软件更新：及时更新 AVMailGate 和 AMaViSd-new 等相关软件，以获取最新的功能和安全补丁。

9. 总结

通过本文的介绍，我们详细了解了如何使用 AVMailGate 和 AMaViSd-new 作为邮件的病毒扫描器，包括安装、配置、测试以及性能优化等方面的内容。在实际应用中，可以根据自己的需求和服务器环境选择合适的工具，并按照上述步骤进行操作。同时，要注意定期更新病毒签名和软件，及时处理遇到的问题，以确保邮件服务器的安全性和稳定性。

希望本文对您在邮件服务器病毒扫描配置方面有所帮助，祝您配置顺利！