postfix+clamd

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
vovabob
Junior member
Сообщения: 18
Зарегистрирован: 30 июл 2008, 11:18
Откуда: стерлитамак
Контактная информация:

postfix+clamd

Сообщение vovabob » 19 ноя 2008, 14:22

Можно ли как-то заставить clamd при получении писем с вирусом, отсылать уведомление на почту с указанием отправителя и адресата?

В clamd.conf есть параметр VirusEvent, куда можно вписать команду или скрипт для отправки заданного сообщения.  А как бы в это сообщение вставить информацию о завирусованном письме, например поля From: и То: ?

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: postfix+clamd

Сообщение Oleg2 » 19 ноя 2008, 19:07

vovabob писал(а):Можно ли как-то заставить clamd при получении писем с вирусом, отсылать уведомление на почту с указанием отправителя и адресата?

В clamd.conf есть параметр VirusEvent, куда можно вписать команду или скрипт для отправки заданного сообщения.  А как бы в это сообщение вставить информацию о завирусованном письме, например поля From: и То: ?
А что Вам это даст? Вирус совершенно спокойно может рассылать своё тело подменяя заголовки в письмах так, что Вы можете получить письмо с липовыми адресами в полях To: и From: ...

vovabob
Junior member
Сообщения: 18
Зарегистрирован: 30 июл 2008, 11:18
Откуда: стерлитамак
Контактная информация:

Сообщение vovabob » 20 ноя 2008, 09:58

А куда придет письмо с неправильным То: ? :)

Эта связка стоит на почтовом сервере и было бы конечно интересно, кого из юзеров бомбят вирусами

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Сообщение Oleg2 » 21 ноя 2008, 10:25

vovabob писал(а):А куда придет письмо с неправильным То: ? :)
Письмо упадёт в тот ящик, который указан на "конверте", а не в поле "To:". Почитайте почтовые RFC - там это всё описано.

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 24 ноя 2008, 10:16

Код: Выделить всё

# Проверка на вирусы
AV_OUTPUT=`$AVCMD $TMPMSG`
AV_RESULT=$?

case "$AV_RESULT" in
0)
  $SENDMAIL "$@" <$TMPMSG
  $POSTLOG postfix/filter message-id=$msgid status: CLEAN from=\<$from\> to=\<$to\> 2>/dev/null
  exit 0
  ;;
1)
  AV_OUTPUT=`echo $AV_OUTPUT | awk -F ":" '{print $2}'`

  cat /dev/null > $TMPDATA || { echo "Cannot write to $INSPECT_DIR/$TMPDATA"; exit $EX_TEMPFAIL; }
  head -n 200 $TMPMSG | grep -i -m 1 "^Message-ID:" >> $TMPDATA
  head -n 200 $TMPMSG | grep -i -m 1 "^Date:" >> $TMPDATA
  echo "From: $from" >> $TMPDATA
  echo "To: $to" >> $TMPDATA
  head -n 200 $TMPMSG | grep -i "^X-Original-To:" >> $TMPDATA
  head -n 200 $TMPMSG | grep -i "^Delivered-To:" >> $TMPDATA
  head -n 200 $TMPMSG | grep -i -m 1 "^Subject:" >> $TMPDATA
  head -n 200 $TMPMSG | grep -i "^Received:" >> $TMPDATA
  head -n 200 $TMPMSG | grep -i "^User-Agent:" >> $TMPDATA
  head -n 200 $TMPMSG | grep -i "^X-Mailer:" >> $TMPDATA
  echo -n "Message-Size: " >> $TMPDATA
  ls -l $TMPMSG | awk '{print $5}' >> $TMPDATA
  echo Virus-Status: $AV_OUTPUT >> $TMPDATA

  cat $TMPDATA | mail -s "ClamAV: VIRUS FOUND " $VIRADMIN
  $POSTLOG postfix/filter message-id=$msgid reject: INFECTED from=\<$from\> to=\<$to\> 2>/dev/null
  exit 0
  ;;
*)
 AV_ERR="ERROR CODE: $AV_RESULT. $AV_OUTPUT"
 echo $AV_ERR | mail -s "ClamAV: ERROR!" $VIRADMIN
 exit $EX_TEMPFAIL
 ;;
esac
P.S.
AVCMD="/usr/bin/clamdscan --no-summary --stdout"
SENDMAIL="/usr/sbin/sendmail -i"
VIRADMIN="setar@trinity.spb.ru" # адрес для уведомлениий
на входе скрипта просто тело письма которое как раз образуется после применения фильтра в master.cf :

smtp       inet  n       -       n       -       -       smtpd -o content_filter=myfilter:dummy

myfilter        unix    -       n       n       -       -       pipe
       flags=R user=clamav argv=/usr/local/bin/myfilter4.sh -f ${sender} -- ${recipient}

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 15 гостей