Préambule: Pourquoi ces quelques lignes?.....  parceque  pour se prémunir des 99% de virus qui nous parviennent par mail, un seul antivirus au niveau d'un seul serveur de Mail, c'est quand même plus logique, moins couteux bref mieux que 200 antivirus probablement (mais pas sûr) installés sur 200 PC de 200 utilisateurs... Attention ce que je dis ne dispense pas les 200 utilisateurs d'installer leur antivirus sur leur PC windolookexpress... mais enfin au niveau du serveur de Mail l'antivirus, va  écrémer pas mal le tas de saletés W32/xxxx  qu'on recoit!
 

I/ Il faut un antivirus qui tourne sur une plateforme Unix

M'enfin à part sophos y en a plein d'autres qui tournent sur Unix de nos jours...McAfee Virusscan,  Kaspersky Anti-Virus (AVPDaemon) , DataFellows F-Secure, Trend Micro  CyberSoft vfind , FileScanner,  CAI InoculateIT ,  GeCAD RAV AntiVirus 8 ....lors de l'installation, Amavis détecte automatiquement la présence de ces antivirus sur le serveur.

• Installation de Sophos

• sur le CD de sophos aller dans /mnt/cdrom/unix/
•  prendre linux.intel.libc6.tar ou linux.intel.libc5.tar selon votre version du système.

NB: pour savoir la version de votre librairie "C" du système, il suffit de le voir par
$ ll /lib/libc.so.*

• désarchiver par      tar xvf linux.intel.libc6.tar
drwxr-xr-x root/root         0 2001-08-14 13:01:59 sav-install/
-r--r--r-- root/root   1863576 2001-08-14 13:01:43 sav-install/vdl-3.49.dat
-r-xr-xr-x root/root     25491 2001-08-14 13:01:43 sav-install/install.sh
-r--r--r-- root/root      2707 2001-08-14 13:01:43 sav-install/Readunix.txt
-r--r--r-- root/root     23208 2001-08-14 13:01:43 sav-install/Install.txt
-r--r--r-- root/root      4247 2001-08-14 13:01:43 sav-install/icheckd.1
-r--r--r-- root/root      3427 2001-08-14 13:01:43 sav-install/icheckd.conf.5
-r--r--r-- root/root      6209 2001-08-14 13:01:43 sav-install/sweep.1
-r-xr-xr-x root/root     73308 2001-08-07 17:40:44 sav-install/icheckd
-r-xr-xr-x root/root    709996 2001-08-07 17:38:56 sav-install/libsavi.so.2.2.03.077
-r-xr-xr-x root/root    111744 2001-08-07 17:39:53 sav-install/sweep

• installer sophos en lancant  sav-install/install.sh
• les définitions d'antivirus vont dans  /usr/local/sav/vdl-3.49.dat
• les 2 binaires utilisés sont
•  /usr/local/bin/sweep
• /usr/local/bin/icheckd
• les fichiers de conf utilisés sont
•   /etc/sav.conf   [indique  le répertoire où sont déposés les définitions d'antivirus]

SAV virus data directory = /usr/local/sav

• Emplacement des signatures de virus

par défaut les définitions d'antivirus détectées par sweep doivent être présentes dans /usr/local/sav
ce sont les fichiers vdl-<version>.dat
mais on peut les mettre ailleurs par l'intermédiaire de la variable SAV_IDE
exemple: export SAV_IDE=/opt/sophos/ide

• Mise à jour des signatures de virus de sophos
• mise à jour par les fichier .ide
sophos propose des mises à jour des signatures d'antivirus sous la forme de fichiers ide.zip a prendre sur le site http://www.sophos.com/downloads/ide/
une fois récupérés il faut juste rajouter ces mises à jour de signatures dans le répertoire /usr/local/sav (ou celui indiqué par la variable SAV_IDE)
la commande /usr/local/bin/sweep -v  retourne le nombre de virus pris en compte en prenant par défaut le contenu du fichier de signature /usr/local/sav/...
 
• mise à jour par les fichiers .dat
les fichiers .dat contiennent l'ensemble des définitions de virus  connus à un temps donné , pour une version donnée de sophos. Enxemple sur le CDROM de Décembre la version est vdl-3.52.dat
 Il  suffit de placer ce fichier   vdl-3.52.dat dans le répertoire /usr/local/sav et de faire un lien vers  vdl.dat, pour qu'il soit pris en compte. On peut alors détruire les vieux fichiers .ide puisque ceux ci devraient etre dans le dernier fichier .dat.

II/ Installation de Amavis

• Amavis Kézako?

Comme le dit shakespeare : "Amavis ensure attachments coming via email are scanned for viruses before they reach
a system they are able to infect" ... When a mail arrives, instead of being delivered via procmail directly, is parsed through a script that extracts all attachments from the mail, unpacks (if needed) and scannes them using a professional virus scanner program (sophos par exemple ou tout autre antivirus qui marche sur plateforme Un*X comme Linux).
 

• Amavis quoi prendre? où le prendre ?
• sur http://amavis.sourceforge.net/
• la version à prendre  est amavis-perl-11.tar.gz
• NB: attention la procédure qui suit NE CONCERNE PAS la nouvelle version de Amavis qui s'appelle amavisd-snapshot-20010714.tar.gz
• NDLR: ben oui je me suis trompé et j'ai pris la version démonisée amavisd et j'ai mis 1 après midi avant de m'apercevoir que c'était pas la bonne version correspondant à la doc d'install)

• Il faut pas mal de paquettages Perl pour faire marcher Amavis

Avant de continuer; je suppose que vous êtes sur une machine "moderne" sur laquelle Perl est installé? euhh sinon laissez tomber...[donc il vous faut Perl]

Comme amavis va chercher les virus à l'intérieur de fichiers attachés, eh bien il faut qu'il puisse les décompresser...Amavis doit donc comprendre comment décompresser les zip, bzip, gzip, compress, rar, exe, zoo, et tout ce merdier
Il lui faut donc pas mal de modules de décompression de la librairie Perl.
 

• Faut récuperer tout ces paquettages Perl !

   Unix::Syslog
   Convert::UUlib
   Convert::TNEF
   Compress::Zlib
   Archive::Tar
   Archive::Zip
   G/GB/GBARR/MailTools-1.15.tar.gz
   MIME::Tools
   Bundle::libnet

Pour ce faire: aller sur un serveur d'archive Perl CPAN, ils sont classés par Modules

http://www.cpan.org/ ou bien comme on est français  c'est mieux sur un mirroir bien de chez nous...

exemple pour chercher le module Syslog de la bibliothèque Unix
ftp://ftp.lip6.fr/pub/perl/CPAN/
ftp://ftp.lip6.fr/pub/perl/CPAN/modules/by-module/
ftp://ftp.lip6.fr/pub/perl/CPAN/modules/by-module/Unix/

une fois que le module est récupéré sous forme de fichier.tar.gz  ex:Syslog-0.96.tar.gz

pour l'installer il suffit de faire
• tar zxvf Syslog-0.96.tar.gz
• perl Makefile.PL
• make
• make test
• make install

Amavis - Installation

Une fois que tous les modules Perl ci dessus ont été installés, Premièrement un... bien lire le fichier README.postfix... [....ce qui suit n'en est qu'un résumé ]

Dans ce fichier, on lit qu'il ya 3 façon d'intaller Amavis pour qu'il marche avec Postfix.....

• La 2eme facon : est abandonnée on n'en parle plus (lu dans les FAQ),
• la 1ere façon : (scanning incoming mail only) n'est pas très efficace et a beaucoup d'inconvénients car elle

i) ne scanne QUE les mails reçus et pas ceux en partance
ii) le scan de mail se fait sous l'identité du destinataire du mail, ce qui oblige à mettre certains répertoires propres à Amavis en "world writable 1777"
iii) les mails sont scannés aurtant de fois que ce qu'il ya de destinataires (1 mail identique envoyé à 20 personnes est scanné 20 fois)...

conclusion on laisse tomber cette méthode de flan....
 

• Reste la 3ème façon : appelée "Using the content filtering interface of newer postfix snapshots"

qui est décrite ci dessous...très simple à mettre en oeuvre il suffit de lire le README.postfix

i). cd ~/amavis-perl-11
ii). configure --enable-postfix  --enable-smtp  (NDLR: ne pas oublier --enable-smtp comme moi sinon ca ne marche pas... vous cherchez 2 heures, et vous êtes très énervé.... )
iii) make clean; make; make install

Le script de configuration de Amavis détecte AUTOMATIQUEMENT le ou les antivirus que vous avez installés au préalable... ca fait u petit rapport de synthèse

** Configuration summary for amavis perl-11 2001-04-07:

  Install amavis as:          /usr/sbin/amavis
  Configured for use with:    postfix
  Relay configuration:        no
  Enable SMTP:                yes
  Use SMTP port:              10025
  Use virus scanner(s):       Sophos Sweep
  Scanner runs as:            vscan
  Logging to syslog:          yes
  Quarantine directory:       /var/virusmails
  Max. recursion depth:       20
  Add X-Virus-Scanned header: yes
  Display AMaViS credits:     no
  Warn sender:                yes
  Reports sent to:            virusalert
  Reports sent by:            postmaster

==> En bout de course,

• ca génère un script Perl qui s'appelle   /usr/sbin/amavis
• les fichiers de mails contenant un virus sont mis en quarantaine dans /var/virusmails
• les permissions de /var/virusmails devraient être

drwxrwx---    2 vscan  vscan         250 oct  3 14:43 /var/virusmails/

fini! ca fait beaucoup de blabla pour pas grand chose hein?

III/ quelques éléments pour paramétrer Postfix

• i) Il est indispensable d'avoir une version récente de postfix...c'est à dire supérieure à la versionPostfix snapshot 20000529 ...........Moi j'ai pris la version Postfix Snapshot 20010808

sur http://www.postfix.org/ftp-sites.html
plus près de nous mon Dieu... ftp://ftp.oav.net/postfix/index.html

• ii) créer un utilisateur vscan car par défaut amavis va tourner sous l'identité d'un user intitulé vscan [on peut choisir autre chose comme nom , mais on s'emmerderait pour rien!]
• adduser vscan -s /bin/false
• iii) Dans le fichier de conf de Postfix /etc/postfix/main.cf rajouter

content_filter = vscan:            [ <------ avec les : ]

• iv) Dans le fichier de conf /etc/postfix/master.cf rajouter

NDLR: ne vous trompez pas comme moi, en oubliant un petit espace " " en début des lignes que vous rajoutez dans le fichier master.cf, sans quoi la dite ligne est prise comme une "continuation" de la ligne précédente.... oui ca m'est arrivé... et ca marchait pas, et j'ai mis 1heure à trouver pourquoi, et j'étais très enervé et j'avais la gueule de l'administrateur système qui fait peur aux utilisateurs

• v) ne pas oublier de recharger la conf de postfix par postfix reload

c'est tout!!!!!!
 

IV/ Quelques éléments pour tester

• lister la conf de postfix
postconf -n
pour voir la liste des parametres que Postfix a pris en compte.. c'est comme ca que je me suis apercu qu'avec une vieille version de Postfix < 2000 , l'argument content_filter=vscan n'etait purement et simplement PAS pris en compte!

• L'antivirus est bien lancé, mais les messages ne partent plus vers l'extérieur, ils sont tous rejetés!

L'horreur... vous vous etes vantés auprès des utilisateurs, comme quoi ce que vous avez fait est bien mieux qu'avant, que la vie va changer etc etc... et les messages en partance sont tous refusés pour cause "Reject Relay Denied! vos propres messages refusés car postfix refuse de relayer!!...pourtant vous etes bien dans votre subnet interne que vous avez autorisé aupres de postfix par la variable mynetwork!!

Ca vient du fait que postfix lancé par amavis sur le port 10025 s'exécute avec comme adresse source de destinataire localhost.localdomain... et bien sur je n'avais pas mis cette adresse dans la variable
mynetworks de postfix... Donc postfix ne relayait pas les messages en partance avec comme adresse d'origine localhost.localdomain

mynetworks = 139.124.2.0/24, 127.0.0.0/8, localhost, localhost.localdomain

• Des virus sont trouvés dans les mails mais je ne recois pas de message de notification


Amavis est donc bien  lancé, il scanne les mails grace sophos, mais je ne recois pas de message de notification...
Le mieux est d'aler voir et vérifier COMMENT /usr/sbin/amavis lance la commande sendmail, et de s'assurer que le programme est bien à l'endroit indiqué... Amavis par defaut var chercher sendmail dans /usr/lib/sendmail, or POstfix l'installe dans /usr/sbin/sendmail... Il faut donc faire le nécessaire... soit
modifier la variable dans amavis... soit faire un lien

ln -s /usr/sbin/sendmail /usr/lib/sendmail
# What sendmail wrapper to use
my $sendmail_wrapper = "/usr/sbin/sendmail";
my $sendmail_wrapper_args = "-i -t";

• être sur que postfix sur le port 10025 répond bien:   telnet localhost 10025

• générer un petit fichier de test contenant une fausse signature de virus.. récupérez la ligne suivante et mettez la dans un fichier par exemple test-virus.txt , ca devrait faire office de virus en bois

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

• tester amavis tout seul sans postfix
cat ./test-virus.txt | /usr/sbin/amavis <user-src> <user-dest>

• jeter un coup d'oeil dans les logs de postfix par défaut /var/log/mail/info pour voir d'éventuels problemes...

• jeter un coup d'oeil dans le script de amavis /usr/sbin/amavis ... la dedans on peut détecter pas mal d'erreur en jouant sur les variables
my $DEBUG = "no";
my $DO_SYSLOG = "yes";

my $LOGDIR = "/var/amavis";
my $LOGFILE = "amavis.log";
my $log_level = 0;

# Add X-Virus-Scanned line to mail?
my $X_HEADER = "yes";
my $X_HEADER_TAG = "X-Virus-Scanned";
my $X_HEADER_LINE = "by AMaViS perl-11";

# What sendmail wrapper to use
my $sendmail_wrapper = "/usr/sbin/sendmail";
my $sendmail_wrapper_args = "-i -t";
 
 

• voir la version de sweep de sophos qui tourne et le nombre de virus pris en compte

 /usr/local/bin/sweep -v
SWEEP virus detection utility
Copyright (c) 1989,2001 Sophos Plc, www.sophos.com

System time 15:50:39, System date 03 October 2001

Product version           : 3.49
Engine version            : 2.6
User interface version    : 2.03.077
Platform                  : Linux/Intel
Released                  : 03 September 2001
Total viruses (with IDEs) : 67221
 

• Emplacement des signatures de virus

par défaut les définitions d'antivirus détectées par sweep doivent être présentes dans /usr/local/sav
mais on peut les mettre ailleurs par l'intermédiaire de la variable SAV_IDE
exemple: export SAV_IDE=/opt/sophos/ide
 
• Comment tester que ca marche sur une machine autre que le serveur de Mail qui marche bien depuis 2ans et qu'on n'a pas envie de toucher!

moi pour pas mettre la zone noire sur mon serveur de mail en production, j'ai testé amavis+postfix sur mon propre PC dont le nom IP est  pcmomo.com.univ-mrs.fr... par défaut la conf de ce PC qui est un Null client,  renvoie tout les mails partant et arrivant à un serveur de mail officiel du labo relayhost=mailhost.com.univ-mrs.fr

Pour tester amavis, sur mon propre PC sans avoir d'interaction avec le serveur de mail officiel :

• je me suis créé un utilisateur bidon "toto" (adduser toto)
• j'ai mis toto dans le fichier des alias /etc/postfix/aliases toto : toto@pcmomo.com.univ-mrs.fr
• et dans le /etc/postfix/main.cf de postfix j'ai mis la variable

• mydestination=pcmomo.com.univ-mrs.fr (qui indique au serveur de conserver localement les mails à destination de pcmomo.com.univ-mrs.fr)
• #relayhost=    mis en commentaire la ligne relayhost (pour dire que justement on n'envoie pas les messages au relayhost)

ainsi je peux tester l'envoi de message  à un utilisateur local toto@pcmomo.com.univ-mrs.fr en lui envoyant une piece jointe avec un virus dedans...sans passer par le relayhost

echo "test antivirus" | mutt -s"test amavis" toto@pcmomo.com.univ-mrs.fr -a ./fichier-virus.txt

dans les logs de postfix, on doit voir ce qui se passe
 
 

from=<Maurice.Libes@com.univ-mrs.fr>, size=784, nrcpt=1 (queue active)
Oct  4 12:59:44 compc32 amavis[9174]: starting.  amavis perl-11 Wed Oct  3 10:22:46 CEST 2001
Oct  4 12:59:45 compc32 amavis[9174]: Virus found - quarantined as virus-20011004-125945-9174
Oct  4 12:59:45 compc32 postfix/pickup[8946]: 5F1F7212B1: uid=12348 from=<postmaster>
Oct  4 12:59:45 compc32 postfix/cleanup[9171]: 5F1F7212B1: message-id=<20011004105945.5F1F7212B1@pcml.com.univ-mrs.fr>
Oct  4 12:59:45 compc32 postfix/qmgr[589]: 5F1F7212B1: from=<postmaster@com.univ-mrs.fr>, size=1270, nrcpt=1 (queue active)
Oct  4 12:59:45 compc32 postfix/pickup[8946]: 7966B212B4: uid=12348 from=<postmaster>
Oct  4 12:59:45 compc32 postfix/cleanup[9171]: 7966B212B4: message-id=<20011004105945.7966B212B4@pcml.com.univ-mrs.fr>
Oct  4 12:59:45 compc32 postfix/qmgr[589]: 7966B212B4: from=<postmaster@com.univ-mrs.fr>, size=1347, nrcpt=1 (queue active)
Oct  4 12:59:45 compc32 amavis[9174]: do_exit:465 - ending execution with 0
Oct  4 12:59:45 compc32 postfix/pipe[9173]: BBBFF21292: to=<pat@pcml.com.univ-mrs.fr>, relay=vscan, delay=2, status=sent (pcml.com.univ-mrs.fr)
Oct  4 12:59:47 compc32 amavis[9183]: starting.  amavis perl-11 Wed Oct  3 10:22:46 CEST 2001
Oct  4 12:59:47 compc32 amavis[9185]: starting.  amavis perl-11 Wed Oct  3 10:22:46 CEST 2001
Oct  4 12:59:48 compc32 postfix/smtpd[9193]: connect from localhost.localdomain[127.0.0.1]
Oct  4 12:59:48 compc32 postfix/smtpd[9193]: 80C9F212B7: client=localhost.localdomain[127.0.0.1]
Oct  4 12:59:48 compc32 postfix/cleanup[9171]: 80C9F212B7: message-id=<20011004105945.5F1F7212B1@pcml.com.univ-mrs.fr>
Oct  4 12:59:48 compc32 postfix/smtpd[9194]: connect from localhost.localdomain[127.0.0.1]
Oct  4 12:59:48 compc32 postfix/qmgr[589]: 80C9F212B7: from=<postmaster@com.univ-mrs.fr>, size=1507, nrcpt=1 (queue active)
Oct  4 12:59:48 compc32 postfix/smtpd[9193]: disconnect from localhost.localdomain[127.0.0.1]
Oct  4 12:59:48 compc32 amavis[9183]: do_exit:416 - ending execution with 0
Oct  4 12:59:48 compc32 postfix/pipe[9181]: 5F1F7212B1: to=<Maurice.Libes@com.univ-mrs.fr>, relay=vscan, delay=3, status=sent (pcml.com.univ-mrs.fr)
Oct  4 12:59:48 compc32 postfix/smtpd[9194]: 93044212B9: client=localhost.localdomain[127.0.0.1]
Oct  4 12:59:48 compc32 postfix/cleanup[9171]: 93044212B9: message-id=<20011004105945.7966B212B4@pcml.com.univ-mrs.fr>
Oct  4 12:59:48 compc32 postfix/qmgr[589]: 93044212B9: from=<postmaster@com.univ-mrs.fr>, size=1581, nrcpt=1 (queue active)
Oct  4 12:59:48 compc32 postfix/smtpd[9194]: disconnect from localhost.localdomain[127.0.0.1]
Oct  4 12:59:48 compc32 amavis[9185]: do_exit:416 - ending execution with 0
Oct  4 12:59:48 compc32 postfix/pipe[9184]: 7966B212B4: to=<virusalert@com.univ-mrs.fr>, relay=vscan, delay=3, status=sent (pcml.com.univ-mrs.fr)
Oct  4 12:59:52 compc32 postfix/smtp[9197]: 80C9F212B7: to=<Maurice.Libes@com.univ-mrs.fr>, relay=com1.com.univ-mrs.fr[139.124.2.100], delay=4, status=sent (250 Ok: queued as 40694200AA)
Oct  4 12:59:56 compc32 postfix/smtp[9199]: 93044212B9: to=<virusalert@com.univ-mrs.fr>, relay=com1.com.univ-mrs.fr[139.124.2.100], delay=8, status=sent (250 Ok: queued as 4E8A72053E)