MAILSCANNER


        Com a preocupação da propagação de vírus pelo e-mail, eu sempre utilizei o 
AMAVIS (http://www.amavis.org) para tratar do trafego de mensagens do meu servidor de 
e-mail. Mas o AMAVIS não apresenta ainda a checagem de vírus nas mensagens do 
QUEUE. Que são mensagens que saem da nossa rede para a INTERNET.


        Um de meus usuários trouxe de casa um arquivo infectado que infectou sua 
maquina do serviço e logo começou a enviar mensagens para todos de seu catalogo de 
endereços com arquivos anexados do seu próprio "Meus Documentos". O meu SMTP 
enviava estas mensagens para internet, por que o AMAVIS não executava o SCANNER no 
/var/spool/mqueue, e as mensagens contaminadas saiam da minha rede para a internet.


        Com isso eu procurei uma ferramenta GPL que pudesse procurar vírus no MAIL-
QUEUE e achei o MAILSCANNER - http://www.sng.ecs.soton.ac.uk/mailscanner.


        Em sua URL existem maiores detalhes da instalação em outras distribuições. Estou 
apresentando a instalação que foi totalmente testado em LINUX nas distribuições: 
MANDRAKE 8.0 e CONECTIVA 4.2, ambos com SENDMAIL com o antivírus McAfee 
4.14.


        Outra grande vantagem do MAILSCANNER é o tratamento de SPAM, onde se for 
habilitado no arquivo de configuração o SMTP devolve as mensagens de SPAMMER's 
listados no ORBS (http://www.orbsorg) e no ORBL (http://www.orbl.org).


        E a vantagem de se configurar as os arquivos cujo as extensões os usuários não 
receberão em sua rede como: PIF, SCR, CNF ... etc. Se você não quiser que seus usuários 
recebam arquivos com extensão BAT, EXE e COM você pode colocar esta regra.



1 – AQUISIÇÃO DOS ARQUIVOS

        Entre no site:  http://www.sng.ecs.soton.ac.uk/mailscanner/files/ e faça download 
dos arquivos:

-       mailscanner-2.30-1.i386.rpm

Iremos instalar com o anti-virus McAfee http://www.nai.com (providencie 
posteriormente uma cópia registrada do mesmo). Iremos fazer o download dos arquivos de 
configuração para o McAfee, pois o antivirus que vem configurado como padrão é o 
SOPHOS http://www.sophos.com.
Em: http://www.sng.ecs.soton.ac.uk/mailscanner/files/mcafee/ faça download dos 
arquivos:

-       autoupdate
-       mcafeewrapper
-       sweep.pl


2 – INSTALAÇÃO

        Recomendo que se faça backup do sendmail.cf, pois ao instalar o mailscanner por 
RPM ele irá substituir o sendmail.cf por outro mais simples sem o controle de RELAY e 
SPAM que eu acho muito importante para limitar o RELAY e bloquear os SPAMMER's 
que não estão listados no ORBS.


        Hoje o antivírus da McAfee para LINUX em arquitetura PC mais atual é o 4.14, 
faça download dele, descompacte-o:

[root@taurus tmp]# tar xzvvf vlnx414e.tar.Z
-rw-r--r-- root/root   1427705 2001-02-15 23:14:00 scan.dat
-rw-r--r-- root/root    264092 2001-02-15 23:14:00 names.dat
-rw-r--r-- root/root    281145 2001-02-15 23:14:00 clean.dat
-rw-r--r-- root/root     30544 2001-02-15 23:14:00 readme.txt
-rw-r--r-- root/root     12383 2001-02-15 23:14:00 license.txt
-rw-r--r-- root/root       155 2001-02-15 23:14:00 reseller.txt
-rw-r--r-- root/root    720212 2001-02-15 23:14:00 unxadmin.pdf
-rw-r--r-- root/root     11775 2001-02-15 23:14:00 uvscan.1
-rw-r--r-- root/root   1542066 2001-02-15 23:14:00 liblnxfv.so
-rw-r--r-- root/root    120831 2001-02-15 23:14:00 uvscan
-rw-r--r-- root/root     55303 2001-02-15 23:14:00 messages.dat
-rw-r--r-- root/root      1056 2001-02-15 23:14:00 license.dat
-rwxr-xr-x root/root      8467 2001-02-15 23:14:00 install-uvscan
-rw-r--r-- root/root      3556 2001-02-15 23:14:00 uninstall-uvscan


        Para instalar o instale o antivírus no /usr/local/mcafee:

[root@taurus tmp]# ./install-uvscan
Which directory do you want to install into? [/usr/local/uvscan] /usr/local/mcafee


        Para atualizar o antivírus faça download do ultimo DAT-FILE em: 
ftp.nai.com/pub/antivirus/datfiles/4.x/, descompacte e copie os arquivos para 
/usr/local/mcafee substituindo quando for necessário.

        No caso do MANDRAKE 8.0 foi necessário instalar o pacote que continha a 
biblioteca compat-libstdc++ para o McAfee funcionar. Este pacote não existia no CD-1 do 
Mandrake8, se isso ocorrer procure no http://rpmfind.net por compat-libstdc++ , baixe e 
instale o pacote que mais se aproxima da sua versão.

        A instalação do mailscanner é relativamente simples:

rpm –ivh mailscanner-2.30-1.i386.rpm

        Esta instalação costuma demorar um pouco, pois ele instala os módulos do PERL 
necessários ao funcionamento dos scripts, e compila o suporte a MS-TNEF (coisas do 
outlook). Após a instalação, remova o arquivo sophos.update que esta no /etc/cron.daily, 
este arquivo faz o update automático do SOPHOS ANTIVIRUS.

        Copie o mcafeewrapper para /usr/local/mcafee e digite: chmod 700 
/usr/local/mcafee/mcafeewrapper.

Copie o arquivo autoupdate para /etc/cron.daily e digite chmod 700 
/etc/cron.daily/autoupdate, para que seja feito o update do banco de dados de vírus todos 
os dias por volta das 4:00 da manha.

Substitua também o /usr/local/MailScanner/bin/sweep.pl pelo que foi feito 
download para dar suporte ao McAfee.


        Para configurar quais arquivos os usuários não poderão receber nos anexos basta 
adicionar no: /usr/local/MailScanner/etc/filename.rules.conf seguindo os exemplos 
dentro do próprio arquivo. Eu mesmo irei filtrar todos os arquivos com extensão BAT:

deny    \.bat$          Arquivo de Lote da Microsoft




        No /usr/local/MailScanner/etc/ existem os arquivos com os textos que serão 
enviados em caso de anexo com vírus. Estes deverão ser editados se houver necessidade de 
se enviar o texto em português:

-       deleted.message.txt = Mensagem para o destinatário informando que substituiu um 
anexo que estava infectado e o mesmo foi deletado.

-       stored.message.txt = Mensagem para o destinatário informando que substituiu um 
anexo que estava infectado e o mesmo foi está em quarentena aguardando uma 
analise posterior.

-       disinfected.report.txt = Aviso de que a mensagem que foi enviada por um 
determinado remetente e que o anexo estava em quarentena foi finalmente 
desinfetado e esta em anexo nesta mensagem.

-       sender.report.txt = Aviso ao remetente da mensagem com vírus sobre o problema 
(neste arquivo eu gosto de deixar bem claro que alguns vírus enviam e-mail sem o 
conhecimento do usuário e que esse pode ser o caso deste remetente).

-       clean_quarantine = Script que apaga os arquivos em quarentena após se passar os 
X dias sem a possibilidade de desinfecção. Este arquivo esta disponível em: 
http://www.sng.ecs.soton.ac.uk/mailscanner/files/clean_quarantine e deve ser 
editado a quantidade de dias e colocado no crontab.


Edite o arquivo: /usr/local/MailScanner/etc/mailscanner.conf e altere as linhas:

Sweepp              = /usr/local/mcafee/mcafeewrapper
Local Postmaster = seu-email@seu-dominio.com.br


3 – COLOCAR EM OPERAÇÃO

        Você deve digitar: ntsysv e desmarcar o sendmail para que o mesmo não inicialize 
em tempo de boot, e marque o mailscanner (se não estiver marcado), pois é ele quem 
inicia o sendmail e monitora todas as suas atividades.


        Para começar a operar digite:

/etc/rc.d/init.d/sendmail stop
/etc/rc.d/init.d/mailscannet start


        Para testar use o ERICA ANTI-VIRUS TEST: 
http://www.eicar.org/download/eicar.com