ClamAV, MailScanner e o MTA
Vamos para a segunda etapa das dicas de como melhorar a segurança de sua rede interna.
Este guia resumido objetiva a configuração de um anti-vírus integrado ao seu MTA, dificultando a entrada de vírus e outras pragas virtuais, como spam, pishing, entre outros.
Tive uma taxa de aceitação muito grande por parte dos usuários, graças à diminuição homérica da quantidade de emails indesejáveis chegando. Além disso, um menor tráfego interno de dados também foi um resultado positivo, graças à redução de uma grande quantidade de emails que antes eram enviados.
Bom, pra começar, pegue os binários de instalação do ClamAV aqui.
tar xzvf clamav-0.72.tar.gz
cd clamav=0.72
Para o compilar :
./configure –sysconfdir=/etc
make
make install // como root !
E pronto ! Seu ClamAV está instalado bonitinho, do jeito que você precisa.
Se preferir, instale pelo seu empacotador de software favorito.
Aqui eu suponho que você já tenha um sendmail ou um postfix funcionando, uma vez que você está querendo protegê-los. Se eu estiver errado , aqui tem alguns bons guias para seguir na instalação dos MTA’s acima.
Sendmail : Clique aqui
Postfix : Clique aqui
Pronto. Agora é importante deixar claro que você precisa desligar o processo nativo do MTA, com um service postfix stop ou service sendmail stop (Redhat e derivados) e desabilitar a ativação desde processo daqui em diante.
Porque ? Simples !
Daqui em diante quem vai “subir” o processo correspondente será o MailScanner. Ao invés de você subir ou baixar o MTA, irá fazê-lo com o MailScanner. Ele se encarregará de executar o MTA apropriadamente.
Instalando o MailScanner….
Baixe os binários, RPM, DEB, ou o que se aplicar ao seu caso, no site http://www.sng.ecs.soton.ac.uk/mailscanner/downloads.shtml
Se você optou por baixar os sources, descompacte com “tar xzvf MailScanner-x.xx.x-x.tar.gz” e em seguida execute o script com “sh install.sh”
Nesta url tem um ótimo guia completo de como compilar.
Agora vamos aprender a configurar o MailScanner
Com o Postfix :
Altere o arquivo MailScanner.conf (que está em /etc ou /opt/MailScanner/etc) :
Run As User = postfix
Run As Group = postfix
Incoming Queue Dir = /var/spool/postfix/hold
Outgoing Queue Dir = /var/spool/postfix/incoming
MTA = postfix
Agora faça as alterações NO POSTFIX para trabalhar com o MailScanner:
Adicione a seguinte linha no arquivo main.cf da instalação do Postfix:
header_checks = regexp:/etc/postfix/header_checks
No arquivo /etc/postfix/header_checks adicione esta linha:
/^Received:/ HOLD
Se você instalou o MailScanner em RPM, execute apenas “service MailScanner start” e o serviço estará no ar.
Para a versão binária, execute “postfix start” e em seguida “check_MailScanner“.
Com o Sendmail :
Para usar o MailScanner com o sendmail não precisa de muito. Apenas desabilite o servidor Sendmail com
“chkconfig sendmail off“;
Habilite o MailScanner em todos os run-levels com
“chkconfig –level 2345 MailScanner on“;
Inicie o serviço com
“service MailScanner start“.
Leia a primeira parte deste mini-tutorial aqui:
http://www.lsmod.net/2008/09/politicas-simples-de-seguranca-dentro-da-empresa/
Desta forma simplificada (mais detalhes podem ser amplamente encontrados no Google) suas caixas postais internas estarão muito melhor protegidas, e consequentemente toda a sua infra-estrutura agradecerá.
Abraços !
Políticas simples de segurança dentro da empresa
Muitas pessoas podem estar numa situação como esta que irei descrever aqui:
- Trabalham numa empresa onde o número de funcionários é relativamente alto (> 5 utilizadores de internet já é um bom número) e todos tem endereços de e-mail, recebem e enviam mensagens o dia todo.
- Tem algumas unidades de Windows espalhados pela rede toda, vulneráveis _sempre_ às praguinhas virtuais.
- São administradores, técnicos ou analistas, preocupados com a segurança e integridade dos dados de sua rede.
Para essas pessoas, aqui vão minhas recomendações:
1) Bloquear todos os webmails conhecidos do mercado. Ou pelo menos certificar-se de que o webmail que o funcionário tenha acesso possua anti-vírus e anti-spam.
Isto pode ser feito facilmente com “ACL’s” no Squid. Se você usar um proxy transparente, tem também a opção de cortar a conexão com os webmails logo no iptables.
Aqui vai uma ACL fácil de se fazer no Squid:
acl webmails url_regex hotmail webmail mail
// Cuidado ! Esta acl irá bloquear todos os endereços que tenham as expressões citadas, como “hotmail”.. isso pode gerar efeitos colaterais desagradáveis. Este é apenas um exemplo para ilustrar o poder das ACL’s.
Se você não puder, ou não quiser bloquear webmails, temos a opção de instalar o viralator no Squid, para ele checar com o antivirus instalado no seu servidor local, todos os arquivos .exe .zip (entre outros) antes de permitir que o usuário os baixe. Mais detalhes sobre o Viralator em uma próxima matéria.
2) Usar o fetchmail para buscar nos webmails dos funcionários as mensagens, e servi-las a eles pelo POP local.
Esta saída tem o lado negativo deles terem de fornecer o login e senha deles, para o fetchmail conseguir baixar as mensagens.
Na verdade cada usuário pode ter seu arquivo .fetchmail, que fica em seu home directory, e dessa forma você não precisaria saber da senha dele, anulando o lado negativo que citei acima. De qualquer forma, você como root vai poder ler o arquivo depois. Mas é só não contar a eles que você tem essa possibilidade, ou não fazer isto de fato. Infringir os direitos à privacidade alheia é feio 
Se você quiser fazer um único arquivo para todas as contas POP dos funcionários, crie um arquivo .fetchmailrc que contenha todas as informações de exemplo:
poll pop3.gmail.com with protocol pop3:
user ‘xxxxx’ there with password ‘xxxx’ is ‘xxxx’ here
Explicação : O comando “poll” significa algo como “ir buscar as mensagens”, seguido pelo endereço do servidor e o protocolo.
Logo a seguir temos “user xxxxx”, que representa o usuário no servidor de webmails. “with password xxxx” representa a senha da conta do usuário, e o “xxxx here”, nome LOCAL do usuario, no seu servidor Linux..
Feito isso, execute o comando :
/usr/bin/fetchmail -f /root/.fetchmailrc -a -s -K -F
Ou coloque-o em sua crontab (altamente recomendado), e assim você sempre terá as mensagens baixadas para o seu servidor.
O fetchmail precisa de um MTA (Mail Transport Agent) que pode ser o Sendmail, Postfix, QMAIL ou outros. No meu caso, estou usando o Postfix + MailScanner, que é uma combinação que deu muito certo no meu caso, apesar de ser meio pesada.
Quando seu servidor baixar as mensagens do POP remoto, ele irá colocá-las dentro da mailbox (ou maildir) do usuário, inicializando uma conexão SMTP de dentro para dentro, ou seja, de uma interface ethX para outra, e nessa hora a mensagem seria escaneada pelo seu ClamAV, já pré-configurado.
Um esboço de como a coisa toda funciona:
O usuario foo tem uma conta no Gmail, e o meu servidor local (Debian) irá, pelo fetchmail. buscar as mensagens no servidor pop3 deles.
Quando ele terminar de baixar, antes do conteúdo ir para a mailbox local do foo, meu servidor escanearia tudo em busca de conteúdo malicioso (por intermédio do MailScanner / ClamAV) e só entregaria de fato as mensagens que estiverem limpas.
Leia a segunda parte deste mini-tutorial clicando no link a seguir:
http://www.lsmod.net/2008/09/clamav-mailscanner-e-o-mta/
