Linux上垃圾郵件及病毒信件的反制

Mail Scanner乃遵循GPL的精神,提供一套有效的mail gateway的防毒

 際網路時代的來臨,e-mail已是最訊速、最方便及最便宜的行銷手法,不僅取代了傳統郵件,也變成每個人溝通所必需,不過相繼也孕育出 垃圾郵件 病毒信件 的危害。

企業中,員工每天上班第一件事常是收mail50封信中只有3封是工作上所需,不僅降低員工的工作效率、也浪費了網路頻寬的使用率及破壞了IT的安全性,市面上雖然有很多信件防毒及過濾的軟體,但絕大部份都所費不貲。

Linux乃遵循GPL的精神,不僅功能強、效能佳,而且很多軟體都是免費的,以下介紹了 Linux上防垃圾郵件的設定 一套免費的open source軟體 — mailscanner,為Linux提供一個效的mail gateway的防毒工具

 

Linux上防垃圾郵件的設定:

一、   首先,在mail server上應先透過各種方法,盡可能阻絕垃圾郵件及病毒信件的入侵,事後再由client端決定是否透過過濾軟體的使用 設定封鎖某些寄件者或某些關鍵字的信件,如此便可阻絕90%以上的垃圾郵件及病毒信件

二、   Mail Server上阻絕垃圾郵件及病毒信件的三步驟:

1.       mail server上使用權限的設定—access

2.       透過黑名單資料庫的比對來過濾垃圾郵件

3.       安裝MailScanner搭配防毒軟體使用,阻絕垃圾郵件及病毒信件的入侵

三、   Linuxsendmail使用權限的設定à/etc/mail/access

1.       cd /etc/mail
vi access
192.168            RELAY
cracker.com.tw       REJECT  ß拒收,並且退信
test@sex.com.tw     REJECT  ß色情、廣告的發送者
200.100.101        DISCARD  ß丟掉
RELAY是允許client寄信出去,REJECTDISCARD是禁止對方寄信進來,建議使用DISCARD,因為有一些垃圾信的攻擊,寄件者會做偽裝,而退又退不回去,只會浪費系統的資源和網路的頻寬)

2.       makemap hash access.db < access

四、   黑名單資料庫過濾的設定

1.       黑名單資料庫目前有一些是要收費、有一些是免費的

2.       例如目前在網路上較準確且免費的黑名單資料庫如 http://www.ordb.org

3.       若公司的 mail server 被列入某些黑名單資料庫時,可能會造成寄至某些公司的信件老是寄不到

五、可透過下面網站查詢公司的mail server是否被列入黑名單中 是否成為垃圾信的轉信站

   設定mail server進出的郵件會先經過黑名單的過濾

1.       使用免費的ORDB.org 所提供的黑名單清單為例

2.       cd /etc/mail
vi sendmail.mcMAILER 之前插入此行
FEATURE(`dnsbl', `relays.ordb.org', `"Email blocked using ORDB.org - see <http://ORDB.org/lookup/?host="$&{client_addr}">"')

3.       m4 sendmail.mc > sendmail.cf

七、   Mail ScannerSophos的介紹及安裝 (mail gateway的防毒)

1.       MailScanner是一個高度受尊重的電子郵件安全系統,並遵循著GPL的精神,為開放原始碼的軟體

2.       資料統計,它每天處理超過五億封的郵件,移除二百萬封的病毒信件及辨識七百五十萬封已知的spam訊息及具有攻擊行為的非善意訊息

3.       目前MailScanner已經被使用在超過二萬個站台,保護著政府部門、商業機構及學校單位,成為許多ISP及企業在過瀘病毒信件及廣告信時的必要工具

4.       它是一個可以和超過十四種virus scanner搭配的套件,允許去搭配任何一種最適合的scanner核心來使用,例如著名的sophos

八、   Sophos介紹

1.       SOPHOS是在歐洲最大的防毒軟體開發者,在全球防毒市場排行前五大,分公司遍及全球120多個國家

2.       Sophos已推出繁體中文版軟體,在台灣的合作夥伴也成長至17家。

3.       可對抗任何電腦病毒、蠕蟲或特洛伊木馬的威脅

4.       垃圾郵件會嚴重削減企業生產力、網路頻寬的利用率,並破壞公司的IT的安全性,Sophos 本身除了提供防毒之外藉由併購 ActiveState 公司而取得了反垃圾郵件解決方案。

 

安裝及測試Mail ScannerSophos

一、下載MailScanner主程式

一、點選downloaddownload目前最新的版本為Version 4.25-14 for RedHat Linux (and other RPM-based Linux distributions)

二、安裝Mail Scanner

1、tar zxvf MailScanner-4.25-14.rpm.tar.gz

2、cd MailScanner-4.25-14

[root@home /var/local/MailScanner-4.25-14]# ./install.sh

ps:若你的系統有些許perl的套件沒有補上,在安裝的過程中會跳出,沒關係,您只要下./Update-MakeMaker.sh就可以了,然後再重新執行一次./install.sh就可以安裝成功 最後請記得做以下系統所提示的動作

三、下載Sophos
可至http://www.sophos.com,下載主程式,但需先行註冊,進入首頁後連結至左方 <PRODUCTS> 這個連結,如下圖。

尋找一個叫 <Evaluate Sophos Anti-Virus> 的選項,點選進入後,輸入你的註冊資料,最重要是你的e-mail位址,系統會寄一封mail請你去下載。接下來去收信,直接點選信件中的超連結就可以下載程式碼了!

四、安裝 Sophos 的主程式

1、tar zxvf linux.intel.libc6.tar.Z    ß先把檔案解壓縮,會出現一個 sav-install 的目錄

2、cd sav-install   ß進入此目錄

3、useradd -M -s /bin/true sweep   ß安裝前要先新增一個使用者 sweep

/usr/sbin/Sophos.install   ß安裝 Sophos 主程式,安裝到最後,系統會更新目前最新的病毒碼

安裝完成後,所有的檔案都會存在 /usr/local/Sophos

五、接著啟動SophosInterCheck的服務:
 icheckd –d

vi /etc/MailScanner/MailScanner.conf   ß修改mailscanner設定檔
 Virus Scanners = none修改為àVirus Scanners = sophos

七、啟動Mail Scanner

1、service sendmail stop      ß需先把sendmail的服務關閉,才可啟動mailscanner

2、chkconfig sendmail off     ß開機時不啟動sendmail

3、chkconfig MailScanner on  ß開機時自動啟動Mail Scanner

service MailScanner start   ß最後啟動Mail Scanner

4psMail Scanner會將sendmail分成兩個獨立的程序incomingoutgoingscan,這樣子就完成了Mail ScannerSophos的啟動和安裝

八、測試:
接下來做個簡單的測試,寄一封有毒的信件給user@linuxsupport.com.tw來試試
可以到 http://www.eicar.org/anti_virus_test_file.htm 這個網頁中去下載病毒碼來測,但一定要小心使用

假若收到有毒的信件,在主旨的開頭會有 <Virus?> 的字樣出現,如下圖:
而在收到有毒的信件的時候,系統也會回一封mail給寄件者,通知他mail是有毒的
我們在/var/log/mailing的記錄檔中也發現了一個病毒郵件的訊息

九、結論:
MailScanner可以阻絕大部份病毒郵件的攻擊,但絕對不是百分之百的,有時病毒的辨識還是會有錯誤,所以除了隨時要注意病毒碼的更新外,還要長期的收集一些垃圾郵信的徵兆來防禦,才能達到較安全的防範

 PS:若要對MailScanner做進階的細部微調,需參考 /etc/MailScanner/MailScanner.conf 的設定