ИБиЗИ ЛР / ПЗ ИБ 11.12.08
.pdf1.Проверка правильности инсталляции MIMEDefang.
2.Определение точного имени сокета для связи MIMEDefang – ClamAV.
3.Настройка SpamAssassin для использования с MIMEDefang.
4.Упрощение фильтрации на клиенте.
5.Обучение SpamAssassin.
Теоретическая часть
12.1. Проверка правильности инсталляции MIMEDefang
На первом этапе сборки MIMEDefang выполняется скрипт
./configure, который осуществляет поиск проинсталлированных в системе
ClamAV и SpamAssassin. При условии, что они проинсталлированы, скрипт обнаруживает их и дальнейшую сборку выполняет с учѐтом необходимости поддержки этих программ.
Если вы не уверены, что при сборке MIMEDefang увидел ClamAV и SpamAssassin, вы можете убедиться в этом следующим образом:
воспользуйтесь ключом -features программы. Вы получите полный список возможностей MIMEDefang с указанием на соответствующие модули.
Отфильтровав этот список по интересующим нас словам, можно убедиться что MIMEDefang интегрирован с ClamAV/SpamAssassin или нет:
# mimedefang.pl –features | egrep –i'(clam,spamass)’
SpamAssassin |
:yes |
Virus:CLAMAV |
:yes (/usr/local/bin/clamscan) |
Virus:CLAMD |
:yes (/usr/local/sbin/clamd) |
Mail:SpamAssassin |
: Version 3.001003 |
Если в результате поиска обнаружилось, что параметры имеют значения ~no~ или вообще отсутствуют, MIMEDefang не увидел соответствующую программу. Возможно, это связано с тем, что при он устанавливался до того как в системе были инсталлированы ClamAV и SpamAssassin. Нужно выполнить сборку повторно.
161
12.2.Точное имя сокета для связи MIMEDefang – ClamAV
MIMEDefang и ClamAV используют файловый сокет (доменное гнездо UNIX) для обмена информацией между собой. Несовпадение имѐн сокетов в настройках одной и другой программы может привести к тому, что проверка писем на наличие вирусов выполняться не будет.
В лабораторной работе №2, которая была положена в основу начальной версии этой страницы указывается имя сокета
/var/spool/MIMEDefang/clamd.sock. В последующих версиях
MIMEDefang имя сокета изменилось, и сейчас оно такое:
/var/run/clamav/clamd.
Имя этого сокета нужно указать в конфигурационном файле ClamAV,
и такой же сокет должен использоваться в MIMEDefang. Если сокет или в одном, или в другом месте указан неверно (т.е. если имена не совпадают), в системном журнале будет появляться сообщение об ошибке. Оно будет появляться каждый раз, когда MIMEDefang захочет воспользоваться помощью ClamAV для проверки файла.
Nov 4 15:14:14 fbsd1 mimedefang.pl[78707]: kA4DED6b078772:
Could not connect to clamd daemon at /var/run/clamav/clamd
Nov 4 15:14:14 fbsd1 mimedefang.pl[78707]: Problem running virus scanner: code=999, category=cannot-execute, action=tempfail
Имя сокета, указанное в сообщении, естественно, может отличаться. Проще всего изменить конфигурацию ClamAV и заставить слушать его
на нужном MIMEDefang'у сокете. Как это сделать, было рассказно выше. Если же по какой-то причине, сделать это невозможно, найти файл в
MIMEDefang, где указано имя сокета, можно следующим образом (метод подходит только для FreeBSD, для других систем вместо pkg_info нужно использовать соответствующую программу просмотра пакета):
#pkg_info –Lx defang | grep / | while read file
162
>do
>grep /var/run/clamav/clamd $file /dev/null
>done
/usr/local/bin/mimedefang.pl:$ClamdSock =
«/var/run/clamav/clamd»;
12.3. Настройка SpamAssassin для использования с MIMEDefang
MIMEDefang вызывает SpamAssassin с конфигурационным файлом
/usr/local/etc/mimedefang/spamassassin/sa-mimedefang.cf. Если вы
хотите делать какие-то изменения в конфигурации SpamAssassin'а, меняйте этот файл. Редактирование других файлов ни к чему не приведѐт, поскольку
SpamAssassin их даже не будет читать. Ниже рассматриваются самые-самые базовые вопросы по конфигурированию SpamAssassin'а, вообще же конфигурация может быть намного более гибкой.
Отрегулируйте чувствительность фильтра с помощью переменной required_hits. По умолчанию еѐ значение равно 5. Когда в результате анализа, SpamAssassin ставит спам-оценку письму выше чем 5, он маркирует письмо соответствующим образом, и у клиента есть возможность отфильтровать письмо и поступить с ним по собственному усмотрению.
Другая важная вещь это белый список (whitelist), в ней можно указывать адреса, письма с которых никогда нельзя воспринимать как спам.
Например, сестра автора англоязычной статьи любит частенько отправлять письма перегруженные разметкой HTML, картинка и прочей дрянью, ну прям как заправский спамер. Если указать еѐ адрес в строке whitelist_from,
SpamAssassin никогда не будет считать еѐ письма спамом. Даже в том случае, если она отфорвардит самый отъвленный спам порнографического содержания с вопросом «Что это?». Аналогичным образом blacklist_from
позволяет блокировать всю почту с определѐнных адресов.
12.4. Упрощение фильтрации на клиенте
163
MIMEDefang не позволяет SpamAssassin'у менять письмо! Вместо этого SpamAssassin сообщает spam-рейтинг письма MIMEDefang'у, и
изменения делает уже он. В FAQ на MIMEDefang есть несколько хороших советов касающихся того, как настроить вывод информации в желаемом формате.
По умолчанию, MIMEDefang добавляет одну строку заголовка,
которая содержит спам-рейтинг письма, вычисленный SpamAssassin'ом, и
последовательность звездочек, соответствующую величине рейтинга, как в показанном ниже примере.
X-Spam-Score: 21.207 (*********************)
Для многих почтовых клиентов фильтрация по такому заголовку оказывается непростым делом: они не могут сравнивать численный рейтинг.
С помощью небольшого изменения в MIMEDefang вы можете сильно облегчить жизнь таким пользователям.
В файле /usr/local/etc/mimedefang/mimedefang-filter будет такая строка;
action_change_header(«X-Spam-Score»,
«$hits($score)$names»);
Если поменять местами переменные $score и $hits, пользователи смогут организовать фильтрацию по количеству звездочек.
action_change_header(«X-Spam-Score»,
«$score($hits)$names»);
Теперь заголовок в письме будет выглядеть так:
X-Spam-Score: ************* (13.002)
Теперь можно написать правило, которое будет находить определенное количество звездочек за X-Spam-Score: и фильтровать сообщения по этому признаку. Теперь пользователи сами, самостоятельно, могут регулировать величину барьера для спама. А на сервере можно ужесточить правила проверки, ведь письмо все равно дойдет до пользователя, и он будет уже сам решать, какие письма считать спамом, а какие нет. Если пользователь
164
слишком сильно зажмет спам, и потеряет из-за этого какое-то важное письмо, виноват будет он сам.
12.5. Обучение SpamAssassin
Если у вас есть файлы с отъявленным спамом, и файлы с гарантированно хорошими письмами, вы можете провести обучение
SpamAssassin и рассказать ему, что такое хорошо и что такое плохо.
Пусть, например:
Mail/spam – файл со спамом;
Mail/goodmail и /var/spool/mail/$LOGNAME – файлы с хорошими письмами (неспам, ham);
$ ls Mail
spam goodmail
Обучение выполняется следующим способом:
$ sa-learn –mbox --spam Mail/spam
$ sa-learn –mbox --ham Mail/goodmail
$ sa-learn –mbox --ham /var/spool/mail/$LOGNAME
Просмотр результатов обучения:
$ sa-learn –dump data | sort –n
0.000 |
0 |
110 |
1072880922 |
discussion |
0.000 |
0 |
112 |
1071162080 |
HMBOX-Line:2002 |
0.000 |
0 |
112 |
1072907632 |
modify |
0.000 |
0 |
113 |
1072915324 |
H*u:Windows |
0.000 |
0 |
115 |
1072900545 |
Sender |
... |
|
|
|
|
1.000 |
310 |
0 |
1071162080 |
N:HEADER_NBITS |
1.000 |
316 |
0 |
1072026198 |
8-bit |
1.000 |
323 |
0 |
1071162080 |
HEADER_8BITS |
165
1.000 |
328 |
0 |
1072026198 |
N:N-bit |
1.000 |
394 |
0 |
1072910571 |
Forged |
Аппаратура и материалы
1.Компьютерный класс общего назначения.
2.Операционная система FreeBSD.
2. Sendmail,ClamAV, SpamAssassin, MIMEDefang.
Указание по технике безопасности. Техника безопасности при выполнении лабораторной работы совпадает с общепринятой для пользователей персональных компьютеров: самостоятельно не производить ремонт персонального компьютера, установку и удаление программного обеспечения; в случае неисправности персонального компьютера сообщить об этом обслуживающему персоналу лаборатории; соблюдать правила техники безопасности при работе с электрооборудованием; не касаться электрических розеток металлическими предметами; рабочее место пользователя персонального компьютера должно содержаться в чистоте; не разрешается возле персонального компьютера принимать пищу, напитки.
Методика и порядок выполнения работы. Перед выполнением лабораторной работы студент получает индивидуальное задание. Защита лабораторной работы происходит только после его выполнения. При защите студент отвечает на контрольные вопросы и поясняет выполненное индивидуальное задание. Ход защиты лабораторной работы контролируется преподавателем.
Задания
1.Ознакомиться с теоретическими сведениями, изложенными в данных методических указаниях.
2.Выполнить установку и настройку программного обеспечения.
166
3. Оформить отчет.
Отчет о выполнении в письменном виде сдается преподавателю. При защите работы студент отвечает на контрольные вопросы и предоставляет отчет преподавателю.
Содержание отчета и его форма
Отчет должен иметь форму согласно оформлению реферата.
Титульный лист должен включать название дисциплины, название лабораторной работы, фамилию и инициалы сдающего студента, номер группы, фамилию и инициалы принимающего преподавателя. Основная часть лабораторной работы должна содержать следующие элементы.
1.Название лабораторной работы.
2.Цель и содержание лабораторной работы.
3. Описание процедур проверки корректности установки, настройки и работы компонентов.
4. Выводы по проделанной работе
Вопросы для защиты работы
1.Как проверить правильность инсталляции MIMEDefang?
2.Как задать точное имя сокета для связи MIMEDefang – ClamAV?
3.Как настроить SpamAssassin для использования с MIMEDefang?
4.С помощью какой переменной можно отрегулировать чувствительность фильтра SpamAssassin?
5.Что такое белый список?
6.Для чего предназначен HTTP-заголовок X-Spam-Score?
7.Для чего предназначены звездочки в заголовок X-Spam-Score?
8.Как упростить фильтрацию спама?
9.Как обучается SpamAssassin?
10.Каким образом осуществляется просмотр результатов обучения?
167
Лабораторная работа 13
Элементы комплексной защиты сервера электронной почты на
основе свободно распространяемых программных продуктов.
Часть 3
Цель работы и содержание: Научиться производить интеграцию компонентов комплексной защиты сервера электронной почты в сервер электронной почты Sendmail.
1.Интеграция с Sendmail.
2.Проверка работоспособности настроенной связки.
3.Визуализация почтового потока с помощью Mailgraph.
Теоретическая часть
13.1. Интеграция с Sendmail
Теперь, когда у вас есть рабочая инсталляция
MIMEDefang/SpamAssassin/ClamAV, их как-то нужно подключить к
Sendmail. В современном Sednmail'е есть Makefile, который упрощает создание конфигурационного файла. В каталоге должен быть .mc файл с названием хоста. Если такого нет, скопируйте файл freebsd.mc в файл,
который называется имя.вашего.хоста.mc. После этого в файле
/etc/make.conf укажите имя этого файла в переменной SENDMAIL_MC.
SENDMAIL_MC=/etc/mail/bewilderbeast.mc
Когда будете пересобирать систему, эта переменная укажет make
использовать ваш .mc файл вместо стандартного. Иначе после каждого make installworld пришлось бы изменять конфигурацию Sendmail заново. Правда,
теперь после каждого обновления системы не забудьте сравнить новый freebsd.mc с ваши .mc, для того чтобы не пропустить каких-то важных изменений в конфигурации Sendmail.
В ваш новый .mc-файл добавьте следующие строки:
MAIL_FILTER(‘mimedefang’,
168
‘S=local:/var/spool/MIMEDefang/mimedefang.sock
,F=T, T=C:15m;S:4m;R:4m;E:10m’)dnl
define(‘confINPUT_MAIL_FILTERS’, ‘mimedefang’)dnl
Находясь в каталоге /etc/mail нужно запусть команду make all,
которая перестроит файл sendmail.cf. После этого нужно перезапустить
Sendmail с новым конфигурационным файлом.
13.2. Проверка работоспособности настроенной связки
Самый простой способ проверить работоспособность настроенной связки, это отправить себе письмо, заражѐнное вирусом.
Воспользуемся примером вируса, который распространяется в составе дистрибутива ClamAV. В дистрибутиве исходного кода ClamAV (если инсталляция выполнялась из портов, то он будет находиться в каталоге work/ порта clamav) есть каталог test/, содержащий примеры вирусов. Они использовались при проверке ClamAV выше.
#cd /usr/ports/security/clamav/work/clamav -*
#ls test/
README |
clam.cab |
clam.exe.bz2 |
clam.zip |
clam-error.rar |
clam.exe |
clam.rar |
mbox |
Перешлите себе файл clam.zip как прикреплѐнный файл. Вирус должен быть обнаружен MIMEDefang: письмо заблокировано, а в системном журнале должна появиться строка с сообщением об обнаруженном вирусе.
# grep -r 'Discarding because' /var/log/*
/var/log/maillog:Nov |
4 |
15:20:16 |
fbsd1 |
mimedefang.pl[78707]: Discarding because of virus ClamAV-Test-
File
Строка содержит слова Discarding because, поэтому поиск выполнялся по ним. Сообщение об обнаруженном вирусе было найдено в файле /var/log/maillog. Обнаруженный вирус был классифицирован как
ClamAV-Test-File.
169
Проверить, работает ли SpamAssassin можно, отправив письмо с отъявленным спамом на один из защищаемых адресов. Если такое письмо отсутствует, его можно написать вручную, правда, если не очень стараться,
то спамоподобия может не хватить. В этом случае в заголовках прошедшего
проверку письма не появится ни строчки о спаме.
Чтобы увидеть такие строки, нужно занизить критический уровень спам-рейтинга, так чтобы срабатывание выполнялось даже на самых
безобидных письмах. Измените значение в файле
/usr/local/etc/mimedefang/sa-mimedefang.cf до 1 и перезапустите
MIMEDefang.
# /usr/local/etc/rc.d/mimedefang.sh restart |
|
Shutting down mimedefang |
[ OK ] |
Shutting down mimedefang-multiplexor |
[ OK ] |
Waiting for daemons to exit. |
|
Starting mimedefang-multiplexor: |
[ OK ] |
Starting mimedefang: |
[ OK ] |
Не забудьте после проверки вернуть спам-порог обратно и
перезагрузить MIMEDefang!
Отправьте с другой машины письмо, содержащее слово viagra в теле.
$ echo viagra | mutt –s ‘Spam Test’ devi@fbsd1.xgu.ru
Письмо должно быть классифицировано как спам. Вот как выглядит
полученное письмо:
Date: Sun, 5 Nov 2006 12:06:01 +0200
To: devi@fbsd1.xgu.ru
Subject: Spam Test
User-Agent: Mutt/1.5.6+20040907i
From: devi@kievnet.kiev.ua
X-Spam-Score: 2.44 (**) DRUGS_ERECTILE, RCVD_BY_IP X-Scanned-By: MIMEDefang 2.57 on 217.27.159.219 [-- Вложение #1 --]
[-- Тип: text/plain, кодировка: 7bit, размер: 0,1K --] viagra
170