Golfreeze.packetlove.com: Life style of Golfreeze Canon400D Family kammtan.com Jazz Freebsd Unix Linux System Admin guitar Music

All about unix linux freebsd and FAQ for Packetlove.com Web hosting , Mail hosting , VoIP + IP PBX server => Mail issue , problem , configuration => Topic started by: golfreeze on มีนาคม 18, 2015, 04:23:49 PM

Title: packetlove mail antivirus by sophos engine on amavisd
Post by: golfreeze on มีนาคม 18, 2015, 04:23:49 PM

ปกติคนที่ทำเมลนั้นจะเคยได้ยินว่า ถ้าใช้ตัว open source จะใช้ตัว clamav ในการเป็นตัวสแกนไวรัสอีเมล
ซึ่งในความเป็นจริงนั้น ตัวนี้ผมก็เคยได้ใช้งานมา และพบว่ามีการหลุดของ พวกไฟล์ virus จำนวนหนึ่งเลยทำให้ต้องหาตัว ที่กันได้ดีขึ้น
เลยได้ทดลองใช้งานตัว sophos ซึ่งเป็นตัว engine ที่ support ใน configure ของตัว amavisd เหมือนกันครับ
และหลังจากทดสอบได้ระยะหนึ่ง ก็พอใจกับประสิทธิภาพในการสแกนไวรัสของมัน และมีการอัฟเดท signature ไวดีครับ รอไม่นาน ประมาณ 3-4 ชม หลังจาก submit เข้าทีม support

เริ่มการ configure amavisd.conf เพื่อให้ support sophos engine ดังนี้ครับ

#cp -rp /usr/local/etc/amavisd.conf  /usr/local/etc/amavisd.conf_backup
#vi /usr/local/etc/amavisd.conf

# ### http://www.csupomona.edu/~henson/www/projects/SAVI-Perl/ (http://www.csupomona.edu/~henson/www/projects/SAVI-Perl/)
# ['Sophos SAVI', \&sophos_savi ],
 ['Sophos Anti Virus (sweep)', 'sweep',
   '-nb -nf -rec -ss -sc -archive -cab -mime -oe -tnef '.
   '--no-reset-atime {}',
   [0,2], qr/Virus .*? found/,
   qr/^>>> Virus(?: fragment)? '?(.*?)'? found/,
 ],

และทำการปิดในส่วนของ clamav หรือถ้าท่านใดต้องการใช้งาน สองตัวเลยก็เปิดไว้ได้ครับ
#/usr/local/etc/rc.d/amavisd restart ; tail -f /var/log/maillog


####หลังจากนั้นทำการลง ตัว engine sophos ในระบบครับ ของผมใช้เป็น unmanage support FreeBSD
Access to https://www.sophos.com/en-us/support/downloads/standalone-installers/anti-virus-for-unix-unmanaged.aspx (https://www.sophos.com/en-us/support/downloads/standalone-installers/anti-virus-for-unix-unmanaged.aspx)
download => freebsd.amd64.8+.tar
#tar zxf freebsd.amd64.8+.tar
#cd sav-install/
#./install -v

#### ทำการ download signature (.ide) มาครับผม
##download new ide via
http://www.sophos.com/downloads/ide/ (http://www.sophos.com/downloads/ide/)
#mkdir -p /root/510
#fetch http://downloads.sophos.com/downloads/ide/510_ides.zip (http://downloads.sophos.com/downloads/ide/510_ides.zip)
#unzip  510_ides.zip
#cd /usr/local/sav
#cd /root/510
#cp -rp *.ide /usr/local/sav/.
#chown root:wheel *.ide

##เสร็จแล้วทำการ ทดลอง Sweep scanning virus pattern.
#sweep -nb -nf -rec -ss -sc -archive -cab -mime -oe -tnef *
#sweep -idedir=510_20150318 -v > sweep_510_20150318
#sweep virus_pattern > virus_pattern/sweep_5.10_new

##Mutt send attach virus file
mutt -a PO.zip -c golftest@noc.ntt.co.th < message

แค่นี้ก็เรียบร้อยละครับ แล้วเมลที่เข้ามาทุกเมลหลังจาก ผ่าน เชค rule ต่างๆจนผ่านมาถึงตัว สแกนไวรัสอีเมล
ก็จะต้องเจอกับ sophos enine + clamav engine ถ้าในเมลนั้นมี virus file เข้ามาด้วย ก็จะโดย block ban ตาม rule ที่ set ใน amavisd.conf ครับผม

ลองใช้งานกันดูนะครับ
sophos free license 30 วันนะครับ  ;)