Author Topic: packetlove mail antivirus by sophos engine on amavisd  (Read 8446 times)

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
packetlove mail antivirus by sophos engine on amavisd
« on: มีนาคม 18, 2015, 04:23:49 PM »
ปกติคนที่ทำเมลนั้นจะเคยได้ยินว่า ถ้าใช้ตัว open source จะใช้ตัว clamav ในการเป็นตัวสแกนไวรัสอีเมล
ซึ่งในความเป็นจริงนั้น ตัวนี้ผมก็เคยได้ใช้งานมา และพบว่ามีการหลุดของ พวกไฟล์ virus จำนวนหนึ่งเลยทำให้ต้องหาตัว ที่กันได้ดีขึ้น
เลยได้ทดลองใช้งานตัว sophos ซึ่งเป็นตัว engine ที่ support ใน configure ของตัว amavisd เหมือนกันครับ
และหลังจากทดสอบได้ระยะหนึ่ง ก็พอใจกับประสิทธิภาพในการสแกนไวรัสของมัน และมีการอัฟเดท signature ไวดีครับ รอไม่นาน ประมาณ 3-4 ชม หลังจาก submit เข้าทีม support

เริ่มการ configure amavisd.conf เพื่อให้ support sophos engine ดังนี้ครับ

#cp -rp /usr/local/etc/amavisd.conf  /usr/local/etc/amavisd.conf_backup
#vi /usr/local/etc/amavisd.conf

# ### http://www.csupomona.edu/~henson/www/projects/SAVI-Perl/
# ['Sophos SAVI', \&sophos_savi ],
 ['Sophos Anti Virus (sweep)', 'sweep',
   '-nb -nf -rec -ss -sc -archive -cab -mime -oe -tnef '.
   '--no-reset-atime {}',
   [0,2], qr/Virus .*? found/,
   qr/^>>> Virus(?: fragment)? '?(.*?)'? found/,
 ],

และทำการปิดในส่วนของ clamav หรือถ้าท่านใดต้องการใช้งาน สองตัวเลยก็เปิดไว้ได้ครับ
#/usr/local/etc/rc.d/amavisd restart ; tail -f /var/log/maillog


####หลังจากนั้นทำการลง ตัว engine sophos ในระบบครับ ของผมใช้เป็น unmanage support FreeBSD
Access to https://www.sophos.com/en-us/support/downloads/standalone-installers/anti-virus-for-unix-unmanaged.aspx
download => freebsd.amd64.8+.tar
#tar zxf freebsd.amd64.8+.tar
#cd sav-install/
#./install -v

#### ทำการ download signature (.ide) มาครับผม
##download new ide via
http://www.sophos.com/downloads/ide/
#mkdir -p /root/510
#fetch http://downloads.sophos.com/downloads/ide/510_ides.zip
#unzip  510_ides.zip
#cd /usr/local/sav
#cd /root/510
#cp -rp *.ide /usr/local/sav/.
#chown root:wheel *.ide

##เสร็จแล้วทำการ ทดลอง Sweep scanning virus pattern.
#sweep -nb -nf -rec -ss -sc -archive -cab -mime -oe -tnef *
#sweep -idedir=510_20150318 -v > sweep_510_20150318
#sweep virus_pattern > virus_pattern/sweep_5.10_new

##Mutt send attach virus file
mutt -a PO.zip -c golftest@noc.ntt.co.th < message

แค่นี้ก็เรียบร้อยละครับ แล้วเมลที่เข้ามาทุกเมลหลังจาก ผ่าน เชค rule ต่างๆจนผ่านมาถึงตัว สแกนไวรัสอีเมล
ก็จะต้องเจอกับ sophos enine + clamav engine ถ้าในเมลนั้นมี virus file เข้ามาด้วย ก็จะโดย block ban ตาม rule ที่ set ใน amavisd.conf ครับผม

ลองใช้งานกันดูนะครับ
sophos free license 30 วันนะครับ  ;)