Главная » 2013 » Декабрь » 12 » 22.2. Проверка входящей и исходящей почты
02:09
22.2. Проверка входящей и исходящей почты

Программа AVPKeeper выполняет поиск и удаление вирусов в сообщениях электронной почты. В состав AVP входят версии программы AVPKeeper, предназначенные для работы с такими агентами доставки почты (МТА): sendmail, postfix, qmail. Поскольку в книге рассматривается только программа sendmail, я рассмотрю сопряжение AVPDaemon только с этой программой.

AVPKeeper может работать в двух режимах: локальном и глобальном. Давайте разберемся, для чего предназначены эти режимы. Первый подойдет только в случае, если вы администрируете небольшой почтовик, который обслуживает небольшое количество пользователей. При выборе локального режима работы будут проверяться только входящие сообщения, то есть только те, которые приходят извне (из Internet) нашим пользователям. В этом случае предполагается, что в нашей сети нет вирусописателей, которые распространяют вирусы.

Глобальный режим работы больше подходит для почтовых серверов больших организаций. При этом режиме проверяется не только входящая почта, но и исходящие сообщения: вдруг среди наших пользователей есть распространители вирусов.

Надежнее работает локальный режим, поэтому мы будем использовать именно его. Принципиально большой разницы в настройках нет: скоро вы сами убедитесь в этом.

Начнем с установки программы AVPKeeper. В состав обычного дистрибутива AVP, который мы установили ранее эта программа не входит. Для ее установки скопируйте файл kavselinux. tgz из каталога /mnt/cdrom/Products/KAVLinux в какой‑нибудь каталог вашей файловой системы. Затем установите нужные права доступа (нужно сбросить право на выполнение) и распакуйте его:

После этого запустите инсталлятор kavinstaller. В процессе установки ВНИМАТЕЛЬНО отвечайте на задаваемые инсталлятором вопросы. Во‑первых, инсталлятор обнаружит, что уже установлена предыдущая версия AVP и спросит, что с ней делать. Нужно ответить «Оставить», чтобы предыдущая версия осталась на диске. Затем инсталлятор спросит вас, какие версии AVPKeeper нужно устанавливать. Ответить Да (у) нужно только на вопрос:

Затем вам будет задана серия вопросов о том, что делать со старыми файлами:

Нужно ответить w – перезаписать с новым расширением. Потом, в случае некорректной установки, у вас будет возможность все восстановить. После установки нового антивируса – KAV (KasperskyAntiVirus) названия сканера, демона, программы настройки изменятся. Для сканирования нужно использовать программу kavscanner, для настройки – kavtuner. В качестве демона будет использоваться kavdaemon. Для автоматического обновления теперь нужно использовать программу kavupdater. Две программы – AVP и KAV – прекрасно «уживаются» на одном компьютере: поэтому я настоятельно не рекомендую удалять предыдущую версию.

Теперь перейдем к настройке sendmail. Прежде всего, остановите sendmail командой:

После этого перейдите в каталог /opt/AVP/kavkeeper и скопируйте каталог sendmail‑cf в каталог /usr/share. Затем выполните одну из следующих команд:

Первую команду нужно выполнить, если вам нужен глобальный режим работы программы AVPKeeper, а вторую – если необходим локальный режим. Как видите, нет большой разницы в настройке режимов AVPKeeper.

Примечания.

1. Перед выполнением этих команд скопируйте куда‑нибудь старый /etc/sendmail. cf – он вам еще пригодится.

2. Файлы kav_glb. mc и kav_loc. mc нужно использовать только для экспериментального запуска. После того, как все нормально будет работать, отредактируйте данные файлы и внесите параметры, специфичные для вашей машины. Конечно, если вы когда‑нибудь устанавливали такие параметры. В большинстве случаев данные файлы подойдут для большинства машин.

В качестве примера приведу листинг файла локального режима работы kav_loc. mc (см. листинг 22.2).

Листинг 22.2. Файл kav_loc. mc

Если вас по каким‑либо причинам не устраивает стандартный файл kav_loc. mc, например, вы используете специфические настройки, внесите строки, выделенные жирным шрифтом, в свой mc‑файл и выполните команду:

При использовании глобального режима, в свой mc‑файл нужно внести следующие строки:

Все! Настройку sendmail можно считать завершенной. Осталось только проверить, как все работает. Запустите sendmail (/etc/init. d/sendmail start) и выполните команду:

Этой командой файл, инфицированный вирусом Win95.CIH, будет отправлен локальному пользователю evg. Сейчас начинается самое интересное. Проверьте свою почту (см. файл /var/mail/root). Должно быть что‑то типа того, что представлено в листинге 22.3.

Листинг 22.3. Сообщения о найденных вирусах

Первое сообщение говорит о том, что письмо, содержащее вирус, было успешно отправлено, но оно не было доставлено адресату. Второе сообщение информирует администратора системы, что локальному пользователю evg пришло письмо, содержащее вирус.

В файле протокола /var/log/kavkeeper–[date].log вы также найдете сообщения о вирусе.

Программу AVPKeeper можно настроить по‑разному: для автоматического удаления вирусов и удаления вирусов вручную. В первом случае пользователь, отправивший сообщение с вирусом, получает уведомление об этом, сообщение о найденном вирусе направляется администратору, а само сообщение (вместе с ним и вирус) удаляется. Во втором случае происходит все так же, как и в первом, но сообщение не удаляется, а переадресовывается администратору. Второй режим рекомендую использовать, если у вас уйма свободного времени и вашим хобби является исследование вирусов. Эти режимы можно задать в файле kavkeeper. ini. Более подробную информацию вы можете получить, прочитав документацию на программу AVPKeeper.

Категория: Антивирусная защита | Просмотров: 322 | Добавил: spb_serge | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *: