安德森技術備忘板

P3Scan + ClamAV 建立防毒 Mail Proxy

P3Scan 安裝地點與防護關係

• 安裝於 Linux NAT
  • User -- SMTP --> Linux NAT --> Hinet SMTP Server (寄外部郵件)
  • User <-- Linux NAT <-- POP3 -- Hinet POP3 Server (收外部郵件)
  • Mail Server -- SMTP --> Linux NAT --> 其他 MTA (從公司內部寄出的郵件)
    　
• 安裝於 Mail Server 所在機器
  • User <-- POP3 -- Mail Server (收公司郵件)
  • User -- SMTP --> Mail Server (以公司郵箱發信)

安裝 P3Scan

環境: Fedora Core 3, Source Installation ClamAV (prefix=/usr/local)

rpm -ivh p3scan-2.3.2-1.FC3.i386.rpm

cd /etc/p3scan

cp p3scan.conf.sample p3scan.conf

ln -s p3scan-en.email p3scan.email

vi p3scan.conf

刪除 /* P3Scan v2.3.2... 一直到 */ 的那幾行

user = mail
justdelete
scannertype = basic
scanner = /usr/local/bin/clamdscan --no-summary
viruscode = 1
virusregexp = .*: (.*) FOUND
enabletop

vi /usr/local/etc/clamd.conf

User mail
ScanMail yes

clamd

/etc/init.d/p3scan start (或 p3scan -d 進入 debug 模式)

iptables -t nat -A PREROUTING -s LAN -p tcp --dport 25 -j REDIRECT --to 8110

iptables -t nat -A PREROUTING -p tcp --dport 110 -j REDIRECT --to 8110

以 Eicar 病毒碼測試 p3scan 防毒功能

※於 [遠端 mail server] 或 [p3scan 與 mail server 在同一台機器] 的環境下進行以下操作

vi /tmp/virus_test.eml

From someone@somewhere.com
From: someone@somewhere.com
To: you@your.domain.com
Subject: virus test

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

cat /tmp/virus_test.eml >> /var/spool/mail/your_account

若收到一封主旨為: [Virus] found in a mail to you: Eicar-Test-Signature 的信件, 表示 p3scan 運作正常

參考資料

• http://csc.ocean-pioneer.com/docum/p3scan.html