AmavisdConfig

Материал из OpenWiki
Версия от 06:53, 14 октября 2008; ImportUser (обсуждение)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Amavisd-new

amavisd.conf

# Для запрещения проверки на вирусы или спам расскомментируйте нужную строку.
# @bypass_virus_checks_maps = (1);  # uncomment to DISABLE anti-virus code
# @bypass_spam_checks_maps  = (1);  # uncomment to DISABLE anti-spam code

# Число процессов висящих в памяти и обрабатывающих запросы.
$max_servers = 15;            # number of pre-forked children (2..15 is common)

# После обработки скольки запросов перезапускать дочерний процесс.
$max_requests = 20;           # retire a child after that many accepts

# Таймаут за который запрос должен успеть быть обработанным.
$child_timeout = 5*60;

# Пользователь и группа под которой будет выполняться amavisd.
$daemon_user  = 'vscan';      # (no default;  customary: vscan or amavis)
$daemon_group = 'vscan';      # (no default;  customary: vscan or amavis)

#--------------------------------

# Домен по умолчанию.
$mydomain = 'test-domain.ru';   # a convenient default for other settings

# Имя текущего хоста.
$myhostname = 'relay.test-domain.ru';  # must be a fully-qualified domain name!

#--------------------------------

# Путь к корневой директории chroot-окружения или рабочей директории amavisd.
# Все параметры приведены для запуска внутри chroot.
$MYHOME   = '/usr/local/amavis'; # a convenient default for other settings
$TEMPBASE = "$MYHOME/tmp";   # working directory, needs to be created manually
$ENV{TMPDIR} = $TEMPBASE;    # environment variable TMPDIR
$daemon_chroot_dir = $MYHOME;   # chroot directory or undef
$db_home   = "$MYHOME/db";
$helpers_home = "$MYHOME/var/run/amavisd";  # prefer $MYHOME clean and owned by
root?
$pid_file  = "$MYHOME/var/run/amavisd/amavisd.pid";
$lock_file = "$MYHOME/var/run/amavisd/amavisd.lock";

# Если нужно сохранять отвергнутые письма в определенной директории.
# $QUARANTINEDIR = "$MYHOME/var/virusmails";

#--------------------------------

# Список обслуживаемых локальных доменов, для отделения локальных пересылок.
# @local_domains_maps = ( [[.$mydomain]] ); # .$mydomain - все поддомены домена $mydomain
# Так как доменов у меня много, считаем что для все пересылки можно считать
# локальными, разрешив при этом пометку писем со спамом. Реальные локальные
# пересылки определяем по IP адресам, и не доабвляем к ним спам метки.
# Если доменов несколько, лучше перечислить их.
@local_domains_maps = ( [[.]] );

# У меня доменов несколько сотен, поэтому локальные пересылки определяем по
# IP адресам. В master.cf в описании amavis транспорта обязатлельна строка
# "-o lmtp_send_xforward_command=yes"
@mynetworks = qw( 127.0.0.0/8 ::1 !192.168.0.0/16 !10.10.210.2);

# Уровень говорливости логов.
# 0: startup/exit/failure messages, viruses detected
# 1: args passed from client, some more interesting messages
# 2: virus scanner output, timing
# 3: server, client
# 4: decompose parts
# 5: more debug details
$log_level = 2;
# Логи ведем через syslog.
$DO_SYSLOG = 1;              # log via syslogd (preferred)
$SYSLOG_LEVEL = 'user.info';

# Разрешаем вставку указания пересылки через фильтр в Received: поле заголовка.
$insert_received_line = 1;  # behave like MTA: insert 'Received:' header

# Меняем текст служебного заголовка.
$X_HEADER_LINE = "antivirus-gw at $mydomain";

# Убираем использование модулей Amavis::DB, Amavis::DB::SNMP и
# диблирование информационных хэшей на диске. Не сможем смотреть online
# статистику, но работает так быстрее.
$enable_db = 0;              # enable use of BerkeleyDB/libdb (SNMP and nanny)
$enable_global_cache = 0;    # enable use of libdb-based cache if $enable_db=1

# На каком порту и IP принимаем запросы на проверку почты.
# У меня почтовый сервер и система проверки на разных хостах, в обычных
# ситуациях рекомендуется использовать только адрес 127.0.0.1.
$inet_socket_port = 10024;   # listen on this local TCP port(s) (see $protocol)
$inet_socket_bind = '10.10.11.4'; # IP локального хоста

# Кому разрешаем доступ к amavisd
@inet_acl = qw( 127.0.0.1 ::1 10.10.11.4 10.10.11.30);

# Куда переправляем проверенные письма и уведомления (10.10.11.30 - почтовый сервер).
#$notify_method  = 'smtp:[127.0.0.1]:10025';
$notify_method  = 'smtp:[10.10.11.30]:10025';
$forward_method = $notify_method;  # set to undef with milter!


# После первого обнаружения вируса, не тратим ресурсы на проверку других вложений
$first_infected_stops_scan = 1;

# Защита от DoS атак, ограничения уровня вложенности, числа файлов и размера архивов.
$MAXLEVELS = 10;
$MAXFILES = 500;
$MIN_EXPANSION_QUOTA =      100*1024;  # bytes  (default undef, not enforced)
$MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes  (default undef, not enforced)


# При обнаружении писем с вирусами, отправляем уведомление отправителю.
# Только для вирусов не использующих поддельные адреса (см. правила ниже).
# Для того чтобы молча убивать письма с вирусами, вместо D_BOUNCE напишите D_DISCARD.
$final_virus_destiny      = D_BOUNCE;

# При блокировании средствами amavisd высылаем уведомление отправителю.
$final_banned_destiny     = D_BOUNCE;

# Пропускаем письма со спамом (пометив их) и некорректно сформированные письма.
$final_spam_destiny       = D_PASS;
$final_bad_header_destiny = D_PASS;

#--------------------------------

# Вес для пометки SpamAssassin'ом писем как спам.
$sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 5.0; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 5.0; # triggers spam evasive actions

# Не проверяем на спам если письмо больше 100 Кб, чтобы не тратить зря ресурсы сервера.
$sa_mail_body_size_limit = 100*1024; # don't waste time on SA if mail is larger

# Разрешаем SpamAssassin'у проводить тесты с использованием сети.

$sa_local_tests_only = 0;    # only tests which do not require internet access?

# Автоматическое формирование белого списка.
$sa_auto_whitelist = 1;      # turn on AWL in SA 2.63 or older (irrelevant
                             # for SA 3.0, cf option is 'use_auto_whitelist')

# Добавляем в Subject метку для писем со спамом.
$sa_spam_subject_tag = '***SPAM*** ';

#--------------------------------

# Не разрешаем помещение блока с вирусом в тело уведомления.
$defang_virus  = 0;  # MIME-wrap passed infected mail
$defang_banned = 1;  # MIME-wrap passed mail containing banned name

# От каких адресов отправлять уведомления.
$mailfrom_notify_admin     = "abuse\@$mydomain";  # notifications sender
$mailfrom_notify_recip     = "abuse\@$mydomain";  # notifications sender
$mailfrom_notify_spamadmin = "abuse\@$mydomain"; # notifications sender
$mailfrom_to_quarantine = undef; # null return path; uses original sender if undef
$spam_quarantine_to = undef;

# Кодировка которую нужно указывать в письмах-уведомлениях.
$hdr_encoding = 'koi8-r';
$bdy_encoding = 'koi8-r';
$hdr_encoding_qb = 'Q';

# Пути к темплейтам уведомлений.
$notify_sender_templ      = read_text("$MYHOME/etc/notify/notify_sender.txt", 'koi8-r');
$notify_virus_sender_templ= read_text("$MYHOME/etc/notify/notify_virus_sender.txt", 'koi8-r');
# $notify_virus_admin_templ = read_text("$MYHOME/etc/notify/notify_virus_admin.txt", 'koi8-r');
$notify_virus_recips_templ= read_text("$MYHOME/etc/notify/notify_virus_recips.txt", 'koi8-r');
# $notify_spam_sender_templ = read_text("$MYHOME/etc/notify/notify_spam_sender.txt", 'koi8-r');
# $notify_spam_admin_templ  = read_text("$MYHOME/etc/notify/notify_spam_admin.txt", 'koi8-r');


#--------------------------------

# Пути.
$file   = 'file';   # file(1) utility; use recent versions
$gzip   = 'gzip';
$bzip2  = 'bzip2';
$lzop   = 'lzop';
# $rpm2cpio   = ['rpm2cpio.pl','rpm2cpio'];
$cabextract = 'cabextract';
$uncompress = ['uncompress', 'gzip -d', 'zcat'];
$unfreeze   = ['unfreeze', 'freeze -d', 'melt', 'fcat'];
$arc        = ['nomarch', 'arc'];
$unarj      = ['arj', 'unarj'];
$unrar      = ['rar', 'unrar'];
$zoo    = 'zoo';
$lha    = 'lha';
$cpio   = ['gcpio','cpio'];
$ar     = 'ar';
# $dspam  = 'dspam';

#--------------------------------


# Список масок вирусов, которые подставляют нереальные адерса в поле отправителя.

@viruses_that_fake_sender_maps = (new_RE(
  qr'nimda|hybris|klez|bugbear|yaha|braid|sobig|fizzer|palyh|peido|holar'i,
  qr'tanatos|lentin|bridex|mimail|trojan\.dropper|dumaru|parite|spaces'i,
  qr'dloader|galil|gibe|swen|netwatch|bics|sbrowse|sober|rox|val(hal)?la'i,
  qr'frethem|sircam|be?agle|tanx|mydoom|novarg|shimg|netsky|somefool|moodown'i,
  qr'@mm|@MM',    # mass mailing viruses as labeled by f-prot and uvscan
  qr'Worm'i,      # worms as labeled by ClamAV, Kaspersky, etc
  [qr'^(EICAR|Joke\.|Junk\.)'i         => 0],
  [qr'^(WM97|OF97|W95/CIH-|JS/Fort)'i  => 0],
  [qr/.*/ => 1],  # true by default  (remove or comment-out if undesired)
));


# По каким маскам, проверяем антивирусом не только распакованный вариант, но
# но и оригинальную версию до распаковки.
@keep_decoded_original_maps = (new_RE(
  qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables
  qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
# qr'^Zip archive data',     # don't trust Archive::Zip
));

# Отвергаем прием писем с исполняемыми файлами во вложении

$banned_filename_re = new_RE(


  # block certain double extensions anywhere in the base name
  qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,


  qr'^application/x-msdownload$'i,                  # block these MIME types
  qr'^application/x-msdos-program$'i,
  qr'^application/hta$'i,



  [ qr'^\.(Z|gz|bz2)$'           => 0 ],  # allow any type in Unix-compressed
  [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any type in Unix archives
  [ qr'^\.(zip|rar|arc|arj|zoo|lha)$'=> 0 ],  # allow any type within such archives

  qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic




# qr'^\.(exe-ms)$',                       # banned file(1) types

);

#--------------------------------

# Описание взаимодейсвия с антивирусным ПО.

# Основной сканер. Используем обращение к демону clamd
@av_scanners = (
# ### http://www.clamav.net/
 ['ClamAV-clamd',
   \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd"],
   qr/\bOK$/, qr/\bFOUND$/,
   qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# # NOTE: run clamd under the same user as amavisd;  match the socket
# # name (LocalSocket) in clamav.conf to the socket name in this entry
# # When running chrooted one may prefer: ["CONTSCAN {}\n","$MYHOME/clamd"],
);

# Запасные сканеры, если clamd окажется недоступным.
@av_scanners_backup = (
  # Вызов утититы clamscan. Пропишите путь к базе через опцию "-d".
  ### http://www.clamav.net/   - backs up clamd or Mail::ClamAV
  ['ClamAV-clamscan', 'clamscan',
    "--stdout -d /db_clamav --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1],
    qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

  # Если проверить на вирусы не удалось, пропускаем непроверенное письмо.
  # always succeeds (uncomment to consider mail clean if all other scanners fail)
  ['always-clean', sub {0}],

);

# Подменяем некоторые настройки для отправителей из локальной сети.
# Для локальных пользователей запрещаем проверку на спам и блокирование
# средствами amavisd.
$policy_bank{'MYNETS'} = {  # mail originating from @mynetworks
#   spam_admin_maps => [[spamalert\@$mydomain]],  # alert of internal spam
   bypass_spam_checks_maps   => [1],  # or: don't spam-check internal mail
   bypass_banned_checks_maps => [1],  # don't banned-check internal mail
};

# Пользователи которые хотят получать спам как есть, без пометки.

@spam_lovers_maps = (
 ['test1@test-domain.ru', 'man@test-domain.ru', 'new-test-domain.ru'],
);
@spam_modifies_subj_maps = (
 [qw( !test1@test-domain.ru !man@test-domain.ru !new-test-domain.ru . )]
);

1;  # insure a defined return


Postfix

main.cf

content_filter=smtp-amavis:[10.10.11.4]:10024

master.cf

smtp-amavis unix -      -       y       -       15  lmtp
        -o lmtp_data_done_timeout=1200
        -o lmtp_send_xforward_command=yes
        -o disable_dns_lookups=yes

10.10.11.30:10025 inet n  -       y       -       -  smtpd 
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8,10.10.11.4
        -o strict_rfc821_envelopes=yes
        -o smtpd_error_sleep_time=0
        -o smtpd_soft_error_limit=1001
        -o smtpd_hard_error_limit=1000
        -o smtpd_client_connection_count_limit=0
        -o smtpd_client_connection_rate_limit=0
        -o receive_override_options=no_header_body_checks

Проверка

Сигнатура для проверки блокирования спама

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Сигнатура для проверки на вирусы

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*