Trotz Amavis & Spamassassin und sehr restriktiver Regeln im Postfix kommen immernoch viele Phishing und Bilder/PDF Spams durch. Ich habe nach einer bequemen Lösung gesucht und bin auf Sanesecurity und MSRBL-SPAM gestoßen. Beide bieten Signaturenfiles für ClamAV an die Spams & Phishings erkennen können. Auf der Webseite von Sanesecurity werden mehrere Scripts angeboten die die Signaturen runterladen und ClamAV reloaden. Diese haben mir aber nicht gefallen deshalb habe ich ein kleineres und einfacheres geschieben das täglich als Cronjob ausgeführt wird.
Lösung
Benötigt wird rsync, gunzip und clamav.
Die Signaturen von ClamAV liegen bei Debian,Ubuntu,Gentoo,etc. in
/var/lib/clamav
Folgendes Script liegt in /etc/cron.daily und heisst get_sane:
cd /tmp wget http://www.sanesecurity.co.uk/clamav/scamsigs/scam.ndb.gz wget http://www.sanesecurity.co.uk/clamav/phishsigs/phish.ndb.gz rsync rsync://rsync.mirror.msrbl.com/msrbl/MSRBL-Images.hdb /tmp/MSRBL-Images.hdb rsync rsync://rsync.mirror.msrbl.com/msrbl/MSRBL-SPAM.ndb /tmp/MSRBL-SPAM.ndb gunzip -f scam.ndb.gz gunzip -f phish.ndb.gz cp -f scam.ndb /var/lib/clamav cp -f phish.ndb /var/lib/clamav cp -f MSRBL-Images.hdb /var/lib/clamav cp -f MSRBL-SPAM.ndb /var/lib/clamav chown clamav:clamav /var/lib/clamav/scam.ndb chown clamav:clamav /var/lib/clamav/phish.ndb chown clamav:clamav /var/lib/clamav/MSRBL-Images.hdb chown clamav:clamav /var/lib/clamav/MSRBL-SPAM.ndb /etc/init.d/clamav-daemon reload-database
Script noch ausführbar für root machen.
chmod 700 /etc/cron.daily/get_sane
Test
Da der Cronjob nur Täglich ausgeführt wird muss man es einmal manuell machen damit man es gleich testen kann.
Folgende Datei ausführen:
/etc/cron.daily/get_sane
Danach sollte ein ls -la /var/lib/clamav folgendes ausgeben:
sys@monster /tmp # ls -la /var/lib/clamav insgesamt 14276 drwxr-xr-x 3 clamav clamav 4096 2008-03-26 11:35 . drwxr-xr-x 33 root root 4096 2008-03-02 11:23 .. drwxr-xr-x 2 clamav clamav 4096 2008-03-26 11:35 daily.inc -rw-r--r-- 1 clamav clamav 11347852 2008-03-02 11:47 main.cvd -rw------- 1 clamav clamav 572 2008-03-26 11:28 mirrors.dat -rw-r--r-- 1 clamav clamav 24670 2008-03-26 06:27 MSRBL-Images.hdb -rw-r--r-- 1 clamav clamav 235227 2008-03-26 06:27 MSRBL-SPAM.ndb -rw-r--r-- 1 clamav clamav 1450465 2008-03-26 06:27 phish.ndb -rw-r--r-- 1 clamav clamav 1500415 2008-03-26 06:27 scam.ndb sys@monster /tmp #
Sanesecurity bietet Testfiles an um die Signaturen zu Testen.
Testdateien herunterladen und testen:
sys@monster ~ # cd /tmp sys@monster /tmp # wget http://www.sanesecurity.com/clamav/phish_sigtest.txt ... sys@monster /tmp # wget http://www.sanesecurity.com/clamav/scam_sigtest.txt ... sys@monster /tmp # clamscan phish_sigtest.txt phish_sigtest.txt: Html.Phishing.Sanesecurity.TestSig FOUND ----------- SCAN SUMMARY ----------- Known viruses: 253652 Engine version: 0.92.1 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 0.00 MB Time: 4.394 sec (0 m 4 s) sys@monster /tmp # clamscan scam_sigtest.txt scam_sigtest.txt: Html.Scam.Sanesecurity.TestSig FOUND ----------- SCAN SUMMARY ----------- Known viruses: 253652 Engine version: 0.92.1 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 0.00 MB Time: 4.462 sec (0 m 4 s) sys@monster /tmp #
Fertig! Viel Spaß ….