DrWeb - как за каменной стеной!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-088-5

INPUT_MAIL_FILTER(`drweb-filter', `S=inet:3001@localhost, F=T, T=C:1m;S:5m;R:5m;E:1h')

define(`confMILTER_LOG_LEVEL',`6')

Затем перекомпилим конфиг и перезапустим sendmail.

Внимание! Параметры работают лишь в сервере версии 8.12. Для более старых версий варианты конфига указаны в документации к фильтру.

Настройка клиента аналогична в случае с CommuniGate, поэтому в описании не нуждается. Следует отметить, что программа-фильтр будет называться drweb-smf.

DrWeb vs Exim

Не менее популярным почтовиком является exim (www.exim.org). Для него также существует клиент drweb, который фильтрует входящие и исходящие сообщения. Скачать ты его можешь по адресу ftp://ftp.drweb.ru/pub/unix/drweb-exim-4.29.12-F-linux.tar.gz. После распаковки и перемещения клиента займемся редактированием конфига почтовика.

В первую очередь необходимо добавить в раздел "MESSAGE FILTER CONFIGURATION SETTINGS" следующие параметры:

message_filter = /path/to/system/filter

message_filter_pipe_transport = _pipe_transport_name_

message_filter_reply_transport = address_reply

Далее в разделе "TRANSPORTS CONFIGURATION":

filter_pipe:

driver = pipe

user = root

group = root

return_fail_output

И, наконец, в пути, описанном выше как (/путь/к/системному/фильтру), нужно создать файл фильтра, или, если файл уже существует, достаточно добавить в него новый фильтр:

if $received_protocol is "drweb-scanned"

then

finish

endif

if error_message and $header_from: contains "Mailer-Daemon@"

then

finish

endif

if not first_delivery

then

finish

endif

pipe "{/PATH/TO}/drweb-exim {CONF} -f $sender_address -- $recipients"

finish

## Примечание: {CONF} - путь к конфигурационному файлу --conf=/path/to/conf или вообще ничего, если файл находится в /etc/drweb.

# {/PATH/TO} следует поменять на абсолютный путь к скрипту drweb-exim

Затем запускаем drweb-exim --check_only и удостоверимся, что все работает как надо. Напоследок рестартнем exim и протестируем работоспособность фильтра.

Безопасный smbd

Как правило, в локалке одним почтовым сервисом дело не ограничивается. Админы поднимают различные службы, одной из которых является smbd, разрешающая вход на расшаренные ресурсы. Злоумышленник запросто может залить вирус через этот сервис и запустить его на клиентской машине... если, конечно, drweb не будет следить за ним ;).

Итак, сейчас мы защитим smbd от разносчиков заразы. Для этого скачаем модуль с официального сайта (ftp://ftp.drweb.ru/pub/unix/drweb-samba-4.29.12-C-linux.tar.gz). Кстати, этот клиент поставляется с source-code, поэтому можешь закачать версию, которую придется компилить (ftp://ftp.drweb.ru/pub/unix/drweb-samba-4.29.12-C-sources.tar.gz). Как обычно, раскидываем конфиг модуля, а также нужную библиотеку в $BINPATH/lib. Выбор библиотеки зависит от версии демона.

НАЗВАНИЕ: Выбор нужной библиотеки drweb

smb_spider.so.1 - Samba 2.2.1, 2.2.2