Mercury/32 ClamWall
2006/06/26 23:54
473 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.

Röviden vírusszűrés felsőfokon. Egyszerű konfigurálás, nincsenek előugró ablakok, kellemes teljesítmény, automatikus frissítés, s mindez a levelező szerverünkkel együttműködve.

A ClamWall, akárcsak a SpamWall, daemon üzemmódban működik, tehát a leveleket minden szabály, Content Control, Policy előtt vizsgálja meg. Előnye ennek a dolognak, hogy amennyiben vírusos levelet talál, azonnal eltávolítja, így a továbbiakban nem terheli szerverünket a felesleges ellenőrzésekkel.

Fő tulajdonságai:

  • ClamAV antivírus programmal együtt működik.
  • ClamAV antivírus program akár egy másik gépen is futhat, mert a ClamWall daemon TCP protocolon keresztül kommunikál az antivírus programmal.
  • Amennyiben A CalmAV ugyanazon a gépen van mint a ClamWall, akkor a ClamWall képes kontrollálni a ClamAC futását is (ha valaki leállította, automatikusan elindítja).
  • Képes a ClamWall daemon megadott kiterjesztésű csatolásokat azonnal elutasítani (PIF, EXE, CMD, LNK, ...

Telepítése:

1.

Állítsuk le a Mercury/32.

2.

Futtassuk a ClamWall telepítőjét!

3.

Telepítsük a ClamAV For Windows-t vagy a ClamWall készítője által előre telepített ClamAV-t!

4.

Módosítsuk a clamwall.ini. állományt!

[ClamWall] 
AdminMail=admin@iskola.sulinet.huAz a cím ahova a Clamwall az információs üzeneteit küldi.
LogFile=c:mercurylogscw~Y~M.logA ClamWall működéséről készült log állomány helye.
TagName=X-CLAMWALLA levelek fejlécébe kerülő információ, hogy vírusszűrésen ment keresztül a levél.
X-CLAMWALL: Passed through antiviral test by ClamWall 1.0.2 on afg.sulinet.hu (602)
BanExtension=PIF, LNK, SCR, VBS, SHS, BAT, COM, EXE, CMD, EML, CPL, VBE, WBT, WSHA tiltott kiterjesztések csatolt állomány esetén.
Debug=1A log állományba részletes információk kerülnek.
ReportSender=1Amennyiben valamelyik csatolt állomány kiterjesztése a tiltott kiterjesztések közé esik, akkor a feladónak megy egy üzenet, hogy ilyen kiterjesztéssel ne küldjön levelet. Ellenben ha a levél vírusos, akkor nem megy a feladónak értesítés (nagyon helyesen)
ClearPostPart=1A többrészes levelek vége után szereplő részeket törli a levélből.
ClearPrePart=1A levél fejléce és a levél tartalma közötti részt törli.
UUKill=0UUencoded és XXencoded tartalmakat törli a levélből.
SaveDir=C:MERCURYCLAMAVA vírusos és visszautasított levelek ebbe a könyvtárba kerülnek, későbbi tanulmányozás céljból.
ScanTimeout=120000Millisekundumban megadott érték, mely az Antivirus porgrammal történő kommunikáció maximális értékét adja meg.
NoLocal=1A kimenő levelek közül csak azokat ellenőrzi, melyek az SMTP szerveren keresztül mennek ki.
NoScanLocal=1Csak a bejövő leveleket ellenőrzi, nincs hatással a tiltott kiterjesztésű csatolt állományok kezelésére.
[ClamAV]
ClamIP=127.0.0.1
CalmAV ip címe.
ClamPort=3310CalmAV kommunikációs portszáma
ClamSelf=0Ha a ClamWall által összeállított ClamAV csomagot használjuk, akkor a ClamWall képes elindítani a ClamAV-t, valamint leállítani, ha a Mercury/32-t is leállítjuk.
ClamDir=c:clamav-develClamAV telepített könyvtárja.

5.

Indítsuk el a Mercury/32-t!

6.

Ellenőrizzük a modul működését! Ez igen egyszerű, bár 2 lépcsős!

  • a. A bejövő leveleknek tartalmazniuk kell a
    X-CLAMWALL: Passed through antiviral test by ClamWall 1.0.2 on afg.sulinet.hu (602) sort. Sajnos ez még nem garantálja a vírusszűrést is, de a ClamWall modul működésével nincs gond.
  • b. Kukkantsunk bele a ClamWall log állományába:

Ha ezt látjuk, akkor a ClamAV programunk, vagy nem működik, vagy rosszul konfiguráltuk be:

MG00071B jobfile: N:SMTPMAILMG00071B.QDF
MG00071B From: <molnarp@kistelek.hu>
MG00071B To: molnarp@afg1.sulinet.hu
MG00071B AV test...
MG00071B ClamD response:
MG00071B ClamD not responding!
MG00071B Ban test...
MG00071B end tests
MG00071B Done! (970)

Ebben az esetben kukkantsunk bele a ClamAV logállományába is!
Ha nem látunk benne ilyen sort:

Listening daemon: PID: 2264

Akkor nem engedélyeztük a 3310-s porton a komminikációt! Ezt a clamd.conf állományban lévő TCPSocket 3310 sor engedélyezésével tehetjük meg!

Ha jól működik a ClamWall és ClamAV kommunikáció akkor a ClamWall log állományában a következő sorok lesznek:

MG000A03 From: <pbhgvpf@kosinc.co.kr>
MG000A03 To: titkar@afg1.sulinet.hu
MG000A03 AV test...
MG000A03 ClamD response: stream: OK
MG000A03 Ban test...
MG000A03 end tests
MG000A03 Done! (140)

Vírustalálat esetén pedig:

MG00075B From: <service@paypal.com>
MG00075B To: molnarp@afg1.sulinet.hu
MG00075B AV test...
MG00075B ClamD response: stream: HTML.Phishing.Pay-14 FOUND
MG00075B HTML.Phishing.Pay-14
MG00075B Ban test...
MG00075B end tests
MG00075B Saving copy...
MG00075B Killed!
MG00075B Done! (59)

A clamd.log állományban pedig vírustalálat esetén:
Accepted connection on port 1677, fd 8
stream 1677: Worm.Bagle.pwd-eml FOUND

Megjegyzés:

Bizonyos esetekben nálam előfordult, hogy a clamd.exe (a ClamAV víruskereső modulja) a processzor terhelést 50, majd 100%-ra felvitte. Szerencsére a ClamAV For Windows legújabb változatával ez a gond egyenlőre nem tapasztalható. Sok Sikert a vírusszűréshez!

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek