clamavを導入しメールのウイルススキャンを行なう。

#メールサーバでのウイルススキャン
昨日の記事からの続きですが、企業や大学などの対外ネットワーク接続機材に設置されたウイルススキャンは暗号化されていると無力です。メールを受信後ウイルススキャンを行う必要があります。

既設のメールサーバにウイルススキャン機能を導入してみました。

（補足：検証の時間が取れなかったため、SELinuxはpermissiveで運用してます。）

追記(2019/5/29): CentOS7については追記しました。すいませんが、CentOS6については環境が無くなってしまったので検証など行っていません。

追記(2019/6/18): 特定ユーザをAntiVirusの除外とする設定について追記しました。

#メールサーバ用のアンチウイルス
職場ではLinux用のアンチウイルスを契約しています。

• ServerProtect for Linux

当初これを使うつもりでしたが、メールサーバと連動する機能はないとの事でした。

http://esupport.trendmicro.com/solution/ja-jp/1307306.aspx
Q: ServerProtectを使用してメールサーバのウイルス対策はできますか。
A: ServerProtectでメールサーバのウイルス対策は行なうことができません。

仕方がないので他を探したところ、フリーのアンチウイルスがありました。

• Clam AntiVirus

https://ja.wikipedia.org/wiki/Clam_AntiVirus
Clam AntiVirus （クラム・アンチウイルス。略称Clam AV）とは、オープンソース (GPL) で提供されているクロスプラットフォームのアンチウイルスソフトウェアである。

こちらを採用する事にしました。

#メールサーバとClam AntiVirusを連動
メールサーバとClam AntiVirusを連動させる方法は多数あります。

• amavisd-new
• ClamSMTP
• clamav-milter

いろいろ検索してみましたが、amavisd-newとClamSMTPは設定がめんどくさい。clamav-milterは簡単という事がわかりました。

#clamav-milter
今回はclamav-milterを採用しました。

以下の二つの記事を参考にさせていただきました。

http://akira-arets.blogspot.jp/2016/02/fetchmail-postfix-clamav-milter.html
Postfix 2.6.6 x86_64】Postfixを通過するメールに対してウイルス検査を行う【clamav-milter 0.99-3.el6】【Linux CentOS 6.7 64bit minimal】

http://d.hatena.ne.jp/tak_yah/touch/20120229/1330481208
Linux]clamav-milter でウイルス発見時メール通知させたい

#ウイルス検出時のハンドラ
次の節でCentOS6.xとCentOS7.xの設定例を挙げますが、共通の設定のウイルス検出時のハンドラを設定します。

ウイルス検出時のハンドラ

/usr/local/sbin/my_infected_message_handler

#!/bin/sh
# REF: http://d.hatena.ne.jp/tak_yah/touch/20120229/1330481208
#

cat << EOM | mail -s "Virus Found by clamav-milter" root

-------------------------------------------------------
Virus Mail Information
-------------------------------------------------------
Queue-id: $2
Message-id: $6
Date:  $7
Subject: $5
Sender:  $3
Destination:  $4
Virus Name: $1
-------------------------------------------------------

EOM

実行パーミッションを付けてください。

$ chmod +x /usr/local/sbin/my_infected_message_handler

以降OS別の記述になります。

#CentOS6.x　（追記2019/5/29: 内容古い。）
CentOS6.xではこんな感じでしょうか。リポジトリEPELが入ってないなら事前に設定してください。

$ yum  install clamd clamav clamav-db clamav-milter

ウイルス定義の更新用の設定

$ diff -u /etc/freshclam.conf.ORG /etc/freshclam.conf
--- /etc/freshclam.conf.ORG     2017-10-23 21:37:39.549432709 +0900
+++ /etc/freshclam.conf 2017-10-23 21:51:30.673014912 +0900
@@ -40,7 +40,7 @@
 # Specify the type of syslog messages - please refer to 'man syslog'
 # for facility names.
 # Default: LOG_LOCAL6
-#LogFacility LOG_MAIL
+LogFacility LOG_MAIL

 # Enable log rotation. Always enabled when LogFileMaxSize is enabled.
 # Default: no
@@ -48,7 +48,7 @@

 # This option allows you to save the process identifier of the daemon
 # Default: disabled
-#PidFile /var/run/freshclam.pid
+PidFile /var/run/freshclam.pid

 # By default when started freshclam drops privileges and switches to the
 # "clamav" user. This directive allows you to change the database owner.
@@ -137,7 +137,7 @@

 # Send the RELOAD command to clamd.
 # Default: no
-#NotifyClamd /path/to/clamd.conf
+NotifyClamd /etc/clamd.conf

 # Run command after successful database update.
 # Default: disabled

アンチウイルスのデーモンの設定。 UNIXドメインソケットを使うのでTCP関連設定を消してます。

$ diff -u /etc/clamd.conf.ORG /etc/clamd.conf
--- /etc/clamd.conf.ORG 2017-10-23 21:42:02.177983682 +0900
+++ /etc/clamd.conf     2017-10-23 22:05:09.924555396 +0900
@@ -98,7 +98,7 @@

 # TCP port address.
 # Default: no
-TCPSocket 3310
+#TCPSocket 3310

 # TCP address.
 # By default we bind to INADDR_ANY, probably not wise.
@@ -106,7 +106,7 @@
 # from the outside world. This option can be specified multiple
 # times if you want to listen on multiple IPs. IPv6 is now supported.
 # Default: no
-TCPAddr 127.0.0.1
+#TCPAddr 127.0.0.1

 # Maximum length the queue of pending connections may grow to.
 # Default: 200

最後にアンチウイルスとメールサーバとの連携ソフトの設定です。ReportHostnameは運用しているサーバ名に変更してください。またメール検出のハンドラを設定しています。

$ diff -u /etc/clamav-milter.conf.ORG  /etc/clamav-milter.conf
--- /etc/clamav-milter.conf.ORG 2017-10-23 21:56:21.431524646 +0900
+++ /etc/clamav-milter.conf     2017-10-25 00:10:36.644101557 +0900
@@ -22,11 +22,11 @@

 # Define the group ownership for the (unix) milter socket.
 # Default: disabled (the primary group of the user running clamd)
-#MilterSocketGroup virusgroup
+MilterSocketGroup virusgroup

 # Sets the permissions on the (unix) milter socket to the specified mode.
 # Default: disabled (obey umask)
-#MilterSocketMode 660
+MilterSocketMode 660

 # Remove stale socket after unclean shutdown.
 #
@@ -133,7 +133,7 @@
 # Make sure this value is lower or equal than StreamMaxLength in clamd.conf
 #
 # Default: 25M
-#MaxFileSize 10M
+MaxFileSize 101M


 ##
@@ -185,13 +185,13 @@
 # Note that while "Replace" can potentially break DKIM signatures, "Add" may
 # confuse procmail and similar filters.
 # Default: no
-#AddHeader Replace
+AddHeader Replace

 # When AddHeader is in use, this option allows to arbitrary set the reported
 # hostname. This may be desirable in order to avoid leaking internal names.
 # If unset the real machine name is used.
 # Default: disabled
-#ReportHostname my.mail.server.name
+ReportHostname mail.example.com

 # Execute a command (possibly searching PATH) when an infected message is found.
 # The following parameters are passed to the invoked program in this order:
@@ -201,7 +201,7 @@
 # Note #3: clamav-milter will wait for the process to exit. Be quick or fork to
 # avoid unnecessary delays in email delievery
 # Default: disabled
-#VirusAction /usr/local/bin/my_infected_message_handler
+VirusAction /usr/local/sbin/my_infected_message_handler

 ##
 ## Logging options
@@ -245,7 +245,7 @@
 # for facility names.
 #
 # Default: LOG_LOCAL6
-#LogFacility LOG_MAIL
+LogFacility LOG_MAIL

 # Enable verbose logging.
 #
@@ -268,7 +268,7 @@
 # Postfix should be working fine with the default settings.
 #
 # Default: disabled
-#LogInfected Basic
+LogInfected Basic

 # This option allows to tune what is logged when no threat is found in a scanned message.
 # See LogInfected for possible values and caveats.

上記でファイルの設定は終わりです。引き続きユーザ設定をします。postfixがアンチウイルスにアクセスできるようにします。

$ groupadd virusgroup
$ usermod -G virusgroup -a postfix

一度ログアウトして再度ログインしてください。また可能でしたらrebootしてください。グループ設定が正しく反映されないことがあります。

定義のアップデートは以下のコマンドです。定義DBが空だとアンチウイルスが正常起動しないようですので、とりあえず実行ください。(追記2019/5/29: 未確認ですがおそらく。)

$ freshclam

引き続きdaemonの設定です。

アンチウイルス本体の起動です。

$ /sbin/service clamd start
$ /sbin/chkconfig clamd on

定義の自動アップデートは次のファイルが行います。yum で導入時に自動設定されていると思います

/etc/cron.daily/freshclam

続いてPostfixとアンチウイルスとの連携をするclamav-milterを起動します。

$ /sbin/service clamav-milter start
$ /sbin/chkconfig clamav-milter on

続いてpostifxの設定ファイルに加筆をします。

/etc/postfix/main.cf(加筆)
#####
#AntiVirus
milter_default_action = accept
smtpd_milters = unix:/var/run/clamav/clamav-milter.sock
non_smtpd_milters = unix:/var/run/clamav/clamav-milter.sock
milter_protocol = 2

postfixの再起動を行い、動作確認をしてください。

$ /sbin/service postfix restart

動作確認については後述します。

#CentOS7.x
CentOS7.xではこんな感じでしょうか。リポジトリEPELが入ってないなら事前に設定してください。

$ yum install clamav clamav-server clamav-server-systemd clamav-update clamav-scanner  clamav-milter

ウイルス定義の更新用の設定

補足：ウイルス定義をproxy環境下で更新する場合はHTTPProxyServerとHTTPProxyPortを定義してください。shellの環境変数HTTP_PROXYは参照されないようです。

$ diff -u /etc/freshclam.conf.ORG /etc/freshclam.conf
--- /etc/freshclam.conf.ORG     2017-11-04 11:47:30.538737928 +0900
+++ /etc/freshclam.conf 2017-11-04 11:48:24.970035777 +0900
@@ -40,7 +40,7 @@
 # Specify the type of syslog messages - please refer to 'man syslog'
 # for facility names.
 # Default: LOG_LOCAL6
-#LogFacility LOG_MAIL
+LogFacility LOG_MAIL

 # Enable log rotation. Always enabled when LogFileMaxSize is enabled.
 # Default: no
@@ -48,7 +48,7 @@

 # This option allows you to save the process identifier of the daemon
 # Default: disabled
-#PidFile /var/run/freshclam.pid
+PidFile /var/run/freshclam.pid

 # By default when started freshclam drops privileges and switches to the
 # "clamav" user. This directive allows you to change the database owner.
@@ -137,6 +139,7 @@
 # Send the RELOAD command to clamd.
 # Default: no
 #NotifyClamd /path/to/clamd.conf
+NotifyClamd     /etc/clamd.d/scan.conf

 # Run command after successful database update.
 # Default: disabled

UNIXドメインソケットを使う設定をしています。

$ diff -u /etc/clamd.d/scan.conf.ORG  /etc/clamd.d/scan.conf
--- /etc/clamd.d/scan.conf.ORG  2017-11-04 11:48:43.002134450 +0900
+++ /etc/clamd.d/scan.conf      2017-11-04 11:49:15.210310695 +0900
@@ -5,7 +5,7 @@


 # Comment or remove the line below.
-Example
+#Example

 # Uncomment this option to enable logging.
 # LogFile must be writable for the user running daemon.
@@ -46,7 +46,7 @@
 # Specify the type of syslog messages - please refer to 'man syslog'
 # for facility names.
 # Default: LOG_LOCAL6
-#LogFacility LOG_MAIL
+LogFacility LOG_MAIL

 # Enable verbose logging.
 # Default: no
@@ -63,7 +63,7 @@
 # This option allows you to save a process identifier of the listening
 # daemon (main thread).
 # Default: disabled
-#PidFile /var/run/clamd.scan/clamd.pid
+PidFile /var/run/clamd.scan/clamd.pid

 # Optional path to the global temporary directory.
 # Default: system specific (usually /tmp or /var/tmp).
@@ -82,11 +82,11 @@

 # Path to a local socket file the daemon will listen on.
 # Default: disabled (must be specified by a user)
-#LocalSocket /var/run/clamd.scan/clamd.sock
+LocalSocket /var/run/clamd.scan/clamd.sock

 # Sets the group ownership on the unix socket.
 # Default: disabled (the primary group of the user running clamd)
-#LocalSocketGroup virusgroup
+LocalSocketGroup virusgroup

 # Sets the permissions on the unix socket to the specified mode.
 # Default: disabled (socket is world accessible)

最後にアンチウイルスとメールサーバとの連携ソフトの設定です。ReportHostnameは運用しているサーバ名に変更してください。またメール検出のハンドラを設定しています。

$ diff -u /etc/mail/clamav-milter.conf.ORG  /etc/mail/clamav-milter.conf
--- /etc/mail/clamav-milter.conf.ORG    2017-11-04 11:49:36.442426882 +0900
+++ /etc/mail/clamav-milter.conf        2017-11-04 11:52:27.548363170 +0900
@@ -3,7 +3,7 @@
 ##

 # Comment or remove the line below.
-Example
+#Example


 ##
@@ -19,14 +19,15 @@
 # Default: no default
 #MilterSocket /var/run/clamav-milter/clamav-milter.socket
 #MilterSocket inet:7357
+MilterSocket unix:/var/run/clamav-milter/clamav-milter.socket

 # Define the group ownership for the (unix) milter socket.
 # Default: disabled (the primary group of the user running clamd)
-#MilterSocketGroup virusgroup
+MilterSocketGroup virusgroup

 # Sets the permissions on the (unix) milter socket to the specified mode.
 # Default: disabled (obey umask)
-#MilterSocketMode 660
+MilterSocketMode 660

 # Remove stale socket after unclean shutdown.
 #
@@ -64,7 +65,7 @@
 # daemon (main thread).
 #
 # Default: disabled
-#PidFile /var/run/clamav-milter/clamav-milter.pid
+PidFile /var/run/clamav-milter/clamav-milter.pid

 # Optional path to the global temporary directory.
 # Default: system specific (usually /tmp or /var/tmp).
@@ -91,6 +92,7 @@
 #
 # Default: no default
 #ClamdSocket tcp:scanner.mydomain:7357
+ClamdSocket  unix:/var/run/clamd.scan/clamd.sock


 ##
@@ -133,7 +135,7 @@
 # Make sure this value is lower or equal than StreamMaxLength in clamd.conf
 #
 # Default: 25M
-#MaxFileSize 10M
+MaxFileSize 101M


 ##
@@ -185,13 +187,13 @@
 # Note that while "Replace" can potentially break DKIM signatures, "Add" may
 # confuse procmail and similar filters.
 # Default: no
-#AddHeader Replace
+AddHeader Replace

 # When AddHeader is in use, this option allows to arbitrary set the reported
 # hostname. This may be desirable in order to avoid leaking internal names.
 # If unset the real machine name is used.
 # Default: disabled
-#ReportHostname my.mail.server.name
+ReportHostname mail.example.com

 # Execute a command (possibly searching PATH) when an infected message is found.
 # The following parameters are passed to the invoked program in this order:
@@ -201,7 +203,7 @@
 # Note #3: clamav-milter will wait for the process to exit. Be quick or fork to
 # avoid unnecessary delays in email delievery
 # Default: disabled
-#VirusAction /usr/local/bin/my_infected_message_handler
+VirusAction /usr/local/sbin/my_infected_message_handler

 ##
 ## Logging options
@@ -245,7 +247,7 @@
 # for facility names.
 #
 # Default: LOG_LOCAL6
-#LogFacility LOG_MAIL
+LogFacility LOG_MAIL

 # Enable verbose logging.
 #
@@ -268,7 +270,7 @@
 # Postfix should be working fine with the default settings.
 #
 # Default: disabled
-#LogInfected Basic
+LogInfected Full

 # This option allows to tune what is logged when no threat is found in a scanned message.
 # See LogInfected for possible values and caveats.

上記でファイルの設定は終わりです。引き続きユーザ設定をします。postfixなどがアンチウイルスにアクセスできるようにします。

$ usermod -G virusgroup -a postfix
$ usermod -G clamilt -a postfix
$ usermod -G clamscan -a clamupdate
$ usermod -G clamscan -a clamilt

ユーザ設定後は念のためログアウトしてログインしなおした方が無難です。また可能でしたらrebootしてください。

ウイルス定義のDBの手動アップデートは以下のコマンドです。DBが空だとアンチウイルスが起動に失敗するようですので、一度実行ください。(追記:2019/5/29)

$ freshclam

アンチウイルスのデーモンの起動。（修正:2019/5/29）

$ systemctl enable clamd@scan
$ systemctl start clamd@scan

定義のアップデートは標準では３時間ごとに実行されるようになってます。

$ cat /etc/cron.d/clamav-update
## Adjust this line...
MAILTO=root

## It is ok to execute it as root; freshclam drops privileges and becomes
## user 'clamupdate' as soon as possible
0  */3 * * * root /usr/share/clamav/freshclam-sleep

うちでは、土曜日の朝に独自定義のメールサーバメンテナンススクリプトが入るため、その時間停止するよう設定変更しました。

# Exclusion Saturday
0  */3 * * 0-5 root /usr/share/clamav/freshclam-sleep
# Saturday, Exclusion AM6:00
0  0,3,9,12,15,18,21 * * 6 root /usr/share/clamav/freshclam-sleep

続いてPostfixとアンチウイルスとの連携をするclamav-milterを起動します。

$ systemctl enable clamav-milter
$ systemctl start clamav-milter

続いてpostifxの設定ファイルに加筆をします。

/etc/postfix/main.cf(加筆)
milter_default_action = accept
smtpd_milters = unix:/var/run/clamav-milter/clamav-milter.socket
non_smtpd_milters = unix:/var/run/clamav-milter/clamav-milter.socket
milter_protocol = 2

postfixの再起動を行い、動作確認をしてください。

$ /sbin/service postfix restart

#アンチウイルスの動作確認

動作確認はサンプルウイルスを使えばよいと思います。このウイルスを添付ファイルにしてメールサーバの自分のアドレスなどに送信してください。

EICARテストファイル
https://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB

ウイルスが添付されたメールが届かない事を確認し、続いて管理者(root)あてにウイルスが検出された旨のメールが届くか確認してください。

駆除されたウイルスはメールサーバに溜まってます。mailqコマンドで確認できます。

注意：mailqで表示されるのは配送が停滞しているメールです。正常なメールも表示されます。

$ mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
QueueID!     574 Sun Nov  5 21:20:12  sender@example.com
                                         reciver@example.com

QueueIDのところに「！」がついているメールがアンチウイルスに駆除されたメールのようです（未確認）。メールの中身はpostcatで確認できます。

$ postcat -q QueueID

このQueueはそのまま溜まったままになります。削除する場合はpostsuperでできます。

$ postsuper -d QueueID

注意：上記コマンドで正常なメールも削除できます。アンチウイルスに駆除されたメールのみを削除してください。

注意：アンチウイルスがウイルスを誤検出して正常なメールをウイルス付きと判別する可能性があります。すぐには消さない方がよいでしょう。

#追記: 2019/5/27

昨日から何故かAntiVirusuの誤反応が多発したんですが、AntiVirusがホールドしたメールですが、再送かける時は、（自己責任で！！）以下のコマンドでアンチウイルスがホールドしたメールを解除して、

$ postsuper -H QueueID

解除後Queueをflushしてください。

$ postfix flush

としてください。

#追記: 2019/5/29

ウイルス検査はするが、メールの配送を停止(ホールド)しない設定は以下の通りです。

$ diff -u clamav-milter.conf.20190529 clamav-milter.conf
--- clamav-milter.conf.20190529 2019-05-29 13:34:44.135603960 +0900
+++ clamav-milter.conf  2019-05-29 13:35:02.465709398 +0900
@@ -166,6 +166,7 @@
 # Action to be performed on infected messages
 # Default: Quarantine
 #OnInfected Quarantine
+OnInfected Accept

 # Action to be performed on error conditions (this includes failure to
 # allocate data structures, no scanners available, network timeouts,

#追記: 2019/6/18 ホワイトリストの設定
設定ファイル /etc/mail/clamav-milter.conf で特定ユーザに対してアンチウイルスの適用除外の設定ができます。

Ref: https://linux.die.net/man/5/clamav-milter.conf

CentOS7で挙動を試してみました。

##メール受信者のホワイトリストの設定。

自分のメールサーバのドメインは 「@example.com」 とします。

事前準備として

• 外部のメールアドレスを三つ用意してください。
• 自分のメールサーバ上でテスト用の実ユーザのIDを2個作成してください。useradd等で作成ください。作成するIDはantivirus-test1, antivirus-test2とします。

続いて転送専用のIDを2個作成しました。/etc/aliasesにのみ定義しているIDです。以下のような感じで加筆してください。「:」の後に準備した外部メールアドレスを記載ください。

/etc/aliases

fw-antivirus-test1: 外部メールアドレス1
fw-antivirus-test2: 外部メールアドレス2

加筆後 コマンド「newaliases」を実行します。

続いてホワイトリストの設定です。以下の修正をしてください。

$ diff -u /etc/mail/clamav-milter.conf.20190618 /etc/mail/clamav-milter.conf
--- /etc/mail/clamav-milter.conf.20190618       2019-06-18 10:36:07.072784658 +0900
+++ /etc/mail/clamav-milter.conf        2019-06-18 11:03:29.011903194 +0900
@@ -116,7 +116,7 @@
 # Lines starting with #, : or ! are ignored.
 #
 # Default unset (no exclusion applied)
-#Whitelist /etc/whitelisted_addresses
+Whitelist /etc/mail/clamav-milter-whitelisted_addresses.conf

ホワイトリストを作成。ユーザantivirus-test1とfw-antivirus-test1は受信時にアンチウイルスの検査除外とします。

/etc/mail/clamav-milter-whitelisted_addresses.conf

To:antivirus-test1@example.com
To:fw-antivirus-test1@example.com

clamav-milterを再起動します。

$ /bin/systemctl restart clamav-milter.service

続いて前述のEICARテストファイルをファイル「eicar.com」に保存してください。

##動作確認
先ほど用意したユーザにmailコマンドでウイルス付きメールを送信してみます。mailコマンドでユーザIDのみ指定した場合はローカルユーザのメールアドレスと見なされます。（たぶん）。なので「mail antivirus-test1」は正しく書くと「mail antivirus-test1@example.com」という事です。

$ cat eicar.com
(「X5O」とかで始まるテストウイルスが表示されるか確認)

# ホワイトリスト記載メールアドレスのみ
$ cat eicar.com | mail fw-antivirus-test1 
  -> アンチウイルス反応しない．

# ホワイトリスト未記載アドレスのみ
$ cat eicar.com | mail fw-antivirus-test2
  -> アンチウイルス反応する．

# ホワイトリスト記載アドレスのみ
$ cat eicar.com | mail antivirus-test1 
  -> アンチウイルス反応しない．

# ホワイトリスト未記載アドレスのみ
$ cat eicar.com | mail antivirus-test2
  -> アンチウイルス反応する

# ホワイトリスト記載アドレスと未記載アドレスの混在
$ cat eicar.com | mail antivirus-test1 antivirus-test2
  -> アンチウイルス反応する．

# ホワイトリスト記載アドレスと未記載アドレスの混在
$ cat eicar.com | mail antivirus-test1 外部メールアドレス3
  -> アンチウイルス反応する．

# ホワイトリスト記載アドレスと未記載アドレスの混在
$ cat eicar.com | mail fw-antivirus-test1  fw-antivirus-test2
  -> アンチウイルス反応する．

# ホワイトリスト記載メールアドレスのみ
cat eicar.com | mail antivirus-test1 fw-antivirus-test1
  -> アンチウイルス反応しない．

という結果になりました。なので受信者(To)のホワイトリスト設定は、ホワイトリスト記載アドレスのみに送った場合のみに有効です。一名でも未記載アドレスが含まれていればアンチウイルスが反応してメールの配送が停止します。詳しく書くと、ホワイトリスト記載ユーザに対してもメールの配送は停止されます。

##送信者のホワイトリストの設定

以下のような設定で送信者のホワイトリストを設定しました。

/etc/mail/clamav-milter-whitelisted_addresses.conf

From:antivirus-test1@uchi.example.com

差出人がantivirus-test1であれば、だれにメールを送ってもアンチウイルスは反応しないようです。