Az utóbbi időben a spammerek újabb harci eszközzel rukkoltak elő: a kéretlen “információjukat” PDF, vagy XLS formátumú állományokban küldik el. (Emellett már régebben valamilyen csatolt képformátumként.) A csatolt képformátumokkat a SpamAssassin is könnyedén elbánik, de a PDF-ekkel, vagy az XLS formátumokkal már nem, vagy legalábbis nehezen boldogul(na).

A Sanesecurity módszerében a ClamAV-ot hívja segítségül az ilyen levelekben megbúvó kéretlen levelek tartalmi elemzésére és szűrésére. A Howto Forge oldalán bukkantam rá a cikkre, melyben a szerzője eredetileg Ubuntu környezethez igazítva leírja, hogyan lehet a ClamAV-ot rávenni az ilyetén SPAM-szűrésre. (Nagyon nem kell igazítani.)

A pár perc alatt elvégezhető művelet valóban eredményes!

1. Néhány program megléte szükséges a rendszeren. (Ubuntu telepítési minta):

sudo apt-get install gzip curl rsync

2. Be kell szerezni azt a szkriptet, ami a Sanesecurity oldaláról letölti a ClamAV által értelmezhető definíciós állományokat. A cikk szerzője az eredeti szkriptet módosította. Én ezt használtam. (Aztán módosítottam a saját elérési útvonalaimra.):

cd /usr/bin
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh
chmod +x sanesecurity_update.sh

3. A kedvenc szerkesztőmmel három sort módosítottam a sanesecurity_update.sh fájlban az alábbi módon:

clamscan=”/usr/local/bin/clamscan”

clam_sigs=”/usr/local/share/clamav”

clam_user=”clamav”

4. Ezek után futtassuk le a ./sanesecurity_update.sh szkriptet, mely letölti és a ClamAV definíciós állományai közé teszi a SPAM-szűréshez használatos adatokat.

./sanesecurity_update.sh

A futás során megjelenő kimenet valami ilyesmi lesz:

=================================
SaneSecurity SCAM Database Update
=================================

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================
SaneSecurity PHISH Database Update
==================================

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================
MSRBL SPAM Database Update
==========================

Number of files: 1
Number of files transferred: 1
Total file size: 228436 bytes
Total transferred file size: 228436 bytes
Literal data: 228436 bytes
Matched data: 0 bytes
File list size: 33
File list generation time: 0.001 seconds
File list transfer time: 0.000 seconds
Total bytes sent: 101
Total bytes received: 228579

sent 101 bytes received 228579 bytes 26903.53 bytes/sec
total size is 228436 speedup is 1.00

===========================
MSRBL IMAGE Database Update
===========================

Number of files: 1
Number of files transferred: 1
Total file size: 550503 bytes
Total transferred file size: 550503 bytes
Literal data: 550503 bytes
Matched data: 0 bytes
File list size: 35
File list generation time: 0.001 seconds
File list transfer time: 0.000 seconds
Total bytes sent: 103
Total bytes received: 550688

sent 103 bytes received 550688 bytes 157368.86 bytes/sec
total size is 550503 speedup is 1.00

5. A SPAM-szűrés máris működik, a ClamAV beállításain nem kell semmit módosítani!

Próbaképpen elküldtem magamnak a most beállított szerverre egy olyan SPAM-et, amit a napokban kaptam egy freemail-es címemre, és PDF csatolmány volt a SPAM. Hogy ki lehessen próbálni innen le lehet tölteni: http://www.gprsec.hu/downloads/new_account-39420.pdf

Az eredmény (az amavisd-new kiértesítése):


A virus was found: Email.Stk.Gen606.Sanesecurity.07080101.pdf

Scanner detecting a virus: ClamAV-clamscan

Content type: Virus (9,0)
Internal reference code for the message is 24973-10/9hwsYQhCcOVn

First upstream SMTP client IP address: [209.85.128.191] fk-out-0910.google.com
According to a 'Received:' trace, the message originated at:
  [213.222.130.xxx], amd.local  ( [213.222.130.xxx])

Return-Path: <xxxxx@gmail.com>
Message-ID: <200708030424.36723.xxxxxx@gmail.com>
Subject: sdasd
The message has been quarantined as: virus-9hwsYQhCcOVn

Notification to sender will not be mailed.

The message WAS NOT relayed to:
<yyyyy@mail.xxxxxx.hu>:
   254 2.7.1 Ok, discarded, id=24973-10 - VIRUS: Email.Stk.Gen606.Sanesecurity.07080101.pdf


Vagyis, vírusüzenettel látja el a ClamAV, de ez legyen a legnagyobb probléma!

6. Biztos, ami biztos alapon kipróbáltam egy másik, nem SPAM csatolmányú pdf fájllal is a Sanesecurity signatures működését, de nem tapasztaltam hibát, vagyis a levelet rendre megkaptam.

7. A cikk szerzője javasolja továbbá, hogy ütemezéssel naponta frissítsük a definíciós állományt:

crontab -e

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

Ő minden nap 04:53-ra állította be a példában a frissítési időpontot.

Ezzel beállításra került az új szűrési módszer. A hatékonysága és pontossága pedig a jövőben fog csak kiderülni.

Eredeti cikk itt, a Sanesecurity honlapja itt található.

Eredeti: HUP