[postfix-es] Antivirus

Rodolfo Pilas rodolfo en pilas.net
Lun Mayo 24 03:38:56 CEST 2004 

Estimados amigos de la lista:

Para antivirus yo estoy utilizando procmail->sanitizer->AVP pero deseo
revistar otras tecnologías.

Investigando sobre un sistema para chequeo de virus, he revisado la
lista y ahora mismo estoy en proceso de instalar amavisd-new+clamav para
ver cómo queda la cosa.   

Pero también consulté a mi amigo Kenneth Irving que trabaja en una
Universidad con más 3.000 cuentas de correo y esta fue su respuesta (que
creo puede ser útil para esta discusión):
(correo privado, enviado a esta lista con autorización del autor)

-----Mensaje reenviado-----
Rodolfo: por acá estamos usando la combinación MIMEDefgang + ClamAV.

La verdad que anda al pelo. Ni siquiera me he tomado el trabajo de usar
una opción de optimización que usa mimedefang, (que es un script en perl,
y por eso implica un cierto overhead).

El Clam lo usamos como demonio (clamd), se mantiene actualizado dos veces
al día (con freshclam), y funciona a las mil maravillas.

Lo que el clam no puede detectar, el mimedefang lo saca para afuera (en
base a las extensiones de los archivos adjuntos).

En mimedefang podés tomarte el trabajo de escribir un filtro que se adecue
a tus necesidades, sin embargo el que viene por defecto hace un muy buen
trabajo, así que practicamente no tenés que tocarlo.

mimedefang se comunica mediante sockets con clam, y a su vez usa milter
para comunicarse con sendmail (sí, todavía estoy usando ese engendro, soy
viejo, y ya le tengo agarrado el gusto, pero en cualquier momento cambio
por postfix, de hecho ya estoy armando el mismo tinglado para un amigo en
un pentium viejo, con un debian, y ahi voy a uasr
postix+mailscanner+clamav.

MailScanner es una aletrnativa a MIMEDefang. Voy a ver si lo pruebo, así
los conozco a los dos y veo con cual me quedo.

Lo bueno de MIMEDefang es que podés adaptarlo facilmente a tus
necesidades, toqueteando el script que viene como filtro.

Así es que cuando detecta virus, de pique tiramos todo al cuerno, mientras
que en otras situaciones, lo que hacemos en ponerlo en cuarentena (nunca
falta el bolainas que envía un ejecutable por email, y de esa manera el
archivo puesto en cuarentena puede ser rescatado. Al destinatario le llega
un mensaje avisando que el archivo adjunto fue removido y que quedó en
cuarentena en el servidor.

El Clam ha adquirido un vuelo notable. La verdad que lo mantienen los
susuarios, alimentadolo constantemente de firmas y está muy al dia. De
hecho, estos fulanos fueron los primeros en detectar MyDoom (que
bautizaron SCO, por razones obvias).

Creo que el principal equipo en alimentar a clam con firmas de virus, creo
que usa Kaspersky para generar las firmas para clam (Clam viene con una
herramienta,
sigtool justamente para eso). Con el Kaspersky generan las firmas de los
virus conocidos, y los desconcidos los tratan aparte. En realidad sigtool
debería poderse usar con cualquier antivirus y con eso generar las firmas
para clam, pero los tipos recomiendan uno o dos que son los que en la
práctica dan más resultado. Sigtool básicamente usa el antivirus externo
para ir recortando al archivo contaminado, y viendo en qué fragmentos
todavía es reconocible el virus, y en función de eso genera la firma
propia. Creo que la idea es encontrar el fragmento má pequeño posible que
aún siga siendo reconocido como perteneciente al virus. Algo ási me
pareció entender a partir de la documentación.

Así que en el peor de los casos podés tener la seguridad que clam por lo
menos detecta lo mismo que detecta Kaspersky (o el que sea que usen).

Las listas de email de clam son bastante activas, podés seguir los updates
de virus, y ver quienes contribuyen, y además enterarte de los problemas y
actualizaciones de clam.

La verdad es que es uno de esos proyectos que funciona en forma aceitada,
y pinta que tiene vida para rato.

Están apareciendo cada día más módulos para distintos paquetes, que
aprovechan los servicios de clam (apache, samba, etc.)

Así que realmente está toamdo vuelo, y parece que se pone cada vez más
interesante :-)

saludos
		Kenneth


On Tue, 18 May 2004, Rodolfo Pilas wrote:

> Amigo Kenneth, nosotros usamos sanitizer+AVP para detectar virus en el
> servidor de correos, pero AVP es una solucion propietaria.
>
> Se que vos tenes algo armado en SL.  ¿Que tenés y como te ha ido?
>
> Gracias.

------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: Esta parte del mensaje =?ISO-8859-1?Q?está?	digitalmente
Url        : http://lists.wl0.org/pipermail/postfix-es/attachments/20040523/5065da7a/attachment.bin

Más información sobre la lista de distribución Postfix-es