Résumé : Ce tutoriel décrit la mise en place d'une passerelle filtrant le flux POP3 pour intercepter les virus et les spams, basée sur Gentoo Linux, Interscan, SpamAssassin et P3Scan.
-
Lire l'article
Les messageries électroniques sont un vecteur privilégié de propagation des virus. Il est donc souvent recommandé d'installer un antivirus directement sur le serveur de messagerie de manière à pouvoir intercepter les codes malicieux avant qu'ils n'arrivent sur les postes utilisateurs. Par ailleurs, au vu du volume croissant de spam qui est désormais très important (souvent plusieurs dizaines de spam par jour pour une adresse mail publique), il apparaît nécessaire de mettre en place des contres mesures. Mais, de nombreuses organisations, en particulier les plus petites, ne disposent pas de leur propre serveur de messagerie. Il apparaît donc particulièrement pratique dans ce cas de placer les dispositifs de filtrage au niveau du firewall. Ceci peut être réalisé grace à la mise en place d'un proxy transparent Pop3 (le protocole le plus utilisé pour la récupération des messages sur le serveur). Ce mécanisme permet en effet d'intercepter les connections des utilisateurs vers le serveur de messagerie et de scanner les messages qui sont reçus. Nous décrivons donc l'installation d'une passerelle de messagerie basée sur un système Gentoo Linux et dotée du scanner antivirus Interscan de Trend Micro (produit commercial) ainsi que du système antispam libre SpamAssassin.
Pour cela nous allons utiliser le démon trophie, qui permet d'accéder à la bibliothèque VSAPI de Trend Micro, contenue dans interscan. Les fonctions de proxy transparent seront assurée par P3Scan, version améliorée de Pop3Vscan qui permet d'utiliser spamassassin en plus de l'antivirus. Le kernel de la machine doit aussi être doté de Netfilter et de la cible REDIRECT.
Options de compilation du kernel:
CONFIG_NETFILTER=y
CONFIG_IP_NF_IPTABLES=[y/m]
CONFIG_IP_NF_TARGET_REDIRECT=[y/m]
L'installation d'Interscan est traitée dans le tutoriel suivant. Nous avons besoin d'une installation standard et en particulier des fichiers contenu dans /etc/iscan.(libvsapi.so et lpt$vpn.XXX).
Installation de trophie:
tar xzvf trophie-1.12.tar.gz
cd trophie-1.12
./configure
make
cp ./trophie /usr/sbin
Installation de P3Scan:
tar xzvf p3scan-1.0-rc7.tar.gz
cd p3scan-1.0-rc7.tar.gz
make
make install
Configuration de P3Scan:
Elle s'effectue dans le fichier /etc/p3scan.conf
Il faut ajouter (ou decommenter) les lignes suivantes:
scannertype=trophie
checkspam
spamcheck = /usr/bin/spamc
Il peut être aussi utile de modifier la variable maxchilds en particulier si le réseau local situé derrière la passerelle comprend de nombreux utilisateurs. Par exemple maxchilds=30 ou plus.
Il est aussi possible de modifier le message de notification de virus dans le fichier /etc/p3scan.mail
Installation de spamassassin:
emerge -p spamassassin
emerge spamassassin
Configuration de IPTables:
/sbin/iptables -t nat -A PREROUTING -i ethXX -p tcp --dport 110 -j REDIRECT --to-port 8110
(à rajouter dans le script IPTables utilisé).
Lancement de la solution:
/usr/sbin/trophie &
/etc/init.d/spamd start
/etc/init.d/p3scan start
Et voila, nous avons une solution permettant d'intercepter les connexions POP3 établies depuis le réseau local vers l'extérieur, et de scanner tous les mail reçus pour rechercher les spams et les virus. Cette solution tient la charge sans problème sur des réseaux de moins de 100 postes et probablement sur des réseaux de plusieurs centaines de postes.
| Les derniers articles de la catégorie Failles : |
|
| |
|
