KASPERSKY Anti-Virus Linux Mail Servers 5.6 User Manual [ru]

Download

Page 1

ЛАБОРАТОРИЯ КАСПЕРСКОГО

Антивирус Касперского 5.6 для

Linux Mail Server

РУКОВОДСТВО АДМИНИСТРАТОРА

Page 2

АНТИВИРУС КАСПЕРСКОГО 5.6 ДЛЯ LINUX MAIL

SERVER

Руководство

администратора

Тел., факс: +7 (495) 797-8700, +7 (495) 645-7939, +7 (495) 956-7000

http://www.kaspersky.ru

Дата редакции: октябрь 2008 г.

Page 3

Содержание

ГЛАВА 1. ВВЕДЕНИЕ..................................................................................................... 7

1.1. Что нового............................................................................................................. 8

1.2. Аппаратные и программные требования к системе....................................... 9

1.3. Сервис для зарегистрированных пользователей......................................... 10

ГЛАВА 2. СОСТАВ И АЛГОРИТМ РАБОТЫ ПРИЛОЖЕНИЯ ................................ 12

ГЛАВА 3. УСТАНОВКА И УДАЛЕНИЕ ПРИЛОЖЕНИЯ........................................... 15

3.1. Установка приложения на сервер под управлением Linux.......................... 15

3.2. Установка приложения на сервер под управлением FreeBSD ................... 16

3.3. Схема расположения файлов приложения................................................... 17

3.3.1. Схема расположения файлов на сервере под управлением Linux..... 17

3.3.2. Схема расположения файлов на сервере под управлением

FreeBSD ....................................................................................................... 19

3.4. Постинсталляционная настройка.................................................................... 21

3.5. Настройка разрешающих правил в системах SELinux и AppArmor............ 24

3.6. Установка webmin-модуля для управления Антивирусом Касперского .... 26

3.7. Удаление приложения...................................................................................... 28

ГЛАВА 4. ИНТЕГРАЦИЯ С ПОЧТОВОЙ СИСТЕМОЙ ............................................ 30

4.1. Интеграция с почтовой системой Exim........................................................... 31

4.1.1. Post-queue интеграция методом изменения маршрутов...................... 31

4.1.2. Pre-queue интеграция с использованием динамически

подгружаемой библиотеки ........................................................................ 34

4.2. Интеграция с почтовой системой Postfix........................................................ 37

4.2.1. Post-queue интеграция............................................................................... 37

4.2.2. Pre-queue интеграция................................................................................. 39

4.2.3. Интеграция с помощью функций Milter.................................................... 42

4.3. Интеграция с почтовой системой qmail.......................................................... 43

4.4. Интеграция с почтовой системой Sendmail ................................................... 45

4.4.1. Интеграция с помощью файла .cf ............................................................ 45

4.4.2. Интеграция с помощью файла .mc .......................................................... 47

Page 4

Антивирус Касперского 5.6 для Linux Mail Server

ГЛАВА 5. АНТИВИРУСНАЯ ЗАЩИТА ПОЧТЫ ........................................................ 48

5.1. Формирование групп......................................................................................... 48

5.2. Определение политики проверки почтовых сообщений.............................. 50

5.3. Режим проверки сообщений............................................................................ 51

5.3.1. Антивирусная проверка ............................................................................. 51

5.3.2. Фильтрация почты...................................................................................... 53

5.4. Действия над объектами.................................................................................. 54

5.5. Предустановленные профили защиты .......................................................... 56

5.5.1. Рекомендуемый профиль защиты........................................................... 56

5.5.2. Профиль максимальной защиты.............................................................. 57

5.5.3. Профиль максимальной скорости............................................................ 58

5.6. Резервное копирование сообщений............................................................... 59

5.7. Уведомления...................................................................................................... 60

5.7.1. Настройка уведомлений............................................................................ 60

5.7.2. Шаблоны уведомлений.............................................................................. 62

5.7.3. Создание собственных шаблонов уведомлений................................... 65

5.7.3.1. Макросы ................................................................................................ 66

5.7.3.2. Итерационные конструкции................................................................ 66

5.7.3.3. Границы видимости итерационной конструкции............................. 68

5.7.3.4. Переменные ......................................................................................... 69

5.7.3.5. Синтаксис языка................................................................................... 70

5.7.3.6. Макросы уведомлений в составе приложения ................................ 72

ГЛАВА 6. АНТИВИРУСНАЯ ЗАЩИТА ФАЙЛОВЫХ СИСТЕМ............................... 74

6.1. Область проверки.............................................................................................. 75

6.2. Режим проверки и лечения объектов ............................................................. 76

6.3. Действия над объектами.................................................................................. 77

6.4. Проверка директории по требованию ............................................................ 78

6.5. Проверка по расписанию.................................................................................. 79

6.6. Отправка уведомлений администратору....................................................... 79

ГЛАВА 7. ОБНОВЛЕНИЕ БАЗ АНТИВИРУСА.......................................................... 81

7.1. Автоматическое обновление........................................................................... 82

7.2. Обновление по требованию ............................................................................ 83

7.3. Обновление из сетевой директории............................................................... 84

Page 5

Содержание

ГЛАВА 8. УПРАВЛЕНИЕ КЛЮЧАМИ......................................................................... 86

8.1. Просмотр лицензионной информации........................................................... 87

8.2. Продление срока действия ключа .................................................................. 89

ГЛАВА 9. ОТЧЕТЫ И СТАТИСТИКА РАБОТЫ ПРИЛОЖЕНИЯ............................ 91

9.1. Формирование отчетов..................................................................................... 91

9.2. Статистика работы приложения...................................................................... 94

ГЛАВА 10. ДОПОЛНИТЕЛЬНЫЕ НАСТРОЙКИ ....................................................... 98

10.1. Контроль состояния защиты с помощью протокола SNMP ...................... 98

10.2. Использование скрипта настройки приложения....................................... 103

10.3. Управление приложением из командной строки ...................................... 105

10.4. Дополнительные информационные поля в сообщениях ........................ 107

10.5. Локализация формата отображаемых дат и времени ............................. 108

ГЛАВА 11. ПРОВЕРКА КОРРЕКТНОСТИ РАБОТЫ ПРИЛОЖЕНИЯ ................. 109

ПРИЛОЖЕНИЕ A. СПРАВОЧНАЯ ИНФОРМАЦИЯ.............................................. 111

A.1. Конфигурационный файл приложения kav4lms.conf .................................111

A.1.1. Секция [kav4lms:server.settings].............................................................. 111

A.1.2. Секция [kav4lms:server.log]...................................................................... 114

A.1.3. Секция [kav4lms:server.statistics]............................................................. 115

A.1.4. Секция [kav4lms:server.snmp] ................................................................. 116

A.1.5. Секция [kav4lms:server.notifications] ....................................................... 119

A.1.6. Секция [kav4lms:filter.settings] .................................................................120

A.1.7. Секция [kav4lms:filter.log] ......................................................................... 123

A.1.8. Секция [kav4lms:groups] .......................................................................... 125

A.1.9. Секция [path] .............................................................................................125

A.1.10. Секция [locale]......................................................................................... 126

A.1.11. Секция [options]....................................................................................... 126

A.1.12. Секция [updater.path].............................................................................. 127

A.1.13. Секция [updater.options]......................................................................... 127

A.1.14. Секция [updater.report] ........................................................................... 129

A.1.15. Секция [updater.actions] ......................................................................... 129

A.1.16. Секция [scanner.display]......................................................................... 131

A.1.17. Секция [scanner.options] ........................................................................ 132

A.1.18. Секция [scanner.report]........................................................................... 134

A.1.19. Секция [scanner.container]..................................................................... 135

Page 6

Антивирус Касперского 5.6 для Linux Mail Server

A.1.20. Секция [scanner.object] ..........................................................................137

A.1.21. Секция [scanner.path]............................................................................. 138

A.2. Конфигурационный файл группы................................................................. 138

A.2.1. Секция [kav4lms:groups.<имя_группы>.definition]................................ 139

A.2.2. Секция [kav4lms:groups.<имя_группы>.settings].................................. 140

A.2.3. Секция [kav4lms:groups.<имя_группы>.actions]................................... 142

A.2.4. Секция [kav4lms:groups.<имя_группы>.contentfiltering]....................... 143

A.2.5. Секция [kav4lms:groups.<имя_группы>.notifications]........................... 147

A.2.6. Секция [kav4lms:groups.<имя_группы>.backup]................................... 149

A.3. Параметры командной строки компонента kav4lms-licensemanager....... 150

A.4. Коды возврата компонента kav4lms-licensemanager.................................. 151

A.5. Параметры командной строки компонента kav4lms-keepup2date............ 152

A.6. Коды возврата компонента kav4lms-keepup2date ...................................... 153

ПРИЛОЖЕНИЕ B. ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО»............................... 155

B.1. Другие разработки «Лаборатории Касперского»........................................ 156

B.2. Наши координаты ........................................................................................... 168

ПРИЛОЖЕНИЕ C. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СТОРОННИХ

ПРОИЗВОДИТЕЛЕЙ.................................................................................................. 170

C.1. Библиотека Pcre.............................................................................................. 170

C.2. Библиотека Expat............................................................................................ 171

C.3. Библиотека AgentX++v1.4.16 ........................................................................ 172

C.4. Библиотека Agent++v3.5.28a......................................................................... 178

C.5. Библиотека Boost v 1.0................................................................................... 179

C.6. Библиотека Milter ............................................................................................180

C.7. Библиотека libkavexim.so ............................................................................... 182

Page 7

ГЛАВА 1. ВВЕДЕНИЕ

Антивирус Касперского® 5.6 для Linux Mail Server (далее называемый

Антивирус Касперского или приложение) обеспечивает антивирусную защиту почтового трафика и файловых систем серверов, работающих под управлением операционных систем Linux или FreeBSD и использующих почтовые системы Sendmail, Postfix, qmail или Exim.

Приложение позволяет:

• Проверять файловые системы сервера, входящие и исходящие почтовые сообщения на наличие угроз.

• Обнаруживать зараженные, подозрительные, защищенные паролем и недоступные для проверки объекты.

• Обезвреживать обнаруженные в файлах и почтовых сообщениях угрозы. Лечить зараженные объекты.

• Сохранять резервные копии сообщений перед их антивирусной обработкой и фильтрацией; восстанавливать сообщения из резервных копий.

• Обрабатывать почтовые сообщения согласно правилам, заданным для групп отправителей и получателей.

Выполнять фильтрацию почтовых сообщений по имени, типу и

•

размеру вложений.

• Уведомлять отправителя, получателей и администратора об обнаружении сообщений, содержащих зараженные, подозрительные, защищенные паролем и недоступные для проверки объекты.

• Формировать статистику и отчеты о результатах работы.

• Обновлять базы антивируса с серверов обновлений «Лаборатории

Касперского» по расписанию и по

Базы используются в процессе поиска и лечения зараженных файлов. На основе записей, содержащихся в них, каждый файл во время проверки анализируется на присутствие угроз: код файла сравнивается с кодом, характерным для той или иной угрозы.

• Настраивать параметры и управлять работой приложения как локально (стандартными средствами операционной щью параметров командной строки, сигналов и модификацией конфигурационного файла приложения), так и удаленно через вебинтерфейс программы Webmin.

требованию.

системы с помо-

Page 8

Антивирус Касперского 5.6 для Linux Mail Server

• Получать конфигурационную информацию и статистику работы приложения по протоколу SNMP, а также настроить приложение на отправку SNMP-ловушек при наступлении определенных событий.

1.1. Что нового

Антивирус Касперского 5.6 для Linux Mail Server объединяет функциональность двух приложений: Антивируса Касперского 5.5 для Linux и FreeBSD Mail Server и Антивируса Касперского 5.6 для Sendmail с Milter API, а также обладает следующими дополнительными возможностями:

• Для почтовой системы Exim поддерживается как pre-queue, так и post-queue интеграция. При pre-queue интеграции сообщения пере-

даются на проверку перед размещением в очереди почтовой системы, при post-queue интеграции – после товой системы. Реализован процесс автоматической интеграции с помощью скрипта настройки приложения. Подробное описание процесса интеграции содержит Глава 4 на стр. 30.

• Расширены возможности по настройке проверки сообщений – доступны два способа проверки: сообщение может проверяться как единый объект и комбинированно – как единый объект, затем «по час тям». Способы отличаются уровнем предоставляемой защиты. Подробная информация содержится в п. 5.2 на стр. 50.

• Изменился процесс настройки приложения – появилась возможность настройки для отдельных групп отправителей и получателей. Под- робная информация о настройке групп содержится в п. 5.1 на стр. 48.

• Расширен список действий, выполняемых над сообщениями – до- бавлено действие в Подробная информация о действиях приложения содержится в п. 5.4 на стр. 54.

• Расширены возможности по фильтрации сообщений – добавлен критерий фильтрации по размеру вложения. Подробная информация о настройке фильтрации сообщений содержится в п. 5.3.2 на стр. 53.

• Расширена библиотека шаблонов уведомлений – добавлены шабло- ны уведомления администратора. Шаблоны в отдельную директорию.

• Не поддерживается возможность помещения зараженных объектов на карантин.

• Расширены возможности резервного копирования сообщений – для каждой копии теперь возможно создание информационного файла.

зависимости от обнаруженной в объекте угрозы.

размещения в очереди поч-

уведомлений вынесены

Page 9

Введение 9

Подробная информация о настройке резервного копирования сообщений содержится в п. 5.6 на стр. 59.

• Расширены возможности настройки детализации отчетов приложе- ния. Подробная информация о настройке отчетов приложения со- держится в п. 9.1 на стр. 91.

• Добавился новый тип статистической информации – детализированная статистика по каждому сообщению. Подробная информация по настройке статистики о стр. 94.

• Появилась возможность опроса статуса, конфигурации и других аспектов работы приложения с помощью SNMP-запросов и SNMPловушек. Подробная информация содержится в п. 10.1 на стр. 98.

• В поставку приложения добавлен инструмент для управления приложением из командной строки. Подробная информация об этом инструменте

содержится в п. 10.3 на стр. 105.

работе приложения содержится в п. 9.2 на

1.2. Аппаратные и программные требования к системе

Системные требования Антивируса Касперского следующие:

• Аппаратные требования для почтового сервера, поддерживающего около 200 МБ трафика в день:

• процессор Intel Pentium IV, 3 ГГц или выше;

• 1 ГБ оперативной памяти;

• 200 МБ свободного места на жестком диске (в это количество

не входит пространство, необходимое для хранения резервных копий сообщений).

• Программные требования:

• для 32-битной

систем:

o Red Hat Enterprise Linux Server 5.2;

o Fedora 9;

o SUSE Linux Enterprise Server 10 SP2;

o openSUSE 11.0;

платформы одна из следующих операционных

Page 10

Антивирус Касперского 5.6 для Linux Mail Server

o Debian GNU/Linux 4.0 r4;

o Mandriva Corporate Server 4.0;

o Ubuntu 8.04.1 Server Edition;

o FreeBSD 6.3, 7.0.

• для 64-битной платформы одна из следующих операционных

систем:

o Red Hat Enterprise Linux Server 5.2;

o Fedora 9;

o SUSE Linux Enterprise Server 10 SP2;

o openSUSE Linux 11.0.

• Одна из перечисленных почтовых систем: Sendmail 8.12.x или

выше, qmail 1.03, Postfix 2.x, Exim 4.х.

• Программа Webmin (www.webmin.com

ленное управление Антивирусом Касперского.

• Perl версии 5.0 или выше (www.perl.org

), если планируется уда-

1.3. Сервис для зарегистрированных пользователей

ЗАО «Лаборатория Касперского» предлагает своим легальным пользователям большой комплекс услуг, позволяющих увеличить эффективность использования Антивируса Касперского.

Приобретая ключ, вы становитесь зарегистрированным пользователем программы и в течение срока действия ключа можете получать следующие услуги:

• предоставление новых версий данного программного продукта;

• консультации по вопросам, связанным с установкой, настройкой и

эксплуатацией данного программного продукта, оказываемые по телефону и электронной почте;

• оповещение о выходе новых программных продуктов «Лаборатории Касперского» и о новых вирусах, появляющихся в мире (данная

Page 11

Введение 11

услуга предоставляется пользователям, подписавшимся на рассылку новостей ЗАО «Лаборатория Касперского»).

Примечание

Консультации по вопросам функционирования и использования операционных систем, стороннего программного обеспечения, а также работы различных технологий не проводятся.

Page 12

ГЛАВА 2. СОСТАВ И АЛГОРИТМ

РАБОТЫ ПРИЛОЖЕНИЯ

В состав Антивируса Касперского входят следующие компоненты:

• фильтр – сервис связи с почтовой системой, отдельная программа, обеспечивающая взаимодействие Антивируса Касперского с почтовой системой; в состав дистрибутива приложения включены модули для каждой из поддерживаемых почтовых систем:

• kav4lms-milter – Milter-сервис связи с почтовыми системами

Sendmail и Postfix через Milter API;

• kav4lms-filter – SMTP-сервис связи

Postfix и Exim;

• kav4lms-qmail – обработчик очереди почтовых сообщении для

почтовой системы qmail;

• kavmd – центральная служба приложения, принимает запросы от фильтра и обеспечивает антивирусную защиту почтового трафика;

• kav4lms-kavscanner – обеспечивает антивирусную защиту файловых систем сервера;

• kav4lms-keepup2date – обеспечивает обновление баз антивируса путем их скачивания с серверов обновлений «Лаборатории перского» или из локального каталога;

• kav4lms-licensemanager – компонент, предназначенный для работы с ключами: установки, удаления, просмотра статистической информации;

• kav4lms.wbm – webmin-модуль для удаленного управления приложением при помощи веб-интерфейса (устанавливается опционально), позволяет настраивать и организовывать обновления баз антивируса, просматривать статистическую информацию, задавать действия над объектами в вать результаты работы приложения;

• kav4lms-cmd – утилита управления Антивирусом из командной строки.

зависимости от их статуса, контролиро-

с почтовыми системами

Кас-

Page 13

Состав и алгоритм работы приложения 13

Предусмотрен следующий алгоритм проверки сообщений:

1. Фильтр получает сообщение от почтовой системы. Если фильтр и

центральная служба работают на одном компьютере, то вместо сообщений передаются имена файлов сообщений.

2. Фильтр определяет, каким группам принадлежит сообщение, выбирает группу с наивысшим приоритетом (см. п. 5.1 на стр 48) и передает сообщение на проверку

центральной службе приложения. Если такой группы не обнаружено, сообщение обрабатывается по правилам группы Default, входящей в состав дистрибутива приложения.

Центральная служба выполняет проверку сообщения в соответствии с параметрами, заданными в конфигурационном файле группы. В зависимости от способа, заданного политикой, сообщение может проверяться как единый объект и комбинированно –

как еди-

ный объект, затем «по частям» (см. п. 5.2 на стр. 50).

Комбинированная проверка является более тщательной и обеспечивает более высокий уровень защиты, хотя быстродействие при этом несколько снижается.

3. Если задана антивирусная проверка сообщений (см. п. 5.3 на стр. 51), центральная служба проверяет сообщение как единый объект. Согласно статусу, присвоенному по результатам

проверки (см. п. 5.3.1 на стр. 51), центральная служба: блокирует доставку, отклоняет или пропускает сообщение, заменяет его предупреждением, изменяет заголовки (см. п. 5.4 на стр. 54). Если для определенных угроз задана специальная обработка (параметр VirusNam- eList), в случае их обнаружения будут выполнены указанные действия (параметр VirusNameAction). Порядок обработки сообщения задается в конфигурационном

файле группы.

Перед обработкой, если определено в параметрах группы, создается резервная копия сообщения.

4. После антивирусной проверки сообщения, выполняется фильтрация, если она задана в параметрах группы.

Фильтрация осуществляется по имени, типу и размеру вложения (см. п. 5.3.2 на стр. 53). По результатам проверки выполняются действия, заданные параметрами фильтрации в конфигурационном файле группы. Обработанные, а также удовлетворяющие параметрам фильтрации объекты передаются на проверку «по частям», если в параметрах группы задан комбинированный способ проверки.

5. При проверке сообщения «по частям» выполняется разбор MIMEструктуры и обработка составных частей сообщения.

Page 14

Антивирус Касперского 5.6 для Linux Mail Server

Объекты сообщения обрабатываются согласно статусу, присвоенному конкретному объекту, несмотря на статус, присвоенный сообщению в целом.

В случае если при проверке сообщения как единого объекта оно было признано зараженным, а при проверке «по частям» угроза не обнаружена, будет применено действие ко всему сообщению, заданное для зараженных сообщений (параметр InfectedAction). Также, если уровень вложенности прикрепленного к незараженному сообщению объекта превышает установленное в параметрах группы ограничение (параметр MaxScanDepth), будет применено действие ко всему сообщению, назначенное для сообщений, проверка которых завершена с ошибкой (параметр ErrorAction).

При обработке объектов сообщения центральная служба переименовывает, удаляет или заменяет объект предупреждающим сообщением,

добавляет информационные заголовки, либо пропускает сообщение (см. п. 5.4 на стр. 54). Зараженные объекты подвергаются лечению. Перед обработкой объекта, если определено в параметрах группы, создается резервная копия всего сообщения (если она не была создана ранее).

6. После проверки и обработки центральная служба передает сообщение фильтру. Обработанное сообщение с уведомлениями

о результатах проверки и лечения передается почтовой системе, которая выполняет доставку почтового потока локальным пользователям или осуществляет маршрутизацию на другие почтовые сервера.

Page 15

ГЛАВА 3. УСТАНОВКА И

УДАЛЕНИЕ ПРИЛОЖЕНИЯ

Рекомендуется выполнить следующие действия, прежде чем приступать к установке Антивируса Касперского:

• Убедиться, что система соответствует аппаратным и программным требованиям, перечисленным в п. 1.2 на стр. 9.

• Создайте резервные копии конфигурационных файлов почтовой системы, установленной на вашем сервере.

• Настройте соединение с интернетом.

• Зарегистрируйтесь в системе с правами учетной записи root

любым другим, имеющим права привилегированного пользователя.

Внимание!

Установку приложения рекомендуется выполнять в то время, когда поток почтовых сообщений наименьший!

3.1. Установка приложения на

или

сервер под управлением Linux

Для серверов, работающих под управлением операционной системы Linux, Антивирус Касперского распространяется в двух вариантах установки, в зависимости от дистрибутива операционной системы Linux.

Для дистрибутивов Red Hat Enterprise Linux, Fedora, SUSE Linux Enterprise Server, openSUSE и Mandriva Linux предусмотрена установка приложения из rpm-пакета.

Для запуска установки Антивируса Касперского из rpm-пакета в командной строке введите:

# rpm -i <имя_пакета>

Page 16

Антивирус Касперского 5.6 для Linux Mail Server

Внимание!

Если для установки вы использовали rpm-пакет, после копирования файлов дистрибутива на сервер вам необходимо самостоятельно запустить скрипт

postinstall.pl, выполняющий настройку приложения после установки. Скрипт postinstall.pl устанавливается по умолчанию в каталог /opt/kaspersky/kav4lms/lib/bin/setup/ (для Linux) и в каталог /usr/local/libexec/kaspersky/kav4lms/setup/ (для FreeBSD).

Для дистрибутивов Debian GNU/Linux и Ubuntu установка осуществляется с помощью deb-пакета приложения.

Для запуска установки Антивируса Касперского из deb-пакета в командной строке введите:

# dpkg -i <имя_пакета>

После запуска команды дальнейший процесс установки будет выполнен автоматически. После его завершения на экран будет выведена информация о постинсталляционной настройке приложения (см. п. 3.4 на стр. 21).

Внимание!

Существуют особенности установки приложения для дистрибутива Mandriva.

Для корректного запуска Антивируса Касперского после установки убедитесь, что для хранения временных файлов в операционной системе используется директория /root/tmp/ и пользователь, под которым работает приложение (по умолчанию – kluser), имеет права на запись в этой директории.

Возможно, вам потребуется изменить права на эту директорию, определить или удалить переменные окружения TMP, TEMP с тем, чтобы использовалась другая директория (например, /tmp/) с необходимыми для работы приложения правами.

либо пере-

3.2. Установка приложения на сервер под управлением

FreeBSD

Для серверов, работающих под управлением операционной системы FreeBSD, дистрибутив Антивируса Касперского поставляется в pkg-пакете.

Page 17

Установка и удаление приложения 17

Для запуска установки Антивируса Касперского из pkg-пакета в командной строке введите:

# pkg_add <имя_пакета>

3.3. Схема расположения файлов приложения

При установке Антивируса Касперского файлы приложения копируются в рабочие директории на сервере.

Внимание!

Для того чтобы man-страницы к приложению были доступны по команде man <имя_man-страницы>, необходимо:

• для дистрибутивов Debian Linux, Ubuntu Linux, SUSE Linux в файл

/etc/manpath.config добавить строку:

MANDATORY_MANPATH /opt/kaspersky/kav4lms/share/man

• для дистрибутивов Red Hat Linux и Mandriva Linux в файл

/etc/man.config добавить строку:

MANPATH /opt/kaspersky/kav4lms/share/man

• для дистрибутивов FreeBSD в файл /etc/manpath.config добавить

строку:

MANDATORY_MANPATH /usr/local/man

Если в системе используется переменная MANPATH, добавьте в список ее значений путь к каталогу man-страниц приложения, выполнив следующую команду:

# export MANPATH=$MANPATH:<путь к каталогу man-страниц>

3.3.1. Схема расположения файлов на сервере под управлением Linux

После установки Антивируса Касперского на сервер под управлением операционной системы Linux файлы дистрибутива будут расположены следующим образом:

Page 18

Антивирус Касперского 5.6 для Linux Mail Server

/etc/opt/kaspersky/kav4lms.conf – основной конфигурационный файл прило-

жения;

/etc/opt/kaspersky/kav4lms – директория, содержащая конфигурационные

файлы Антивируса Касперского: groups.d/ – директория, содержащая конфигурационные файлы групп

приложения; default.conf – конфигурационный файл, содержащий параметры

группы по умолчанию;

locale.d/strings.en – файл, содержащий строковые константы, исполь-

зуемые приложением;

profiles/ – директория, содержащая профили параметров по умолчанию;

default_recommended/ – директория, содержащая конфигурацион-

ные файлы рекомендуемого профиля

;

high_overall_security/ – директория, содержащая конфигурационные

файлы профиля максимальной защиты;

high_scan_speed/ – директория, содержащая конфигурационные

файлы профиля максимальной скорости проверки;

templates/ – директория, содержащая шаблоны уведомлений; templates-admin/ – директория, содержащая шаблоны уведомлений ад-

министратора;

/opt/kaspersky/kav4lms/ – основная директория приложения, содержащая:

bin/ – директория, содержащая исполняемые файлы компонентов Ан-

тивируса Касперского: kav4lms-cmd – исполняемый файл инструмента управления прило-

жением с помощью командной строки;

kav4lms-setup.sh – скрипт настройки приложения; kav4lms-kavscanner – исполняемый файл компонента проверки

файловых систем;

kav4lms-licensemanager – исполняемый файл компонента управле-

ния ключами приложения;

kav4lms-keepup2date – исполняемый файл компонента обновления

баз антивируса;

sbin/ – директория, содержащая исполняемые файлы сервисов прило-

жения;

lib/ – директория, содержащая файлы библиотек Антивируса Каспер-

ского;

bin/avbasestest – утилита проверки

корректности обновлений баз

антивируса, используемая компонентом kav4lms-keepup2date;

share/doc/ – директория, содержащая лицензионное соглашение и до-

кументацию по развертыванию приложения;

Page 19

Установка и удаление приложения 19

share/man/ – директория, содержащая man-файлы приложения; share/scripts/ – директория, содержащая скрипты, необходимые для ра-

боты приложения;

share/snmp-mibs/ – директория, содержащая MIB Антивируса Каспер-

ского;

share/webmin/ – директория, содержащая модуль к программе Webmin;

/etc/init.d/ – директория, содержащая скрипты управления сервисами при-

ложения:

kav4lms – скрипт управления центральной службой приложения; kav4lms-filters – скрипт управления фильтром Антивируса Касперского;

/var/opt/kaspersky/kav4lms/ – директория, содержащая переменные данные

приложения: backup/ – директория, содержащая резервные копии сообщений и ин-

формационные файлы;

bases/ – директория, содержащая базы антивируса; bases.backup/ – директория, содержащая резервную копию баз антиви-

руса;

licenses/ – директория, содержащая файлы ключей; patches/ – директория, содержащая обновления программных модулей

приложения;

stats/ – директория, содержащая файлы статистики работы приложе-

ния;

updater/ – директория, содержащая файл с информацией

обновлении;

nqueue/ – директория, содержащая файлы очереди почтовых сообще-

ний.

о последнем

Внимание!

Далее в этом руководстве по умолчанию используются пути для Linux!

3.3.2. Схема расположения файлов на сервере под управлением FreeBSD

После установки Антивируса Касперского на сервер под управлением операционной системы FreeBSD файлы дистрибутива будут расположены следующим образом:

/usr/local/etc/kaspersky/kav4lms.conf – основной конфигурационный файл

приложения;

Page 20

Антивирус Касперского 5.6 для Linux Mail Server

/usr/local/etc/kaspersky/kav4lms/ – директория, содержащая конфигурацион-

ные файлы Антивируса Касперского: groups.d/ – директория, содержащая конфигурационные файлы групп

приложения; default.conf – конфигурационный файл, содержащий параметры

группы по умолчанию;

locale.d/strings.en – файл, содержащий строковые константы, исполь-

зуемые приложением;

profiles/ – директория, содержащая профили параметров по умолчанию:

default_recommended/ – директория, содержащая конфигурацион-

ные файлы рекомендуемого профиля;

high_overall_security/ – директория, содержащая конфигурационные

файлы профиля максимальной защиты;

high_scan_speed/ – директория, содержащая конфигурационные

файлы профиля максимальной скорости проверки; templates/ – директория, содержащая шаблоны уведомлений; templates-admin/ – директория, содержащая шаблоны уведомлений ад-

министратора;

/usr/local/bin/ – директория, содержащая исполняемые файлы компонентов

Антивируса Касперского: kav4lms-cmd – исполняемый файл инструмента управления приложе-

нием с помощью командной строки;

kav4lms-setup.sh – скрипт настройки приложения; kav4lms-kavscanner – исполняемый

файл компонента проверки файло-

вых систем;

kav4lms-licensemanager – исполняемый файл компонента управления

ключами приложения;

kav4lms-keepup2date – исполняемый файл компонента обновления баз

антивируса;

/usr/local/sbin/ – директория, содержащая исполняемые файлы сервисов

приложения;

/usr/local/etc/rc.d/ – директория, содержащая скрипты управления сервисами

приложения:

kav4lms.sh – скрипт управления центральной службой приложения; kav4lms-filters.sh – скрипт управления фильтром Антивируса Касперско-

го;

/usr/local/lib/kaspersky/kav4lms/ – директория, содержащая

файлы библиотек

Антивируса Касперского;

Page 21

Установка и удаление приложения 21

/usr/local/libexec/kaspersky/kav4lms/avbasestest – утилита проверки коррект-

ности обновлений баз антивируса, используемая компонентом kav4lmskeepup2date;

/usr/local/share/doc/kav4lms/ – директория, содержащая лицензионное со-

глашение и документацию по развертыванию приложения;

/usr/local/man/ – директория, содержащая man-файлы приложения; /usr/local/share/kav4lms/scripts/ – директория, содержащая скрипты, необхо-

димые для работы приложения;

/usr/local/share/kav4lms/snmp-mibs/ – директория, содержащая MIB Антиви-

руса Касперского;

/usr/local/share/kav4lms/webmin/ – директория, содержащая модуль к про-

грамме Webmin;

/var/db/kaspersky/kav4lms/ –

приложения: backup/ – директория, содержащая резервные копии сообщений и ин-

формационные файлы;

bases/ – директория, содержащая базы антивируса; bases.backup/ – директория, содержащая резервную копию баз антиви-

руса;

licenses/ – директория, содержащая файлы ключей; patches/ – директория, содержащая обновления программных модулей

приложения;

stats/ – директория, содержащая файлы статистики работы приложе-

ния;

updater/ – директория, содержащая

обновлении;

nqueue/ – директория, содержащая файлы очереди почтовых сообще-

ний.

директория, содержащая переменные данные

файл с информацией о последнем

3.4. Постинсталляционная настройка

При установке Антивируса Касперского после завершения копирования файлов дистрибутива на сервер выполняется настройка системы. В зависимости от менеджера пакета этап конфигурации будет запущен автоматически либо (в случае, если менеджер пакета не допускает использование интерактивных скриптов, как, например, rpm) его потребуется запустить вручную.

Page 22

Антивирус Касперского 5.6 для Linux Mail Server

Для запуска процесса настройки приложения вручную в командной строке введите:

для Linux:

# /opt/kaspersky/kav4lms/lib/bin/setup/postinstall.pl

для FreeBSD:

# /usr/local/libexec/kaspersky/kav4lms/setup/postinstall.pl

В результате вам будет предложено выполнить следующие действия:

1. Если приложение обнаружит на компьютере конфигурационные

файлы Антивируса Касперского 5.5 для Linux Mail Server или Антивируса Касперского 5.6 для Sendmail с Milter API, на этом шаге будет предложено выбрать, какой из файлов преобразовать и сохранить в формате текущей версии приложения, и, в случае выбора одного из файлов будет предложено заменить входящий в состав дистрибутива конфигурационный файл приложения восстановленным и преобразованным файлом.

Для того чтобы заменить входящий в состав дистрибутива конфигурационный файл приложения восстановленным файлом, введите в качестве ответа yes. Чтобы отказаться от замены

, введите no.

По умолчанию преобразованные конфигурационные файлы сохраняются в следующих директориях:

kav4mailservers /etc/opt/kaspersky/kav4lms/profiles/kav4mailservers5. 5-converted

kavmilter /etc/opt/kaspersky/kav4lms/profiles/kavmilter5.6converted

2. Указать путь к файлу ключа.

Обратите внимание, что если ключ не установлен, обновление баз антивируса и формирование списка защищаемых доменов в рамках процесса установки не выполняется. В этом случае необходимо выполнить эти действия самостоятельно

после установки ключа.

3. Указать параметры прокси-сервера, используемого для подключения к интернету в формате:

http://<IP-адрес_прокси_сервера>:<порт>

или

http://<имя_пользователя>:<пароль>@<IP-адрес_прокси_ сервера>:<порт>

если на прокси-сервере используется авторизация.

Page 23

Установка и удаление приложения 23

Если для подключения к интернету прокси-сервер не используется, введите в качестве ответа no.

Заданное значение будет использоваться компонентом обновления kav4lms-keepup2date для подключения к источнику обновлений.

4. Выполнить обновление баз антивируса. Для этого введите в качестве ответа yes. Если вы хотите отказаться от копирования обновлений сейчас, введите no.

Вы сможете выполнить обновление позже с помощью компонента kav4lms-keepup2date (подробнее см. п. 7.2 на стр. 83).

Примечание

Обновление баз антивируса возможно только при установленном ключе.

5. Настроить автоматическое обновление баз антивируса. Для этого введите в качестве ответа yes. Чтобы отказаться от настройки автоматического обновления сейчас, введите no. Вы сможете выполнить эту настройку позже с помощью компонента kav4lms- keepup2date (подробнее см. п. 7.1 на стр. 82) или с помощью скрипта настройки приложения (подробнее см. п. 10.2 на стр

. 103).

Внимание!

При интеграции с qmail, настройку автоматического обновления необходимо произвести следующим образом:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-cron=updater --user=root

6. Установить webmin-модуль для управления Антивирусом Касперского через веб-интерфейс программы Webmin.

Модуль удаленного управления будет установлен только при условии, что программа Webmin расположена в стандартном каталоге. После установки модуля будут даны соответствующие рекомендации по настройке его совместной работы с приложением.

Введите в качестве ответа yes для установки webmin-модуля или

no, чтобы отказаться от установки.

7. Определить список доменов, почтовый трафик которых будет за- щищаться от вирусов. Значение, предусмотренное по умолчанию –

localhost, localhost.localdomain. Чтобы использовать его, нажмите на клавишу Enter.

Чтобы задать список доменов вручную, перечислите их в командной строке. Вы можете указать несколько значений, разделенных запятой, допускается использование масок и

регулярных выраже-

Page 24

Антивирус Касперского 5.6 для Linux Mail Server

ний. Точки в именах доменов должны быть «экранированы» с помощью символа «\».

Например:

re:.*\.example\.com

8. Интегрировать Антивирус Касперского в почтовую систему. Вы можете принять предлагаемый по умолчанию вариант интеграции с обнаруженной на компьютере почтовой системой или отказаться от интеграции и выполнить ее позже. Подробное описание интеграции с почтовой системой содержит

По умолчанию для почтовых систем Exim и Postfix используется post-queue интеграция (см. п. 4.1.1 на стр. 31 и п. 4.2.1 на стр. 37).

Внимание!

При автоматической интеграции с Sendmail скрипт всегда пытается внести изменения в .mc-файл, потому что любое последующее обновление сохранит сделанные изменения. Если .mc-файл со- держит include-директивы, ссылающиеся на несуществующие файлы, то такой файл не может быть использован для интеграции Антивируса Касперского. В таком случае установите пакет sendmail-cf для интеграции с использованием .cf-файла.

Если .mc-файл не может быть использован для интеграции приложения, то будет использован .cf –файл.

Глава 4 на стр. 30.

.mc-

3.5. Настройка разрешающих правил в системах SELinux и

AppArmor

Для создания модуля SELinux с правилами, необходимыми для работы Антивируса Касперского, после установки приложения и его интеграции с почтовой системой выполните следующие шаги:

1. Переведите SELinux в разрешающий режим:

# setenforce Permissive

2. Отправьте одно или несколько тестовых сообщений и убедитесь, что они прошли антивирусную проверку и доставлены получателям.

3. Создайте модуль правил на

основе блокирующих записей:

Page 25

Установка и удаление приложения 25

Для Fedora: # audit2allow -l -M kav4lms -i /var/log/messages

Для RHEL: # audit2allow -l -M kav4lms –i\ /var/log/audit/audit.log

4. Загрузите полученный модуль правил:

# semodule -i kav4lms.pp

5. Переведите SELinux в принудительный режим:

# setenforce Enforcing

В случае появления новых audit-сообщений, связанных с Антивирусом Касперского, следует обновлять файл модуля правил:

Для Fedora:

# audit2allow -l -M kav4lms -i /var/log/messages

# semodule -u kav4lms.pp

Для RHEL:

# audit2allow -l -M kav4lms –i /var/log/audit/audit.log

# semodule -u kav4lms.pp

Для дополнительной информации смотрите:

• RedHat Enterprise Linux: руководство «Red Hat Enterprise Linux Deployment Guide», глава «44. Security and SELinux».

• Fedora: Fedora SELinux Project Pages.

• Debian GNU/Linux: руководство «Configuring the SELinux Policy» из

пакета selinux-doc «Documentation for Security-Enhanced Linux».

Для обновления

профилей AppArmor, необходимых для работы Антивируса Касперского, после установки приложения и его интеграции с почтовой системой выполните следующие шаги:

1. Переведите все правила для приложений в «щадящий» режим:

# aa-complain /etc/apparmor.d/*

# /etc/init.d/apparmor reload

2. Перезапустите почтовую систему:

# /etc/init.d/postfix restart

3. Перезапустите kav4lms и kav4lms-filters:

# /etc/init.d/kav4lms restart

# /etc/init.d/kav4lms-filters restart

Page 26

Антивирус Касперского 5.6 для Linux Mail Server

4. Отправьте одно или несколько тестовых сообщений и убедитесь, что они прошли антивирусную проверку и доставлены получателям.

5. Запустите утилиту обновления профилей:

# aa-logprof

6. Перезагрузите правила AppArmor:

# /etc/init.d/apparmor reload

7. Переведите все правила для приложений в «принудительный» режим:

# aa-enforce /etc/apparmor.d/*

# /etc/init.d/apparmor reload

В случае появления новых audit-сообщений, связанных с Антивирусом Касперского, следует повторить шаги, описанные в

Для дополнительной информации смотрите:

• openSUSE и SUSE Linux Enterprise Server: «Novell AppArmor Quick Start», «Novell AppArmor Administration Guide».

• Ubuntu: руководство «Ubuntu Server Guide», глава «8. Security».

п. 5 и 6.

3.6. Установка webmin-модуля для управления Антивирусом Касперского

Работой Антивируса Касперского можно также управлять удаленно через веб-браузер, используя программу Webmin.

Webmin – это программа, упрощающая процесс управления Linux/Unixсистемой. Программа использует модульную структуру с возможностью подключения новых и разработки собственных модулей. Получить дополнительную информацию о программе и ее установке, а также скачать документацию и дистрибутив Webmin можно на официальном сайте

www.webmin.com

В дистрибутив Антивируса Касперского включен webmin-модуль, который можно либо установить в процессе постинсталляционной настройки приложения (см. п. 3.4 на стр. 21), если в системе уже установлена программа

Webmin, либо в любой другой момент времени после установки программы Webmin.

программы:

Page 27

Установка и удаление приложения 27

Далее подробно рассматривается процесс подключения webmin-модуля для управления Антивирусом Касперского.

Если при установке Webmin были использованы настройки по умолчанию, то по завершении установки доступ к программе можно получить с помощью браузера, подключившись через протокол HTTP/HTTPS на порт 10000.

Для того чтобы установить webmin-модуль управления Антивирусом Касперского необходимо:

Получить доступ через веб-браузер к

программе Webmin с правами ад-

министратора данной программы.

1. В меню Webmin выбрать закладку Webmin Configuration и затем раздел Webmin Modules.

2. В разделе Install Module выбрать пункт From Local File и нажать на кнопку

(см. рис. 1).

Рисунок 1. Раздел Install Module

3. Указать путь к webmin-модулю приложения и нажать на кнопку ОК.

Примечание

Webmin-модуль представляет собой файл mailgw.wbm и устанавливается по умолчанию в каталог /opt/kaspersky/kav4lms/share/webmin/ (для дистрибутивов Linux) или /usr/local/share/kav4lms/webmin/ (для дистрибутивов

FreeBSD).

В случае успешной установки webmin-модуля на экран будет выведено соответствующее сообщение.

Page 28

Антивирус Касперского 5.6 для Linux Mail Server

Доступ к настройкам Антивируса Касперского можно получить, перейдя на закладку Others и затем щелкнув по значку Антивируса Касперского (cм. рис. 2).

Рисунок 2. Значок Антивируса Касперского в закладке Others

3.7. Удаление приложения

Для удаления Антивируса Касперского с сервера требуется наличие прав привилегированного пользователя (root). Если на момент удаления вы не обладаете такими правами, то вам необходимо войти в систему под пользователем root.

Внимание!

Процесс удаления самостоятельно остановит работу приложения!

При удалении производится остановка приложения, удаление созданных при установке файлов и каталогов. Однако каталоги и файлы, созданные или измененные администратором (конфигурационный файл приложения,

Page 29

Установка и удаление приложения 29

конфигурационные файлы групп, файлы шаблонов уведомлений, каталоги карантинного хранения, файл ключа), сохраняются.

Запуск процедуры удаления приложения происходит различными способами в зависимости от используемого менеджера пакетов. Рассмотрим эти варианты подробнее.

Если при установке использовался rpm-пакет, для запуска процедуры удаления в командной строке введите:

# rpm -e <имя_пакета>

Если при установке использовался deb-пакет,

для запуска процедуры

удаления в командной строке введите:

# dpkg -P <имя_пакета>

если вы хотите удалить приложение вместе с его конфигурационными файлами, или

# dpkg -r <имя_пакета>

если вы хотите удалить приложение, не удаляя при этом его конфигурационных файлов.

Если при установке использовался pkg-пакет, для запуска процедуры удаления в командной строке введите:

# pkg_delete <имя_пакета>

В случае успешного завершения процедуры удаления будет выведено соответствующее сообщение.

Если для управления Антивирусом Касперского был установлен модуль удаленного управления приложением (webmin-модуль), его удаление выполняется вручную, стандартными для программы Webmin средствами.

Page 30

ГЛАВА 4. ИНТЕГРАЦИЯ С

ПОЧТОВОЙ СИСТЕМОЙ

После установки Антивирус должен быть интегрирован с почтовой системой. Для этого следует изменить параметры конфигурационных файлов приложения и почтовой системы. Вы можете выполнить интеграцию с помощью скрипта настройки приложения, входящего в комплект поставки (см. п. 3.4 на стр. 21 и п. 10.2 на стр. 103), либо вручную настроить параметры конфигурационных файлов Антивируса Касперского

Для почтовых систем Exim и Postfix Антивирус поддерживает как pre-queue, так и post-queue интеграцию. При pre-queue интеграции сообщения передаются на проверку перед размещением в очереди почтовой системы, при post-queue интеграции – после размещения в очереди почтовой системы.

Примечание

При post-queue интеграции почтовая система не позволяет отклонять сообщения. Однако если в параметрах Антивируса Касперского действия над объектами будет выбрано reject, отправителю будет доставляться уведомление об отклонении сообщения. Текст уведомления задается параметром RejectReply в секции [kav4lms: groups.

<имя_группы>.settings] конфигурационного файла группы.

и почтовой системы.

в качестве

Сокеты, используемые для обмена информацией между почтовой системой, фильтром и центральной службой Антивируса Касперского назначаются по следующим правилам:

• inet:<port>@<ip_address> – для сетевого сокета;

• local:<socket_path> – для локального сокета.

Внимание!

При использовании сокета необходимо соблюдать 2 правила:

• при определении сетевого сокета номер порта должен быть боль-

ше 1024;

• при определении локального сокета фильтр и центральная служба

приложения должны иметь права для доступа к указанному сокету.

Page 31

Интеграция с почтовой системой 31

4.1. Интеграция с почтовой системой Exim

Для интеграции с почтовой системой Exim в Антивирусе предусмотрено два метода:

• post-queue интеграция методом изменения маршрутов: весь почтовый трафик, проходящий через защищаемый сервер, передается на проверку после размещения в очереди почтовой системы (post-queue фильтрация);

• pre-queue интеграция с использованием динамически подгру- жаемой библиотеки: сообщения передаются на проверку до раз-

мещения в

4.1.1. Post-queue интеграция методом изменения маршрутов

Интеграция методом изменения маршрутов подразумевает, что сообщения направляются на проверку от всех почтовых маршрутизаторов. Для этого для каждого маршрутизатора Exim в качестве значения параметра pass_router следует задать kav4lms_filter.

При post-queue интеграции для корректной передачи сообщений на проверку Антивирусу и возвращения их почтовой системе необходимо соблюдение следующих условий:

1. Фильтр должен быть настроен вой системы. Конечной точкой соединения «фильтр - почтовая система» является сокет, заданный параметром FilterSocket в секции [kav4lms:filter.settings] главного конфигурационного файла приложения.

2. Фильтр должен передавать сообщения для проверки центральной службе приложения. Конечной точкой соединения «фильтр центральная служба» является сокет, заданный параметром ServiceSocket в секции [kav4lms:server.settings] главного конфигурационного файла приложения.

очереди почтовой системы (pre-queue фильтрация).

для перехвата сообщений от почто-

Внимание!

При post-queue интеграции с Exim параметры FilterSocket, ServiceSocket и ForwardSocket должны указывать на сетевой сокет.

Page 32

Антивирус Касперского 5.6 для Linux Mail Server

3. Фильтр должен возвращать сообщения почтовой системе. Конечной точкой соединения «приложение – почтовая система» является сокет, заданный параметром ForwardSocket в секции [kav4lms:filter.settings] главного конфигурационного файла приложения.

Для интеграции Антивируса Касперского с Exim при помощи скрипта настройки приложения, запустите команду:

для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=exim

для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh --install-filter=exim

Для интеграции приложения с Exim вручную:

1. Сделайте

резервную копию конфигурационных файлов Exim.

2. Добавьте следующие строки в секцию main configuration settings конфигурационного файла Exim:

#kav4lms-filter-begin-1

local_interfaces=0.0.0.0.25:<forward_socket_ip>.\ <forward_socket_port_number>

#kav4lms-filter-end-1

где <forward_socket_ip>.<forward_socket_port_number> – IP-адрес и номер порта, на который почта направляется после проверки.

3. Добавьте следующие строки в секцию routers конфигурационного файла Exim:

#kav4lms-filter-begin-2

kav4lms_dnslookup:

driver = dnslookup

domains = ! +local_domains

ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8

verify_only

pass_router = kav4lms_filter

no_more

kav4lms_system_aliases:

driver = redirect

Page 33

Интеграция с почтовой системой 33

allow_fail

allow_defer

data = ${lookup{$local_part}lsearch{/etc/aliases}}

verify_only

pass_router = kav4lms_filter

kav4lms_localuser:

driver = accept

check_local_user

verify_only

pass_router = kav4lms_filter

failed_address_router:

driver = redirect

verify_only

condition = "{0}"

allow_fail

data = :fail: Failed to deliver to address

no_more

kav4lms_filter:

driver = manualroute

condition = "${if or {{eq {$interface_port}\ {<forward_socket_port_number>}} \

{eq {$received_protocol}{spam-scanned}} \

}{0}{1}}"

transport = kav4lms_filter

route_list = "* localhost byname"

self = send

#kav4lms-filter-end-2

где <forward_socket_port_number> – номер порта сокета, на который передается почта после проверки.

4. Добавьте следующие строки в секцию transports конфигурационного файла Exim:

#kav4lms-filter-begin-3

kav4lms_filter:

Page 34

Антивирус Касперского 5.6 для Linux Mail Server

driver = smtp

port = <filter_socket_port_number>

delay_after_cutoff = false

allow_localhost

#kav4lms-filter-end-3

где <filter_socket_port_number> - номер порта для связи с фильтром Антивируса Касперского.

5. Присвойте параметру ForwardSocket из секции [kav4lms:filter.settings] главного конфигурационного файла

приложения значение <forward_socket_ip>.<forward_socket_port_number> из пункта 2.

6. Остановите службу kav4lms-filter.

7. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup (для Linux) /var/db/kaspersky/applications.setup (для FreeBSD)

следующие строки:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-filter

8. Запустите службу kav4lms-filter.

9. Перезапустите почтовую систему.

4.1.2. Pre-queue интеграция с использованием динамически подгружаемой библиотеки

Фильтр должен передавать сообщения для проверки центральной службе приложения. Конечной точкой соединения «фильтр - центральная служба» является сокет, заданный параметром ServiceSocket в секции [kav4lms:server.settings] главного конфигурационного файла приложения.

Для интеграции Антивируса Касперского с Exim при помощи скрипта настройки приложения запустите команду:

для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=exim-dlfunc

Page 35

Интеграция с почтовой системой 35

для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=exim-dlfunc

Для интеграции Антивируса Касперского с Exim вручную:

1. Убедитесь, что почтовая система Exim поддерживает функцию контентной фильтрации dlfunc. Для этого запустите команду:

exim -bV

Положительным ответом будет результат:

Expand_dlfunc

2. Сделайте резервную копию конфигурационных файлов Exim.

3. Добавьте следующие строки в секцию main configuration settings конфигурационного файла Exim:

#kav4lms-filter-begin

acl_smtp_data = acl_check_data

#kav4lms-filter-end

4. Добавьте следующие строки в секцию ACL конфигурационного файла

Exim:

acl_check_data:

#kav4lms-dlfunc-begin

warn set acl_m0 = \ ${dlfunc{<libkavexim.so>}{kav}{<socket>}\ {/var/tmp//.kav4lms-exim}}

accept condition = ${if match{$acl_m0}{\N^kav4lms:\ continue\N}{yes}{no}}

logwrite = kav4lms returned continue

deny condition = ${if match{$acl_m0}{\N^kav4lms: \ reject.*\N}{yes}{no}}

logwrite = kav4lms returned reject

message = Kaspersky Anti-Virus rejected the mail

discard condition = ${if match{$acl_m0}\ {\N^kav4lms: drop.*\N}{yes}{no}}

logwrite = kav4lms returned drop

message = Kaspersky Anti-Virus dropped the mail

defer condition = ${if match{$acl_m0}\ {\N^kav4lms: temporary failure.*\N}{yes}{no}}

logwrite = kav4lms returned temporary failure

Page 36

Антивирус Касперского 5.6 для Linux Mail Server

message = Kaspersky Anti-Virus returned \ temporary failure

#kav4lms-dlfunc-end

где <socket> - сокет связи фильтра и центральной службы Антивируса Касперского, заданный параметром ServiceSocket в секции [kav4lms:server.settings] главного конфигурационного файла Анти- вируса Касперского; <libkavexim.so> - путь к библиотеке lib-

kavexim.so:

для 32-битных дистрибутивов Linux:

/opt/kaspersky/kav4lms/lib/libkavexim.so

для 64-битных дистрибутивов Linux:

/opt/kaspersky/kav4lms/lib64/libkavexim.so

для FreeBSD:

/usr/local/lib/kaspersky/kav4lms/libkavexim.so

5. Остановите службу kav4lms-filter.

6. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup (для Linux) /var/db/kaspersky/applications.setup (для FreeBSD)

следующие строки:

для Linux:

FILTER_SERVICE=false

FILTER_PROGRAM=/opt/kaspersky/kav4lms/lib/\ libkavexim.so

для FreeBSD:

FILTER_SERVICE=false

FILTER_PROGRAM=/usr/local/lib/kaspersky/kav4lms/\

libkavexim.so

7. Перезапустите почтовую систему.

Page 37

Интеграция с почтовой системой 37

4.2. Интеграция с почтовой системой Postfix

Для интеграции с почтовой системой Postfix в Антивирусе предусмотрено три метода:

• post-queue интеграция: весь почтовый трафик, проходящий через защищаемый сервер, передается на проверку после размещения в очереди почтовой системы;

• pre-queue интеграция: сообщения передаются на проверку до размещения в очереди почтовой системы;

• интеграция с использованием функций Milter: сообщения передаются

Milter.

4.2.1. Post-queue интеграция

Для корректной передачи сообщений на проверку Антивирусу и возвращения их почтовой системе необходимо соблюдение следующих условий:

1. Фильтр должен быть настроен для перехвата сообщений от почтовой системы. Конечной точкой соединения «фильтр - почтовая система» является сокет, заданный параметром FilterSocket в секции [kav4lms:filter.settings] главного конфигурационного файла приложения.

2. Фильтр должен службе приложения. Конечной точкой соединения «фильтр центральная служба» является сокет, заданный параметром ServiceSocket в секции [kav4lms:server.settings] главного конфигурационного файла приложения.

на проверку с помощью функций программного интерфейса

передавать сообщения для проверки центральной

Внимание!

При интеграции с Postfix параметры FilterSocket, ServiceSocket и ForwardSocket могут указывать как на сетевой, так и на локальный

сокет.

3. Фильтр должен возвращать сообщения почтовой системе.

Конечной точкой соединения «приложение – почтовая система» является сокет, заданный параметром ForwardSocket в секции [kav4lms:filter.settings] главного конфигурационного файла приложения.

Page 38

Антивирус Касперского 5.6 для Linux Mail Server

Примечание

При переносе строк из руководства в конфигурационный файл Postfix удалите символы «\» и следующие за ними символы перевода строки.

Для интеграции Антивируса Касперского с Postfix: при помощи скрипта настройки приложения запустите команду:

для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=postfix

для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=postfix

Для интеграции приложения с Postfix вручную:

1. Добавьте следующие строки в файл master.cf:

#kav4lms-filter-begin

kav4lms_filter unix - - n\

- 10 smtp

-o smtp_send_xforward_command=yes

<forward_socket_ip_address>:<forward_socket_port>\ inet n - n - 10\ smtpd

-o content_filter=

-o receive_override_options=\ no_unknown_recipient_checks,no_header_body_checks,\ no_address_mappings

Примечание

Если для интеграции с Postfix 2.3 или выше используется локальный сокет, добавьте параметр «no_milters» в строку выше, то есть:

-o receive_override_options=

\ no_unknown_recipient_checks,no_header_body_checks,\ no_address_mappings,no_milters

-o smtpd_helo_restrictions=

-o smtpd_client_restrictions=

-o smtpd_sender_restrictions=

-o smtpd_recipient_restrictions=\ permit_mynetworks,reject

Page 39

Интеграция с почтовой системой 39

-o mynetworks=127.0.0.0/8,[::1]/128

-o smtpd_authorized_xforward_hosts=\

127.0.0.0/8,[::1]/128

#kav4lms-filter-end

где <forward_socket_ip_address>:<forward_socket_port> – IP-адрес и номер порта сокета, на который передается почта по- сле проверки.

2. Добавьте следующие строки в файл main.cf:

#kav4lms-filter-begin

content_filter = \ kav4lms_filter:<filter_socket_ip_address>:\ <filter_socket_port>

#kav4lms-filter-end

где <filter_socket_ip_address>:<filter_socket_port> – IP-адрес и номер порта сокета, который служит для связи фильтра с почтовой системой.

3. Остановите службу kav4lms-filter.

4. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup ( /var/db/kaspersky/applications.setup (для FreeBSD)

следующие строки:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-filter

5. Запустите службу kav4lms-filter.

6. Перезапустите почтовую систему.

для Linux)

4.2.2. Pre-queue интеграция

2. Фильтр должен службе приложения. Конечной точкой соединения «фильтр - цен-

передавать сообщения для проверки центральной

Page 40

Антивирус Касперского 5.6 для Linux Mail Server

тральная служба» является сокет, заданный параметром ServiceSocket в секции [kav4lms:server.settings] главного конфигура-

ционного файла приложения.

Внимание!

При интеграции с Postfix параметры FilterSocket, ServiceSocket и ForwardSocket могут указывать как на сетевой, так и на локальный

сокет.

3. Фильтр должен возвращать сообщения почтовой системе. Конеч-

ной точкой соединения «приложение – почтовая система» является сокет, заданный параметром ForwardSocket в секции [kav4lms:filter.settings] главного конфигурационного файла приложения.

Примечание

Для интеграции Антивируса Касперского с Postfix: при помощи скрипта настройки приложения запустите команду:

для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=postfix-prequeue

для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=postfix-prequeue

Для интеграции приложения с Postfix вручную:

1. Добавьте следующие строки в файл master.cf:

#kav4lms-prequeue-begin

kav4lms_filter unix - - n\

- 10 smtp

-o smtp_send_xforward_command=yes

<forward_socket_ip_address>:<forward_socket_port>\ inet n - n - 10\ smtpd

-o content_filter=

-o receive_override_options=\ no_unknown_recipient_checks,no_header_body_checks,\ no_address_mappings

Page 41

Интеграция с почтовой системой 41

Примечание

-o receive_override_options=\ no_unknown_recipient_checks,no_header_body_checks,\

no_address_mappings,no_milters

-o smtpd_helo_restrictions=

-o smtpd_client_restrictions=

-o smtpd_sender_restrictions=

-o smtpd_recipient_restrictions=\ permit_mynetworks,reject

-o mynetworks=127.0.0.0/8,[::1]/128

-o smtpd_authorized_xforward_hosts=\

127.0.0.0/8,[::1]/128

#kav4lms-prequeue-end

где <forward_socket_ip_address>:<forward_socket_port> – IP-адрес и номер порта сокета, на который передается почта по- сле проверки.

2. Необходимо к существующему правилу в master.cf вида:

smtp inet n - n - 20 smtpd

добавить параметр

#kav4lms-prequeue-begin

-o smtpd_proxy_filter=:<filter_socket_port>

#kav4lms-prequeue-end

3. Остановите службу kav4lms-filter.

4. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup (для Linux) /var/db/kaspersky/applications.setup (для FreeBSD)

следующие строки:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-filter

5. Запустите службу kav4lms-filter.

6. Перезапустите

почтовую систему.

Page 42

Антивирус Касперского 5.6 для Linux Mail Server

4.2.3. Интеграция с помощью функций

Milter

2. Фильтр должен службе приложения. Конечной точкой соединения «фильтр - центральная служба» является сокет, заданный параметром Ser- viceSocket в секции [kav4lms:server.settings] главного конфигурационного файла приложения.

Внимание!

При интеграции с Postfix параметры FilterSocket и ServiceSocket могут указывать как на сетевой, так и на локальный сокет.

Примечание

передавать сообщения для проверки центральной

Для интеграции Антивируса Касперского с Postfix: при помощи скрипта настройки приложения запустите команду:

для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=postfix-milter

для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=postfix-milter

Для интеграции приложения с Postfix вручную:

1. Добавьте следующие строки в файл main.cf:

smtpd_milters = inet:127.0.0.1:10025,

#kav4lms-milter-begin

milter_connect_macros = j _ {daemon_name} {if_name} \ {if_addr}

Page 43

Интеграция с почтовой системой 43

milter_helo_macros = {tls_version} {cipher} \ {cipher_bits} {cert_subject} {cert_issuer}

milter_mail_macros = i {auth_type} {auth_authen} \ {auth_ssf} {auth_author} {mail_mailer} {mail_host} \ {mail_addr}

milter_rcpt_macros = {rcpt_mailer} {rcpt_host} \ {rcpt_addr}

milter_default_action = tempfail

milter_protocol = 3

milter_connect_timeout=180

milter_command_timeout=180

milter_content_timeout=600

#kav4lms-milter-end

2. Остановите службу kav4lms-milter.

3. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup (для Linux) /var/db/kaspersky/applications.setup (для FreeBSD)

следующие строки:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-milter

4. Запустите службу kav4lms-milter.

5. Перезапустите почтовую систему.

4.3. Интеграция с почтовой системой qmail

Почтовая система на основе qmail не предоставляет средств для интеграции расширений. Процесс интеграции заключается в замене оригинального исполняемого файла qmail-queue файлом

/opt/kaspersky/kav4lms/lib/bin/kav4lms-qmail (/usr/local/libexec/kaspersky/kav4lms/kav4lms-qmail для FreeBSD), входящим

в поставку приложения. Данный файл обеспечивает фильтрацию сообщений и передает почтовый трафик оригинальному файлу qmail-queue для дальнейшей доставки. Сообщения передаются на проверку до размещения в очереди почтовой системы (pre-queue фильтрация).

Page 44

Антивирус Касперского 5.6 для Linux Mail Server

Внимание!

При интеграции с qmail параметр ServiceSocket может указывать как на сетевой, так и на локальный сокет.

Для интеграции Антивируса Касперского с qmail при помощи скрипта настройки приложения запустите команду:

для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh --installfilter=qmail

для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh --install-filter=qmail

Для интеграции приложения с qmail вручную:

1. Переименуйте файл qmail-queue, находящийся в директории /var/qmail/bin, в qmail-queue-real.

2. Скопируйте файл /opt/kaspersky/kav4lms/lib/bin/kav4lms-qmail (/usr/local/libexec/kaspersky/kav4lms/kav4lms-qmail для FreeBSD)

директорию /var/qmail/bin и переименуйте его в qmail-queue.

3. Установите следующие права доступа для файлов qmail-queue и qmail-queue-real:

-rws--x--x 1 qmailq qmail

4. Остановите службу kav4lms-filter.

5. Измените владельца и группу на qmailq:qmail с помощью следующих команд:

• для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--switch-credentials=qmailq,qmail

• для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--switch-credentials=qmailq,qmail

6. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup (для Linux) /var/db/kaspersky/applications.setup (для FreeBSD)

следующие

строки:

для Linux:

FILTER_SERVICE=false

Page 45

Интеграция с почтовой системой 45

FILTER_PROGRAM=/opt/kaspersky/kav4lms/lib/bin\ /kav4lms-qmail

для FreeBSD:

FILTER_SERVICE=false

FILTER_PROGRAM=/usr/local/libexec/kaspersky/kav4lms\ /kav4lms-qmail

7. Перезапустите почтовую систему.

4.4. Интеграция с почтовой системой Sendmail

Sendmail предоставляет программный интерфейс Milter для интеграции с фильтрами сторонних производителей. Почтовый трафик передается от Sendmail Антивирусу и обратно с помощью вызовов функций Milter. Сообщения передаются на проверку до размещения в очереди почтовой системы (pre-queue интеграция).

Как правило, при интеграции с Sendmail изменения вносятся в конфигурационный файл почтовой системы формата mc, файл cf изменяется после изменения mc-файла следует внести изменения в cf-файл.

Примечание

Если вы внесете изменения только в cf–файл, при следующем запуске генерации cf-файла из mc все изменения будут утеряны.

автоматически. Если такая возможность не поддерживается,

Внимание!

При интеграции с Sendmail параметры FilterSocket и ServiceSocket могут указывать как на сетевой, так и на локальный сокет.

4.4.1. Интеграция с помощью файла

Для интеграции Антивируса Касперского с Sendmail при помощи скрипта настройки приложения запустите команду:

для Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=sendmail-milter

.cf

Page 46

Антивирус Касперского 5.6 для Linux Mail Server

для FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=sendmail-milter

Для интеграции приложения с Sendmail вручную:

1. Создайте резервную копию файла sendmail.cf.

2. Добавьте следующие строки в файл sendmail.cf:

#kav4lms-milter-begin-filter

O InputMailFilters=kav4lms_filter

O Milter.macros.connect=j, _, {daemon_name}, \ {if_name}, {if_addr}

O Milter.macros.helo={tls_version}, {cipher}, \ {cipher_bits}, {cert_subject}, {cert_issuer}

O Milter.macros.envfrom=i, {auth_type}, \ {auth_authen}, {auth_ssf}, {auth_author}, \ {mail_mailer}, {mail_host}, {mail_addr}

O Milter.macros.envrcpt={rcpt_mailer}, {rcpt_host}, \ {rcpt_addr}

#kav4lms-milter-end-filter

3. Добавьте в файл sendmail.cf следующие строки:

а) при использовании сетевого сокета:

#kav4lms-milter-begin-socket

Xkav4lms_filter, S=inet:<filter_port>@<filter_address>,F=T,\ T=S:3m;R:5m;E:10m

#kav4lms-milter-end-socket

где <filter_port> – номер порта сетевого сокета, соединяющего почтовую систему с фильтром, <filter_address> – IP-адрес компьютера, на котором запущен фильтр.

б) при использовании локального сокета:

#kav4lms-milter-begin-socket

Xkav4lms_filter, S=unix:<filter_socket_file_path>,F=T,T=S:3m;\ R:5m;E:10m

#kav4lms-milter-end-socket

где <socket_file_path> – путь к локальному сокету.

4. Остановите службу kav4lms-milter.

Page 47

Интеграция с почтовой системой 47

5. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup (для Linux) /var/db/kaspersky/applications.setup (для FreeBSD)

следующие строки:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-milter

6. Запустите службу kav4lms-milter.

7. Перезапустите почтовую систему.

4.4.2. Интеграция с помощью файла

Для интеграции приложения с Sendmail с помощью файла .mc:

1. Создайте резервную копию файла .mc.

2. Добавьте в файл .mc следующие строки:

dnl kav4lms-milter-begin dnl

define(`_FFR_MILTER', `true')dnl

INPUT_MAIL_FILTER(`kav4lms_filter',\ `S=inet:10025@127.0.0.1,F=T,T=S:3m;R:5m;E:10m')dnl

dnl kav4lms-milter-end dnl

3. Скомпилируйте конфигурационный файл .cf согласно настройкам вашей операционной системы.

4. Остановите службу kav4lms-filter.

5. Добавьте в секцию [1043] файла

/var/opt/kaspersky/applications.setup (для Linux) /var/db/kaspersky/applications.setup (для FreeBSD)

следующие строки:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-milter

6. Запустите службу kav4lms-filter

7. Перезапустите почтовую систему.

.mc

Page 48

ГЛАВА 5. АНТИВИРУСНАЯ

ЗАЩИТА ПОЧТЫ

5.1. Формирование групп

Группа – заданные множества адресов отправителей и получателей, почтовые сообщения которых обрабатываются с одинаковыми значениями параметров Антивируса Касперского.

Для каждой группы могут быть установлены собственные параметры проверки сообщений, определяющие, например:

• способ проверки сообщений (см. п. 5.2 на стр. 50);

• режим проверки сообщений (см. п. 5.3 на стр. 51);

• действия над

стр. 54);

• резервное копирование сообщений перед обработкой (см. п. 5.6 на стр. 59);

• уведомления об обнаруженных объектах (см. п. 5.7 на стр. 60).

Параметры каждой группы хранятся в отдельном конфигурационном файле (см. п. A.2 на стр. 138). Все конфигурационные файлы групп должны быть прописаны в секции [kav4lms:groups] главного приложения kav4lms.conf с помощью директивы _include. Данная директива поддерживает подключение с помощью указания имени конфигурационного файла или имени директории, хранящей конфигурационные файлы групп.

По умолчанию конфигурационные файлы групп должны размещаться в директории /etc/opt/kaspersky/kav4lms/groups.d/.

В состав дистрибутива приложения включен конфигурационный файл группы Default – default.conf. После директории /etc/opt/kaspersky/kav4lms/groups.d/. Значения, заданные в этом файле, используются в качестве значений параметров по умолчанию, если они не определены в конфигурационном файле группы. С параметрами конфигурационного файла группы Default обрабатываются сообщения, если ни одной группы не сформировано.

сообщениями и объектами сообщений (см. п. 5.4 на

конфигурационного файла

установки приложения он размещается в

Page 49

Антивирусная защита почты 49

Антивирус проверяет сообщение согласно параметрам той группы, в которой обнаружены его отправитель или получатель (из команд MAIL FROM и RCPT TO). Если отправитель и все получатели принадлежат к разным группам, то выбирается группа с наибольшим приоритетом. Если группы не обнаружено, сообщение обрабатывается в соответствии с параметрами, заданными в конфигурационном файле группы Default, она имеет наименьший приоритет равный 0. В связи с этим, рекомендуется для групп с более высоким приоритетом задавать более высокий уровень защиты.

Приоритет является уникальным идентификатором группы. Он задается параметром Priority в секции [kav4lms:groups.<имя_группы>.definition] конфигурационного файла группы.

Отправители и получатели задаются параметрами Senders и Recipients в секции [kav4lms:groups.<

имя_группы>.definition] конфигурационного

файла группы.

Чтобы создать новую группу,

1. Создайте конфигурационный файл группы в директории, заданной в секции [kav4lms:groups] главного конфигурационного файла приложения. По умолчанию, это директория

/etc/opt/kaspersky/kav4lms/groups.d/

Примечание

При создании конфигурационного файла группы рекомендуется использовать файл default.conf. Для быстрой замены имени группы выполните следующие команды:

# cd /etc/opt/kaspersky/kav4lms/groups.d

# sed 's|groups.default|groups.<имя_группы

default.conf > <имя_группы>.conf

2. Задайте приоритет группы в конфигурационном файле группы: параметр Priority в секции [kav4lms:groups.<имя_группы>.definition]. В качестве значения параметра может быть указано любое натуральное число. Не допускается создание групп с одинаковым приоритетом и приоритетом 0.

3. Определите адреса отправителей и получателей в конфигурационном файле группы: параметры Senders и

Recipients в секции

[kav4lms:groups.<имя_группы>.definition].

Вы можете использовать символы «*» и «?» для создания масок и регулярные выражения, начинающиеся с префикса «re:». Чтобы задать несколько адресов (масок адресов), необходимо каждую новую запись начинать с новой строки:

Page 50

Антивирус Касперского 5.6 для Linux Mail Server

Senders=reporter@*.mydomain.com Recipients=re:office\d+@central\.mydomain\.com

Если в описании группы отсутствует параметр Recipients или Senders, то приложение будет использовать для данного парамет-

ра значение, заданное в конфигурационном файле default.conf. Если значения параметров Senders и Receivers не заданы в описании группы, то групповые правила не применяются ни к одному сообщению.

Внимание!

Регулярные выражения нечувствительны к регистру.

4. Если это требуется, укажите значения параметров проверки сооб-

щений в секциях конфигурационного файла группы (подробнее см. п. A.2 на стр. 138). Если значение параметра в конфигурационном файле группы не определено, используется значение этого параметра, заданное в конфигурационном файле группы Defauit – de-

fault.conf.

5.2. Определение политики проверки почтовых сообщений

Антивирус предоставляет возможность проверять сообщения одним из следующих способов:

• как единый объект – заголовок и тело сообщения проверяются целиком;

• комбинированно – сообщение сначала проверяется как единый объект, затем производится разбор сообщения на объекты: тело сообщения, вложения и прочее, каждый из них проверяется отдельно. Этот способ обеспечивает более высокое качество верки и уровень защиты.

Примечание

Если в качестве действия над сообщением выбрано действие, применимое к части сообщения (см. п. 5.4 на стр. 54), то сообщение проверяется по частям независимо от выбранного способа проверки.

про-

Page 51

Антивирусная защита почты 51

Способ проверки сообщений определяется политикой и задается в конфигурационном файле группы параметром ScanPolicy в секции

[kav4lms:groups.<имя_группы>.settings].

Чтобы сообщения проверялись как единый объект,

присвойте параметру ScanPolicy значение message.

Чтобы сообщения проверялись комбинированно,

присвойте параметру ScanPolicy значение combined.

5.3. Режим проверки сообщений

Следующий шаг настройки группы – выбор режима проверки сообщений. Антивирус осуществляет проверку почтовых сообщений в следующих режимах:

• проверка на наличие угроз;

• фильтрация вложений.

Режим проверки сообщений для группы задается параметром Check в секции [kav4lms:groups.<имя_группы>.settings] конфигурационного файла группы и может принимать следующие значения:

• anti-virus – выполнять антивирусную проверку

• content-filter – выполнять фильтрацию по имени, типу и размеру

вложений;

• all – выполнять и антивирусную проверку, и фильтрацию вложений;

• none – отключить проверку сообщений.

Если включена и проверка сообщений на наличие угроз, и фильтрация, то проверка выполняется в следующей последовательности:

1. антивирусная проверка сообщения как единого объекта;

2. фильтрация вложений

3. проверка сообщения «по частям» (если выбран комбинированный способ проверки сообщений ScanPolicy=combined).

;

сообщений;

5.3.1. Антивирусная проверка

Антивирусная проверка сообщений выполняется, если для параметра

Check задано значение anti-virus или all (конфигурационный файл группы, секция [kav4lms:groups.<имя_группы>.settings]).

Page 52

Антивирус Касперского 5.6 для Linux Mail Server

По результатам антивирусной проверки приложение присваивает сообщению или входящему в его состав объекту статус:

• clean – сообщение не содержит угроз;

• infected – сообщение (или его часть) содержит вредоносные объ-

екты;

• suspicious – сообщение (или его часть) содержит подозрительный объект (такой статус присваивается только если включен эвристический анализатор);

• protected

– сообщение (или его часть) защищено паролем или за-

шифровано;

• error – сообщение (или его часть) повреждено или процесс проверки завершился с ошибкой.

На основании присвоенного при проверке статуса выполняется дальнейшая обработка сообщений и их объектов (см. п. 5.4 на стр. 54).

Для зараженных сообщений (infected), в случае обнаружения угрозы из заданного

набора, может быть настроен отдельный порядок обработки

(параметр VirusNameAction, конфигурационный файл группы, секция [kav4lms:groups.<имя_группы>.actions]). Имя обнаруженной угрозы

возвращается Антивирусом в формате, принятом «Лабораторией Касперского». Данный формат представлен на сайте www.viruslist.com Список угроз, подлежащих особой обработке, задается параметром VirusNameList в секции [kav4lms:groups.<имя_группы>.contentfiltering]. Данный параметр позволяет задавать имена угроз в строковом формате или в формате регулярных выражений (стандарта POSIX).

Параметры антивирусной проверки могут быть изменены с целью повышения качества или скорости проверки. Параметры антивирусной проверки находятся в секции [kav4lms:group.<имя_группы>.settings] конфигурационного файла группы. Эти параметры задают:

• необходимость проверки архивов (параметр ScanArchives);

• необходимость проверки упакованных файлов (параметр Scan-

Packed);

• необходимость применения эвристического анализатора (параметр UseCodeAnalyzer);

Примечание

Установка данного параметра в значение yes включает возможность присвоения сообщению статуса suspicious. В противном случае данный статус не присваивается.

Page 53

Антивирусная защита почты 53

• максимальное время проверки сообщения или части сообщения (параметр MaxScanTime). В случае превышения данного ограни- чения проверка завершается с присвоением сообщению статуса error;

• режим перекодирования MIME-объектов, не соответствующих RFC- стандартам, с использованием эвристических алгоритмов (параметр MIMEEncodingHeuristics);

• тип используемых приложением баз антивируса (параметр

UseAVBasesSet).

5.3.2. Фильтрация почты

Фильтрация сообщений выполняется, если для параметра Check задано значение content-filter или all (конфигурационный файл группы, секция

[kav4lms:groups.<имя_группы>.settings]).

В качестве критериев фильтрации в Антивирусе могут быть использованы:

• MIME-тип вложений (применяется к заголовкам “Content-Type”);

Внимание!

Существуют случаи, когда тип содержимого вложения отличается от указанного в заголовке сообщения. Антивирус Касперского не проверяет жения.

соответствие заголовка сообщения содержимому вло-

• имя вложения (применяется к именам и расширениям вложений);

• размер вложения (применяется к размерам частей сообщения,

размер учитывается после распаковки вложения).

Примечание

Если одновременно выбраны антивирусная проверка и фильтрация сообщений, то фильтрация выполняется до антивирусной проверки.

Критерии фильтрации задаются в конфигурационном файле группы в секции [kav4lms:groups.<имя_группы>.contentfiltering].

Для каждого критерия фильтрации можно задать два правила:

• правило включения – указывает объекты, которые подлежат фильтрации, и задаются следующими параметрами:

• IncludeMime – список MIME-типов;

• IncludeName – список имен или расширений вложений;

Page 54

Антивирус Касперского 5.6 для Linux Mail Server

• IncludeSize – список размеров объектов.

• правило исключения – указывает объекты, которые не подлежат

фильтрации, и задаются следующими параметрами:

• ExcludeMime – список MIME-типов;

• ExcludeName – список имен или расширений вложений;

• ExcludeSize – список размеров объектов.

Внимание!

Если задано правило исключения, а правило включения не задано, то все объекты, не попадающие под действие фильтрации.

Если оба правила не заданы, то фильтрация не производится, даже если параметру Check присвоено значение content-filter или all.

Правила для MIME-типов и имен вложений могут содержать:

• строки;

• выражения, содержащие символы обобщения (синтаксис UNIX);

• регулярные выражения (синтаксис POSIX).

Внимание!

Регулярные выражения нечувствительны к регистру и должны начинаться с префикса «re:».

правила исключения, подлежат

Правила для размера объектов могут задаваться в виде:

• количества байт;

• числа с указателем единиц измерения («KB» или «MB»);

• указанных выше типов со знаками сравнения.

5.4. Действия над объектами

По результатам антивирусной проверки и фильтрации Антивирус выполняет действия над сообщениями и входящими в их состав объектами. Часть действий может быть применена только ко всему сообщению как к единому объекту, а часть действий только к составным частям сообщения. Для параметров, определяющих действия Антивируса Касперского, могут быть установлены следующие значения

Page 55

Антивирусная защита почты 55

• warn: сообщение полностью заменяется текстом, предупреждающим о наличии вредоносного объекта;

• drop: сообщение удаляется без передачи адресату;

• reject: сообщение не доставляется (если приложение интегрирует-

ся с Postfix (интеграция после передачи в очередь) или Exim, то вместо данного действия выполняется bounce). В результате применения данного действия отправитель получает сообщение, заданное параметром RejectReply.

• skip: сообщение или объект сообщения пропускается без изменений, результат проверки записывается в журнал приложения;

• cure (применяется только по результатам антивирусной проверки к объектам сообщения): приложение пытается вылечить зараженный объект. Если лечение невозможно, к объекту применяется действие delete.

• rename (применяется только по результатам фильтрации

к объектам сообщения): к имени вложения добавляется значение параметра RenameTo. Если этот параметр задает расширение (например, .vir), то значение параметра добавляется к имени вложения. В противном случае значение параметра заменяет имя вложения.

• delete: объект сообщения удаляется и, если значение параметра UsePlaceholderNotice – yes, заменяется уведомлением. Текст

уведомления берется

из файла шаблона с именем part_<action>.

Внимание!

Вследствие того, что фильтрация происходит до антивирусной проверки, проверка сообщения по частям может не показать наличия угрозы, в то время как проверка сообщения как единого объекта завершается с присвоением статуса infected. Такой случай возможен, если к части сообщения было применено действие delete

после фильтрации.

Действия, применяемые в результате антивирусной проверки, задаются параметрами InfectedAction, SuspiciousAction, ProtectedAction, ErrorAc- tion и VirusNameAction. Действия, применяемые в результате фильтрации, задаются параметрами FilteredMimeAction, FilteredNameAction и Filtered-

SizeAction.

Данные параметры находятся в секции [kav4lms:groups.<имя_группы>.actions] конфигурационного файла группы.

Page 56

Антивирус Касперского 5.6 для Linux Mail Server

5.5. Предустановленные профили защиты

В поставку Антивируса Касперского входят предустановленные конфигурационные профили, обеспечивающие различные уровни защиты почты:

• рекомендуемый: хранится в директории default_recommended (см. п. 5.5.1 на стр. 56);

• максимальная защита: хранится в директории high_overall_security (см. п. 5.5.2 на стр. 57);

• максимальная скорость: хранится в директории high_scan_speed (см. п. 5.5.3 на стр. 58).

Каждый профиль состоит из и default.conf (находящийся в поддиректории groups.d). Профили хранятся в поддиректориях, соответствующих названию профилей, директории

/etc/opt/kaspersky/kav4lms/profiles.

Вы можете выбрать один из предустановленных профилей либо выполнить настройку параметров защиты почты вручную, через конфигурационные файлы приложения.

Для использования предустановленного профиля:

1. Создайте резервную копию конфигурационных файлов приложения (kav4lms.conf и groups.d/default.conf

2. Скопируйте содержимое нужной директории в директорию /etc/opt/kaspresky/kav4lms.

3. Перезагрузите приложение с новыми параметрами работы с помощью следующей команды:

/etc/init.d/kav4lms reload

двух конфигурационных файлов: kav4lms.conf

5.5.1. Рекомендуемый профиль защиты

Данный профиль содержит параметры, представляющие компромисс между уровнем антивирусной защиты и скоростью обработки почты. Характеристика профиля:

• К почтовым сообщениям применяется политика проверки message: каждое сообщение обрабатывается как единый объект.

• При проверке используется расширенный набор баз антивируса.

Page 57

Антивирусная защита почты 57

• Максимально допустимый уровень вложенности MIME-объектов ра- вен 10.

• Для каждого сообщения, подвергающегося антивирусной проверке, создается резервная копия и информационный файл.

• Проводится лечение зараженных объектов.

• Включен режим фильтрации вложений по MIME-типам. Приложение

удаляет из сообщений ссылки на внешние объекты (message/external-body type) и вложения с расширениями .pif, .com, .bat и .exe.

• Сообщения, которым были присвоены статусы suspicious, protected, error, а также отфильтрованные по имени и MIME-типу вложения, за-

меняются уведомлениями. В случае обнаружения угрозы из заданного набора, сообщения удаляются.

• В заголовок и тело почтового сообщения добавляется информация о результатах его обработки.

• Получателям доставляются уведомления о проверке сообщений. Уведомление отправителя

• В отчет о работе приложения записываются все сообщения, кроме отладочной информации.

• Статистика собирается по всем аспектам активности приложения.

и администратора не производится.

5.5.2. Профиль максимальной защиты

Данный профиль содержит параметры, обеспечивающие максимальную защиту почтового трафика. Характеристика профиля:

• Приложение осуществляет антивирусную проверку в соответствии с политикой типа combined: каждое сообщение сначала проверяется как единый объект, а затем – по частям, не смотря на статус первоначальной проверки.

• Сообщения, не соответствующие RFC-стандартам разбираются с использованием эвристических алгоритмов, и рекодировки передаются на проверку.

• При проверке используется расширенный набор баз антивируса.

• Включен режим фильтрации вложений по MIME-типам. Приложение

удаляет из сообщений ссылки на внешние объекты (message/external-body type) и вложения с расширениями .pif, .com, .bat и .exe.

в случае успешной пе-

Page 58

Антивирус Касперского 5.6 для Linux Mail Server

• Максимально допустимый уровень вложенности сообщения неогра- ничен.

• Для каждого сообщения, подвергающегося антивирусной проверке или фильтрации, создается информационный файл.

• Проводится лечение зараженных объектов.

• Сообщения, которым были присвоены статусы suspicious, protected, а

также отфильтрованные по имени и MIME-типу вложения, удаляются. В случае обнаружения угрозы, из заданного списка, сообщения удаляются без доставки адресатам.

• Если при проверке сообщения возникает ошибка, то содержимое со- общения заменяется уведомлением.

• Получателям доставляются уведомления о проверке сообщений. Уведомление отправителя и администратора не производится.

• В отчет о работе приложения записываются все сообщения, кроме отладочной информации.

• Статистика не сохраняется.

5.5.3. Профиль максимальной скорости

Данный профиль обеспечивает максимальную скорость антивирусной проверки. Характеристика профиля:

• Фильтрация сообщений отключена.

• При проверке используется расширенный набор баз антивируса.

• Резервная копия создается при совершении действий: drop и warn.

Информационный файл не создается.

• Сообщения, которым protected, error, заменяются уведомлениями. В случае обнаружения угрозы из заданного списка, сообщения удаляются.

• В заголовок почтового сообщения добавляется информация о ре- зультатах его обработки.

были присвоены статусы infected, suspicious,

Page 59

Антивирусная защита почты 59

• В отчет о работе приложения записывается информация обо всех аспектах функциональности приложения; уровень детализации: критические и прочие ошибки, а также важные сообщения информационного характера.

• Проводится сбор статистики об обнаруженных угрозах.

• Максимальное число запросов к центральной службе приложения

удвоено по сравнению с рекомендуемым профилем и профилем максимальной защиты. Максимальное число одновременных запросов для проверки неограниченно.

5.6. Резервное копирование сообщений

Приложение позволяет сохранять резервную копию сообщения перед его обработкой. Параметры резервного копирования находятся в секции [kav4lms:groups.<имя_группы>.backup] конфигурационного файла группы.

Режим резервного копирования задается параметром Policy, который может принимать следующие значения:

• message – создается только копия сообщения;

• info – вместе с копией сообщения создается информационный

файл. Этот файл

• IP-адрес или имя клиента почтовой системы;

• IP-адрес или имя сервера почтовой системы;

• отправитель сообщения;

• адрес сервера, обработавшего сообщение;

• название группы, правила которой применены для обработки

сообщения;

• список получателей сообщения;

• причина создания резервной копии (лечение, удаление, откло-

нение, фильтрация сообщения);

путь к файлу резервной копии сообщения;

•

• информация о приложении (идентификаторы процесса и потока).

• none – резервная копия не создается.

содержит следующую информацию:

Page 60

Антивирус Касперского 5.6 для Linux Mail Server

Параметр Options позволяет указать причину создания резервной копии:

• cured – в случае лечения части исходного сообщения;

• deleted – в случае удаления части сообщения;

• rejected – в случае отказа в доставке сообщения;

• dropped – в случае удаления сообщения без передачи адресату;

• warning – в случае замены сообщения уведомлением;

• renamed – в случае

• all – во всех вышеперечисленных случаях.

В качестве значения параметра Options может быть указано как одно значение, так и список значений, разделенных запятой.

Резервные копии сообщений и информационные файлы хранятся в директории, заданной параметром Destination.

переименования хотя бы одного вложения;

5.7. Уведомления

Уведомление – это почтовое сообщение, содержащее описание обработанного письма, отправляемое получателю, отправителю или администратору сервера.

Помимо описания самого почтового сообщения уведомление содержит также описание объектов, которые были по тем или иным причинам удалены из сообщения.

Предусмотрена возможность вставки исходного почтового сообщения в уведомление. Однако это возможно только для уведомления Для администратора и отправителя создаются новые почтовые сообщения, содержащие только текст уведомления.

получателя.

5.7.1. Настройка уведомлений

Параметры уведомлений находятся:

• в секции [kav4lms:server.notifications] конфигурационного файла приложения kav4lms.conf;

• в секции [kav4lms:group.<имя_группы>.notifications] конфигурационного файла группы.

Настройка уведомлений выполняется в два этапа.

Page 61

Антивирусная защита почты 61

Шаг 1. Выбор адресата уведомления

Уведомления могут быть отправлены:

• отправителю сообщения (задается параметром NotifySender кон- фигурационного файла группы);

• получателям сообщения (задается параметром NotifyRecipients конфигурационного файла группы);

• администраторам информационной безопасности (задается параметром NotifyAdmin в параметрах группы). Список почтовых адресов администраторов информационной безопасности задается параметром AdminAdresses в параметрах группы;

• администраторам Антивируса ProductNotify в файле kav4lms.conf). Список почтовых адресов администраторов приложения задается параметром ProductAdmins в файле kav4lms.conf.

Уведомления доставляются указанным категориям пользователей при установке перечисленных параметров в любое значение, кроме none.

Касперского (задается параметром

Шаг 2. Выбор темы уведомления

Отправителей, получателей сообщений и администраторов информационной безопасности можно уведомлять:

• о выполнении над сообщением действия (см. п. 5.4 на стр. 54), заданного параметрами InfectedAction, ProtectedAction, ErrorAction. Отправка уведомления такого типа включается установкой параметра, определяющего адресата уведомления (см. шаг

1), в значения infected, protected, error;

• о выполнении правила фильтрации (см. уведомления такого типа включается установкой параметра, определяющего адресата уведомления (см. шаг 1), в значение filtered;

• обо всех вышеперечисленных событиях. Отправка уведомления такого типа включается установкой параметра, определяющего адресата уведомления (см. шаг 1), в значение all.

Администраторов приложения можно уведомлять:

• о получении обновления баз антивируса. Отправка такого типа включается установкой параметра ProductNotify в значение update;

п. 5.4 на стр. 54). Отправка

уведомления

Page 62

Антивирус Касперского 5.6 для Linux Mail Server

• о критической ошибке в работе приложения. Отправка уведомления такого типа включается установкой параметра ProductNotify в значение fault;

• о событиях, связанных с ключом и лицензионным ограничением. Отправка уведомления такого типа включается установкой параметра ProductNotify в значение license;

Уведомления о лицензии бывают двух типов:

• истечение срока действия ключа. Первый

14 дней до истечения срока действия ключа, затем ежедневно

до истечения указанного периода. На следующий день после истечения срока действия ключа отправляется соответствующее уведомление;

• превышение лицензионного ограничения. Отправляются при

превышении числа пользователей или объема трафика, указанных в условиях приобретения приложения.

Внимание!

Уведомления о превышении лицензионных чительно важный тип уведомлений. Если отправка уведомлений отключена, то такие уведомления будут записаны в журнал приложения.

• обо всех вышеперечисленных событиях. Отправка уведомления такого типа включается установкой параметра ProductNotify в значение all.

раз отправляются за

ограничений - исклю-

5.7.2. Шаблоны уведомлений

В процессе формирования уведомлений используются следующие шаблоны (хранятся в директории, определенном параметром Templates конфигурационного файла приложения):

• Шаблон уведомлений для описания удаленных объектов –

текст, который встраивается в исходное почтовое сообщение в том случае, если какая-либо его часть в результате антивирусной обработки или фильтрации была удалена. Данный держать макросы, детализирующие причины, по которым объект был удален. Предусмотрены следующие шаблоны:

• part_infected – текст, заменяющий в исходном почтовом сооб-

щении объект, который был удален в результате неудавшейся попытки его лечения;

текст может со-

Page 63

Антивирусная защита почты 63

• part_filtered – текст, заменяющий в исходном почтовом сооб-

щении MIME-объект, удаленный в результате фильтрации объектов MIME-типа;

• part_suspicious – текст, заменяющий в исходном почтовом со-

общении объект, который был опознан приложением как подозрительный и удален;

• part_filtered – текст, заменяющий в исходном почтовом сооб-

щении объект, который был переименован в результате фильтрации

;

• part_protected – текст, заменяющий в исходном почтовом со-

общении защищенный объект, который не удалось проверить на вирусы, и, как следствие, он был удален;

• part_error – текст, заменяющий в исходном почтовом сообще-

нии объект, в результате проверки которого произошла ошибка, и его пришлось удалить.

• Шаблон стандартного уведомления – текст, единый

для отпра-

вителя, получателя и администратора, для отправки которого используется фильтр или средства SMTP. Текст шаблона может содержать макросы, детализирующие действия, которые были выполнены над исходным почтовым сообщением. Предусмотрены следующие шаблоны:

• notify_common – текст, используемый по умолчанию для уведомлений получателя, отправителя и администраторов о выполненных над почтовым сообщением действиях;

• notify_infected – текст, заменяющий зараженное почтовое сообщение;

• notify_suspicious – текст, заменяющий почтовое сообщение, содержащее подозрительные объекты;

• notify_filtered – текст, заменяющий почтовое сообщение, подвергнутое фильтрации;

• notify_error – текст, заменяющий письмо, в результате проверки которого произошла ошибка;

• notify_protected – текст, заменяющий письмо, защищенное от проверки;

• disclaimer – текст, добавляемый в любое

проверяемое или создаваемое в процессе антивирусной обработки письмо. По умолчанию шаблон содержит уведомление о том, что письмо было проверено Антивирусом Касперского.

• Шаблон расширенного уведомления – текст, используемый для уведомления конкретного лица, заинтересованного в получении

Page 64

Антивирус Касперского 5.6 для Linux Mail Server

информации об антивирусной обработке исходного почтового сообщения. Разработаны отдельные шаблоны для уведомления отправителя, получателя и администратора. Для использования таких шаблонов необходимо задать для параметра UseCustomTem- plates значение yes. Предусмотрены следующие шаблоны:

• уведомления отправителя:

o notify_sender_common – текст уведомления отправителя

почтового сообщения о выполненных над исходным письмом действиях;

notify_sender_infected – текст, заменяющий зараженное

почтовое сообщение;

o notify_sender_suspicious – текст, заменяющий почтовое со-

общение, содержащее подозрительные объекты;

o notify_sender_filtered – текст, заменяющий почтовое сооб-

щение, подвергнутое фильтрации;

o notify_sender_error – текст, заменяющий письмо, в резуль-

тате проверки которого произошла ошибка;

o notify_sender_protected – текст, заменяющий письмо, за-

щищенное от проверки.

• уведомления получателей:

o notify_recipients_common

– текст уведомления получателя

почтового сообщения о выполненных над исходным письмом действиях;

o notify_recipients_infected – текст, заменяющий зараженное

почтовое сообщение;

o notify_recipients_suspicious – текст, заменяющий почтовое

сообщение, содержащее подозрительные объекты;

o notify_recipients_filtered – текст, заменяющий почтовое со-

общение, подвергнутое фильтрации;

o notify_recipients_error – текст, заменяющий письмо, в ре-

зультате проверки которого произошла ошибка;

o notify_recipient_protected

– текст, заменяющий письмо, за-

щищенное от проверки.

• уведомления администратора:

o notify_admin_common – текст уведомления администрато-

ра почтового сообщения о выполненных над исходным письмом действиях;

Page 65

Антивирусная защита почты 65

o notify_admin_infected – текст, заменяющий зараженное

почтовое сообщение;

o notify_admin_suspicious – текст, заменяющий почтовое со-

общение, содержащее подозрительные объекты;

o notify_admin_filtered – текст, заменяющий почтовое сооб-

щение, подвергнутое фильтрации;

o notify_admin_error – текст, заменяющий письмо, в резуль-

тате проверки которого произошла ошибка;

o notify_admin_protected – текст, заменяющий письмо, защи-

щенное от проверки.

• Шаблон специального уведомления

используемый для формирования специальных уведомлений об исключительных событиях, требующих отдельного внимания администратора. Предусмотрены следующие шаблоны:

• product_update – текст, используемый для уведомления адми-

нистратора о получении обновлений баз антивируса приложения;

• product_fault – текст, используемый для уведомления админи-

стратора о том, что во время работы Антивируса Касперского возникла

• product_license – текст, используемый для уведомления адми-

нистратора об истечении срока действия ключа или о нарушении лицензионного соглашения.

критическая ошибка;

администратора – текст,

Внимание!

Во время запуска приложения выполняется проверка наличия всех перечисленных выше шаблонов. Если хотя бы одного их них не будет, приложение возвращает ошибку.

Также производится проверка размера каждого жен превышать 8 КБ.

шаблона, который не дол-

5.7.3. Создание собственных шаблонов уведомлений

Антивирус Касперского предоставляет возможность создавать собственные шаблоны уведомлений для администраторов, получателей и отправителей с использованием специального языка уведомлений.

Page 66

Антивирус Касперского 5.6 для Linux Mail Server

Язык уведомлений представляет собой набор макросов и управляющих конструкций.

Рассмотрим подробнее все составляющие языка, его синтаксис и ряд примеров.

Внимание!

Первая строка шаблона не должна содержать символа «:», так как в таком случае она будет интерпретироваться как заголовок. Для избежания таких ситуаций следует начинать шаблон переводом строки (нажатием клавиши

Enter).

5.7.3.1. Макросы

Макрос – это элемент подстановки, используемый в шаблонах почтовых уведомлений. В формируемом на основе шаблона тексте макрос заменяется на некоторое значение.

Синтаксис макроса: %имя_макроса%

Если вы хотите включить символ % в имя макроса, такой символ должен быть экранирован (подробнее см. п. 5.7.3.5 на стр. 70).

Макрос может иметь несколько значений. В %имя_макроса% будет использоваться последнее из указанных значений.

Для использования нескольких значений макроса необходимо использовать

итерационные конструкции.

этом случае при использовании

5.7.3.2. Итерационные конструкции

Итерационная конструкция – это основной элемент языка уведомлений, с использованием которого формируются шаблоны уведомлений.

Синтаксис конструкции:

где:

<FOR – начало определения конструкции. Символ <, не являющийся

началом определения конструкции, должен быть экранирован (подробнее см. п. 5.7.3.5 на стр. 70).

INAME – имя конструкции формата 1*(nchar)*(nchar); максимальная

длина имени составляет 64 байта.

IOP – операция сравнения

формата ==, |, !=; длина 2 байта.

Page 67

Антивирусная защита почты 67

IVALUE – значение конструкции формата 1*(vchar)*(vchar), максималь-

ная длина составляет 4096 байт. Значение итерационной конструкции обязательно должно быть выделено кавычками. В случае сравнения значения конструкции со значением, имеющим кавычку, необходимо использовать экранирующий (escape) символ (подробнее см. п. 5.7.3.5 на стр. 70). Например:

<FOR _macro_name_parent_ == "\"_value_1\"

> – конец определения итерационной конструкции, начало определения

тела итератора. Символ >, не являющийся концом определения конструкции, должен быть экранирован (подробнее см. п. 5.7.3.5 на стр. 70).

BODY – тело итератора формата *(char). </FOR> – конец определения тела итератора. Символ <, не являющий-

ся концом определения тела итератора, должен быть экранирован (подробнее см. п

. 5.7.3.5 на стр. 70).

… – разделитель формата *( )*(\t) nchar – символы из набора a-z, A-Z, 0-9, -, _ vchar – символы из набора nchar, *, ? char – символы из набора значений 32 – 255

Пример итерационной конструкции

<FOR _macro_name_ == "*">%_macro_name_%</FOR>

При выполнении данной конструкции препроцессор разделяет ее на следующие условные конструкции:

<FOR _macro_name_ == "_value_1"

<FOR _macro_name_ == "_value_2"

<FOR _macro_name_ == "_value_3"

<FOR _macro_name_ == "_value_N"

>%_macro_name_%</FOR>

Эти условные конструкции выполняются последовательно.

Таким образом, итерационные конструкции позволяют выделять как конкретное значение макроса, так и группу значений.

Например, если макрос %FILTERNAME% имеет значения KAVFilter1, KAV- Filter2, KAVFilter3, SimpleFilter, тогда:

конструкция:

<FOR FILTERNAME == "KAVFilter1">%FILTERNAME%</FOR>

будет преобразована в текст:

KAVFilter1

Page 68

Антивирус Касперского 5.6 для Linux Mail Server

конструкция:

<FOR FILTERNAME == "KAVFilter?"

будет преобразована в текст:

KAVFilter1, KAVFilter2, KAVFilter3

конструкция:

<FOR FILTERNAME != "KAVFilter2">%FILTERNAME%, </FOR>

будет преобразована в текст:

KAVFilter1, KAVFilter3, SimpleFilter

конструкция:

<FOR FILTERNAME != "KAV*">%FILTERNAME%, </FOR>

будет преобразована в текст:

SimpleFilter,

>%FILTERNAME%, </FOR>

5.7.3.3. Границы видимости итерационной

конструкции

Любая итерационная конструкция может иметь вложенные макросы, чье значение определено только в границе видимости данной конструкции. Итерационные конструкции могут использоваться не только для вывода конкретных значений макроса, но и для обозначения границ видимости вложенных макросов.

Границы видимости вложенного макроса задаются открывающим и закрывающим тегом условной конструкции:

<FOR _macro_name_parent_ == "_value_1">%_macro_name_child_%</FOR>

При этом область действия макроса %_macro_name_parent_% распростра- няется на все вложенные уровни (попадающие между указанными тегами), если значение макроса не перекрыто.

Page 69

Антивирусная защита почты 69

5.7.3.4. Переменные

Переменные используются для определения большей гибкости при составлении шаблонов.

Для определения переменной в заданной области видимости предусмотрена следующая конструкция:

<DEF _var_name_ = "_const_value_

В дальнейшем эта переменная может быть использована как обычный макрос безо всяких ограничений.

Синтаксис определения переменной:

где:

<DEF – начало конструкции определения переменной. Символ <, не

являющийся началом определения, должен быть экранирован (подробнее см. п. 5.7.3.5 на стр. 70);

VNAME – имя переменной формата 1*(nchar)*(nchar); максимальная

длина составляет 64 байта;

VOP –

операция присваивания формата =, длина 1 байт;

VVALUE – значение переменной формата 1*(vchar)*(vchar); максималь-

ная длина составляет 4096 байт. Значение переменной обязательно должно быть выделено кавычками. В случае сравнения со значением, имеющим кавычку, необходимо использовать экранирующий (escape) символ (подробнее см. п. 5.7.3.5 на стр. 70). Пример конструкции определения переменной:

<DEF _value_name_ = "\"_value_1\"

> – конец конструкции определения переменной. Символ >, не являю-

щийся концом определения переменной, должен быть экранирован (подробнее см. п. 5.7.3.5 на стр. 70). Конструкция DEF не имеет те-

ла, как конструкция FOR, поэтому закрывающая скобка ее тега должна уведомлять парсер об отсутствии закрывающего тега.

… – разделитель формата *( )*(\t) nchar – символы из набора a-z, A-Z, 0-9, -, _ vchar – символы

В случае переопределения переменной в границах ее области видимости подстановка нового значения будет производиться после каждого переопределения. Таким образом, конструкция:

из набора nchar, *, ?

"/>

Page 70

Антивирус Касперского 5.6 для Linux Mail Server

<DEF __NAME__= "ИМЯ_1"/>Сейчас мы увидим первое значение: %__NAME__%.

<DEF __NAME__= "ИМЯ_2"/>Сейчас мы увидим второе значение: %__NAME__%.

будет преобразована в следующий текст:

Сейчас мы увидим первое значение: ИМЯ_1.

Сейчас мы увидим второе значение: ИМЯ_2.

Переменная может иметь макрос в качестве значения.

<DEF _var_name_ = “%_macro_name_%

В этом случае препроцессор сначала заменит переменную на макрос, а затем – на его значение.

”/>

5.7.3.5. Синтаксис языка

Служебные символы

признак макроса. Макрос располагается между двумя знаками «%». Пример: %VIRUSNAME%

открывающая скобка тега. Пример: <FOR FILTERNAME == "KAVFilter1">

закрывающая скобка тега. Пример: <FOR FILTERNAME == "KAVFilter1">

открывающая скобка закрывающего тега. Пример: </FOR>

закрывающая скобка тега конструкции без тела. Пример: <DEF __NAME __= "ИМЯ_1"/>

escape-символ. Отменяет действие следующей за ним лексемы. Пример: \%VIRUSNAME\%

сравнение: Пример: <FOR FILTERNAME == "KAVFilter1"> Пример: <FOR FILTERNAME == "KAVFilter*">

сравнение: несовпадение по маске или значению. Пример: <FOR FILTERNAME != "KAVFilter1">

совпадение по маске или значению.

Page 71

Антивирусная защита почты 71

Пример: <FOR FILTERNAME != "KAVFilter*">

Служебные слова

FOR Определение итерационной конструкции.

DEF Определение переменной (конструкция без закрывающего те-

Предопределенные макросы

%CRLF% Макрос перевода строки

%TAB% Макрос табулятора

Вся обработка ведется внутри глобальной секции, не определенной никакой конструкцией либо внутри условной конструкции

Escape-последовательности

В языке уведомлений поддерживаются следующие последовательности:

Все возможные значения неограниченного размера. Используется только внутри тегов при сравнении с шаблонами.

Пример: <FOR FILTERNAME == "KAV*">

Все возможные значения размером в один символ. Используется только внутри тегов при сравнении с шаблонами.

Пример: <FOR FILTERNAME == "KAVFilter?">

Комментарий, парсер игнорирует все символы, начиная с # до конца строки.

Пример

га). Пример:

: <FOR FILTERNAME = "KAVFilter1">

• Для вывода в текст шаблона символа «\» используйте последовательность «\\».

• Строка, оканчивающаяся escape-символом «\», продолжается на следующей строке. При этом escape-символ выводится на экран как символ перевода строки. При обработке такая строка объединяется со следующей строкой перед тем, как приняты другие действия по обработке шаблона. Действие такого escape-символа сохраняется независимо от того, встретился ли он внутри или снаружи тега.

разборщиком пред-

Page 72

Антивирус Касперского 5.6 для Linux Mail Server

Для того чтобы поместить символ «\» в конец строки так, чтобы он не принимал значение продолжения строки, используйте последовательность «\\».

• Для вывода в текст шаблона символа «%» используйте последовательность «\%».

• Для вывода в текст шаблона символа «/» используйте последовательность «\/».

• Для вывода в текст шаблона тельность «\<».

• Для вывода в текст шаблона символа «>« используйте последовательность «\>».

• Для вывода в текст шаблона символа «#» используйте последовательность «\#».

Примечание

Язык макросов чувствителен к регистру. Количество пробелов или символов табуляции (а также их наличие либо отсутствие) между лексемами ка никак не оговаривается. Служебные слова должны выделяться пробелами или символами табуляции либо служебными символами языка.

символа «<» используйте последова-

язы-

5.7.3.6. Макросы уведомлений в составе приложения

В поставку приложения входит ряд макросов, которые могут использоваться как в шаблонах уведомлений по почтовому сообщению в целом, так и в шаблонах по удаленным частям писем. Они позволяют наполнять текст уведомлений более подробной информацией об исходном письме или объекте, а также о действиях, выполненных над ними.

Администратор может использовать следующие макросы в уведомлениях по почтовому сообщению в целом:

%VERSION% – номер установленной версии Антивируса Касперского, с

помощью которого было проверено сообщение.

%PRODUCT% – полное имя Антивируса Касперского.

%CLIENT % – удаленный IP-адрес почтового клиента.

%SERVER% – имя сервера, где установлена центральная служба при-

ложения.

Page 73

Антивирусная защита почты 73

%SENDER% – адрес отправителя почтового сообщения.

%RECIPIENTS% – адрес получателя.

%HEADERS% – заголовок сообщения.

%MSGID% – идентификационный номер почтового сообщения.

%SUBJECT% – тема (поле Subject) исходного почтового сообщения.

%DATE% – дата обработки почтового сообщения.

%TIME% – время обработки почтового сообщения.

%BK_ACTION% – действие над почтовым сообщением, в результате

которого была создана резервная копия (если таковая была создана).

%BK_LOCATION%

– полный путь к каталогу хранения резервной копии

почтового сообщения (если таковая была создана).

%ACTION_LIST% – список, содержащий информацию о письме и его

отдельных частях, а также набор действий, выполненных над почтовым сообщением. Для каждой обработанной части письма информация представляется в виде:

<статус> <действие> <информация>.

В уведомлениях по удаленным частям почтового сообщения может использоваться следующий макрос:

%INFO% – информация, имеющая отношение к выполненным действи-

ям:

• список обнаруженных вредоносных программ – для зараженных объектов;

• поясняющая строка к коду ошибки – для объектов, в результате проверки которых возникла ошибка;

• MIME-тип или имя вложения – для объектов, подвергнутых фильтрации.

Макросы нужно

указать непосредственно в тексте шаблонов уведомлений.

Page 74

ГЛАВА 6. АНТИВИРУСНАЯ

ЗАЩИТА ФАЙЛОВЫХ СИСТЕМ

Антивирусная защита файловых систем компьютера осуществляется с помощью компонента kav4lms-kavscanner, который выполняет проверку и производит обработку зараженных и подозрительных объектов в соответствии с настройками.

Примечание

Все параметры компонента kav4lms-kavscanner сгруппированы в секциях [scanner.*] конфигурационного файла приложения.

Внимание!

По умолчанию запуск проверки по требованию могут выполнять только пользователи root и kluser.

Вы можете задавать проверку, как всей файловой системы, так и отдельного каталога или объекта. Весь набор параметров защиты можно разделить на группы, определяющие:

• область проверки (см. п. 6.1 на стр. 75);

• режим проверки и лечения объектов (см. п. 6.2 на стр. 76);

• действия над объектами (см. п. 6.3 на стр. 77).

Процесс проверки щен:

• разово из командной строки (см. п. 6.4 на стр. 78);

• по расписанию при помощи программы cron (см. п. 6.5 на стр. 79).

файловых систем вашего компьютера может быть запу-

Внимание!

Процесс проверки на присутствие вирусов всего компьютера – очень ресурсоемкая процедура. Следует помнить, что при ее запуске скорость работы будет замедлена, ресурсоемкие приложения параллельно с проверкой. Во избежание таких проблем рекомендуем вам проверять отдельные каталоги.

следовательно, не рекомендуется запускать какие-либо

Page 75

Антивирусная защита файловых систем 75

6.1. Область проверки

Область проверки можно условно разделить на две части:

• путь проверки – список каталогов и объектов, в которых производится поиск вирусов;

• объекты проверки – набор типов объектов, которые будут проверяться на предмет наличия вирусов (архивы и т.д.).

По умолчанию проверяются все объекты доступных файловых систем, начиная с текущей

Примечание

Для проверки всех файловых систем компьютера необходимо перейти в корневой каталог или в командной строке указать область проверки /.

Вы можете переопределить путь проверки следующими способами:

• Перечислить через пробел директории и файлы с абсолютными или относительными (относительно текущего каталога) путями к ним непосредственно в командной строке при запуске компонента.

• Задать пути проверки в текстовом файле и указать его использова- ние в командной строке посредством ключа -@ <имя_ дый объект в таком файле приводится с новой строки с абсолютным путем к нему.

директории.

файла>. Каж-

Внимание!

Если в командной строке будет указан и путь проверки и текстовый файл со списком объектов проверки, то будет проверяться область, указанная в файле. Путь в командной строке будет проигнорирован.

• Отключить рекурсивную проверку директорий (секция [scanner.options], параметр Recursion или ключ -r).

• Создать альтернативный конфигурационный файл и указать его ис- пользование посредством ключа -с (-С) <имя_файла> при запуске компонента.

Внимание!

Длина пути к проверяемому объекту не должна превышать 4096 байт. Объекты, расположенные на более глубоком уровне вложенности проверяться не будут.

Page 76

Антивирус Касперского 5.6 для Linux Mail Server

Объекты проверки по умолчанию также задаются в конфигурационном файле kav4lms.conf (секция [scanner.options]) и могут быть переопределены:

• непосредственно в данном файле;

• ключами командной строки при запуске компонента;

• путем использования альтернативного конфигурационного файла.

6.2. Режим проверки и лечения объектов

Настройка данного режима является очень важным параметром проверки, поскольку определяет, будет ли выполняться лечение зараженных файлов, обнаруженных в результате проверки.

По умолчанию режим лечения отключен, что предполагает только проверку объектов и информирование об обнаружении вирусов и других подозрительных или поврежденных файлов путем вывода сообщений на консоль и в отчет.

результате проверки на присутствие вирусов каждому объекту присваи-

В вается один из следующих статусов:

• сlean – вирусов не обнаружено (объект не заражен);

• infected – объект заражен;

• warning – код объекта похож на код известного вируса;

• suspicious – объект подозревается на заражение неизвестным ви-

русом (не присваивается, если параметру UseCodeAnalyzer присвоено значение no);

• corrupted – объект поврежден;

• protected – объект проверить невозможно из-за того, что он за-

шифрован (защищен паролем);

• error – при проверке объекта произошла ошибка.

При включенном режиме лечения (секция [scanner.options], параметр Cure=yes), на лечение отправляются объекты только со статусом infected. В результате лечения объекту присваивается один из

• cured – объект был успешно вылечен;

следующих статусов:

Page 77

Антивирусная защита файловых систем 77

• curefailed – объект вылечить не удалось. Файл с таким статусом будет обрабатываться по правилам, заданным для зараженных объектов.

6.3. Действия над объектами

В зависимости от статуса объекта к нему могут применяться те или иные действия. По умолчанию выполняется только уведомление об обнаружении объектов с определенным статусом. Однако для объектов со статусами infected, suspicious, warning, error, protected и corrupted можно настроить выполнение ряда действий, таких как:

• перемещение в некоторый каталог – перенос объектов определенного сивный перенос);

• удаление объекта из файловой системы;

• выполнение некоторой команды – обработка файлов посредством

стандартных команд Unix, скрипт-файлов и т.д.

Следует отметить, что Антивирус Касперского различает объект простой (файл) и объект-контейнер (состоящий из нескольких объектов, например архив). Действия, выполняемые в конфигурационном файле они разнесены по отдельным секциям. Для простого объекта – секция [scanner.object], для контейнера –

[scanner.container].

статуса в некоторый каталог (возможен простой и рекур-

над такими объектами, также различаются;

Внимание!

Действия с самораспаковывающимися архивами неоднозначны: если заражен сам архив, то он рассматривается как простой объект, а если объекты внутри архива – как контейнер. Соответственно и действия над архивом таких случаях определяются параметрами разных секций конфигурационного файла!

Выбрать действие над тем или иным объектом можно следующими способами:

• Задать их в конфигурационном файле kav4lms.conf, если их предполагается использовать как действия по умолчанию (секции [scanner.object] и [scanner.container]).

• Указать действия в альтернативном конфигурационном файле и ис- пользовать его при запуске компонента.

Page 78

Антивирус Касперского 5.6 для Linux Mail Server

Примечание

Если в командной строке при запуске компонента не указывается какой-либо конфигурационный файл, то параметры функционирования берутся из файла kav4lms.conf. Использование данного файла при запуске специально не указывается!

• Задать их на текущий сеанс работы посредством ключей командной строки при запуске компонента kav4lms-kavscanner.

Синтаксис действий как для простых объектов, так и для объектовконтейнеров одинаков (секции [scanner.object] и [scanner.container]).

6.4. Проверка директории по требованию

Одной из самых распространенных задач, решаемых посредством Антивируса Касперского, является антивирусная проверка и лечение отдельной директории.

Пример: выполнить проверку согласно следующим условиям:

1. Запустить проверку директории /tmp с автоматическим лечением всех обнаруженных зараженных объектов. Все объекты, вылечить которые не удалось, – удалить.

2. В этой же директории создать файлы infected.lst, suspicion.lst, corrupted.lst и warning.lst, в которых

женных в результате проверки зараженных, подозрительных или поврежденных объектов соответственно.

3. Результаты работы компонента (дату запуска, информацию обо всех файлах, кроме незараженных) выводить в файл-отчет kav4lms-kavscanner-текущая_дата-pid.log, который сохранить в той же директории:

Для выполнения задачи в командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-kavscanner -\ rlq -pi/tmp/infected.lst -ps/tmp/suspicion.lst -\ pc/tmp/corrupted.lst -pw/tmp/warning.lst -o /tmp/ \ kav4lms-kavscanner-`date "+%Y-%m-%d-$$"`.log -i3 \

-ePASBMe -j3 -mCn /tmp

сохранить имена всех обнару-

Page 79

Антивирусная защита файловых систем 79

6.5. Проверка по расписанию

Запуск программ по расписанию, в том числе и задач Антивируса Касперского, осуществляется с помощью программы cron.

Пример: каждый день в 0 часов 00 минут запускать проверку на присутствие вирусов директории /home; использовать параметры проверки, заданные в конфигурационном файле /etc/kav/scanhome.conf.

Для реализации поставленной задачи выполните следующие действия:

1. Создайте конфигурационный файл /etc/kav/scanhome.conf, где укажите все необходимые параметры проверки.

2. Отредактируйте файл, задающий правила работы процесса cron (crontab -e), введя следующую строку:

0 0 * * * /opt/kaspersky/kav4lms/bin/kav4lms-\ kavscanner -c /etc/kav/scanhome.conf /home

6.6. Отправка уведомлений администратору

С использованием стандартных средств Unix вы можете настроить уведомление администратора об обнаружении в файловых системах компьютера зараженных, подозрительных и поврежденных объектов.

Пример: настроить уведомление администратора при обнаружении в файловых системах зараженных файлов и архивов при каждой проверке компьютера, выполняемой в соответствии с параметрами конфигурационного файла kav4lms.conf.

Внимание!

Приведен пример для Linux!

Для реализации поставленной задачи выполните следующие действия:

Задайте следующие правила обработки простых объектов и контейнеров в конфигурационном файле kav4lms.conf:

[scanner.object]

OnInfected=exec echo %FULLPATH%/%FILENAME% is \ infected by %VIRUSNAME% |

mail -s kav4lms-kavscanner admin@localhost

[scanner.container]

Page 80

Антивирус Касперского 5.6 для Linux Mail Server

OnInfected=exec echo archive %FULLPATH%/%FILENAME% \ is infected, viruses list is in the attached file \ %LIST% | mail -s kav4lms-kavscanner -a %LIST% \ admin@localhost

Внимание!

Перед запуском примера пользователю необходимо убедиться, что утилита mail расположена по стандартному пути установки данной утилиты в опе- рационной системе.

Page 81

ГЛАВА 7. ОБНОВЛЕНИЕ БАЗ

АНТИВИРУСА

Неотъемлемым фактором полноценной антивирусной защиты является обновление баз антивируса, проводимое компонентом kav4lms-keepup2date приложения. Источником обновлений баз, используемых Антивирусом Касперского в процессе поиска и лечения зараженных объектов, являются серверы обновлений «Лаборатории Касперского». Например, такие как:

http://downloads1.kaspersky-labs.com/

http://downloads2.kaspersky-labs.com/ ftp://downloads1.kaspersky-labs.com/ и другие.

Список адресов, с которых можно копировать обновления, приведен в файле /var/opt/kaspersky/kav4lms/bases/updcfg.xml, включенном в дистрибутив приложения. Для просмотра списка серверов обновлений введите в командной строке:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -s

В процессе обновления компонент kav4lms-keepup2date обращается к данному списку, выбирает адрес и пытается скопировать с сервера базы антивируса. C помощью параметра RegionSettings в [updater.options] конфигурационного файла приложения можно задать текущее положение компьютера (в виде двухбуквенного кода в соответствии со стандартом ISO 3166-1). В этом случае компонент kav4lms- keepup2date начинает выбор серверов обновлений с серверов, помеченных в списке, как принадлежащих выбранному региону. Если выполнить обновление с выбранного адреса невозможно, компонент обращается по следующему адресу и вновь

пытается обновить базы.

секции

Примечание

Обновления для баз антивируса публикуются на серверах обновлений «Лаборатории Касперского» каждый час.

После успешного обновления выполняется команда, указанная в качестве значения параметра PostUpdateCmd секции [updater.options] конфигурационного файла. По умолчанию эта команда запустит автоматическую перезагрузку баз антивируса. Некорректное изменение данного параметра может привести к тому, что приложение либо не будет использовать обновленные базы, либо будет работать некорректно.

Page 82

Антивирус Касперского 5.6 для Linux Mail Server

Примечание

Все параметры компонента kav4lms-keepup2date сгруппированы в опциях [updater.*] конфигурационного файла.

Если структура вашей локальной сети достаточно сложная, рекомендуется каждый час скачивать обновления баз антивируса с серверов обновлений, размещать их в некотором сетевом каталоге, а для локальных компьютеров сети настроить копирование баз из этого каталога. Подробнее о создании сетевого каталога см. п. 7.3 на стр. 84.

Обновление может быть организовано по расписанию с помощью программы cron (см. п. 7.1 на стр. 82) или же выполняться по требованию администратора, запускаясь вручную из командной строки (см. п. 7.2 на стр. 83).

7.1. Автоматическое обновление

Вы можете задать автоматическое обновление баз антивируса с помощью внесения изменений в конфигурационный файл.

Пример: задать автоматическое обновление баз антивируса каждый час. В системном журнале фиксировать только ошибки при работе приложения. Вести общий журнал по всем запускам задачи, на консоль никакой информации не выводить.

Для реализации поставленной задачи выполните следующие

1. В конфигурационном файле приложения задайте соответствующие значения для параметров, например:

[updater.options]

KeepSilent=yes

[updater.report]

Append=yes

ReportLevel=1

2. Отредактируйте файл, задающий правила работы процесса cron (crontab -e), введя следующую строку:

0 0-23/1 * * * /opt/kaspersky/kav4lms/bin/kav4lmskeepup2date -e

действия:

Page 83

Обновление баз антивируса 83

Пример: настроить получение обновлений баз антивируса с сайтовисточников обновлений «Лаборатории Касперского». Адрес сайта обновлений автоматически определить из списка, включенного в состав компонента kav4lms-keepup2date.

Для реализации поставленной задачи выполните следующие действия:

Присвойте параметру UseUpdateServerUrl секции [updater.options] значение No.

Пример: настроить получение обновлений баз антивируса с адреса, указанного администратором. Если са невозможно, прервать процесс обновления.

Для реализации поставленной задачи выполните следующие действия:

Присвоите параметрам UseUpdateServerUrl и UseUpdateServerUrlOnly cекции [updater.options] значение Yes. Кро-

ме того, параметр UpdateServerUrl должен содержать адрес сервера обновлений.

Пример: настроить получение обновлений баз антивируса с адреса, указанного администратором. Если проведение обновлений са невозможно, обновить базы с адреса, указанного в списке встроенного в Антивирус Касперского списка обновлений.

Для реализации поставленной задачи выполните следующие действия:

Присвоите параметру UseUpdateServerUrl секции [updater.options] значение Yes, а параметру UseUpdateServerUrlOnly значение No. Кроме того, параметр UpdateServerUrl должен содержать адрес сервера обновлений.

проведение обновлений с данного адре-

с данного адре-

7.2. Обновление по требованию

В любой момент времени вы можете запустить обновление баз антивируса из командной строки с помощью команды:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date

Пример: запустить обновление баз антивируса, сохранив результаты работы в файле /tmp/updatesreport.log.

Для реализации поставленной задачи в командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \ /tmp/updatesreport.log

Если вам необходимо обновить базы антивируса на нескольких компьютерах, удобнее вместо многократного получения баз

через интернет получить

Page 84

Антивирус Касперского 5.6 для Linux Mail Server

базы с серверов обновлений один раз, записать их в некоторый сетевой каталог, а затем обновлять базы из этого каталога.

Пример: организовать обновление баз антивируса из сетевого каталога ftp://10.10.10.1/home/bases, а если этот каталог недоступен или пуст,

проводить обновление баз c серверов «Лаборатории Касперского». Результаты работы вывести в файл отчета report.txt.

Для реализации поставленной

1. В конфигурационном файле приложения задайте соответствующие значения для параметров:

[updater.options]

UpdateServerUrl=ftp://10.10.10.1/home/bases

UseUpdateServerUrl=yes

UseUpdateServerUrlOnly=no

2. В командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \ /tmp/report.txt

задачи выполните следующие действия:

7.3. Обновление из сетевой директории

Для того чтобы обновления баз антивируса из сетевого каталога проходили корректно, вам необходимо создать в этом каталоге файловую структуру, аналогичную структуре серверов обновлений «Лаборатории Касперского». Рассмотрим реализацию этой задачи подробнее.

Пример: создать роваться на локальные компьютеры сети.

Для реализации поставленной задачи выполните следующие действия:

1. Создайте локальный каталог.

2. Запустите компонент kav4lms-keepup2date следующим образом:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -u <dir>

где <dir> - полный путь к созданному каталогу.

3. Предоставьте для локальных компьютеров сетевой доступ на чтение к данному каталогу.

сетевой каталог, откуда базы антивируса будут копи-

Page 85

Обновление баз антивируса 85

Пример: настроить обновление баз антивируса через прокси-сервер.

Для реализации поставленной задачи выполните следующие действия:

секции [updater.options] конфигурационного файла присвойте

1. В параметру UseProxy значение Yes.

2. Убедитесь, что параметр ProxyAddress в секции [updater.options]

конфигурационного файла содержит адрес прокси-сервера. Адрес должен быть задан в формате:

http://username:password@ip_address:port. При этом значения ip_address и port являются обязательными, а username и password задаются только в случае, если необходима

аутентификация на прокси-сервере.

или:

1. В секции параметру UseProxy значение Yes.

2. Задайте переменную окружения http_proxy в формате

http://username:password@ip_address:port. Обратите внимание, что переменная будет учитываться только в том случае, если параметр UseProxy секции [updater.options] отсутствует или имеет значение Yes.

[updater.options] конфигурационного файла присвойте

Page 86

ГЛАВА 8. УПРАВЛЕНИЕ

КЛЮЧАМИ

Ключ дает вам право на использование приложения и содержит всю необходимую информацию, связанную с лицензией, которую вы приобрели, такую как: тип лицензии, дата окончания срока действия лицензии, информацию о дистрибьюторах и т.д.

Помимо прав на использование приложения в течение срока действия ключа вы приобретаете следующие возможности

• круглосуточную техническую поддержку;

• ежечасное обновление баз антивируса;

• обновление приложения (patch);

• получение новых версий приложения (upgrade);

• своевременное информирование о новых вирусах.

По окончании срока действия ключа вы автоматически лишаетесь приведенных выше возможностей. Антивирус Касперского по-прежнему будет осуществлять обработку сообщений, но только с использованием баз антивируса, новления баз антивируса будет не доступна. При получении обновления баз антивируса без помощи функций приложения базы могут быть выпущены позже даты окончания срока действия ключа. В таком случае приложение прекращает обработку сообщений, о чем записывается соответствующее уведомление в файл

Поэтому крайне важно регулярно просматривать файлы отчета, в которых приведена информация о ключе, и отслеживать дату истечения срока его действия.

Приложение реализует следующие схемы лицензирования:

актуальных на дату окончания срока действия ключа. Функция об-

отчета.

• по трафику.

Данный тип лицензирования обеспечивает защиту ежедневного трафика, в объеме, указанном в ключе. Учитывается только трафик, которому в результате проверки были clean или notchecked. В случае превышения лицензионного ограничения администратор получает уведомления о первом и последующих сообщениях, выходящих за ограничение.

• по числу защищаемых адресов.

присвоены статусы

Page 87

Управление ключами 87

Данный тип лицензирования предоставляет антивирусную защиту определенного числа почтовых адресов. Защищаемые адреса должны принадлежать доменам, заданным параметром LicensedUsersDomains в секции [kav4lms:server.settings] конфигурационного файла kav4lms.conf, и адресам, принадлежащим серверу, на котором запущено приложение.

Лицензируемые домены могут быть заданы:

o строкой;

o выражением, содержащим символы обобщения (синтаксис

UNIX);

o регулярными выражениями (синтаксис POSIX).

Внимание!

Регулярные выражения нечувствительны к регистру.

Если число почтовых адресов в заданном домене превышает лицензионное ограничение, администратору будет предложено приобрести ключи для дополнительного числа адресов.

8.1. Просмотр лицензионной информации

В составе Антивируса Касперского предусмотрен специальный компонент kav4lms-licensemanager, позволяющий вам просматривать не только более полную информацию о ключах, но и получать некоторые аналитические данные.

Вся информация может быть выведена на экран терминала.

Чтобы просмотреть информацию обо всех ключах, в командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager -s

На экран будет выведена информация подобного рода:

Kaspersky license manager for Linux. Version

5.6/RELEASE #68

Portions Copyright (C) Lan Crypto

License info:

Page 88

Антивирус Касперского 5.6 для Linux Mail Server

Product name: Kaspersky Anti-Virus BO for SendMail / Qmail / Postfix Milter API International Edition. 1014 MailAddress 1 month Beta Licence

Expiration date: 01-09-2007, expires in 28 days

Active key info:

Key file: 00BEA0DB.key

Install date: 02-08-2007

Product name: Kaspersky Anti-Virus BO for SendMail / Qmail / Postfix Milter API International Edition. 10-14 MailAddress 1 month Beta Licence

Creation date: 02-02-2007

Expiration date: 03-03-2008

Serial: 0038-000413-00BEA0DB

Type: Beta

Count: 10

Lifespan: 30

Objs: 7:10

Параметр Objs представляет собой число объектов лицензирования. Его значение состоит из частей <тип_объектов>:<число_объектов>. Часть <тип_объектов> может принимать следующие значения:

o 3 – схема лицензирования по трафику;

o 7 – схема лицензирования по числу адресов.

Часть <число_объектов> имеет то же значение, что и

параметр

Count.

Чтобы просмотреть информацию о конкретном ключе, в командной строке введите такую строку:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-k <key filename>

где <имя_ключа> - имя файла ключа, например, 0003D3EA.key.

На экран будет выведена информация подобного рода:

Kaspersky license manager for Linux. Version

5.6/RELEASE #68

Portions Copyright (C) Lan Crypto

Page 89

Управление ключами 89

Product name: Kaspersky Anti-Virus BO for SendMail / Qmail / Postfix Milter API International Edition. 10-14 MailAddress 1 month Beta Licence

Creation date: 02-02-2007

Expiration date: 03-03-2008

Serial: 0038-000413-00BEA0DB

Type: Beta

Count: 10

Lifespan: 30

Objs: 7:10

8.2. Продление срока действия ключа

Продление срока действия ключа на использование Антивируса Касперского дает вам право на восстановление полной функциональности приложения – обновления баз антивируса. Кроме того, возобновляются дополнительные услуги, приведенные в п. 1.3 на стр. 10.

Срок действия ключа зависит от схемы лицензирования, который вы выбрали, приобретая приложение.

Чтобы продлить срок действия ключа на Касперского, вам необходимо:

связаться с компанией, у которой вы купили приложение, и приобрести продление лицензии на использование Антивируса Касперского,

или:

продлить срок действия ключа непосредственно в «Лаборатории Касперского», написав в Отдел продаж (sales@kaspersky.com нив соответствующую форму на нашем сайте (www.kaspersky.ru деле Продукты Æ Продлить лицензию. По факту оплаты вам будет отправлен лицензионный ключ по электронной почте, адрес которой был указан вами в форме заказа.

использование Антивируса

) или запол-

) в раз-

Примечание

Регулярно «Лаборатория Касперского» проводит акции, позволяющие продлить лицензии на использование наших приложений со значительными скидками. Следите за акциями на сайте «Лаборатории Касперского» деле Продукты Æ Акции и спецпредложения.

Приобретенный ключ необходимо установить.

в раз-

Page 90

Антивирус Касперского 5.6 для Linux Mail Server

Чтобы установить новый ключ, в командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-a <путь_к_файлу_ключа>

После этого рекомендуем вам обновить базы антивируса (см. Глава 7 на стр. 81).

Чтобы удалить ключ, в командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-da

для удаления активного ключа,

или

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-dr

для удаления резервного ключа.

Page 91

ГЛАВА 9. ОТЧЕТЫ И

СТАТИСТИКА РАБОТЫ ПРИЛОЖЕНИЯ

9.1. Формирование отчетов

Примечание

Параметры отчетов о работе приложения содержатся в секциях [kav4lms:server.log] и [kav4lms:filter.log] конфигурационного файла

kav4lms.conf

Антивирус Каперского позволяет создавать отчеты о работе центральной службы и фильтра. Результаты их работы могут сохраняться в системном журнале или файле отчета. Место хранения отчета назначается параметром Destination, который может принимать следующие значения:

• syslog:<имя>@<категория> – отчет записывается в системный журнал. Название приложения задается аргументом <имя>, категория системного журнала задается аргументом <категория>;

• file:<log_file_path> – отчет записывается в указанный файл.

Внимание!

Не следует использовать один и тот же файл для записи отчетов центральной службы приложения и фильтра, так как только один процесс может иметь доступ к файлу.

Категория и уровень детализации записываемой информации задается параметром Options. Значение данного параметра состоит из двух частей, разделенных точкой:

1. Категория функциональности приложения, отчет о которой собирается. Возможен выбор следующих значений:

• all – все аспекты функциональности приложения;

• config – сообщения, относящиеся к конфигурации приложения;

• app – сообщения, относящиеся к внутренней логике

приложения;

работы

Page 92

Антивирус Касперского 5.6 для Linux Mail Server

• scan – сообщения о статусе проверки и действиях в ее резуль-

тате;

• cfilter – сообщения о статусе фильтрации и действиях в ее ре-

зультате;

• backup – сообщения, касающиеся резервного копирования;

• notif – сообщения, относящиеся к отправке уведомлений;

• admin – сообщения, относящиеся к управлению приложением

(например, выполнению команд SNMP);

• smtp – сообщения

об обмене информацией между приложени-

ем и почтовой системой.

2. Уровень детализации, который представляет собой важность записываемой информации. Описание возможных способов задания уровня детализации приведено в таблице ниже.

Обозначение уровня

0, F

1, E

Название уровня

fatal

error

Описание

Информация только о критических ошибках (ошибках, которые приводят к завершению работы приложения из-за невозможности выполнения каких-либо действий). Например, компонент заражен или произошла ошибка при проверке, загрузке баз и ключей. В файле отчета сообщения о критических ошибках отмечаются символом F.

Информация о прочих ошибках, в том числе и не приводящих к завершению работы компонентов; например, информация об ошибке проверки объекта. В файле отчета сообщения о некритических ошибках отмечаются символом E.

Page 93

Отчеты и статистика работы приложения 93

Обозначение уровня

2, W

3, I

4, A

9, D

Название уровня

warning

info

activity

debug

Описание

Информация об ошибках, которые могут привести к завершению работы продукта (например, информация об отсутствии свободного места на диске или истечении срока действия ключа). В файле отчета сообщения о таких ошибках отмечаются символом W.

Важные сообщения информационного характера, например: информация о том, запущен ли компонент, путь к конфигурационному файлу, информация о базах антивируса, о ключах, результирующая статистика. В файле отчета информационные сообщения отмечаются символом I.

Сообщения о текущей активности приложения (например, имя проверяемого файла). В файле отчета сообщения об активности приложения отмечаются символом A.

Сообщения с отладочной информацией. В файле отчета отладочная информация отмечаются символом

Пример:

[kav4lms:server.log]

Options = backup.all, config.error, scan.all, -scan.debug

Options = backup.all, config.E, scan.all, -scan.9

Данные значения параметра Options включают запись сообщений о резервном копировании и антивирусной проверке на всех уровнях детализации, сообщений об ошибках в конфигурации приложения и отключают запись отладочной информации об антивирусной проверке. Второй пример демонстрирует другой вариант записи настроек отчета приложения.

Page 94

Антивирус Касперского 5.6 для Linux Mail Server

Внимание!

Уровни детализации не включают предыдущие (более низкие) уровни. Для выбора нескольких уровней детализации все они должны быть перечислены.

Для предотвращения чрезмерного роста файлов отчета можно включить режим ротации файла отчета. Для этого необходимо установить параметры RotateSize и RotateRounds в ненулевые значения.

Если ротация файла отчета включена, то он растет в размере, пока не достигнет значения параметра RotateSize. Затем к имени файла отчета добавляется суффикс «.1». Если файл с создаются файлы с суффиксами «.2», «.3» и так далее. Количество файлов увеличивается до тех пор, пока значение суффикса не достигнет значения параметра RotateRounds. По достижении этого значения снова используется файл с суффиксом «.1».

таким суффиксом уже существует,

9.2. Статистика работы приложения

Примечание

Параметры сбора статистики о работе приложения находятся в секции [kav4lms:server.statistics] главного конфигурационного файла приложения.

Во время работы приложения идет сбор статистики двух типов:

• общая, которая собирается время от времени и отражает общую активность приложения;

• детализированная статистика, которая собирается по каждому обработанному сообщению.

Тип статистики задается параметром Options, возможные значения которого приведены в таблице ниже.

Page 95

Отчеты и статистика работы приложения 95

Категория статистики

Сообщения

Системные ресурсы

Обнаруженные угрозы

Фильтрация

Значение параметра

Options

messages

resources

viruses

filters

Собираемая информация

Число входящих сообщений; число проверенных сообщений; число сообщений со статусом protected; число сообщений со статусом infected; число сообщений со статусом error; cредний размер сообщения (в байтах); среднее время проверки одного сообщения (в миллисекундах)

Время, прошедшее с последнего запроса статистики (в секундах); общий объем трафика (в килобайтах); общая загрузка процессора пользовательскими приложениями; общая загрузка процессора системными службами

10 последних обнаруженных угроз; 10 IP-адресов, с которых поступило наибольшее число угроз

Число сообщений, отфильтрованных по MIME-типу; число сообщений, отфильтрованных по имени вложений; число сообщений, отфильтрованных по размеру вложений; число сообщений, отфильтрованных по имени обнаруженной угрозы

Все категории

Детальная статистика

all

raw

Все вышеприведенные категории

Подробная статистика по каждому сообщению

Сбор статистики от-

none

ключен

Если параметр Options установлен в значение none, статистика не формируется.

Page 96

Антивирус Касперского 5.6 для Linux Mail Server

Примеры.

Для формирования общей статистики по всем категориям (сообщения, системные ресурсы, угрозы, фильтрация) установите параметр Options в следующее значение:

Options = all

Для формирования общей статистики по всем категориям, а также детализированной статистики по каждому сообщению, установите параметр Options в следующее значение:

Options = all, raw

Для формирования только детализированной статистики установите пара-

Options в следующее значение.

метр

Options = none, raw

Внимание!

Установка параметра Options в значение all не включает сбор детализированной статистики! Данный режим должен быть задан явно.

Пример записи в файле raw-статистики:

1210247100 1208 from@exmaple.com rcpt@example.com infected EICAR-Test-File 127.0.0.1 1Ju4YW-000Du9-0U Default

Где:

• 1210247100 – время обработки сообщения в формате UNIX;

• 1208 – размер сообщения;

• from@example.com – адрес отправителя сообщения;

• rcpt@example.com – адрес получателя сообщения;

• infected – статус, присвоенный сообщению по результатам провер-

ки;

• EICAR-Test-File – имя обнаруженной в сообщении угрозы;

• 127.0.0.1 – IP-адрес, с которого было отправлено сообщение;

• 1Ju4YW-000Du9-0U – идентификатор сообщения в очереди почто

вой системы;

• Default – имя группы, с параметрами которой сообщение было обработано.

Page 97

Отчеты и статистика работы приложения 97

Для записи собранной статистической информации в файл выполните следующую команду:

# /opt/kaspersky/kav4lms/bin/kav4lms-cmd -m statistics -x \ write

Запуск данной команды также обновляет информацию в существующем файле статистики.

Для сброса значений внутренних счетчиков статистики выполните следующую команду:

# /opt/kaspersky/kav4lms/bin/kav4lms-cmd -m statistics -x \ reset

Примечание

После сброса счетчиков файл статистики должен быть перезаписан.

Общая статистика сохраняется в файл, заданный параметром Destination. Детализированная статистика собирается в файл, заданный параметром RawDestination. Эти файлы могут быть двух форматов:

• txt-файл;

• xml-файл.

Формат файлов статистики задается параметром Format.

Внимание!

Если различным частям сообщения в результате проверки были присвоены разные статусы, то данное сообщение будет учтено

всеми соответствующими счетчиками. Таким образом, сумма всех счетчиков может не показать общее число проверенных сообщений.

Например, если сообщение содержит три вложения: зараженное, защищенное паролем и типа application/msword, то такое сообщение будет учтено счетчиками:

• total_messages;

• scanned_messages;

• protected_messages;

• infected_messages;

• filtered_mime.

Page 98

ГЛАВА 10. ДОПОЛНИТЕЛЬНЫЕ

НАСТРОЙКИ

10.1. Контроль состояния защиты с

помощью протокола SNMP

Приложение предоставляет доступ только на чтение к следующей информации по протоколу SNMP:

• конфигурация приложения – информация по всем параметрам всех секций конфигурационных файлов (включая файлы, описывающие группы);

• статистика работы – статистическая информация по работе приложения (если приложение настроено на сбор статистики, подробнее см. п. 9.2 на стр. 94).

Примечание

Приложение работает с мастер-агентами, поддерживающими протокол SNMP v1, v2 и v3. Обратите внимание, что приложение отправляет ловушки

версии 2, и приемник ловушек должен быть настроен соответственно.

Для определения информации, доступной по протоколу SNMP, служит параметр SNMPServices, расположенный в секции [kav4lms:server.snmp] конфигурационного файла kav4lms.conf. Возможны следующие значения данного параметра:

• сonfig – информация о конфигурации приложения;

• statistics – статистика работы приложения; (см. п. 9.2 на стр. 94);

• admin – административная информация, к которой относятся:

• Status.StartedOn – дата запуска приложения в формате ISO

8601;

• Status.UpTime – время в секундах, прошедшее с момента запуска приложения.

• update – информация об обновлении приложения, к которой относятся:

Page 99

Дополнительные настройки 99

• Last.Checked – дата последней проверки наличия обновлений

в формате ISO 8601;

• Last.Result – статус последнего обновления:

o updated – обновление прошло успешно;

o not-needed – обновление завершилось корректно, но но-

вые файлы не были загружены;

o error – обновление завершилось с ошибкой;

o rolled-back – обновление прошло успешно, но в связи с

тем, что новые базы оказались

поврежденными, был со-

вершен откат к использованию предыдущей версии баз антивируса;

o unknown – статус не может быть определен;

o Current.Loaded – дата последнего успешного обновления

в формате ISO 8601;

o Current.Records – общее количество записей в исполь-

зуемых базах антивируса;

o Current.Released – дата выпуска обновления, используе-

мого приложением.

• all – вся перечисленная выше информация;

• none – не предоставлять информацию по протоколу SNMP.

Для реализации взаимодействия по протоколу SNMP в Антивирусе Касперского применяется SNMP-cубагент, использующий в свою очередь протокол AgentX для связи с мастер-агентом SNMP. Параметры протокола AgentX:

• Socket – определяет сокет взаимодействия; допускается использование локального и сетевого сокета. Например:

Socket=local:/var/agentx/master

или

Socket=inet:705@127.0.0.1

Page 100

Антивирус Касперского 5.6 для Linux Mail Server

100

Внимание!

При использовании локального сокета удостоверьтесь, что мастер-агент имеет доступ к этому сокету. Для этого необходимо внести изменения в значения параметров RunAsUser и RunAsGroup, в права доступа к сокету и файлам данных, используемых мастер-агентом. Если мастер-агент запускается на одном компьютере с центральной службой приложения, то необходимо

внести аналогичные изменения в права доступа центральной служ-

бы.

• Timeout – тайм-аут (в секундах) на отправку запроса мастерагенту. Значение по умолчанию 5.

• Retries – количество попыток отправки запроса мастер-агенту. Значение по умолчанию 10. Если параметр не задан, используется значение 5.

Внимание!

Число попыток отправки запроса может отличаться от заданного значения Retries. Это происходит из-за

активности утилиты watchdog и

не является ошибкой.

• PingInterval – интервал (в секундах), с которым субагент будет пытаться подключиться к мастер-агенту в случае разрыва соединения.

В качестве мастер-агента допускается использование любого агента, поддерживающего протокол AgentX. В данном разделе рассматривается пример использования агента NET-SNMP. Взаимодействие осуществляется через локальный сокет.

Внимание!

Для корректного взаимодействия с приложением

по протоколу AgentX ре-

комендуется использовать агент NET-SNMP версии 5.1.2 и выше, а также любой другой тип мастер-агента, соответствующий требованиям стандарта.

Для настройки агента необходимо выполнить следующие шаги:

1. Изменить конфигурационный файл snmpd.conf, добавив следующие строчки:

master agentx

AgentXSocket /var/agentx/master

AgentXPerms 770 770 root kluser

rocommunity public localhost

trapsink localhost