KASPERSKY Anti-Virus Linux Mail Servers 5.6 User Manual [de]

Download

Page 1

KASPERSKY LAB

Kaspersky Anti-Virus 5.6 for Linux Mail Server

HANDBUCH FÜR

ADMINISTRATOREN

Page 2

KASPERSKY A N TI-VI R U S 5. 6 FOR L I N UX MA I L SERV E R

Handbuch für

Administratoren

 Kaspersky Lab

http://www.kaspersky.com/de

Version: November 2008

Page 3

Inhalt

KAPITEL 1. VORWORT .................................................................................................. 7

1.1. Neuerungen ........................................................................................................... 8

1.2. Hardware- und Softwarevoraussetzungen ........................................................... 9

1.3. Service für registrierte Benutzer .......................................................................... 10

KAPITEL 2. KOMPONENTEN UND ALGORITHMUS DER

ANWENDUNGSARBEIT ............................................................................................... 12

KAPITEL 3. INSTALLATION UND DEINSTALLATION ............................................... 15

3.1. Installation der Anwendung auf einem Linux-Server ......................................... 15

3.2. Installation der Anwendung auf einem FreeBSD-Server ................................... 16

3.3. Anordnungsschema der Anwendungsdateien ................................................... 17

3.3.1. Anordnungsschema der Dateien auf einem Linux-Server .......................... 17

3.3.2. Anordnungsschema der Dateien auf einem FreeBSD-Server ................... 19

3.4. Konfiguration nach der Installation ...................................................................... 21

3.5. Erlaubnisregeln in den Systemen SELinux und AppArmor anpassen .............. 24

3.6. Installation des webmin-Moduls zur Verwaltung von Kaspersky Anti-Virus...... 26

3.7. Deinstallation der Anwendung ............................................................................ 28

KAPITEL 4. INTEGRATION IN EIN MAILSYSTEM ..................................................... 30

4.1. Integration in das Mailsystem Exim .................................................................... 31

4.1.1. Post-queue Integration durch verändertes Routing .................................... 31

4.1.2. Pre-queue Integration unter Verwendung einer dynamisch geladenen

Bibliothek ...................................................................................................... 34

4.2. Integration in das Mailsystem Postfix ................................................................. 37

4.2.1. Post-queue integration ................................................................................. 37

4.2.2. Pre-queue integration ................................................................................... 39

4.2.3. Integration mit Milter ..................................................................................... 42

4.3. Integration in das Mailsystem qmail .................................................................... 43

4.4. Integration in das Mailsystem Sendmail ............................................................. 45

4.4.1. Integration mit Hilfe der .cf-Datei .................................................................. 46

4.4.2. Integration mit Hilfe der Datei .mc ................................................................ 47

Page 4

Kaspersky Anti-Virus 5.6 for Linux Mail Server

KAPITEL 5. ANTIVIREN-SCHUTZ FÜR E-MAILS ...................................................... 48

5.1. Gruppen erstellen ................................................................................................ 48

5.2. Richtlinie für die E-Mail-Untersuchung definieren .............................................. 50

5.3. Modus für die E-Mail-Untersuchung ................................................................... 51

5.3.1. Antiviren-Untersuchung ................................................................................ 52

5.3.2. E-Mail-Filterung ............................................................................................. 53

5.4. Aktionen für Objekte ............................................................................................ 55

5.5. Vordefinierte Schutzprofile .................................................................................. 56

5.5.1. Empfohlenes Schutzprofil ............................................................................. 57

5.5.2. Profil für maximale Sicherheit ....................................................................... 57

5.5.3. Profil für maximales Tempo ......................................................................... 58

5.6. Sicherungskopien von E-Mails ........................................................................... 59

5.7. Benachrichtigungen ............................................................................................. 60

5.7.1. Benachrichtigungen anpassen..................................................................... 61

5.7.2. Benachrichtigungsvorlagen .......................................................................... 63

5.7.3. Eigene Benachrichtigungsvorlagen erstellen .............................................. 66

KAPITEL 6. ANTIVIREN-SCHUTZ FÜR DATEISYSTEME ........................................ 75

6.1. Untersuchungsbereich ........................................................................................ 76

6.2. Modus zur Untersuchung und Desinfektion von Objekten ................................ 77

6.3. Aktionen für Objekte ............................................................................................ 78

6.4. Verzeichnis auf Befehl scannen ......................................................................... 79

6.5. Untersuchung nach Zeitplan ............................................................................... 80

6.6. Benachrichtigungen an den Administrator senden ............................................ 80

KAPITEL 7. UPDATE DER ANTIVIREN-DATENBANKEN ......................................... 82

7.1. Automatisches Update ........................................................................................ 83

7.2. Update auf Befehl ................................................................................................ 84

7.3. Update aus einem Netzwerkordner .................................................................... 85

KAPITEL 8. SCHLÜSSELVERWALTUNG ................................................................... 87

8.1. Lizenzinformationen anzeigen ............................................................................ 88

8.2. Gültigkeitsdauer des Schlüssels verlängern ...................................................... 90

KAPITEL 9. BERICHTE UND STATISTIK ÜBER DIE ANWENDUNGSARBEIT ...... 92

9.1. Berichte erstellen ................................................................................................. 92

9.2. Statistik über die Anwendungsarbeit .................................................................. 95

Page 5

Inhalt

KAPITEL 10. ERWEITERTE EINSTELLUNGEN....................................................... 100

10.1. Schutzstatus mit Hilfe des SNMP-Protokolls kontrollieren ............................ 100

10.2. Konfigurationsskript der Anwendung verwenden .......................................... 105

10.3. Anwendung aus der Befehlszeile verwalten .................................................. 107

10.4. Zusätzliche Infofelder für E-Mails .................................................................... 108

10.5. Format der Datums- und Zeitanzeige lokalisieren ......................................... 110

KAPITEL 11. FUNKTION DER ANWENDUNG TESTEN ......................................... 111

ANHANG A. HILFE-INFORMATIONEN ..................................................................... 113

A.1. Konfigurationsdatei der Anwendung kav4lms.conf ......................................... 113

A.1.1. Abschnitt [kav4lms:server.settings] ........................................................... 113

A.1.2. Abschnitt [kav4lms:server.log] ................................................................... 116

A.1.3. Abschnitt [kav4lms:server.statistics] .......................................................... 117

A.1.4. Abschnitt [kav4lms:server.snmp] ............................................................... 118

A.1.5. Abschnitt [kav4lms:server.notifications] ..................................................... 120

A.1.6. Abschnitt [kav4lms:filter.settings] ............................................................... 122

A.1.7. Abschnitt [kav4lms:filter.log] ....................................................................... 125

A.1.8. Abschnitt [kav4lms:groups] ........................................................................ 126

A.1.9. Abschnitt [path] ........................................................................................... 126

A.1.10. Abschnitt [locale] ...................................................................................... 127

A.1.11. Abschnitt [options] .................................................................................... 128

A.1.12. Abschnitt [updater.path] ........................................................................... 128

A.1.13. Abschnitt [updater.options] ...................................................................... 129

A.1.14. Abschnitt [updater.report] ......................................................................... 130

A.1.15. Abschnitt [updater.actions] ....................................................................... 131

A.1.16. Abschnitt [scanner.display] ...................................................................... 132

A.1.17. Abschnitt [scanner.options] ...................................................................... 133

A.1.18. Abschnitt [scanner.report] ........................................................................ 136

A.1.19. Abschnitt [scanner.container] .................................................................. 137

A.1.20. Abschnitt [scanner.object] ........................................................................ 138

A.1.21. Abschnitt [scanner.path] .......................................................................... 139

A.2. Konfigurationsdatei einer Gruppe ..................................................................... 140

A.2.1. Abschnitt [kav4lms:groups.<Gruppenname>.definition] ........................... 140

A.2.2. Abschnitt [kav4lms:groups.<Gruppenname>.settings] ............................. 141

A.2.3. Abschnitt [kav4lms:groups.<Gruppenname>.actions] .............................. 144

A.2.4. Abschnitt [kav4lms:groups.<Gruppenname>.contentfiltering] .................. 145

Page 6

Kaspersky Anti-Virus 5.6 for Linux Mail Server

A.2.5. Abschnitt [kav4lms:groups.<Gruppenname>.notifications] ...................... 148

A.2.6. Abschnitt [kav4lms:groups.<Gruppenname>.backup] ............................. 151

A.3. Befehlszeilenschlüssel der Komponente kav4lms-licensemanager ............... 151

A.4. Rückgabecodes der Komponente kav4lms-licensemanager ......................... 153

A.5. Befehlszeilenschlüssel der Komponente kav4lms-keepup2date .................... 154

A.6. Rückgabecodes der Komponente kav4lms-keepup2date .............................. 156

ANHANG B. KASPERSKY LAB .................................................................................. 157

B.1. Andere Produkte von Kaspersky Lab .............................................................. 158

B.2. Kontaktinformationen ........................................................................................ 170

ANHANG C. SOFTWARE ANDERER HERSTELLER .............................................. 171

C.1. Bibliothek Pcre .................................................................................................. 171

C.2. Bibliothek Expat ................................................................................................ 172

C.3. Bibliothek AgentX++v1.4.16 ............................................................................. 172

C.4. Bibliothek Agent++v3.5.28a ............................................................................. 179

C.5. Bibliothek Boost v 1.0 ....................................................................................... 180

C.6. Bibliothek Milter ................................................................................................. 181

C.7. Bibliothek libkavexim.so .................................................................................... 183

Page 7

KAPITEL 1. VORWORT

Kaspersky Anti-Virus® 5.6 for Linux Mail Server (im Folgenden Kaspersky

Anti-Virus oder Anwendung genannt) dient dem Antiviren-Schutz des Datenverkehrs und der Dateisysteme von Servern, die mit den Betriebssystemen Linux oder FreeBSD arbeiten und die Mailprogramme Sendmail, Postfix, qmail oder Exim verwenden.

Die Anwendung erlaubt:

 Virenuntersuchung der Dateisysteme des Servers sowie der eingehen-

den und ausgehenden E-Mails.

 Erkennen von infizierten, verdächtigen und kennwortgeschützten Objek-

te sowie von Objekten, deren Untersuchung nicht möglich ist.

 Neutralisierung der in Dateien und E-Mails gefundenen Bedrohungen.

Desinfektion von infizierten Objekten.

 Anlegen von Sicherungskopien der infizierten Objekte vor der Antiviren-

Verarbeitung und Filterung. Wiederherstellung von E-Mails aus Sicherungskopien.

 Verarbeitung von E-Mails entsprechend der Regeln, die für Absender-

und Empfängergruppen festgelegt wurden.

 E-Mail-Filterung nach Name, Typ und Größe des Anhangs.  Benachrichtigung von Absendern, Empfängern und Administrator über

den Fund von Nachrichten, die infizierte, verdächtige, kennwortge- schützte oder nicht untersuchbare Objekte enthalten.

 Erstellen einer Statistik und von Berichten über die Arbeitsergebnisse.  Aktualisierung der Antiviren-Datenbanken von den Kaspersky-Lab-

Updateservern nach Zeitplan oder auf Befehl. Die Datenbanken werden zur Suche und Desinfektion infizierter Dateien

verwendet. Auf Basis der in den Datenbanken enthaltenen Einträge wird bei der Untersuchung jede Datei auf das Vorhandensein von Viren analysiert: Der Dateicode wird mit dem Code, der für bestimmte Bedrohungen charakteristisch ist, verglichen.

 Konfiguration und Verwaltung der Anwendung entweder lokal (durch

Standardwerkzeuge des Betriebssystems mit Hilfe von Befehlszeilenparametern, Signalen und einer modifizierten Konfigurationsdatei für die Anwendung) oder ferngesteuert über das Webinterface des Programms Webmin.

Page 8

Kaspersky Anti-Virus 5.6 for Linux Mail Server

 Empfang von Konfigurationsinformationen und einer Statistik über die

Anwendungsarbeit nach dem SNMP-Protokoll, sowie Anpassen der Anwendung zum Senden von SNMP-Traps beim Eintreten bestimmter Ereignisse.

1.1. Neuerungen

Kaspersky Anti-Virus 5.6 for Linux Mail Server verbindet die Funktionalität der beiden Anwendungen Kaspersky Anti-Virus 5.5 for Linux and FreeBSD Mail Server und Kaspersky Anti-Virus 5.6 for Sendmail with Milter API, und bietet folgende zusätzlichen Möglichkeiten:

 Für das Mailsystem Exim wird sowohl die pre-queue als auch die post-

queue Integration unterstützt. Bei der pre-queue Integration werden die E- Mails zur Untersuchung übergeben, bevor sie in die Warteschlange des Mailsystems gestellt werden, bei der post-queue Integration nach der Aufnahme in die Warteschlange des Mailsystems. Ein Prozess zur automatischen Integration mit Hilfe eines Konfigurationsskripts der Anwendung wurde realisiert. Eine ausführliche Beschreibung des Integrationsprozesses finden Sie in Kapitel 4 auf S. 30.

 Erweiterte Möglichkeiten zum Anpassen der E-Mail-Untersuchung: Es

stehen zwei Untersuchungsmethoden zur Verfügung: Eine Nachricht

kann als einheitliches Objekt oder als Kombination von Objekten untersucht werden – zuerst wie ein einzelnes Objekt und anschließend "in ihren Bestandteilen". Die Methoden unterscheiden sich im Hinblick auf das Schutzniveau. Ausführliche Informationen finden Sie in Pkt. 5.2 auf S. 50.

 Das Vorgehen zum Anpassen der Anwendung wurde verändert: Jetzt be-

steht eine Möglichkeit zum Anpassen einzelner Absender- und Empfän- gergruppen. Ausführliche Informationen zum Anpassen der Gruppen fin-

den Sie in Pkt. 5.1 auf S. 48.

 Die Liste der Aktionen, die mit E-Mails ausgeführt werden, wurde erwei-

tert: Eine Aktion, die von der in einem Objekt gefundenen Bedrohung abhängt, wurde hinzugefügt. Ausführliche Informationen zu den Aktionen der Anwendung finden Sie in Pkt. 5.4 auf S. 55.

 Die Möglichkeiten zur E-Mail-Filterung wurden erweitert: Es wurden Krite-

rien für die Filterung nach der Größe des Attachments hinzugefügt. Aus- führliche Informationen zum Anpassen der E-Mail-Filterung finden Sie in

Pkt. 5.3.2 auf S. 53.

 Die Bibliothek der Benachrichtigungsvorlagen wurde erweitert: Es wurden

Vorlagen zur Benachrichtigung des Administrators hinzugefügt. Die Benachrichtigungsvorlagen befinden sich in einem speziellen Ordner.

Page 9

Vorwort 9

 Die Möglichkeit, infizierte Objekte in die Quarantäne zu verschieben, wird

nicht unterstützt.

 Die Möglichkeiten zum Anlegen von Sicherungskopien von E-Mails wur-

den erweitert: Für jede Kopie kann jetzt eine Infodatei erstellt werden. Ausführliche Informationen zum Anpassen der Backup-Funktion für EMails finden Sie in Pkt. 5.6 auf S. 59.

 Die Möglichkeit zum Anpassen der Ausführlichkeit von Anwendungsbe-

richten wurde erweitert. Ausführliche Informationen zum Anpassen der Anwendungsberichte finden Sie in Pkt. 9.1 auf S. 92.

 Ein neuer Typ statistischer Informationen wurde hinzugefügt: eine detail-

lierte Statistik über jede Nachricht. Ausführliche Informationen zum An- passen der Statistik über die Anwendungsarbeit finden Sie in Pkt. 9.2 auf

S. 95.

 Nun gibt es eine Möglichkeit zur Abfrage von Status, Konfiguration und

anderen Aspekten der Anwendungsarbeit mit Hilfe von SNMP-Anfragen und SNMP-Traps. Ausführliche Informationen finden Sie in Pkt. 10.1 auf S. 100.

 Der Lieferumfang der Anwendung wurde durch ein Werkzeug für die

Verwaltung der Anwendung aus der Befehlszeile erweitert. Ausführliche Informationen zu diesem Werkzeug finden Sie in Pkt. 10.3 auf S. 107.

1.2. Hardware- und

Softwarevoraussetzungen

Für die Arbeit von Kaspersky Anti-Virus sind folgende Systemvoraussetzungen erforderlich:

 Hardwarevoraussetzungen für einen Mailserver, der ca. 200 MB Daten-

verkehr pro Tag unterstützt:

 Prozessor Intel Pentium IV, 3 GHz oder höher  1 GB Arbeitsspeicher  200 MB freier Platz auf der Festplatte (Dazu kommt entsprechen-

der Platz, der zum Speichern von E-Mail-Sicherungskopien erforderlich ist).

 Softwarevoraussetzungen:

 Eines der folgenden 32-Bit-Betriebssysteme:

o Red Hat Enterprise Linux Server 5.2

Page 10

Kaspersky Anti-Virus 5.6 for Linux Mail Server

o Fedora 9 o SUSE Linux Enterprise Server 10 SP2 o openSUSE 11.0 o Debian GNU/Linux 4.0 r4 o Mandriva Corporate Server 4.0 o Ubuntu 8.04.1 Server Edition o FreeBSD 6.3, 7.0

 Eines der folgenden 64-Bit-Betriebssysteme:

o Red Hat Enterprise Linux Server 5.2 o Fedora 9 o SUSE Linux Enterprise Server 10 SP2 o openSUSE Linux 11.0

 Eines der folgenden Mailsysteme: Sendmail 8.12.x oder höher,

qmail 1.03, Postfix 2.x, Exim 4.х.

 Programm Webmin (www.webmin.com), wenn geplant ist, Kas-

persky Anti-Virus fernzusteuern.

 Perl Version 5.0 oder höher (www.perl.org)

1.3. Service für registrierte Benutzer

Kaspersky Lab bietet seinen registrierten Kunden ein breites Spektrum an Serviceleistungen, die eine gesteigerte Effektivität von Kaspersky Anti-Virus ermöglichen.

Durch den Erwerb eines Schlüssels werden Sie zum registrierten Programm- benutzer und können während der Gültigkeitsdauer des Schlüssels folgende

Leistungen in Anspruch nehmen:

 Nutzung neuer Versionen des betreffenden Softwareprodukts  Beratung bei Fragen zu Installation, Konfiguration und Benutzung des

betreffenden Produkts (per Telefon und E-Mail)

 Nachrichten über das Erscheinen neuer Softwareprodukte von Kas-

persky Lab und über das Auftauchen neuer Viren (Dieser Service gilt für

Benutzer, die den Newsletter von Kaspersky Lab Ltd. abonniert haben).

Page 11

Vorwort 11

Hinweis

Die Beratung erstreckt sich nicht auf Fragen über Funktion und Benutzung von Betriebssystemen, Software anderer Hersteller und anderen Technologien.

Page 12

KAPITEL 2. KOMPONENTEN

UND ALGORITHMUS DER ANWENDUNGSARBEIT

Kaspersky Anti-Virus umfasst folgende Komponenten:

 Filter – Dienst zur Kommunikation mit einem Mailsystem. Separates

Programm, das die Interaktion von Kaspersky Anti-Virus mit einem

Mailsystem gewährleistet. Die Distribution der Anwendung enthält Module für jedes der unterstützten Mailsysteme:

 kav4lms-milter – Milter-Dienst zur Kommunikation mit den Mailsys-

temen Sendmail und Postfix Milter API.

 kav4lms-filter – SMTP-Dienst zur Kommunikation mit den Mailsys-

temen Postfix und Exim.

 kav4lms-qmail – Queue-Handler für das Mailsystem qmail.

 kavmd – Zentraler Anwendungsdienst, der Anfragen des Filters emp-

fängt und den Antiviren-Schutz des Mailverkehrs gewährleistet.

 kav4lms-kavscanner – Diese Komponente gewährleistet den Antiviren-

Schutz der Serverdateisysteme.

 kav4lms-keepup2date – Diese Komponente gewährleistet die Aktuali-

sierung der Antiviren-Datenbanken durch den Download von Updates von den Kaspersky-Lab-Updateservern oder aus einem lokalen Ordner.

 kav4lms-licensemanager – Komponente, die der Arbeit mit Schlüsseln

dient: Installation, Löschen, Anzeige von statistischen Informationen.

 kav4lms.wbm – webmin-Modul zur Remote-Verwaltung der Anwendung

mit Hilfe eines Webinterfaces (wird optional installiert). Es erlaubt das Anpassen und die Organisation des Updates für die AntivirenDatenbanken, die Anzeige von statistischen Informationen, das Festle-

gen der Aktion für Objekte abhängig von ihrem Status, die Kontrolle der

Ergebnisse der Anwendungsarbeit.

 kav4lms-cmd – Werkzeug zur Verwaltung von Anti-Virus aus der Be-

fehlszeile.

Page 13

Komponenten und Algorithmus der Anwendungsarbeit 13

Für die Untersuchung von E-Mails ist folgender Algorithmus vorgesehen:

1. Der Filter empfängt eine E-Mail vom Mailsystem. Wenn Filter und zentraler Dienst auf einem Computer laufen, werden anstatt der E-Mails die Namen der E-Mail-Dateien übermittelt.

2. Der Filter ermittelt, zu welchen Gruppen die Nachricht gehört, wählt die Gruppe mit der höchsten Priorität aus (s. Pkt. 5.1 auf S. 48) und gibt die Nachricht zur Untersuchung an den zentralen Anwendungsdienst weiter. Wenn keine passende Gruppe vorhanden ist, dann wird die Nachricht nach den Regeln der Gruppe Default verarbeitet, die zum Lieferumfang der Distribution gehört.

Der zentrale Dienst untersucht die E-Mail unter Berücksichtigung der Parameter, die von der Konfigurationsdatei der Gruppe bestimmt werden. Abhängig von der durch die Richtlinie festgelegten Methode wird die Nachricht als einheitliches Objekt oder als Kombination von Objekten untersucht – zuerst wie ein einzelnes Objekt, anschließend "in ihren Bestandteilen" (s. Pkt. 5.2 auf S. 50).

Die kombinierte Untersuchung ist ausführlicher und bietet ein höheres

Sicherheitsniveau, wobei aber die Geschwindigkeit etwas sinkt.

3. Wenn die Antiviren-Untersuchung von E-Mails festgelegt wurde (s. Pkt. 5.3 auf S. 51), wird die Nachricht vom zentralen Dienst als einheitliches Objekt untersucht. Die Aktion des zentralen Diensts ist abhängig vom Status, der auf den Untersuchungsergebnissen basiert (s. Pkt. 5.3.1 auf S. 52): Zustellung wird blockiert, Nachricht wird zurückgewiesen, übersprungen oder durch eine Warnung ersetzt, Kopfzeilen

werden verändert (s. Pkt. 5.4 auf S. 55). Wenn Bedrohungen gefunden werden, für die eine spezielle Verarbeitung festgelegt wurde (Parameter

VirusNameList), so werden die entsprechenden Aktionen ausgeführt (Parameter VirusNameAction). Die Verarbeitungsreihenfolge für eine Nachricht wird in der Konfigurationsdatei der Gruppe angegeben.

Falls in den Parametern der Gruppe festgelegt, wird vor der Verarbeitung eine Sicherungskopie der Nachricht angelegt.

4. Falls in den Parametern der Gruppe festgelegt, wird nach der Antiviren-

Verarbeitung einer Nachricht die Filterung ausgeführt. Die Filterung erfolgt nach Name, Typ und Größe des Anhangs (s.

Pkt. 5.3.2 auf S. 53). Abhängig von den Untersuchungsergebnissen werden die Aktionen, die von den Filterparametern in der Konfigurationsdatei der Gruppe bestimmt werden, ausgeführt. Verarbeitete Objekte und Objekte, die den Filterparametern entsprechen, werden zur Untersuchung "ihrer Bestandteile" weitergegeben, wenn in den Parametern der Gruppe die kombinierte Untersuchungsmethode gewählt wurde.

Page 14

Kaspersky Anti-Virus 5.6 for Linux Mail Server

5. Bei der E-Mail-Untersuchung "in Bestandteilen" wird die MIME-Struktur analysiert und zusammengesetzte Teile einer E-Mail werden verarbeitet.

Bei der Verarbeitung von Nachrichtenobjekten ist der Status, der einem

konkreten Objekt zugewiesen wird, maßgebend, nicht der Gesamtstatus

einer Nachricht. Wenn eine E-Mail als einheitliches Objekt untersucht wird und dabei als

infiziert erkannt wird, bei der Untersuchung "in Bestandteilen" aber keine Bedrohung gefunden wurde, wird auf die gesamte Nachricht die Ak-

tion, die für infizierte E-Mails vorgesehen ist (Parameter InfectedActi- on) angewandt. Dementsprechend wird, wenn die Verschachtelungstie-

fe eines an eine virenfreie Nachricht angehängten Objekts das in den Gruppenparametern festgelegte Limit übersteigt (Parameter MaxScan-

Depth), auf die gesamte Nachricht die Aktion, die für Nachrichten gilt, deren Untersuchung fehlerhaft abgeschlossen wurde (Parameter Erro- rAction), angewandt.

Bei der Verarbeitung von E-Mail-Objekten benennt der zentrale Dienst das Objekt entweder um, löscht es, ersetzt es durch eine Warnung, fügt den Kopfzeilen Informationen hinzu oder überspringt die Nachricht (s. Pkt. 5.4 auf S. 55). Infizierte Objekte werden der Desinfektion unterzogen. Falls in den Gruppenparametern festgelegt, wird vor der Verarbeitung eines Objekts eine Sicherungskopie der gesamten Nachricht angelegt (wenn diese nicht bereits vorhanden ist).

6. Nach der Untersuchung und Verarbeitung gibt der zentrale Dienst die Nachricht an den Filter weiter. Die verarbeitete Nachricht wird zusam-

men mit Benachrichtigungen über die Ergebnisse der Untersuchung

und Desinfektion an das Mailsystem weitergegeben, das die Zustellung

des Mailstroms an die lokalen Benutzer ausführt oder die Weiterleitung

an andere Mailserver veranlasst.

Page 15

Achtung!

Es wird empfohlen, die Installation der Anwendung dann durchzuführen, wenn das Mailaufkommen möglichst gering ist!

KAPITEL 3. INSTALLATION UND

DEINSTALLATION

Es wird empfohlen, folgende Vorbereitungen zu treffen, bevor mit der Installation von Kaspersky Anti-Virus begonnen wird:

 Vergewissern Sie sich, dass das System den Hardware- und Software-

anforderungen, die in Pkt. 1.2 auf S. 9 genannt werden, entspricht.

 Fertigen Sie Sicherungskopien der Konfigurationsdateien des Mailsys-

tems, das auf Ihrem Server installiert ist, an.

 Passen Sie die Internetverbindung an.  Melden Sie sich mit den Rechten des Benutzerkontos root oder mit ei-

nem anderen Konto, das über die Rechte eines privilegierten Benutzers verfügt, am System an.

3.1. Installation der Anwendung auf

einem Linux-Server

Für Server, die mit dem Betriebssystem Linux arbeiten, wird Kaspersky AntiVirus in zwei Installationsvarianten geliefert, die von der Distribution des Linux-

Betriebssystems abhängig sind. Für die Distributionen Linux Red Hat Enterprise Linux, Fedora, SUSE Linux En-

terprise Server, openSUSE und Mandriva Linux ist die Installation der Anwendung aus einem rpm-Paket vorgesehen.

Um die Installation von Kaspersky Anti-Virus aus dem rpm-Paket zu starten, geben Sie in der Befehlszeile ein:

# rpm -i <Paketname>

Page 16

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Wenn Sie das rmp-Paket für die Installation verwenden, müssen Sie, nachdem die Distributionsdateien auf den Server kopiert wurden, manuell das Skript post-

install.pl starten, das die Anwendung nach der Installation anpasst. Das Skript postinstall.pl befindet sich standardmäßig im Ordner /opt/kaspersky/kav4lms/lib/bin/setup/ (für Linux) und im Ordner /usr/local/libexec/kaspersky/kav4lms/setup/ (für FreeBSD).

Achtung!

Bei der Installation der Anwendung für die Mandriva-Distribution gelten Besonderheiten.

Damit der Start von Kaspersky Anti-Virus nach der Installation korrekt verläuft, vergewissern Sie sich, dass im Betriebssystem das Verzeichnis /root/tmp/ verwendet wird, um temporäre Dateien zu speichern, und dass der Benutzer, unter dessen Namen die Anwendung arbeitet, Schreibrechte für dieses Verzeichnis besitzt.

Gegebenenfalls müssen Sie die Rechte für dieses Verzeichnis ändern, oder die Umgebungsvariablen TMP, TEMP neu definieren oder löschen, damit ein anderes Verzeichnis (z.B. /tmp/) mit den für die Arbeit der Anwendung erforderlichen

Rechten verwendet wird.

Für die Distributionen Debian GNU/Linux und Ubuntu erfolgt die Installation der Anwendung mit Hilfe eines deb-Pakets.

Um die Installation von Kaspersky Anti-Virus aus dem deb-Paket zu starten, geben Sie in der Befehlszeile ein:

# dpkg -i <Paketname>

Nachdem der Befehl gestartet wurde, verläuft der weitere Installationsvorgang automatisch. Nach dem Abschluss der Installation erscheinen auf dem Bildschirm Informationen über die Konfiguration der Anwendung nach der Installation (s. Pkt. 3.4 auf S. 21).

3.2. Installation der Anwendung auf

Für Server, die mit dem Betriebssystem FreeBSD arbeiten, wird die Distribution von Kaspersky Anti-Virus als pkg-Paket geliefert.

Um die Installation von Kaspersky Anti-Virus aus dem pkg-Paket zu starten, geben Sie in der Befehlszeile ein:

einem FreeBSD-Server

# pkg_add <Paketname>

Page 17

Installation und Deinstallation 17

Achtung!

Damit die man-Seiten für die Anwendung über den Befehl man <Name_der_man-Seite> verfügbar sind, ist es erforderlich:

 für die Distributionen Debian Linux, Ubuntu Linux, SUSE Linux der Da-

tei /etc/manpath.config folgende Zeile hinzuzufügen:

MANDATORY_MANPATH /opt/kaspersky/kav4lms/share/man

 für die Distributionen Red Hat Linux und Mandriva Linux der Datei

/etc/man.config folgende Zeile hinzuzufügen:

MANPATH /opt/kaspersky/kav4lms/share/man

 für FreeBSD-Distributionen der Datei /etc/manpath.config folgende Zeile

hinzuzufügen:

MANDATORY_MANPATH /usr/local/man

Wenn Variable MANPATH verwendet wird, fügen Sie der Liste ihrer Bedeutungen den Pfad des Ordners mit den man-Seiten der Anwendung hinzu, indem Sie folgenden Befehl ausführen:

# export MANPATH=$MANPATH:<Pfad des Ordners mit dem manSeiten>

Nachdem der Befehl gestartet wurde, verläuft der weitere Installationsvorgang

automatisch. Nach dem Abschluss der Installation erscheinen auf dem Bildschirm Informationen über die Konfiguration der Anwendung nach der Installation (s. Pkt. 3.4 auf S. 21).

3.3. Anordnungsschema der

Anwendungsdateien

Bei der Installation von Kaspersky Anti-Virus werden die Anwendungsdateien in Arbeitsverzeichnisse auf dem Server kopiert.

3.3.1. Anordnungsschema der Dateien auf

Nachdem Kaspersky Anti-Virus auf einem Server mit dem Betriebssystem Linux installiert wurde, sind die Distributionsdateien folgendermaßen angeordnet:

/etc/opt/kaspersky/kav4lms.conf – Hauptkonfigurationsdatei der Anwendung /etc/opt/kaspersky/kav4lms – Verzeichnis mit Konfigurationsdateien von Kas-

einem Linux-Server

persky Anti-Virus:

Page 18

Kaspersky Anti-Virus 5.6 for Linux Mail Server

groups.d/ – Verzeichnis mit Konfigurationsdateien der Anwendungsgruppen

default.conf – Konfigurationsdatei mit den Parametern der Standard-

gruppe

locale.d/strings.en – Datei mit Stringkonstanten, die von der Anwendung

verwendet werden.

profiles/ – Verzeichnis mit vordefinierten Konfigurationsprofilen:

default_recommended/ – Verzeichnis mit Konfigurationsdateien des

empfohlenen Profils

high_overall_security/ – Verzeichnis mit Konfigurationsdateien des Pro-

fils für maximale Sicherheit

high_scan_speed/ – Verzeichnis mit Konfigurationsdateien des Profils

für maximales Untersuchungstempo templates/ – Verzeichnis mit Benachrichtigungsvorlagen templates-admin/ – Verzeichnis mit Benachrichtigungsvorlagen für den Ad-

ministrator

kav4lms.conf – Hauptkonfigurationsdatei der Anwendung

/opt/kaspersky/kav4lms/ – Hauptverzeichnis der Anwendung mit:

bin/ – Verzeichnis mit ausführbaren Dateien der Komponenten von Kas-

persky Anti-Virus: kav4lms-cmd – ausführbare Datei des Tools zur Verwaltung der An-

wendung mit Hilfe der Befehlszeile

kav4lms-setup.sh – Konfigurationsskript der Anwendung kav4lms-kavscanner – ausführbare Datei der Komponente zur Untersu-

chung von Dateisystemen

kav4lms-licensemanager – ausführbare Datei der Komponente zur

Verwaltung der Schlüssel für die Anwendung

kav4lms-keepup2date – ausführbare Datei der Komponente zur Aktua-

lisierung der Antiviren-Datenbanken

sbin/ – Verzeichnis mit ausführbaren Dateien der Anwendungsdienste lib/ – Verzeichnis mit Bibliotheksdateien von Kaspersky Anti-Virus

bin/avbasestest – Utility zur Überprüfung des Updates der Antiviren-

Datenbanken unter Verwendung der Komponente kav4lms-

keepup2date share/doc/ – Verzeichnis mit Lizenzvertrag und Dokumentation zur Einfüh-

rung der Anwendung

share/man/ – Verzeichnis mit man-Dateien der Anwendung share/scripts/ – Verzeichnis mit Skripts, die für die Arbeit der Anwendung er-

forderlich sind.

share/snmp-mibs/ – Verzeichnis mit MIB für Kaspersky Anti-Virus

Page 19

Installation und Deinstallation 19

Achtung!

Im weiteren Verlauf des Handbuchs werden die für Linux gültigen Pfade verwendet!

share/webmin/ – Verzeichnis mit dem Modul für das Programm Webmin

/etc/init.d/ – Verzeichnis mit Skripts zur Verwaltung von Anwendungsdiensten:

kav4lms – Skript zur Verwaltung des zentralen Anwendungsdiensts kav4lms-filters – Skript zur Verwaltung des Filters von Kaspersky Anti-Virus

/var/opt/kaspersky/kav4lms/ – Verzeichnis mit Variablendaten für die Anwen-

dung:

backup/ – Verzeichnis mit Sicherungskopien von E-Mails und mit Infodateien bases/ – Verzeichnis mit Antiviren-Datenbanken bases.backup/ – Verzeichnis mit Sicherungskopien der Antiviren-

Datenbanken

licenses/ – Verzeichnis mit Schlüsseldateien nqueue/ – Verzeichnis mit Dateien für die E-Mail-Warteschlange patches/ – Verzeichnis mit Updates der Programm-Module der Anwendung stats/ – Verzeichnis mit Statistikdateien über die Arbeit der Anwendung updater/ – Verzeichnis mit einer Infodatei über das letzte Update

3.3.2. Anordnungsschema der Dateien auf

einem FreeBSD-Server

Nachdem Kaspersky Anti-Virus auf einem Server mit dem Betriebssystem FreeBSD installiert wurde, sind die Distributionsdateien folgendermaßen angeordnet:

/usr/local/etc/kaspersky/kav4lms.conf – Hauptkonfigurationsdatei der Anwen- dung

/usr/local/etc/kaspersky/kav4lms/ – Verzeichnis mit Konfigurationsdateien von

Kaspersky Anti-Virus:

groups.d/ – Verzeichnis mit Konfigurationsdateien der Anwendungsgruppen

default.conf – Konfigurationsdatei mit den Parametern der Standard-

gruppe locale.d/strings.en – Datei mit Stringkonstanten, die von der Anwendung

verwendet werden.

profiles/ – Verzeichnis mit standardmäßigen Parameterprofilen:

default_recommended/ – Verzeichnis mit Konfigurationsdateien des

empfohlenen Profils

Page 20

Kaspersky Anti-Virus 5.6 for Linux Mail Server

high_overall_security/ – Verzeichnis mit Konfigurationsdateien des Pro-

fils für maximale Sicherheit

high_scan_speed/ – Verzeichnis mit Konfigurationsdateien des Profils

für maximales Untersuchungstempo templates/ – Verzeichnis mit Benachrichtigungsvorlagen templates-admin/ – Verzeichnis mit Benachrichtigungsvorlagen für den Ad-

ministrator

kav4lms.conf – Hauptkonfigurationsdatei der Anwendung

/usr/local/bin/ – Verzeichnis mit ausführbaren Dateien der Komponenten von

Kaspersky Anti-Virus: kav4lms-cmd – ausführbare Datei des Tools zur Verwaltung der Anwendung

mit Hilfe der Befehlszeile

kav4lms-setup.sh – Konfigurationsskript der Anwendung kav4lms-kavscanner – ausführbare Datei der Komponente zur Untersu-

chung von Dateisystemen

kav4lms-licensemanager – ausführbare Datei der Komponente zur Verwal-

tung der Schlüssel für die Anwendung

kav4lms-keepup2date – ausführbare Datei der Komponente zur Aktualisie-

rung der Antiviren-Datenbanken

/usr/local/sbin/ – Verzeichnis mit ausführbaren Dateien der Anwendungsdienste /usr/local/etc/rc.d/ – Verzeichnis mit Skripts zur Verwaltung von Anwendungs-

diensten:

kav4lms.sh – Skript zur Verwaltung des zentralen Anwendungsdiensts kav4lms-filters.sh – Skript zur Verwaltung des Filters von Kaspersky Anti-

Virus

/usr/local/lib/kaspersky/kav4lms/ – Verzeichnis mit Bibliotheksdateien von Kas-

persky Anti-Virus

/usr/local/libexec/kaspersky/kav4lms/avbasestest – Utility zur Überprüfung des

Updates der Antiviren-Datenbanken unter Verwendung der Komponente

kav4lms-keepup2date

/usr/local/share/doc/kav4lms/ – Verzeichnis mit Lizenzvertrag und Dokumentati-

on zur Einführung der Anwendung

/usr/local/man/ – Verzeichnis mit man-Dateien der Anwendung /usr/local/share/kav4lms/scripts/ – Verzeichnis mit Skripts, die für die Arbeit der

Anwendung erforderlich sind.

/usr/local/share/kav4lms/snmp-mibs/ – Verzeichnis mit MIB für Kaspersky Anti-

Virus

/usr/local/share/kav4lms/webmin/ – Verzeichnis mit dem Modul für das Prog-

ramm Webmin

/var/db/kaspersky/kav4lms/ – Verzeichnis mit Variablendaten für die Anwendung:

Page 21

Installation und Deinstallation 21

backup/ – Verzeichnis mit Sicherungskopien von E-Mails und mit Infodateien bases/ – Verzeichnis mit Antiviren-Datenbanken bases.backup/ – Verzeichnis mit Sicherungskopien der Antiviren-

Datenbanken

3.4. Konfiguration nach der

Installation

Bei der Installation von Kaspersky Anti-Virus wird, nachdem die Distributionsdateien auf den Server kopiert wurden, das System angepasst. Abhängig vom Paketmanager wird die Konfigurationsetappe automatisch gestartet oder muss (falls der Paketmanager die Verwendung interaktiver Skripts nicht erlaubt, wie z.B.

rmp) manuell gestartet werden. Um die Konfiguration der Anwendung manuell zu starten, geben Sie in der Be-

fehlszeile ein:

für Linux:

# /opt/kaspersky/kav4lms/lib/bin/setup/postinstall.pl

für FreeBSD:

# /usr/local/libexec/kaspersky/kav4lms/setup/postinstall.pl

Daraufhin wird Ihnen angeboten, folgende Aktionen auszuführen:

1. Wenn die Anwendung Konfigurationsdateien für Kaspersky Anti-Virus

5.5 for Linux Mail Server oder für Kaspersky Anti-Virus 5.6 for Sendmail with Milter API auf dem Computer findet, können Sie bei diesem Schritt

wählen, welche der Dateien konvertiert und im Format der aktuellen

Anwendungsversion gespeichert werden soll, und, falls eine Datei ausgewählt wurde, wird Ihnen vorgeschlagen, die in der Distribution enthaltene Konfigurationsdatei der Anwendung durch eine wiederhergestellte oder konvertierte Datei zu ersetzen.

Um die in der Distribution enthaltene Konfigurationsdatei der Anwendung durch eine wiederhergestellte Datei zu ersetzen, wählen Sie die Antwort yes. Um das Ersetzen abzulehnen, antworten Sie mit no.

Page 22

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Hinweis

Das Update der Antiviren-Datenbanken ist nur möglich, wenn ein Schlüssel installiert ist.

Konvertierte Konfigurationsdateien werden standardmäßig in folgenden

Verzeichnissen gespeichert:

kav4mailservers /etc/opt/kaspersky/kav4lms/profiles/kav4mailservers5. 5-converted

kavmilter /etc/opt/kaspersky/kav4lms/profiles/kavmilter5.6converted

2. Geben Sie den Pfad der Schlüsseldatei an.

Beachten Sie, dass die Aktualisierung der Antiviren-Datenbanken und das Erstellen einer Liste der geschützten Domänen im Rahmen des Installationsvorgangs nicht ausgeführt werden, wenn kein Schlüssel in- stalliert ist. In diesem Fall ist es notwendig, diese Aktionen manuell auszuführen, nachdem ein Schlüssel installiert wurde.

3. Legen Sie die Parameter für den Proxyserver, der für die Internetver-

bindung verwendet wird, im folgenden Format fest:

http://<IP-Adresse_des_Proxyservers>:<Port>

oder

http://<Benutzername>:<Kennwort>@<IPAdresse_des_Proxyservers>:<Port>

wenn der Proxyserver eine Autorisierung erfordert. Wenn für die Internetverbindung kein Proxyserver verwendet wird, ant-

worten Sie mit no. Der festgelegte Wert wird von der Updatekomponente kav4lms-

keepup2date für die Verbindung mit der Updatequelle verwendet.

4. Führen Sie die Aktualisierung der Antiviren-Datenbanken aus. Antwor-

ten Sie dazu mit yes. Wenn Sie das Kopieren von Updates jetzt ablehnen möchten, antworten Sie mit no. Sie können das Update später mit Hilfe der Komponente kav4lms-keepup2date ausführen (Details s. Pkt. 7.2 auf S. 84).

5. Passen Sie das automatische Update der Antiviren-Datenbanken an.

Antworten Sie dazu mit yes. Um das Anpassen des automatischen Updates jetzt abzulehnen, antworten Sie mit no. Sie können diese Einstel-

lungen später mit Hilfe der Komponente kav4lms-setup (Details s.

Page 23

Installation und Deinstallation 23

Achtung!

Bei der Integration in qmail ist es erforderlich, das automatische Update folgendermaßen anzupassen:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-cron=updater --user=root

Pkt. 7.1 auf S. 83) oder mit Hilfe des Konfigurationsskripts der Anwendung vornehmen (Details s. Pkt. 10.2 auf S. 105).

6. Installieren Sie das webmin-Modul, das der Verwaltung von Kaspersky

Anti-Virus über das Webinterface des Programms Webmin dient. Das Modul zur Remote-Verwaltung wird nur dann installiert, wenn sich

das Programm Webmin im standardmäßigen Ordner befindet. Nachdem

das Modul installiert wurde, erhalten Sie entsprechende Hinweise zur Konfiguration der Interaktion mit der Anwendung.

Antworten Sie mit yes, um das webmin-Modul zu installieren, oder mit no, um die Installation abzulehnen.

7. Legen Sie eine Liste der Domänen an, deren Mailverkehr vor Viren ge-

schützt werden soll. Der standardmäßig vorgesehene Wert lautet local- host, localhost.localdomain. Um ihn zu verwenden, drücken Sie die Eingabe-Taste.

Um manuell eine Liste der Domänen anzulegen, zählen Sie die Domä- nen in der Befehlszeile auf. Sie können mehrere Werte (durch Komma getrennt) angeben. Die Verwendung von Masken und regulären Aus-

drücken ist zulässig. In Domänennamen enthaltene Punkte müssen

durch Backslash "maskiert" werden. Beispiel:

re:.*\.example\.com

8. Integrieren Sie Kaspersky Anti-Virus in ein Mailsystem. Sie können der

standardmäßig vorgeschlagene Variante zur Integration in das auf dem Computer gefundene Mailsystem zustimmen, oder die Integration ab-

lehnen und sie später ausführen. Die Integration in ein Mailsystem wird in Kapitel 4 auf S. 30 ausführlich beschrieben.

Für das Mailsysteme Exim und Postfix wird standardmäßig die post-

queue Integration verwendet (s. Pkt. 4.1.1 auf S. 31 und Pkt. 4.2.2 auf S. 39).

Page 24

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Bei der automatischen Integration in Sendmail versucht das Skript immer, die .mc-Datei zu verändern, weil jede folgende Aktualisierung die vorgenommenen Änderungen speichern wird. Wenn die .mc-Datei include-Anweisungen enthält, die sich auf nicht vorhandene .mcDateien beziehen, so kann diese Datei nicht für die Integration von Kaspersky Anti-Virus verwendet werden. Installieren Sie in diesem Fall das Paket sendmail-cf für die Integration unter Verwendung der .cfDatei.

Wenn die .mc-Datei nicht für die Integration der Anwendung verwendet werden kann, wird die .cf –Datei verwendet.

3.5. Erlaubnisregeln in den

Systemen SELinux und AppArmor anpassen

Um das Modul SELinux mit den für die Arbeit von Kaspersky Anti-Virus erforderlichen Regeln zu erstellen, führen Sie nach der Installation der Anwendung und ihrer Integration in das Mailsystem folgende Schritte aus:

1. Schalten Sie SELinux in den Permissive-Modus um:

# setenforce Permissive

2. Senden Sie eine oder mehrere Testnachrichten und vergewissern Sie

sich, dass Sie der Antiviren-Untersuchung unterzogen und den Empfängern zugestellt wurden.

3. Erstellen Sie auf Basis von Sperreinträgen ein Regelmodul:

Für Fedora:

# audit2allow -l -M kav4lms -i /var/log/messages

Für RHEL:

# audit2allow -l -M kav4lms –i\ /var/log/audit/audit.log

4. Laden Sie das resultierende Regelmodul:

# semodule -i kav4lms.pp

5. Schalten Sie SELinux in den Enforcing-Modus um:

# setenforce Enforcing

Page 25

Installation und Deinstallation 25

Wenn neue Audit-Meldungen erscheinen, die sich auf Kaspersky Anti-Virus beziehen, muss die Datei für das Regelmodul aktualisiert werden:

Für Fedora:

# audit2allow -l -M kav4lms -i /var/log/messages

# semodule -u kav4lms.pp

Für RHEL:

# audit2allow -l -M kav4lms –i /var/log/audit/audit.log

# semodule -u kav4lms.pp

Zusätzliche Informationen finden Sie in:

 RedHat Enterprise Linux: Handbuch "Red Hat Enterprise Linux Dep-

loyment Guide", Kapitel "44. Security and SELinux".

 Fedora: Fedora SELinux Project Pages.  Debian GNU/Linux: Handbuch "Configuring the SELinux Policy" des

selinux-doc Pakets "Documentation for Security-Enhanced Linux".

Um die AppArmor-Profile, die für die Arbeit von Kaspersky Anti-Virus erforderlich sind, zu aktualisieren, gehen Sie nach der Installation der Anwendung und ihrer Integration in das Mailsystem folgendermaßen vor:

1. Schalten Sie alle Regeln der Anwendung in den Complain-Modus um:

# aa-complain /etc/apparmor.d/*

# /etc/init.d/apparmor reload

2. Starten Sie das Mailsystem neu:

# /etc/init.d/postfix restart

3. Starten Sie kav4lms und kav4lms-filters neu:

# /etc/init.d/kav4lms restart

# /etc/init.d/kav4lms-filters restart

4. Senden Sie eine oder mehrere Testnachrichten und vergewissern Sie

sich, dass Sie der Antiviren-Untersuchung unterzogen und den Empfängern zugestellt wurden.

5. Starten Sie die Utility zur Aktualisierung von Profilen:

# aa-logprof

6. Laden Sie die AppArmor-Regeln neu:

# /etc/init.d/apparmor reload

7. Schalten Sie alle Regeln für die Anwendung in den Enforcing-Modus

um:

Page 26

Kaspersky Anti-Virus 5.6 for Linux Mail Server

# aa-enforce /etc/apparmor.d/*

# /etc/init.d/apparmor reload

Wenn neue Audit-Meldungen erscheinen, die sich auf Kaspersky Anti-Virus beziehen, dann sind die in Pkt. 5 und 6 beschriebenen Schritte zu wiederholen.

Zusätzliche Informationen finden Sie in:

 openSUSE und SUSE Linux Enterprise Server: "Novell AppArmor

Quick Start", "Novell AppArmor Administration Guide".

 Ubuntu: Handbuch "Ubuntu Server Guide", Kapitel "8. Security".

3.6. Installation des webmin-Moduls

zur Verwaltung von Kaspersky Anti-Virus

Kaspersky Anti-Virus lässt sich auch unter Verwendung des Programms Webmin über einen Webbrowser fernsteuern.

Webmin ist ein Programm, das die Verwaltung eines Linux/Unix-Systems vereinfacht. Das Programm basiert auf einer Modulstruktur mit der Möglichkeit der Integration neuer Module und der Entwicklung eigener Module. Zusätzliche Informationen über das Programm und seine Installation erhalten Sie auf der offiziellen Seite des Programms: www.webmin.com. Außerdem stehen dort eine Dokumentation und Distribution von Webmin zum Download bereit.

Die Distribution von Kaspersky Anti-Virus enthält ein webmin-Modul. Wenn das Programm Webmin bereits im System installiert ist, kann das Modul installiert werden, wenn die Anwendung nach der Installation angepasst wird (s. Pkt. 3.4 auf S. 21). Andernfalls kann die Installation zu einem beliebigen Zeitpunkt erfolgen, nachdem das Programm Webmin installiert worden ist.

Im Folgenden wird das Vorgehen zur Verbindung des webmin-Moduls, das der Verwaltung von Kaspersky Anti-Virus dient, ausführlich beschrieben.

Wenn bei der Installation von Webmin standardmäßige Einstellungen verwendet

wurden, kann nach Abschluss der Installation mit Hilfe des Browsers auf das Programm zugegriffen werden, wobei die Verbindung über das Protokoll HTTP/HTTPS auf Port 10000 erfolgt.

Um das webmin-Modul zur Verwaltung von Kaspersky Anti-Virus zu installieren, ist es erforderlich:

1. Über den Webbrowser Zugriff auf das Programm Webmin zu erhalten

und dabei Administratorrechte dieses Programms zu verwenden.

Page 27

Installation und Deinstallation 27

Hinweis

Das Webmin-Modul besteht aus der Datei mailgw.wbm und befindet sich standardmäßig im Verzeichnis /opt/kaspersky/kav4lms/share/webmin/ (für LinuxDistributionen) oder /usr/local/share/kav4lms/webmin/ (für FreeBSDDistributionen).

2. Wählen Sie im Webmin-Menü die Registerkarate Webmin Configura-

tion und anschließend den Abschnitt Webmin Modules.

3. Wählen Sie im Abschnitt Install Module den Punkt From Local File

und klicken Sie auf die Schaltfläche (s. Abb. 1).

Abbildung 1. Abschnitt Install Module

4. Geben Sie den Pfad des webmin-Moduls der Anwendung an und kli-

cken Sie auf OK.

Bei erfolgreicher Installation des webmin-Moduls erscheint eine entsprechende Meldung auf dem Bildschirm.

Um auf die Einstellungen von Kaspersky Anti-Virus zuzugreifen, wechseln Sie auf die Registerkarte Others und klicken Sie anschließend auf das Symbol von Kaspersky Anti-Virus (s. Abb. 2).

Page 28

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Der Deinstallationsvorgang beendet automatisch die Arbeit der Anwendung!

Abbildung 2. Symbol von Kaspersky Anti-Virus auf der Registerkarte Others

3.7. Deinstallation der Anwendung

Für die Deinstallation von Kaspersky Anti-Virus ist das Vorhandensein der Rechte eines privilegierten Benutzers (root) erforderlich. Wenn Sie im Moment der

Deinstallation nicht über diese Rechte verfügen, ist die Anmeldung am System

als Benutzer root erforderlich.

Bei der Deinstallation wird die Anwendung beendet und die bei der Installation erstellten Dateien und Ordner werden gelöscht. Allerdings bleiben Ordner und Dateien, die vom Administrator erstellt oder geändert wurden, erhalten (Konfigurationsdatei der Anwendung, Konfigurationsdateien von Gruppen, Dateien mit Benachrichtigungsvorlagen, Quarantäneordner, Schlüsseldatei).

Der Deinstallationsvorgang wird in Abhängigkeit von dem verwendeten Paketmanager auf unterschiedliche Art gestartet. Es folgt eine Beschreibung der Varianten:

Wenn bei der Installation das rpm-Paket verwendet wurde, geben Sie zum Start des Deinstallationsvorgangs in der Befehlszeile ein:

# rpm -e <Paketname>

Page 29

Installation und Deinstallation 29

Wenn bei der Installation das deb-Paket verwendet wurde, geben Sie zum Start des Deinstallationsvorgangs in der Befehlszeile ein:

# dpkg -P <Paketname>

wenn Sie die Anwendung zusammen mit ihren Konfigurationsdateien löschen möchten, oder:

# dpkg -r <Paketname>

wenn Sie die Anwendung entfernen möchten, ohne ihre Konfigurationsdateien zu löschen.

Wenn bei der Installation das pkg-Paket verwendet wurde, geben Sie zum Start des Deinstallationsvorgangs in der Befehlszeile ein:

# pkg_delete <Paketname>

Über den erfolgreichen Abschluss der Deinstallation informiert eine entsprechende Bildschirmmeldung.

Wenn für die Verwaltung von Kaspersky Anti-Virus das Modul zur RemoteVerwaltung der Anwendung (webmin-Modul) installiert worden ist, wird es manuell mit Hilfe der standardmäßigen Mittel des Programms Webmin deinstalliert.

Page 30

Hinweis

Bei der post-queue Integration lässt es das Mailsystem nicht zu, eine E-Mail zu- rückzuweisen. Wird allerdings in den Parametern von Kaspersky Anti-Virus als Aktion für Objekte reject gewählt, so erhält der Absender eine Benachrichtigung über das Zurückweisen der Nachricht. Der Benachrichtigungstext wird durch den

Parameter RejectReply im Abschnitt [kav4lms: groups. <Gruppenname>.settings] der Konfigurationsdatei der Gruppe festgelegt.

Achtung!

Bei Verwendung eines Sockets sind zwei Regeln zu beachten:

 Wenn ein Netzwerksocket festgelegt wird, muss die Portnummer höher

als 1024 sein.

 Wenn ein lokaler Socket festgelegt wird, müssen Filter und zentraler

Dienst über Rechte für den Zugriff auf den angegebenen Socket verfü- gen.

KAPITEL 4. INTEGRATION IN

EIN MAILSYSTEM

Nach der Installation muss Anti-Virus in ein Mailsystem integriert werden. Dazu ist es erforderlich, die Parameter der Konfigurationsdateien der Anwendung und des Mailsystems zu ändern. Die Integration kann mit Hilfe des im Lieferumfang enthaltenen Konfigurationsskripts der Anwendung (s. Pkt. 3.4 auf S. 21 und Pkt.

10.2 auf S. 105) oder durch manuelles Anpassen der Konfigurationsdateien von Kaspersky Anti-Virus und des Mailsystems erfolgen.

Für die Mailsysteme Exim und Postfix unterstützt Anti-Virus sowohl die pre- queue als auch die post-queue Integration. Bei der pre-queue Integration werden die E-Mails zur Untersuchung übergeben, bevor sie in die Warteschlange des Mailsystems gestellt werden, bei der post-queue Integration nach der Aufnahme in die Warteschlange des Mailsystems.

Für Sockets, die zum Informationsaustausch zwischen Mailsystem, Filter und zentralem Dienst von Kaspersky Anti-Virus verwendet werden, gelten folgende Regeln:

 inet:<port>@<ip_address> – für Netzwerksocket  local:<socket_path> – für lokalen Socket

Page 31

Integration in ein Mailsystem 31

Achtung! Bei der post-queue Integration in Exim müssen die Parameter FilterSo-

cket, ServiceSocket und ForwardSocket auf einen Netzwerksocket

zeigen.

4.1. Integration in das Mailsystem

Exim

Für die Integration in das Mailsystem Exim sind in Anti-Virus zwei Methoden vorgesehen:

 post-queue Integration durch verändertes Routing: Der gesamte

über den geschützten Server abgewickelte Mailverkehr wird nach der Aufnahme in die Warteschlange des Mailsystems zur Untersuchung übergeben (post-queue Filterung).

 pre-queue Integration unter Verwendung einer dynamisch gelade-

nen Bibliothek: E-Mails werden zur Untersuchung übergeben, bevor

sie in die Warteschlange des Mailsystems gestellt werden (pre-queue Filterung).

4.1.1. Post-queue Integration durch

verändertes Routing

Bei der Integration durch verändertes Routing werden E-Mails von allen MailRoutern zur Untersuchung umgeleitet. Dazu erhält der Parameter pass_router für jeden Exim-Router den Wert kav4lms_filter.

Damit die Nachrichten bei der post-queue Integration korrekt zur Untersuchung übergeben und wieder an das Mailsystem zurückgegeben werden, sind folgende Bedingungen zu beachten:

1. Es muss ein Filter für das Abfangen von E-Mails aus dem Mailsystem

eingerichtet werden. Der Endpunkt der Verbindung "Filter - Mailsystem" ist der Socket, der durch den Parameter FilterSocket im Abschnitt [kav4lms:filter.settings] der Hauptkonfigurationsdatei der Anwendung festgelegt wird.

2. Der Filter muss die Nachrichten zur Untersuchung an den zentralen

Anwendungsdienst übergeben. Der Endpunkt der Verbindung "Filter Zentraler Dienst" ist der Socket, der durch den Parameter ServiceSo- cket im Abschnitt [kav4lms:server.settings] der Hauptkonfigurations- datei der Anwendung festgelegt wird.

Page 32

Kaspersky Anti-Virus 5.6 for Linux Mail Server

3. Der Filter muss die Nachrichten an das Mailsystem zurückgeben. Der

Endpunkt der Verbindung "Anwendung – Mailsystem" ist der Socket, der durch den Parameter ForwardSocket im Abschnitt [kav4lms:filter.settings] der Hauptkonfigurationsdatei der Anwendung festgelegt wird.

Um Kaspersky Anti-Virus mit Hilfe des Konfigurationsskripts der Anwendung in Exim zu integrieren:

geben Sie den Befehl: für Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=exim

für FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=exim

Um die Anwendung manuell in Exim zu integrieren:

1. Fertigen Sie eine Sicherungskopie der Exim-Konfigurationsdateien an.

2. Fügen Sie dem Abschnitt main configuration settings der Exim-

Konfigurationsdatei folgende Zeilen hinzu:

#kav4lms-filter-begin-1

local_interfaces=0.0.0.0.25:<forward_socket_ip>.\ <forward_socket_port_number>

#kav4lms-filter-end-1

wobei <forward_socket_ip>.<forward_socket_port_number>

– IP-Adresse und Portnummer, an die die E-Mails nach der Untersuchung gesendet werden.

3. Fügen Sie dem Abschnitt routers der Exim-Konfigurationsdatei folgen-

de Zeilen hinzu:

#kav4lms-filter-begin-2

kav4lms_dnslookup:

driver = dnslookup

domains = ! +local_domains

ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8

verify_only

pass_router = kav4lms_filter

no_more

Page 33

Integration in ein Mailsystem 33

kav4lms_system_aliases:

driver = redirect

allow_fail

allow_defer

data = ${lookup{$local_part}lsearch{/etc/aliases}}

verify_only

pass_router = kav4lms_filter

kav4lms_localuser:

driver = accept

check_local_user

verify_only

pass_router = kav4lms_filter

failed_address_router:

driver = redirect

verify_only

condition = "{0}"

allow_fail

data = :fail: Failed to deliver to address

no_more

kav4lms_filter:

driver = manualroute

condition = "${if or {{eq {$interface_port}\ {<forward_socket_port_number>}} \

{eq {$received_protocol}{spam-scanned}} \

}{0}{1}}"

transport = kav4lms_filter

route_list = "* localhost byname"

self = send

#kav4lms-filter-end-2

wobei <forward_socket_port_number> – Portnummer des Sockets, an den die E-Mails nach der Untersuchung übergeben werden.

4. Fügen Sie dem Abschnitt transports der Exim-Konfigurationsdatei fol-

gende Zeilen hinzu:

Page 34

Kaspersky Anti-Virus 5.6 for Linux Mail Server

#kav4lms-filter-begin-3

kav4lms_filter:

driver = smtp

port = <filter_socket_port_number>

delay_after_cutoff = false

allow_localhost

#kav4lms-filter-end-3

wobei <filter_socket_port_number> - Portnummer für die Verbindung mit dem Filter von Kaspersky Anti-Virus.

5. Weisen Sie dem Parameter ForwardSocket aus dem Abschnitt

[kav4lms:filter.settings] der Hauptkonfigurationsdatei der Anwendung den Wert <for- ward_socket_ip>.<forward_socket_port_number> aus Punkt 2 zu.

6. Beenden Sie den Dienst kav4lms-filter.

7. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu:

FILTER_SERVICE=true FILTER_PROGRAM=kav4lms-filter

8. Starten Sie den Dienst kav4lms-filter.

9. Restart exim.

4.1.2. Pre-queue Integration unter

Verwendung einer dynamisch geladenen Bibliothek

Der Filter muss die Nachrichten zur Untersuchung an den zentralen Anwendungsdienst übergeben. Der Endpunkt der Verbindung "Filter - Zentraler Dienst" ist der Socket, der durch den Parameter ServiceSocket im Abschnitt [kav4lms:server.settings] der Hauptkonfigurationsdatei der Anwendung festgelegt wird.

Um Kaspersky Anti-Virus mit Hilfe des Konfigurationsskripts der Anwendung in Exim zu integrieren:

geben Sie den Befehl:

Page 35

Integration in ein Mailsystem 35

für Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=exim-dlfunc

für FreeBSD:

# /var/db/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=exim-dlfunc

Um Kaspersky Anti-Virus manuell in Exim zu integrieren:

1. Vergewissern Sie sich, dass das Mailsystem Exim die Funktion zur In-

haltsfilterung dlfunc unterstützt. Geben Sie dazu den Befehl:

exim -bV

Als positive Antwort gilt das Ergebnis:

Expand_dlfunc

2. Fertigen Sie eine Sicherungskopie der Exim-Konfigurationsdateien an.

3. Fügen Sie dem Abschnitt main configuration settings der Exim-

Konfigurationsdatei folgende Zeilen hinzu:

#kav4lms-filter-begin

acl_smtp_data = acl_check_data

#kav4lms-filter-end

4. Fügen Sie dem Abschnitt ACL der Exim-Konfigurationsdatei folgende

Zeilen hinzu:

acl_check_data:

#kav4lms-dlfunc-begin

warn set acl_m0 = \ ${dlfunc{<libkavexim.so>}{kav}{<socket>}\ {/var/tmp//.kav4lms-exim}}

accept condition = ${if match{$acl_m0}{\N^kav4lms: \ continue\N}{yes}{no}}

logwrite = kav4lms returned continue

deny condition = ${if match{$acl_m0}{\N^kav4lms: \ reject.*\N}{yes}{no}}

logwrite = kav4lms returned reject

message = Kaspersky Anti-Virus rejected the mail

discard condition = ${if match{$acl_m0}\ {\N^kav4lms: drop.*\N}{yes}{no}}

logwrite = kav4lms returned drop

message = Kaspersky Anti-Virus dropped the mail

Page 36

Kaspersky Anti-Virus 5.6 for Linux Mail Server

defer condition = ${if match{$acl_m0}\ {\N^kav4lms: temporary failure.*\N}{yes}{no}}

logwrite = kav4lms returned temporary failure

message = Kaspersky Anti-Virus returned \ temporary failure

#kav4lms-dlfunc-end

wobei <socket> - Socket für die Verbindung des Filters und des zentralen Diensts von Kaspersky Anti-Virus, der durch den Parameter Fil- terSocket im Abschnitt [kav4lms:filter.settings] der Hauptkonfigurationsdatei von Kaspersky Anti-Virus festgelegt wird; <libkavexim.so>

- Pfad der Bibliothek libkavexim.so: für 32-Bit Linux-Distributionen:

/opt/kaspersky/kav4lms/lib/libkavexim.so

für 64-Bit Linux-Distributionen:

/opt/kaspersky/kav4lms/lib64/libkavexim.so

für FreeBSD:

/usr/local/lib/kaspersky/kav4lms/libkavexim.so

5. Beenden Sie den Dienst kav4lms-filter.

6. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu: für Linux:

FILTER_SERVICE=false FILTER_PROGRAM=/opt/kaspersky/kav4lms/lib/libkavexim\ .so

für FreeBSD:

FILTER_SERVICE=false FILTER_PROGRAM=/usr/local/lib/kaspersky/kav4lms/\ libkavexim.so

7. Restart exim.

Page 37

Integration in ein Mailsystem 37

Achtung! Bei der Integration in Postfix können die Parameter FilterSocket, Ser-

viceSocket und ForwardSocket sowohl auf einen Netzwerksocket als

auch auf einen lokalen Socket zeigen.

4.2. Integration in das Mailsystem

Postfix

Es stehen drei Methoden zur Verfügung, um Anti-Virus in Postfix zu intergrieren:

 post-queue Integration: Der gesamte Mailverkehr, der über den ge-

schützten Server läuft, wird zur Untersuchung übergeben, nachdem er

in die Warteschlange des Mailsystems aufgenommen wurde.

 pre-queue Integration: E-Mails werden zur Untersuchung übergeben,

bevor sie in die Warteschlange des Mailsystems gestellt werden.

 Integration mit Milter: E-Mails werden unter Verwendung des Milter-

Programminterfaces zur Untersuchung übergeben.

4.2.1. Post-queue integration

Damit die Nachrichten korrekt an Anti-Virus übergeben und wieder an den MTA zurückgegeben werden, sind folgende Bedingungen zu beachten:

1. Es muss ein Filter für das Abfangen von E-Mails aus dem Mailsystem

2. Der Filter muss die Nachrichten zur Untersuchung an den zentralen

3. Der Filter muss die Nachrichten an das Mailsystem zurückgeben. Der

Page 38

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Hinweis:

Wenn Sie Strings aus dem Handbuch in die Postfix-Konfigurationsdatei kopieren, löschen Sie die Zeichen «\» und darauf folgende Zeilenumbrüche.

Hinweis

Wenn für die Integration in Postfix 2.3 oder höher ein lokaler Socket verwendet wird, fügen Sie der oben genannten Zeile den Parameter

"no_milters" hinzu. Die Zeile lautet dann:

-o receive_override_options=\ no_unknown_recipient_checks,no_header_body_checks,\ no_address_mappings,no_milters

Um Kaspersky Anti-Virus mit Hilfe des Konfigurationsskripts der Anwendung in Postfix zu integrieren:

geben Sie den Befehl:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=postfix

für FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=postfix

Um die Anwendung manuell in Postfix zu integrieren:

1. Fügen Sie der Datei master.cf folgende Zeilen hinzu:

#kav4lms-filter-begin

kav4lms_filter unix - - n\

- 10 smtp

-o smtp_send_xforward_command=yes

<forward_socket_ip_address>:<forward_socket_port>\ inet n - n - 10\ smtpd

-o content_filter=

-o receive_override_options=\ no_unknown_recipient_checks,no_header_body_checks,\ no_address_mappings

-o smtpd_helo_restrictions=

-o smtpd_client_restrictions=

-o smtpd_sender_restrictions=

-o smtpd_recipient_restrictions=\ permit_mynetworks,reject

Page 39

Integration in ein Mailsystem 39

-o mynetworks=127.0.0.0/8,[::1]/128

-o smtpd_authorized_xforward_hosts=\

127.0.0.0/8,[::1]/128

#kav4lms-filter-end

wobei<forward_socket_ip_address>:<forward_socket_port> – IP- Adresse und Portnummer des Sockets, an den die E-Mails nach der Untersuchung übergeben werden.

2. Fügen Sie der Datei main.cf folgende Zeilen hinzu:

#kav4lms-filter-begin

content_filter = \ kav4lms_filter:<filter_socket_ip_address>:\ <filter_socket_port>

#kav4lms-filter-end

wobei <filter_socket_ip_address>:<filter_socket_port> – IP-Adresse und Portnummer des Sockets, der zur Verbindung des Filters mit dem Mailsystem dient.

3. Beenden Sie den Dienst kav4lms-filter.

4. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu:

FILTER_SERVICE=true FILTER_PROGRAM=kav4lms-filter

5. Starten Sie den Dienst kav4lms-filter.

6. Restart Postfix.

4.2.2. Pre-queue integration

Damit die Nachrichten korrekt an Anti-Virus übergeben und wieder an den MTA zurückgegeben werden, sind folgende Bedingungen zu beachten:

1. Es muss ein Filter für das Abfangen von E-Mails aus dem Mailsystem

2. Der Filter muss die Nachrichten zur Untersuchung an den zentralen

Anwendungsdienst übergeben. Der Endpunkt der Verbindung "Filter -

Page 40

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung! Bei der Integration in Postfix können die Parameter FilterSocket, Ser-

viceSocket und ForwardSocket sowohl auf einen Netzwerksocket als

auch auf einen lokalen Socket zeigen.

Hinweis:

Wenn Sie Strings aus dem Handbuch in die Postfix-Konfigurationsdatei kopieren, löschen Sie die Zeichen «\» und darauf folgende Zeilenumbrüche.

Zentraler Dienst" ist der Socket, der durch den Parameter ServiceSo- cket im Abschnitt [kav4lms:server.settings] der Hauptkonfigurations- datei der Anwendung festgelegt wird.

3. Der Filter muss die Nachrichten an das Mailsystem zurückgeben. Der

Um Kaspersky Anti-Virus mit Hilfe des Konfigurationsskripts der Anwendung in Postfix zu integrieren:

geben Sie den Befehl:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=postfix-prequeue

für FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=postfix-prequeue

Um die Anwendung manuell in Postfix zu integrieren:

1. Fügen Sie der Datei master.cf folgende Zeilen hinzu:

#kav4lms-filter-begin

kav4lms_filter unix - - n\

- 10 smtp

-o smtp_send_xforward_command=yes

<forward_socket_ip_address>:<forward_socket_port>\ inet n - n - 10\ smtpd

-o content_filter=

-o receive_override_options=\ no_unknown_recipient_checks,no_header_body_checks,\ no_address_mappings

Page 41

Integration in ein Mailsystem 41

Hinweis

Wenn für die Integration in Postfix 2.3 oder höher ein lokaler Socket verwendet wird, fügen Sie der oben genannten Zeile den Parameter

"no_milters" hinzu. Die Zeile lautet dann:

-o receive_override_options=\ no_unknown_recipient_checks,no_header_body_checks,\ no_address_mappings,no_milters

-o smtpd_helo_restrictions=

-o smtpd_client_restrictions=

-o smtpd_sender_restrictions=

-o smtpd_recipient_restrictions=\ permit_mynetworks,reject

-o mynetworks=127.0.0.0/8,[::1]/128

-o smtpd_authorized_xforward_hosts=\

127.0.0.0/8,[::1]/128

#kav4lms-prequeue-end

wobei<forward_socket_ip_address>:<forward_socket_port> – IP- Adresse und Portnummer des Sockets, an den die E-Mails nach der Untersuchung übergeben werden.

2. Fügen Sie der Datei master.cf folgende Zeilen hinzu:

smtp inet n - n - 20 smtpd Fügen Sie den folgenden Parameter hinzu:

#kav4lms-prequeue-begin

-o smtpd_proxy_filter=:<filter_socket_port>

#kav4lms-prequeue-end

3. Beenden Sie den Dienst kav4lms-filter.

4. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu:

FILTER_SERVICE=true FILTER_PROGRAM=kav4lms-filter

5. Starten Sie den Dienst kav4lms-filter.

6. Restart Postfix.

Page 42

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung! Bei der Integration in Postfix können die Parameter FilterSocket, Ser-

viceSocket sowohl auf einen Netzwerksocket als auch auf einen loka-

len Socket zeigen.

Hinweis:

Wenn Sie Strings aus dem Handbuch in die Postfix-Konfigurationsdatei kopieren, löschen Sie die Zeichen «\» und darauf folgende Zeilenumbrüche.

4.2.3. Integration mit Milter

Damit die Nachrichten korrekt an Anti-Virus übergeben und wieder an den MTA zurückgegeben werden, sind folgende Bedingungen zu beachten:

1. Es muss ein Filter für das Abfangen von E-Mails aus dem Mailsystem

2. Der Filter muss die Nachrichten zur Untersuchung an den zentralen

Um Kaspersky Anti-Virus mit Hilfe des Konfigurationsskripts der Anwendung in Postfix zu integrieren:

geben Sie den Befehl:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=postfix-milter

für FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=postfix-milter

Um die Anwendung manuell in Postfix zu integrieren:

1. Fügen Sie der Datei main.cf folgende Zeilen hinzu:

smtpd_milters = inet:127.0.0.1:10025,

#kav4lms-milter-begin

Page 43

Integration in ein Mailsystem 43

milter_connect_macros = j _ {daemon_name} {if_name} \ {if_addr}

milter_helo_macros = {tls_version} {cipher} \ {cipher_bits} {cert_subject} {cert_issuer}

milter_mail_macros = i {auth_type} {auth_authen} \ {auth_ssf} {auth_author} {mail_mailer} {mail_host} \ {mail_addr}

milter_rcpt_macros = {rcpt_mailer} {rcpt_host} \ {rcpt_addr}

milter_default_action = tempfail

milter_protocol = 3

milter_connect_timeout=180

milter_command_timeout=180

milter_content_timeout=600

#kav4lms-milter-end

2. Beenden Sie den Dienst kav4lms-milter.

3. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu:

FILTER_SERVICE=true FILTER_PROGRAM=kav4lms-milter

4. Starten Sie den Dienst kav4lms-milter.

5. Restart Postfix.

4.3. Integration in das Mailsystem

qmail

Ein Mailsystem auf der Basis von qmail bietet keine Mittel für die Integration von Erweiterungen. Der Integrationsvorgang besteht im Austausch der ursprüngli-

chen ausführbaren Datei qmail-queue durch die Datei /opt/kaspersky/kav4lms/lib/bin/kav4lms-qmail

(/usr/local/libexec/kaspersky/kav4lms/kav4lms-qmail für FreeBSD), die zum Lieferumfang der Anwendung gehört. Diese Datei gewährleistet die E-Mail-Filterung und überträgt den Mailverkehr zum weiteren Routing an die ursprüngliche Datei

qmail-queue. E-Mails werden zur Untersuchung übergeben, bevor sie in die War- teschlange des Mailsystems gestellt werden (pre-queue Filterung).

Page 44

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Bei der Integration in qmail kann der Parameter ServiceSocket sowohl auf einen Netzwerksocket als auch auf einen lokalen Socket zeigen.

Um Kaspersky Anti-Virus mit Hilfe des Konfigurationsskripts der Anwendung in qmail zu integrieren:

geben Sie den Befehl: für Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=qmail

für FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=qmail

Um die Anwendung manuell in qmail zu integrieren:

1. Benennen Sie die Datei qmail-queue, die sich im Verzeichnis

/var/qmail/bin befindet, in qmail-queue-real um.

2. Kopieren Sie die Datei /opt/kaspersky/kav4lms/lib/bin/kav4lms-qmail

(/usr/local/libexec/kaspersky/kav4lms/kav4lms-qmail for FreeBSD) in

das Verzeichnis /var/qmail/bin und benennen Sie sie in qmail-queue um.

3. Legen Sie folgende Zugriffsrechte für die Dateien qmail-queue und

qmail-queue-real fest:

-rws--x--x 1 qmailq qmail

4. Beenden Sie den Dienst kav4lms-filter.

5. Ändern Sie den Besitzer und die Gruppe für folgende Verzeichnisse

und deren Inhalt in qmailq:qmail:  für Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--switch-credentials=qmailq,qmail

 für FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--switch-credentials=qmailq,qmail

6. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu:

Page 45

Integration in ein Mailsystem 45

Hinweis

Wenn die Änderungen nur in der cf-Datei erfolgen, gehen alle Änderungen verloren, wenn die Generierung der cf-Datei zum nächsten Mal aus der mc-Datei gestartet wird.

Achtung! Bei der Integration in Sendmail können die Parameter FilterSocket und Servi-

ceSocket sowohl auf einen Netzwerksocket als auch auf einen lokalen Socket

zeigen.

für Linux:

FILTER_SERVICE=false

FILTER_PROGRAM=/opt/kaspersky/kav4lms/lib/bin\ /kav4lms-qmail

für FreeBSD:

FILTER_SERVICE=false

FILTER_PROGRAM=/usr/local/libexec/kaspersky/kav4lms\ /kav4lms-qmail

7. Restart qmail.

4.4. Integration in das Mailsystem

Sendmail

Sendmail bietet das Programminterface Milter für die Integration in die Filter anderer Hersteller. Der Mailverkehr wird mit Hilfe der Milter-Funktionsaufrufe von Sendmail an Anti-Virus übergeben und von Anti-Virus zurückgegeben. E-Mails werden zur Untersuchung übergeben, bevor sie in die Warteschlange des Mailsystems gestellt werden (pre-queue Integration).

In der Regel werden bei der Integration in Sendmail Änderungen in die Konfigurationsdatei des Mailsystems mit dem Format mc eingetragen, die Datei

cf wird automatisch geändert. Wenn diese Option nicht unterstützt wird, müssen die Änderungen in die cf-Datei übernommen werden, nachdem die mc-Datei

angepasst wurde.

Page 46

Kaspersky Anti-Virus 5.6 for Linux Mail Server

4.4.1. Integration mit Hilfe der

Um Kaspersky Anti-Virus mit Hilfe des Konfigurationsskripts der Anwendung in das Mailsystem Sendmail zu integrieren:

geben Sie den Befehl: für Linux:

# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \

--install-filter=sendmail-milter

für FreeBSD:

# /usr/local/bin/kav4lms-setup.sh \

--install-filter=sendmail-milter

Um die Anwendung manuell in das Mailsystem Sendmail zu integrieren:

1. Fertigen Sie eine Sicherungskopie der Datei sendmail.cf an.

2. Fügen Sie der Datei sendmail.cf folgende Zeilen hinzu:

#kav4lms-milter-begin-filter

O InputMailFilters=kav4lms_filter

O Milter.macros.connect=j, _, {daemon_name}, \ {if_name}, {if_addr}

O Milter.macros.helo={tls_version}, {cipher}, \ {cipher_bits}, {cert_subject}, {cert_issuer}

O Milter.macros.envfrom=i, {auth_type}, \ {auth_authen}, {auth_ssf}, {auth_author}, \ {mail_mailer}, {mail_host}, {mail_addr}

O Milter.macros.envrcpt={rcpt_mailer}, {rcpt_host}, \ {rcpt_addr}

#kav4lms-milter-end-filter

3. Fügen Sie der Datei sendmail.cf folgende Zeilen hinzu:

a) bei Verwendung eines Netzwerksockets:

#kav4lms-milter-begin-socket

Xkav4lms_filter,

S=inet:<filter_port>@<filter_address>,F=T,\

T=S:3m;R:5m;E:10m

#kav4lms-milter-end-socket

.cf

-Datei

wobei <filter_port> – Portnummer des Netzwerksockets, der

das Mailsystem mit dem Filter verbindet, <filter_address> –

IP-Adresse des Computers, auf dem der Filter läuft.

Page 47

Integration in ein Mailsystem 47

b) bei Verwendung eines lokalen Sockets:

#kav4lms-milter-begin-socket

Xkav4lms_filter,

S=unix:<filter_socket_file_path>,F=T,T=S:3m;\

R:5m;E:10m

#kav4lms-milter-end-socket

wobei <socket_file_path> – Pfad des lokalen Sockets.

4. Beenden Sie den Dienst kav4lms-milter.

5. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-milter

6. Starten Sie den Dienst kav4lms-milter.

7. Restart Sendmail.

4.4.2. Integration mit Hilfe der Datei

Um die Anwendung mit Hilfe der Datei .mc in Sendmail zu integrieren:

1. Fertigen Sie eine Sicherungskopie der Datei .mc an.

2. Fügen Sie der Datei .mc folgende Zeilen hinzu:

dnl kav4lms-milter-begin dnl

define(`_FFR_MILTER', `true')dnl

INPUT_MAIL_FILTER(`kav4lms_filter',\ `S=inet:10025@127.0.0.1,F=T,T=S:3m;R:5m;E:10m')dnl

dnl kav4lms-milter-end dnl

3. Kompilieren Sie die Konfigurationsdatei .cf entsprechend den Einstel-

lungen Ihres Betriebssystems.

4. Beenden Sie den Dienst kav4lms-filter.

5. Fügen Sie dem Abschnitt [1043] der Datei

/var/opt/kaspersky/applications.setup (für Linux) /var/db/kaspersky/applications.setup (für FreeBSD)

folgende Zeile hinzu:

FILTER_SERVICE=true

FILTER_PROGRAM=kav4lms-milter

6. Starten Sie den Dienst kav4lms-filter.

7. Restart Sendmail.

.mc

Page 48

KAPITEL 5. ANTIVIREN-SCHUTZ

FÜR E-MAILS

5.1. Gruppen erstellen

Eine Gruppe besteht aus einer bestimmten Anzahl von Absender- und Empfängeradressen, deren E-Mails von Kaspersky Anti-Virus mit einheitlichen Parameterwerten verarbeitet werden.

Für jede Gruppe können individuelle Parameter für die E-Mail-Untersuchung festgelegt werden, die z.B. bestimmen:

 Methode für die E-Mail-Untersuchung (s. Pkt. 5.2 auf S. 50)  Modus für die E-Mail-Untersuchung (s. Pkt. 5.3 auf S. 51)  Aktionen, die mit E-Mails und E-Mail-Objekten ausgeführt werden sollen

(s. Pkt. 5.4 auf S. 55).

 Anlegen von Sicherungskopien der E-Mails vor der Verarbeitung (s.

Pkt. 5.6 auf S. 59)

 Benachrichtigungen über gefundene Objekte (s. Pkt. 5.7 auf S. 60)

Die Parameter werden für jede Gruppe in einer gesonderten Konfigurationsdatei gespeichert (s. Pkt. A.2 auf S. 140). Alle Konfigurationsdateien für Gruppen müssen mit Hilfe der Anweisung _include im Abschnitt [kav4lms:groups] der Hauptkonfigurationsdatei der Anwendung kav4lms.conf eingetragen werden. Diese Anweisung unterstützt eine Verbindung unter Angabe des Namens einer Konfigurationsdatei oder des Verzeichnisnamens, in dem die Konfigurationsdateien für Gruppen gespeichert sind.

Die Konfigurationsdateien für Gruppen befinden sich standardmäßig im Verzeichnis /etc/opt/kaspersky/kav4lms/groups.d/.

Die Distribution der Anwendung enthält die Konfigurationsdatei der Gruppe De- fault – default.conf. Sie befindet sich nach der Installation der Anwendung im Verzeichnis /etc/opt/kaspersky/kav4lms/groups.d/. Die in dieser Datei festgelegten Werte werden als Standardwerte für Parameter verwendet, wenn diese in der Konfigurationsdatei einer Gruppe nicht definiert sind. Die Parameter der Konfigurationsdatei der Gruppe Default dienen zur Verarbeitung von E-Mails, wenn es keine anderen Gruppen gibt.

Page 49

Antiviren-Schutz für E-Mails 49

Hinweis

Es wird empfohlen, beim Erstellen der Konfigurationsdatei einer Gruppe die Datei default.conf zu verwenden. Um den Namen einer Gruppe schnell zu ändern, verwenden Sie folgende Befehle:

# cd /etc/opt/kaspersky/kav4lms/groups.d

# sed 's|groups.default|groups.<Gruppenname>|' default.conf > <Gruppenname>.conf

Bei der Untersuchung einer Nachricht verwendet Anti-Virus die Parameter der Gruppe, in der ihr Absender oder Empfänger gefunden wurde (aus den Befehlen MAIL FROM und RCPT TO). Wenn der Absender und alle Empfänger zu ver-

schiedenen Gruppen gehören, wird die Gruppe mit der höchsten Priorität ge- wählt. Wenn keine Gruppen gefunden werden, wird die Nachricht nach den Pa-

rametern, die in der Konfigurationsdatei der Gruppe Default angegeben sind, verarbeitet. Sie besitzt die geringste Priorität 0. Deshalb wird empfohlen, für

Gruppen mit höherer Priorität eine höhere Sicherheitsstufe festzulegen. Die Priorität ist ein unikaler Gruppenidentifikator. Er wird durch den Parameter

Priority im Abschnitt [kav4lms:groups.<Gruppenname>.definition] der Konfigurationsdatei einer Gruppe angegeben.

Die Absender und Empfänger werden durch die Parameter Senders und Reci- pients im Abschnitt [kav4lms:groups.<Gruppenname>.definition] der Konfi-

gurationsdatei einer Gruppe bestimmt.

Um eine neue Gruppe anzulegen,

1. Erstellen Sie im Verzeichnis, das im Abschnitt [kav4lms:groups] der

Hauptkonfigurationsdatei der Anwendung angegeben ist, die Konfigurationsdatei der Gruppe. Standardmäßig ist dies das Verzeichnis /etc/opt/kaspersky/kav4lms/groups.d/

2. Legen Sie in der Konfigurationsdatei der Gruppe die Priorität der Grup-

pe fest: Parameter Priority im Abschnitt

[kav4lms:groups.<Gruppenname>.definition]. Als Wert für diesen Parameter kann jede natürliche Zahl dienen. Es ist nicht zulässig, Gruppen mit gleicher Priorität oder mit der Priorität 0 zu erstellen.

3. Legen Sie in der Konfigurationsdatei der Gruppe die Adressen der Ab-

sender und Empfänger fest: Parameter Senders und Recipients im Abschnitt [kav4lms:groups.<Gruppenname>.definition].

Masken mit den Zeichen "*" und "?" sowie reguläre Ausdrücke, die mit dem Präfix "re:" beginnen, sind zulässig. Um mehrere Adressen (Adressenmasken) anzugeben, muss jeder neue Eintrag in einer neuen Zeile stehen:

Page 50

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Bei regulären Ausdrücken wird die Groß- und Kleinschreibung nicht berücksichtigt.

Hinweis

Wenn als Aktion für die ganze E-Mail eine Aktion gewählt wurde, die auf einen Bestandteil der Nachricht anwendbar ist (s. Pkt. 5.4 auf S. 55), werden unabhängig von der gewählten Untersuchungsmethode die einzelnen Teile einer Nachricht analysiert.

Senders=reporter@*.mydomain.com

Recipients=re:office\d+@central\.mydomain\.com

Es muss unbedingt mindestens einer der Parameter Senders, Recipients angegeben werden. Wenn in der Beschreibung einer Gruppe der Parameter Recipients oder Senders fehlt, verwendet die Anwen-

dung für diesen Parameter den Wert, der in der Konfigurationsdatei default.conf als Standard vorgegeben ist – "*@*" (alle Adressen).

4. Geben Sie bei Bedarf die Parameterwerte für die E-Mail-Untersuchung

in den Abschnitten der Konfigurationsdatei der Gruppe an (Details s. Pkt. A.2 auf S. 140). Wenn ein Parameterwert in der Konfigurationsdatei der Gruppe nicht definiert ist, wird für diesen Parameter der Wert verwendet, der in der Konfigurationsdatei der Gruppe Default default.conf vorgegeben ist.

5.2. Richtlinie für die E-Mail-

Untersuchung definieren

Anti-Virus bietet die Möglichkeit, E-Mails auf eine der folgenden Arten zu untersuchen:

 als einheitliches Objekt – Kopfzeilen und Nachrichtenkörper werden

vollständig untersucht.

 kombiniert – Eine E-Mail wird zuerst als einheitliches Objekt untersucht,

anschließend wird die Nachricht in Objekte zerlegt (Nachrichtenkörper,

Anlagen, usw.) und jeder Bestandteil wird separat analysiert. Diese Methode bietet eine höhere Untersuchungsqualität und ein gesteigertes Sicherheitsniveau.

Die Methode für die E-Mail-Untersuchung wird durch die Richtlinie bestimmt und in der Konfigurationsdatei der Gruppe durch den Parameter ScanPolicy im Abschnitt [kav4lms:groups.<Gruppenname>.settings] angegeben.

Page 51

Antiviren-Schutz für E-Mails 51

Damit E-Mails als einheitliches Objekt untersucht werden,

weisen Sie dem Parameter ScanPolicy den Wert message zu.

Damit E-Mails kombiniert untersucht werden,

weisen Sie dem Parameter ScanPolicy den Wert combined zu.

5.3. Modus für die E-Mail-

Untersuchung

Der nächste Schritt zum Anpassen einer Gruppe besteht in der Auswahl des Untersuchungsmodus für E-Mails. Für die E-Mail-Untersuchung verwendet Anti-

Virus die folgenden Modi:

 Untersuchung auf das Vorhandensein von Bedrohungen  Filterung von Anhängen

Der Modus zur E-Mail-Untersuchung für eine Gruppe wird durch den Parameter Check im Abschnitt [kav4lms:groups.<Gruppenname>.settings] der Konfigurationsdatei der Gruppe festgelegt und kann folgende Werte annehmen:

 anti-virus – Antiviren-Untersuchung von E-Mails ausführen.  content-filter – Filterung nach Name, Typ und Größe von Anhängen

ausführen.

 all – Antiviren-Untersuchung und Filterung von Anhängen ausführen.  none – E-Mail-Untersuchung deaktivieren.

Wenn die Untersuchung von E-Mails auf das Vorhandensein von Bedrohungen und die Filterung aktiviert sind, erfolgt die Untersuchung in folgender Reihenfolge:

1. Antiviren-Untersuchung einer E-Mail als einheitliches Objekt

2. Filterung von Anlagen

3. Untersuchung der E-Mail "in ihren Bestandteilen" (wenn die kombinierte

Methode zur E-Mail-Untersuchung ScanPolicy=combined gewählt wurde).

Page 52

Kaspersky Anti-Virus 5.6 for Linux Mail Server

5.3.1. Antiviren-Untersuchung

Die Antiviren-Untersuchung von E-Mails wird ausgeführt, wenn für den Parameter Check der Wert anti-virus oder all (Konfigurationsdatei der Gruppe, Abschnitt [kav4lms:groups.<Gruppenname>.settings]) festgelegt wurde.

Abhängig von den Ergebnissen der Antiviren-Untersuchung weist die Anwendung einer E-Mail oder einem darin enthaltenen Objekt einen bestimmten Status zu:

 clean – Die Nachricht enthält keine Bedrohungen.  infected – Die Nachricht (oder einer ihrer Bestandteile) enthält schädli-

che Objekte.

 suspicious – Die Nachricht (oder einer ihrer Bestandteile) enthält ein

schädliches Objekt (Dieser Status wird nur zugewiesen, wenn die heu-

ristische Analyse aktiviert ist).

 protected – Die Nachricht (oder einer ihrer Bestandteile) ist kennwort-

geschützt oder verschlüsselt.

 error – Die Nachricht (oder einer ihrer Bestandteile) ist beschädigt oder

der Untersuchungsvorgang wurde fehlerhaft abgeschlossen.

Die weitere Verarbeitung von E-Mails und deren Objekten erfolgt auf Basis des bei der Untersuchung zugewiesenen Status (s. Pkt. 5.4 auf S. 55).

Für infizierte E-Mails (infected) kann eine spezielle Verarbeitungsreihenfolge festgelegt werden, falls zum Löschen vorgesehene Bedrohungen gefunden

werden, (Parameter VirusNameAction, Konfigurationsdatei der Gruppe, Abschnitt [kav4lms:groups.<Gruppenname>.actions]). Der Name der gefundenen Bedrohung wird von Anti-Virus zurückgegeben, wobei das für Kaspersky Lab übliche Format verwendet wird. Informationen zu diesem Format finden Sie auf der Seite www.viruslist.com. Eine Liste der Bedrohungen, die einer speziellen Verarbeitung unterliegen, wird durch den Parameter NameList im Abschnitt [kav4lms:groups.<Gruppenname>.contentfiltering] festgelegt. Dieser Parameter erlaubt es, die Namen von Bedrohungen als Zeichenkette oder

im Format für reguläre Ausdrücke (POSIX) anzugeben. Die Parameter für die Antiviren-Untersuchung lassen sich anpassen, um die

Qualität oder die Geschwindigkeit der Untersuchung zu erhöhen. Die Parameter für die Antiviren-Untersuchung befinden sich im Abschnitt

[kav4lms:group.<Gruppenname>.settings] der Konfigurationsdatei der Gruppe. Diese Parameter legen fest:

 Notwendigkeit der Untersuchung von Archiven (ScanArchives)  Notwendigkeit der Untersuchung von gepackten Dateien (ScanPacked)

Page 53

Antiviren-Schutz für E-Mails 53

Hinweis

Der Wert yes für diesen Parameter aktiviert die Möglichkeit, einer EMail den Status suspicious zuzuweisen. Im gegenteiligen Fall wird dieser Status nicht zugewiesen.

Achtung!

Es kann vorkommen, dass der Inhaltstyp einer Anlage von dem in der E-Mail-Kopfzeile angegebenen Typ abweicht. Kaspersky Anti-Virus prüft die Übereinstimmung von Kopfzeile und Inhaltstyp einer E-Mail nicht.

 Notwendigkeit der Verwendung der heuristischen Analyse (UseCodeA-

nalyzer)

 Maximale Untersuchungsdauer für eine E-Mail oder einen E-Mail-

Bestandteil (Parameter MaxScanTime). Bei Überschreitung des Grenzwerts wird die Untersuchung abgebrochen und die E-Mail erhält den Status error.

 Modus zur Dekodierung von MIME-Objekten, die nicht den RFC-

Standards entsprechen, unter Verwendung von heuristischen Algorithmen (Parameter MIMEEncodingHeuristics).

 Typ der von der Anwendung verwendeten Antiviren-Datenbanken

(Parameter UseAVBasesSet)

5.3.2. E-Mail-Filterung

Die Filterung von E-Mails wird ausgeführt, wenn für den Parameter Check der Wert content-filter oder all (Konfigurationsdatei der Gruppe, Abschnitt [kav4lms:groups.<Gruppenname>.settings]) festgelegt wurde.

In Anti-Virus können folgende Filterkriterien verwendet werden:

 MIME-Typ von Anlagen (wird auf die Kopfzeilen "Content-Type" ange-

wendet).

 Name der Anlage (wird auf Namen und Erweiterungen von Anlagen an-

gewendet).

 Größe der Anlage (wird auf die Größen der E-Mail-Objekte angewendet,

die Größe wird nach dem Entpacken einer Anlage ermittelt).

Page 54

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Hinweis

Sind die Antiviren-Untersuchung und die E-Mail-Filterung gleichzeitig aktiviert, dann wird die Filterung vor der Antiviren-Untersuchung ausgeführt.

Achtung!

Wenn nur eine Ausschlussregel festgelegt wurde, aber keine einschließende

Regel vorhanden ist, unterliegen alle Objekte, die nicht unter die Ausschlussregel fallen, der Filterung.

Wenn keine der beiden Regeln festgelegt wurde, erfolgt selbst dann keine Filterung, wenn der Parameter Check den Wert content-filter oder all besitzt.

Achtung!

Bei regulären Ausdrücken wird die Groß- und Kleinschreibung nicht berücksichtigt und sie müssen mit dem Präfix "re:" beginnen.

Die Filterkriterien werden in der Konfigurationsdatei der Gruppe im Abschnitt [kav4lms:groups.<Gruppenname>.contentfiltering] festgelegt.

Für jedes Filterkriterium können zwei Regeln angegeben werden:

 Einschließende Regel, die sich auf Objekte bezieht, die der Filterung

unterliegen und durch folgende Parameter beschrieben werden:

 IncludeMime – Liste der MIME-Typen  IncludeName – Liste der Namen und Erweiterungen von Anlagen  IncludeSize – Liste mit Größen von Objekten

 Ausschließende Regel, die sich auf Objekte bezieht, die nicht der Filte-

rung unterliegen und durch folgende Parameter beschrieben werden:

 ExcludeMime – Liste der MIME-Typen  ExcludeName – Liste der Namen und Erweiterungen von Anlagen  ExcludeSize – Liste mit Größen von Objekten

Regeln für MIME-Typen und Namen von Anlagen können enthalten:

 Zeichenketten  Ausdrücke, die Platzhalterzeichen enthalten (UNIX-Syntax)  Reguläre Ausdrücke (POSIX-Syntax)

Regeln für die Objektgröße können in folgender Form angegeben werden:

 Anzahl der Byte

Page 55

Antiviren-Schutz für E-Mails 55

 Zahlen mit Maßeinheit ("KB" oder "MB")  Oben genannte Typen mit Vergleichszeichen

5.4. Aktionen für Objekte

Abhängig von den Ergebnissen der Antiviren-Untersuchung und Filterung führt Anti-Virus Aktionen mit E-Mails oder den darin enthaltenen Objekten aus. Bestimmte Aktionen können nur auf eine gesamte E-Mail als einheitliches Objekt angewendet werden, andere Aktionen sind nur auf die Bestandteile einer E-Mail

anwendbar. Für die Parameter, die die Aktionen von Kaspersky Anti-Virus be- stimmen, können folgende Werte festgelegt werden:

 warn: Die E-Mail wird vollständig durch einen Text ersetzt, der vor dem

Vorhandensein eines schädlichen Objekts warnt.

 drop: Die E-Mail wird gelöscht, ohne dem Empfänger zugestellt zu wer-

den.

 reject: Die E-Mail wird nicht zugestellt. (Wenn die Anwendung in Postfix

[Integration nach Einreihung in die Warteschlange] oder Exim integriert

wurde, wird anstelle dieser Aktion bounce ausgeführt.) Wenn diese Ak- tion angewendet wird, erhält der Absender eine Nachricht, die durch

den Parameter RejectReply bestimmt wird.

 skip: Die E-Mail oder das E-Mail-Objekt wird unverändert übersprun-

gen. Das Untersuchungsergebnis wird im Anwendungsbericht protokolliert.

 cure (Diese Aktion wird nur aufgrund der Ergebnisse der Antiviren-

Untersuchung auf E-Mail-Objekte angewendet.): Die Anwendung versucht, das infizierte Objekt zu desinfizieren. Wenn die Desinfektion fehlschlägt, wird die Aktion delete auf das Objekt angewendet.

 rename (Diese Aktion wird nur aufgrund der Ergebnisse der Filterung

auf E-Mail-Objekte angewendet.): Dem Namen der Anlage wird der Wert des Parameters RenameTo hinzugefügt. Wenn dieser Parameter eine Erweiterung angibt (z.B. .vir), wird der Parameterwert zum Namen der Anlage hinzugefügt. Im gegenteiligen Fall wird der Name der Anlage durch den Parameterwert ersetzt.

 delete: Das E-Mail-Objekt wird gelöscht und, wenn der Parameter

UsePlaceholderNotice den Wert yes besitzt, durch eine Meldung er-

setzt. Der Meldungstext wird aus der Vorlagendatei part_<action> entnommen.

Die Aktionen, die aufgrund des Ergebnisses der Antiviren-Untersuchung angewendet werden sollen, werden durch die Parameter InfectedAction, Suspi-

Page 56

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Da die Filterung vor der Antiviren-Untersuchung erfolgt, kann es vorkommen, dass die Untersuchung der Bestandteile einer E-Mail keine Hinweise auf vorhandene Bedrohungen enthält, während die Untersuchung der E-Mail als einheitliches Objekt den Status infected ergibt. Das kann der Fall sein, wenn auf den Bestandteil einer E-Mail nach der Filterung die Aktion delete angewendet wurde.

ciousAction, ProtectedAction, ErrorAction und VirusNameAction bestimmt. Die Aktionen, die aufgrund des Ergebnisses der Filterung angewendet werden sollen, werden durch die Parameter FilteredMimeAction, FilteredNameAction und FilteredSizeAction bestimmt.

Diese Parameter befinden sich im Abschnitt [kav4lms:groups.<Gruppenname>.actions] der Konfigurationsdatei der Gruppe.

5.5. Vordefinierte Schutzprofile

Der Lieferumfang von Kaspersky Anti-Virus enthält vordefinierte Konfigurationsprofile, die unterschiedliche Niveaus für den E-Mail-Schutz bieten.

 empfohlen: gespeichert im Verzeichnis default_recommended (s. Pkt.

5.5.1 auf S. 57).

 maximale Sicherheit: gespeichert im Verzeichnis high_overall_security

(s. 5.5.2 auf S. 57).

 maximales Tempo: gespeichert im Verzeichnis high_scan_speed (s.

Pkt. 5.5.3 auf S. 58).

Jedes Profil besteht aus zwei Konfigurationsdateien: kav4lms.conf und de- fault.conf (gespeichert im Unterverzeichnis groups.d). Die Profile sind im Verzeichnis /etc/opt/kaspersky/kav4lms/profiles in entsprechenden Unterverzeichnissen gespeichert.

Sie können eines der vordefinierten Profile wählen oder die Parameter für den EMail-Schutz manuell über die Konfigurationsdatei der Anwendung anpassen.

Um ein vordefiniertes Profil zu verwenden:

1. Fertigen Sie eine Sicherungskopie der Konfigurationsdateien der An-

wendung an (kav4lms.conf unf groups.d/default.conf).

2. Kopieren Sie den Inhalt des gewünschten Verzeichnisses in das Ver-

zeichnis /etc/opt/kaspersky/kav4lms.

3. Starten Sie die Anwendung mit den neuen Funktionsparametern neu,

indem Sie den folgenden Befehl geben:

Page 57

Antiviren-Schutz für E-Mails 57

/etc/init.d/kav4lms reload

5.5.1. Empfohlenes Schutzprofil

Dieses Profil enthält Parameter, die einen Kompromiss zwischen dem Niveau

des Antiviren-Schutzes und der Geschwindigkeit der E-Mail-Verarbeitung bieten. Merkmale des Profils:

 Auf E-Mails wird die Untersuchungsrichtlinie message angewendet: Jede

E-Mail wird als einheitliches Objekt verarbeitet.

 Bei der Untersuchung wird eine erweiterte Auswahl von Antiviren-

Datenbanken verwendet.

 Die maximal zulässige Verschachtelungstiefe für MIME-Objekte beträgt

10.

 Für jede E-Mail, die der Antiviren-Untersuchung unterzogen wird, werden

eine Sicherungskopie und eine Infodatei angelegt.

 Infizierte Objekte werden der Desinfektion unterzogen.  Der Modus zur Filterung von Anlagen nach MIME-Typen ist aktiviert. Die

Anwendung löscht Links zu externen Objekten (message/external-body type) und Anlagen mit den Erweiterungen .pif, .com, .bat und .exe.

 E-Mails, denen die Status suspicious, protected oder error zugewiesen

wurde oder die nach Name oder MIME-Typ einer Anlage gefiltert wurden, werden durch Meldungen ersetzt. Beim Fund einer Bedrohung, die zum Löschen vorgesehen wurde, wird die E-Mail gelöscht.

 Der Kopfzeile und dem Körper einer E-Mail werden Informationen über

die Verarbeitungsergebnisse hinzugefügt.

 Die Empfänger erhalten eine Benachrichtigung über die Untersuchung

von E-Mails. Eine Benachrichtigung des Absenders und des Administrators findet nicht statt.

 Im Bericht über die Anwendungsarbeit werden alle Meldungen außer De-

bug-Infos protokolliert.

 Es wird eine Statistik über alle Aspekte der Anwendungsaktivität geführt.

5.5.2. Profil für maximale Sicherheit

Dieses Profil enthält Parameter, die die maximale Sicherheit des Mailverkehrs gewährleisten. Merkmale des Profils:

Page 58

Kaspersky Anti-Virus 5.6 for Linux Mail Server

 Die Anwendung führt die Antiviren-Untersuchung in Übereinstimmung mit

der Richtlinie des Typs combined aus: Jede E-Mail wird zuerst als ein-

heitliches Objekt und unabhängig vom Status der Erstuntersuchung an- schließend in ihren Bestandteilen untersucht.

 E-Mails, die nicht den RFC-Standards entsprechen, werden unter Ver-

wendung von heuristischen Algorithmen dekodiert und bei erfolgreicher Dekodierung zur Untersuchung übergeben.

 Bei der Untersuchung wird eine erweiterte Auswahl von Antiviren-

Datenbanken verwendet.

 Der Modus zur Filterung von Anlagen nach MIME-Typen ist aktiviert. Die

Anwendung löscht Links zu externen Objekten (message/external-body type) und Anlagen mit den Erweiterungen .pif, .com, .bat und .exe.

 Die maximal zulässige Verschachtelungstiefe für eine E-Mail beträgt 10.  Für jede E-Mail, die der Antiviren-Untersuchung oder der Filterung unter-

zogen wird, werden eine Sicherungskopie und eine Infodatei angelegt.

 Infizierte Objekte werden der Desinfektion unterzogen.  E-Mails, denen der Status suspicious oder protected zugewiesen wurde

oder die nach Name oder MIME-Typ einer Anlage gefiltert wurden, wer-

den gelöscht. Beim Fund einer Bedrohung aus der festgelegten Liste wird die E-Mail gelöscht, ohne dem Empfänger zugestellt zu werden.

 Wenn bei der Untersuchung einer E-Mail ein Fehler auftritt, wird der Inhalt

der E-Mail durch eine Meldung ersetzt.

 Die Empfänger erhalten eine Benachrichtigung über die Untersuchung

von E-Mails. Eine Benachrichtigung des Absenders und des Administrators findet nicht statt.

 Im Bericht über die Anwendungsarbeit werden alle Meldungen außer De-

bug-Infos protokolliert.

 Es wird keine Statistik gespeichert.

5.5.3. Profil für maximales Tempo

Dieses Profil gewährleistet die maximale Geschwindigkeit bei der AntivirenUntersuchung. Merkmale des Profils:

 Auf E-Mails wird die Untersuchungsrichtlinie message angewendet: Jede

E-Mail wird als einheitliches Objekt verarbeitet.

 Die E-Mail-Filterung ist deaktiviert.

Page 59

Antiviren-Schutz für E-Mails 59

 Eine Sicherungskopie wird beim Abschluss der folgenden Aktionen ange-

legt: drop und warn. Es wird keine Infodatei angelegt.

 E-Mails, denen die Status infected, suspicious, protected oder error zu-

gewiesen wurde, werden durch Meldungen ersetzt. Beim Fund einer Bedrohung aus der festgelegten Liste wird die E-Mail gelöscht.

 Der Kopfzeile einer E-Mail werden Informationen über die Verarbeitungs-

ergebnisse hinzugefügt.

 Die Empfänger erhalten eine Benachrichtigung über die Untersuchung

von E-Mails. Eine Benachrichtigung des Absenders und des Administrators findet nicht statt.

 Im Bericht über die Anwendungsarbeit werden Informationen über alle

Aspekte der Anwendungsfunktionalität protokolliert. Genauigkeitsstufe:

kritische und andere Fehler sowie wichtige Meldungen mit informativem Charakter.

 Es wird eine Statistik über gefundene Bedrohungen geführt.  Die maximale Anzahl von Anfragen an den zentralen Anwendungsdienst

ist im Vergleich zum empfohlenen Profil und dem Profil für maximale Si- cherheit verdoppelt. Die maximale Anzahl gleichzeitiger Anfragen für die Untersuchung ist unbeschränkt.

5.6. Sicherungskopien von E-Mails

Die Anwendung erlaubt es, vor der Verarbeitung eine Sicherungskopie der EMail anzulegen. Die Backup-Parameter befinden sich im Abschnitt [kav4lms:groups.<Gruppenname>.backup] der Konfigurationsdatei der Gruppe.

Der Backup-Modus wird durch den Parameter Policy festgelegt, der folgende Werte annehmen kann:

 message – Es wird nur eine Kopie der E-Mail angelegt.  info – Zusammen mit der Sicherungskopie einer E-Mail wird eine Info-

datei angelegt. Diese Datei enthält folgende Informationen:

 IP-Adresse oder Name des Clients des Mailsystem  IP-Adresse oder Name des Servers des Mailsystems  E-Mail-Absender  Adresse des Servers, der die E-Mail verarbeitet hat.

Page 60

Kaspersky Anti-Virus 5.6 for Linux Mail Server

 Name der Gruppe, deren Regeln für die Verarbeitung der E-Mail

angewendet wurde.

 Liste der E-Mail-Empfänger  Grund für das Anlegen einer Sicherungskopie (Desinfektion, Lö-

schen, Zurückweisung, Filterung der E-Mail)

 Pfad der Datei für die Sicherungskopie der E-Mail  Informationen zur Anwendung (Prozess- und Thread-IDs)

 none – Es wird keine Sicherungskopie angelegt.

Der Parameter Options erlaubt es, den Grund für das Anlegen einer Siche- rungskopie anzugeben:

 cured – Ein Teil der ursprünglichen E-Mail wurde desinfiziert.  deleted – Ein Teil der E-Mail wurde gelöscht.  rejected – Die Zustellung der E-Mail wurde zurückgewiesen.  dropped – Die E-Mail wurde gelöscht, ohne sie dem Empfänger zuzus-

tellen.

 deleted – Die E-Mail wurde durch eine Meldung ersetzt.  renamed – Mindestens eine Anlage wurde umbenannt.  all – In allen oben aufgezählten Fällen.

Als Wert für den Parameter Options kann sowohl ein Wert als auch eine Liste von Werten (durch Komma getrennt) angegeben werden.

Sicherungskopien von E-Mails und Infodateien werden im Verzeichnis, das durch den Parameter Destination angegeben wird, gespeichert.

5.7. Benachrichtigungen

Eine Benachrichtigung ist eine E-Mail, die eine Beschreibung der verarbeiteten

Nachricht enthält und an den Empfänger, Absender oder Serveradministrator

geschickt wird. Neben der Beschreibung der eigentlichen E-Mail enthält eine Benachrichtigung

auch eine Beschreibung der Objekte, die aus bestimmten Gründen aus der

Nachricht gelöscht wurden. Es besteht die Möglichkeit, die ursprüngliche E-Mail in die Benachrichtigung ein-

zufügen. Dies ist allerdings nur für eine Benachrichtigung an den Empfänger

Page 61

Antiviren-Schutz für E-Mails 61

möglich. Für den Administrator und den Absender werden neue E-Mails erstellt, die nur den Benachrichtigungstext enthalten.

5.7.1. Benachrichtigungen anpassen

Die Parameter für Benachrichtigungen befinden sich:

 im Abschnitt [kav4lms:server.notifications] der Konfigurationsdatei

der Anwendung kav4lms.conf

 im Abschnitt [kav4lms:group.<Gruppenname>.notifications] der

Konfigurationsdatei einer Gruppe.

Die Benachrichtigungen werden auf zwei Etappen angepasst.

Schritt 1. Benachrichtigungsempfänger wählen

Benachrichtigungen können geschickt werden:

 an den Absender einer E-Mail (Parameter NotifySender der Konfigura-

tionsdatei einer Gruppe)

 an die Empfänger einer E-Mail (Parameter NotifyRecipients der Konfi-

gurationsdatei einer Gruppe)

 an die Sicherheitsadministratoren (Parameter NotifyAdmin in den

Gruppenparametern). Eine Liste der E-Mail-Adressen der Sicherheitsadministratoren wird durch den Parameter AdminAdresses in den Gruppenparametern angelegt.

 an die Administratoren von Kaspersky Anti-Virus (Parameter

ProductNotify in der Datei kav4lms.conf). Eine Liste der E-Mail-

Adressen der Administratoren für die Anwendung wird durch den

Parameter ProductAdmins in der Datei kav4lms.conf angelegt.

Es werden Benachrichtigungen an die angegebenen Benutzerkategorien geschickt, wenn für die aufgezählten Parameter ein beliebiger Wert außer none eingestellt ist.

Schritt 2. Betreff der Benachrichtigung wählen

Die Absender und die Empfänger einer E-Mail sowie die Sicherheitsadministrato- ren können benachrichtigt werden:

 Darüber, dass mit einer E-Mail eine Aktion (s. Pkt. 5.4 auf S. 55), die

durch die Parameter InfectedAction angegeben ist, ausgeführt wurde. Dieser Benachrichtigungstyp wird aktiviert, indem dem Parameter, der

Page 62

Kaspersky Anti-Virus 5.6 for Linux Mail Server

den Benachrichtigungsempfänger festlegt (Schritt 1), der Wert infected zugewiesen wird.

 Darüber, dass mit einer E-Mail eine Aktion (s. Pkt. 5.4 auf S. 55), die

durch die Parameter ProtectedAction angegeben ist, ausgeführt wurde. Dieser Benachrichtigungstyp wird aktiviert, indem dem Parameter,

der den Benachrichtigungsempfänger festlegt (Schritt 1), der Wert protected zugewiesen wird.

 Darüber, dass mit einer E-Mail eine Aktion (s. Pkt. 5.4 auf S. 55), die

durch die Parameter ErrorAction angegeben ist, ausgeführt wurde. Dieser Benachrichtigungstyp wird aktiviert, indem dem Parameter, der den Benachrichtigungsempfänger festlegt (Schritt 1), der Wert error zu- gewiesen wird

 Über das Ausführen einer Filterregel (s. Pkt. 5.3.2 auf S. 53). Dieser

Benachrichtigungstyp wird aktiviert, indem dem Parameter, der den Benachrichtigungsempfänger festlegt (Schritt 1), der Wert filtered zugewiesen wird.

 Über alle oben aufgezählten Ereignisse. Dieser Benachrichtigungstyp

wird aktiviert, indem dem Parameter, der den Benachrichtigungsemp-

fänger festlegt (Schritt 1), der Wert all zugewiesen wird.

Die für die Anwendung zuständigen Administratoren können benachrichtigt wer-

den:

 Über den Empfang eines Updates für die Antiviren-Datenbanken. Die-

ser Benachrichtigungstyp wird aktiviert, indem dem Parameter Pro- ductNotify der Wert update zugewiesen wird.

 Über kritische Fehler bei der Arbeit der Anwendung. Dieser Benachrich-

tigungstyp wird aktiviert, indem dem Parameter ProductNotify der Wert fault zugewiesen wird.

 Über Ereignisse, die mit einem Schlüssel und mit einer Lizenzbe-

schränkung zusammenhängen. Dieser Benachrichtigungstyp wird akti-

viert, indem dem Parameter ProductNotify der Wert license zugewiesen wird.

 Über alle oben aufgezählten Ereignisse. Dieser Benachrichtigungstyp

wird aktiviert, indem dem Parameter ProductNotify der Wert all zugewiesen wird.

Lizenzbenachrichtigungen stellen eine Ausnahme dar und können nicht aus der Liste hinzugefügt werden. Diese Art von Benachrichtigungen wird immer gesen-

det. Wenn die Benachrichtigungsfunktion deaktiviert ist, werden nur Berichtseinträge generiert.

Es gibt zwei Typen von Benachrichtigungen, die sich auf eine Lizenz beziehen:

Page 63

Antiviren-Schutz für E-Mails 63

 Ende der Gültigkeitsdauer eines Schlüssels. Sie werden zum ersten Mal

14 Tage vor Ablauf der Gültigkeitsdauer eines Schlüssels gesendet, anschließend täglich bis zum Ablauf der Gültigkeit. Am Tag, nachdem die Gültigkeitsdauer eines Schlüssels abgelaufen ist, wird eine entspre-

chende Benachrichtigung gesendet.

 Überschreitung einer Lizenzbeschränkung. Sie werden gesendet, wenn

die Anzahl der Benutzer oder des Datenverkehrs, die in den Bedingungen für den Kauf der Anwendung festgelegt sind, überschritten wird.

5.7.2. Benachrichtigungsvorlagen

Beim Erstellen von Benachrichtigungen werden folgende Vorlagen verwendet. (Sie sind im Verzeichnis, das durch den Parameter Templates der Konfigurationsdatei der Anwendung angegeben wird, gespeichert):

 Benachrichtigungsvorlagen zur Beschreibung von gelöschten Ob-

jekten – Text, der in eine ursprüngliche E-Mail eingefügt wird, wenn

aufgrund der Antiviren-Verarbeitung oder Filterung ein Teil der E-Mail

gelöscht wurde. Dieser Text kann Makros enthalten, die den Grund für das Löschen eines Objekts genauer angeben. Folgende Vorlagen sind

vorgesehen:  part_infected – Text, durch den in der ursprünglichen E-Mail ein

Objekt ersetzt wird, das aufgrund eines fehlgeschlagenen Desinfek-

tionsversuchs gelöscht wurde.

 part_filtered – Text, durch den in der ursprünglichen E-Mail ein

MIME-Objekt ersetzt wird, das aufgrund der Filterung von MIME-

Objekten gelöscht wurde.

 part_suspicious – Text, durch den in der ursprünglichen E-Mail ein

Objekt ersetzt wird, das von der Anwendung als verdächtig einges-

tuft wurde.

 part_filtered – Text, durch den in der ursprünglichen E-Mail ein Ob-

jekt ersetzt wird, das aufgrund der Filterung umbenannt wurde.

 part_protected – Text, durch den in der ursprünglichen E-Mail ein

geschütztes Objekt ersetzt wird, das nicht auf Viren untersucht

werden konnte und deshalb gelöscht wurde.

 part_error – Text, durch den in der ursprünglichen E-Mail ein Objekt

ersetzt wird, bei dessen Untersuchung ein Fehler aufgetreten ist

und das gelöscht wurde.

 Vorlage für die Standardbenachrichtigung – Text, der für Absender,

Empfänger und Administrator einheitlich ist. Zum Senden der Benach-

Page 64

Kaspersky Anti-Virus 5.6 for Linux Mail Server

richtigung dient der Filter oder eine SMTP-Komponente. Der Text dieser Vorlage kann Makros enthalten, die die Aktionen, die mit der ursprünglichen E-Mail ausgeführt wurden, genauer angeben. Folgende Vorlagen sind vorgesehen:

 notify_common – Text, der standardmäßig für Benachrichtigun-

gen des Empfängers, Absenders und Administrators über mit einer E-Mail ausgeführte Aktionen verwendet wird.

 notify_infected – Text, der eine infizierte E-Mail ersetzt.  notify_suspicious – Text, der eine E-Mail, die verdächtige Ob-

jekte enthält, ersetzt.

 notify_filtered – Text, der eine gefilterte E-Mail ersetzt.  notify_error – Text, der eine E-Mail, bei deren Untersuchung ein

Fehler aufgetreten ist, ersetzt.

 notify_protected – Text, der eine E-Mail, die vor der Untersu-

chung geschützt ist, ersetzt.

 disclaimer – Text, der jeder untersuchten oder bei der Antiviren-

Verarbeitung erstellten E-Mail hinzugefügt wird. Die Vorlage

enthält standardmäßig eine Benachrichtigung darüber, dass die

E-Mail von Kaspersky Anti-Virus untersucht worden ist.

 Vorlage zur erweiterten Benachrichtigung – Text, der zur Benach-

richtigung einer konkreten Person verwendet wird, für die Informationen über die Antiviren-Verarbeitung der ursprünglichen E-Mail interessant sind. Es stehen spezielle Vorlagen zur Benachrichtigung des Absenders, Empfängers und Administrators zur Verfügung. Um diese Vorlagen zu verwenden, muss dem Parameter UseCustomTemplates der Wert yes zugewiesen werden. Folgende Vorlagen sind vorgesehen:

 Benachrichtigungen an den Absender:

o notify_sender_common – Text für eine Benachrichtigung an

den Absender über die mit der ursprünglichen E-Mail ausge- führten Aktionen.

o notify_sender_infected – Text, der eine infizierte E-Mail ersetzt.

o notify_sender_suspicious – Text, der eine E-Mail, die verdäch-

tige Objekte enthält, ersetzt.

o notify_sender_filtered – Text, der eine gefilterte E-Mail ersetzt.

o notify_sender_error – Text, der eine E-Mail, bei deren Unter-

suchung ein Fehler aufgetreten ist, ersetzt.

o notify_sender_protected – Text, der eine E-Mail, die vor der

Untersuchung geschützt ist, ersetzt.

Page 65

Antiviren-Schutz für E-Mails 65

 Benachrichtigungen an die Empfänger:

o notify_recipients_common – Text für eine Benachrichtigung an

den Empfänger über die mit der ursprünglichen E-Mail ausge- führten Aktionen.

o notify_recipients_infected – Text, der eine infizierte E-Mail er-

setzt.

o notify_recipients_suspicious – Text, der eine E-Mail, die ver-

dächtige Objekte enthält, ersetzt.

o notify_recipients_filtered – Text, der eine gefilterte E-Mail er-

setzt.

o notify_recipients_error – Text, der eine E-Mail, bei deren Un-

tersuchung ein Fehler aufgetreten ist, ersetzt.

o notify_recipients_protected – Text, der eine E-Mail, die vor der

Untersuchung geschützt ist, ersetzt.

 Benachrichtigungen an den Administrator:

o notify_admin_common – Text für eine Benachrichtigung an

den Administrator über die mit der ursprünglichen E-Mail ausgeführten Aktionen.

o notify_admin_infected – Text, der eine infizierte E-Mail ersetzt.

o notify_admin_suspicious – Text, der eine E-Mail, die verdäch-

tige Objekte enthält, ersetzt.

o notify_admin_filtered – Text, der eine gefilterte E-Mail ersetzt.

o notify_admin_error – Text, der eine E-Mail, bei deren Untersu-

chung ein Fehler aufgetreten ist, ersetzt.

o notify_admin_protected – Text, der eine E-Mail, die vor der Un-

tersuchung geschützt ist, ersetzt.

 Vorlage für eine spezielle Benachrichtigung an den Administrator –

Text, der dazu dient, spezielle Benachrichtigungen über besondere Ereignisse, die der besonderen Aufmerksamkeit des Administrators bedürfen, zu erstellen. Folgende Vorlagen sind vorgesehen:

 product_update – Text, der dazu dient, den Administrator über den

Empfang von Updates für die Antiviren-Datenbanken der Anwen-

dung zu benachrichtigen.

 product_fault – Text, dazu dient, den Administrator darüber zu be-

nachrichtigen, dass bei der Arbeit von Kaspersky Anti-Virus ein kri-

tischer Fehler aufgetreten ist.

Page 66

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Beim Start der Anwendung wird geprüft, ob alle aufgezählten Vorlagen vorhanden sind. Wenn eine oder mehrere Vorlagen fehlen, gibt die Anwendung einen

Fehler zurück. Außerdem wird die Größe der einzelnen Vorlagen geprüft, die maximal 8 KB

betragen darf.

Achtung!

Die erste Zeile einer Vorlage darf das Zeichen ":" nicht enthalten, weil sie sonst als Kopfzeile interpretiert wird. Um dies zu vermeiden, muss eine Vorlage mit einem Zeilenumbruch beginnen (Eingabe-Taste).

 product_license – Text, der dazu dient, den Administrator über das

Ende der Gültigkeitsdauer eines Schlüssels oder über eine Verlet-

zung der Lizenzbedingungen zu benachrichtigen.

5.7.3. Eigene Benachrichtigungsvorlagen

erstellen

Kaspersky Anti-Virus bietet die Möglichkeit, unter Verwendung einer speziellen Benachrichtigungssprache eigene Benachrichtigungsvorlagen für Administratoren, Empfänger und Absender zu erstellen.

Die Benachrichtigungssprache besteht aus einer Auswahl von Makros und Steuerungskonstruktionen.

Im Folgenden werden Elemente und Syntax der Sprache genau beschrieben und einige Beispiele gegeben.

5.7.3.1. Makros

Ein Makro ist ein Platzhalterelement, das in Vorlagen für E-MailBenachrichtigungen verwendet werden kann. In einem Text, der auf einer Vorlage beruht, wird der Makrotext durch einen bestimmten Wert ersetzt.

Syntax eines Makros: %Makroname%

Wenn Sie das Zeichen % in den Namen eines Makros einschließen möchten,

muss das Zeichen maskiert werden (Details s. Pkt. 5.7.3.5 auf S. 70). Ein Makro kann mehrere Werte besitzen. In diesem Fall wird bei Verwendung

von %Makroname% der zuletzt angegebene Wert verwendet.

Page 67

Antiviren-Schutz für E-Mails 67

Um mehrere Werte eines Makros zu verwenden, ist der Gebrauch von Iterationskonstruktionen erforderlich.

5.7.3.2. Iterationskonstruktionen

Eine Iterationskonstruktion ist ein Grundelement der Benachrichtigungssprache, unter deren Verwendung eine Benachrichtigungsvorlage erstellt wird.

Syntax der Konstruktion:

wobei:

<FOR – Anfang der Konstruktionsdefinition. Wenn das Zeichen < nicht den

Anfang einer Konstruktionsdefinition bildet, muss es maskiert werden (Details s. Pkt. 5.7.3.5 auf S. 70).

INAME – Name der Konstruktion im Format 1*(nchar)*(nchar). Die maxima-

le Länge des Namens beträgt 64 Byte.

IOP – Vergleichsoperation im Format ==, |, !=. Länge 2 Byte. IVALUE – Wert der Konstruktion im Format 1*(vchar)*(vchar). Die maxima-

le Länge beträgt 4096 Byte. Der Wert einer Iterationskonstruktion muss unbedingt in Anführungszeichen stehen. Wenn der Wert einer Konstruk- tion mit einem Wert verglichen wird, der ein Anführungszeichen enthält,

muss ein Escape-Zeichen verwendet werden (Details s. Pkt. 5.7.3.5 auf S. 70). Beispiel:

> – Ende der Definition einer Iterationskonstruktion, Anfang des Iterations-

körpers. Wenn das Zeichen > nicht das Ende der Konstruktionsdefiniti- on bildet, muss es maskiert werden (Details s. Pkt. 5.7.3.5 auf S. 70).

BODY – Iterationskörper im Format *(char) </FOR> – Ende der Definition des Iterationskörpers. Wenn das Zeichen <

nicht das Ende der Definition eines Iterationskörpers bildet, muss es maskiert werden (Details s. Pkt. 5.7.3.5 auf S. 70).

… – Trennungszeichen im Format *( )*(\t)

nchar – Zeichen aus dem Satz a-z, A-Z, 0-9, -, _ vchar – Zeichen aus dem Satz nchar, *, ? char – Zeichen aus dem Satz der Werte 32 – 255

Beispiel für eine Iterationskonstruktion:

<FOR _macro_name_ == "*">%_macro_name_%</FOR>

Page 68

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Beim Ausführen dieser Konstruktion teilt der Parser sie in folgende bedingte

Konstruktionen auf:

<FOR _macro_name_ == "_value_1">%_macro_name_%</FOR>

<FOR _macro_name_ == "_value_2">%_macro_name_%</FOR>

<FOR _macro_name_ == "_value_3">%_macro_name_%</FOR>

<FOR _macro_name_ == "_value_N">%_macro_name_%</FOR>

Diese bedingten Konstruktionen werden sequentiell ausgeführt. Dadurch erlauben Iterationskonstruktionen die Unterscheidung eines konkreten

Makrowerts oder einer Gruppe von Werten. Wenn beispielsweise das Makro %FILTERNAME% den Wert KAVFilter1, KAV-

Filter2, KAVFilter3, SimpleFilter besitzt, dann: wird die Konstruktion:

<FOR FILTERNAME == "KAVFilter1">%FILTERNAME%</FOR>

in folgenden Text transformiert:

KAVFilter1

wird die Konstruktion:

<FOR FILTERNAME = "KAVFilter?">%FILTERNAME%, </FOR>

in folgenden Text transformiert:

KAVFilter1, KAVFilter2, KAVFilter3

wird die Konstruktion:

<FOR FILTERNAME != "KAVFilter2">%FILTERNAME%, </FOR>

in folgenden Text transformiert:

KAVFilter1, KAVFilter3, SimpleFilter

wird die Konstruktion:

<FOR FILTERNAME != "KAV*">%FILTERNAME%, </FOR>

in folgenden Text transformiert:

SimpleFilter

Page 69

Antiviren-Schutz für E-Mails 69

5.7.3.3. Sichtbarkeitsbereich einer

Iterationskonstruktion

Jede Iterationskonstruktion kann Submakros besitzen, deren Wert innerhalb des Sichtbarkeitsbereichs dieser Konstruktion definiert ist. Iterationskonstruktion können nicht nur zur Ausgabe konkreter Makrowerte verwendet werden, sondern auch zur Definition des Sichtbarkeitsbereichs von Submakros.

Der Sichtbarkeitsbereich eines Submakros wird durch den Start- und End-Tag der bedingten Konstruktion festgelegt:

<FOR _macro_name_parent_ == "_value_1">%_macro_name_child_%</FOR>

Dabei erstreckt sich der Gültigkeitsbereich des Makros

%_macro_name_parent_% auf alle untergeordneten Ebenen (die zwischen den angegebenen Tags liegen), wenn der Makrowert nicht überschrieben ist.

5.7.3.4. Variable

Variable werden beim Erstellen von Vorlagen verwendet, um eine höhere Flexibilität zu erreichen.

Zur Definition einer Variablen in einem bestimmten Sichtbarkeitsbereich ist folgende Konstruktion vorgesehen:

Danach kann die Variable uneingeschränkt wie ein gewöhnliches Makro gebraucht werden.

Syntax für die Definition einer Variablen:

wobei:

<DEF – Anfang der Konstruktion zur Definition einer Variablen. Wenn das

Zeichen < nicht den Anfang der Definition bildet, muss es maskiert werden (Details s. Pkt. 5.7.3.5 auf S. 70).

VNAME – Name der Variablen im Format 1*(nchar)*(nchar). Die maximale

Länge beträgt 64 Byte.

VOP – Zuweisungsoperation im Format =. Länge 1 Byte. VVALUE – Wert der Variablen im Format 1*(vchar)*(vchar). Die maximale

Länge beträgt 4096 Byte. Der Wert einer Variablen muss unbedingt in Anführungszeichen stehen. Bei einem Vergleich mit einem Wert, der ein Anführungszeichen enthält, muss ein Escape-Zeichen verwendet wer-

Page 70

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Makromerkmal. Das Makro steht zwischen zwei %-Zeichen. Beispiel: %VIRUSNAME%

öffnende Tagklammer. Beispiel: <FOR FILTERNAME == "KAVFilter1">

schließende Tagklammer. Beispiel: <FOR FILTERNAME == "KAVFilter1">

den (Details s. Pkt. 5.7.3.5 auf S. 70). Beispiel für eine Konstruktion zur Definition einer Variablen:

> – Ende der Konstruktion zur Definition einer Variablen. Wenn das Zeichen

> nicht das Ende der Variablendefinition bildet, muss es maskiert werden (Details s. Pkt. 5.7.3.5 auf S. 70). Die Konstruktion DEF besitzt im Gegensatz zu der Konstruktion FOR keinen Körper, deshalb dient die

schließende Klammer ihres Tags dazu, dem Parser das Fehlen eines schließenden Tags anzuzeigen.

… – Trennungszeichen im Format *( )*(\t)

nchar – Zeichen aus dem Satz a-z, A-Z, 0-9, -, _ vchar – Zeichen aus dem Satz nchar, *, ?

Wenn eine Variable innerhalb ihres Sichtbarkeitsbereichs neu definiert wird, wird der neue Wert nach jeder Neudefinition substituiert. Also wird die Konstruktion:

<DEF __NAME__= "NAME_1"/>Jetzt werden wir den ersten Wert sehen: %__NAME__%.

<DEF __NAME__= "NAME_2"/>Jetzt werden wir den zweiten Wert sehen: %__NAME__%.

in folgenden Text transformiert:

Jetzt werden wir den ersten Wert sehen: NAME_1. Jetzt werden wir den zweiten Wert sehen: NAME_2.

Eine Variable kann ein Makro als Wert besitzen.

In diesem Fall ersetzt der Parser die Variable zuerst durch das Makro und anschließend das Makro durch seinen Wert.

5.7.3.5. Syntax der Sprache

Steuerzeichen

Page 71

Antiviren-Schutz für E-Mails 71

öffnende Klammer eines schließenden Tags. Beispiel: </FOR>

schließende Klammer einer Tagkonstruktion ohne Körper. Beispiel: <DEF __NAME __= "NAME_1"/>

Escape-Zeichen. Hebt die Gültigkeit des nachfolgenden Lexems auf. Beispiel: \%VIRUSNAME\%

Vergleich: Übereinstimmung nach Maske oder Wert.

Beispiel: <FOR FILTERNAME == "KAVFilter1"> Beispiel: <FOR FILTERNAME == "KAVFilter*">

Vergleich: Ungleichheit nach Maske oder Wert. Beispiel: <FOR FILTERNAME != "KAVFilter1"> Beispiel: <FOR FILTERNAME != "KAVFilter*">

Alle möglichen Werte ohne Größenbeschränkung. Wird nur innerhalb von Tags beim Vergleich mit Vorlagen verwendet. Beispiel: <FOR FILTERNAME == "KAV*">

Alle möglichen Werte mit einer Größe von einem Zeichen. Wird nur

innerhalb von Tags beim Vergleich mit Vorlagen verwendet. Beispiel: <FOR FILTERNAME == "KAVFilter?">

Kommentar. Der Parser ignoriert alle Zeichen, die auf # folgen, bis zum Zeilenende.

FOR

Definition einer Iterationskonstruktion. Beispiel: <FOR FILTERNAME = "KAVFilter1">

DEF

Definition einer Variablen (Konstruktion ohne schließenden Tag). Beispiel: <DEF __NAME__= "NAME_1"/>

%CRLF%

Makro für Zeilenumbruch

%TAB%

Tabulatormakro

Reservierte Wörter

Vordefinierte Makros

Page 72

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Hinweis

In der Makrosprache wird zwischen Groß- und Kleinschreibung unterschieden. Die Anzahl der Leerzeichen oder Tabulatorzeichen (sowie deren Vorhandensein oder Fehlen) zwischen Lexemen der Sprache ist nicht reguliert. Reservierte Wörter müssen durch Leerzeichen oder Tabulatorzeichen oder durch Steuerzeichen der Sprache markiert werden.

Die gesamte Verarbeitung erfolgt innerhalb eines globalen Abschnitts (ohne Konstruktionsdefinition) oder innerhalb der bedingten Konstruktion

Escape-Sequenzen

In der Benachrichtigungssprache werden folgende Sequenzen unterstützt:

 Damit im Vorlagentext das Zeichen "\" ausgegeben wird, verwenden

Sie die Sequenz "\\".

 Eine Zeile, die mit dem Escape-Zeichen "\" endet, wird in der nächsten

Zeile fortgesetzt. Dabei wird das Escape-Zeichen auf dem Bildschirm als Zeilenumbruchszeichen dargestellt. Bei der Verarbeitung wird eine

solche Zeile mit der nächsten Zeile verbunden, bevor der Parser andere Aktionen zur Vorlagenverarbeitung ausführt. Die Gültigkeit dieses Es- cape-Zeichens bleibt unabhängig davon bestehen, ob es innerhalb oder außerhalb eines Tags auftritt.

Damit das Zeichen "\" am Zeilenende nicht als Zeichen für einen Zeilenumbruch interpretiert wird, verwenden Sie die Sequenz "\\".

 Damit im Vorlagentext das Zeichen "%" ausgegeben wird, verwenden

Sie die Sequenz "\%".

 Damit im Vorlagentext das Zeichen "/" ausgegeben wird, verwenden

Sie die Sequenz "\/".

 Damit im Vorlagentext das Zeichen "<" ausgegeben wird, verwenden

Sie die Sequenz "\<".

 Damit im Vorlagentext das Zeichen ">" ausgegeben wird, verwenden

Sie die Sequenz "\>".

 Damit im Vorlagentext das Zeichen "#" ausgegeben wird, verwenden

Sie die Sequenz "\#".

Page 73

Antiviren-Schutz für E-Mails 73

5.7.3.6. Benachrichtigungsmakros für die

Anwendung

Die Anwendung bietet bestimmte Makros, die sich sowohl als Vorlagen für ganze E-Mail-Benachrichtigungen eignen, als auch in Vorlagen über gelöschte Nach- richtenteile verwendet werden können. Sie erlauben es, dem Benachrichtigungs- text ausführlichere Informationen über eine ursprüngliche E-Mail oder ein Objekt sowie über die damit ausgeführten Aktionen hinzuzufügen.

In ganzen E-Mail-Benachrichtigungen kann der Administrator folgende Makros verwenden:

%VERSION% – Nummer der installierten Version von Kaspersky Anti-Virus,

mit dessen Hilfe die E-Mail untersucht wurde.

%PRODUCT% – vollständiger Name von Kaspersky Anti-Virus %CLIENT % – Remote-IP-Adresse des Mail-Clients %SERVER% – IP-Adresse des Servers, auf dem der zentrale Anwendungs-

dienst installiert ist.

%SENDER% – Adresse des E-Mail-Absenders %RECIPIENTS% – Empfängeradresse %HEADERS% – Kopfzeile der E-Mail %MSGID% – ID-Nummer der E-Mail %SUBJECT% – Betreff (Feld Subject) der ursprünglichen E-Mail %DATE% – Verarbeitungsdatum der E-Mail %TIME% – Uhrzeit der Verarbeitung der E-Mail %BK_ACTION% – Mit der E-Mail ausgeführte Aktion, aufgrund deren eine

Sicherungskopie angelegt wurde (wenn diese erstellt wurde).

%BK_LOCATION% – Vollständiger Pfad des Ordners, in dem die Siche-

rungskopie der E-Mail gespeichert wurde (wenn diese erstellt wurde).

%ACTION_LIST% – Liste mit Informationen über die E-Mail und ihre Be-

standteile, sowie Auswahl der Aktionen, die mit der E-Mail ausgeführt wurden. Für jeden verarbeiteten Bestandteil einer E-Mail werden Informationen in folgender Form dargestellt:

<Status> <Aktion> <Informationen>.

In Benachrichtigungen über gelöschte Bestandteile einer E-Mail können folgende Makros verwendet werden:

Page 74

Kaspersky Anti-Virus 5.6 for Linux Mail Server

%INFO% – Informationen, die sich auf die ausgeführten Aktionen beziehen:

 Liste der gefundenen schädlichen Programme – für infizierte

Objekte.

 Zeile mit Kommentar zum Fehlercode – für Objekte, bei deren

Untersuchung ein Fehler aufgetreten ist.

 MIME-Typ oder Name der Anlage – für Objekte, die der Filte-

rung unterzogen wurden.

Makros müssen direkt im Text einer Benachrichtigungsvorlage angegeben werden.

Page 75

Hinweis

Alle Parameter der Komponente kav4lms-kavscanner sind in den Abschnitten

[scanner.*] der Konfigurationsdatei der Anwendung angeordnet.

Achtung!

In der Grundeinstellung können nur die Benutzer root und kluser den Scan auf Befehl starten.

Achtung!

Die Untersuchung des gesamten Computers ist ein äußerst ressourcenaufwän- diger Vorgang. Es sollte beachtet werden, dass die Arbeitsgeschwindigkeit wäh-

rend der Untersuchung sinkt. Deshalb sollten andere ressourcenaufwändige Anwendungen nicht parallel zu einer Untersuchung gestartet werden. Um solche Probleme zu vermeiden, sollten einzelne Ordner untersucht werden.

KAPITEL 6. ANTIVIREN-SCHUTZ

FÜR DATEISYSTEME

Der Antiviren-Schutz von Computerdateisystemen erfolgt mit Hilfe der Komponente kav4lms-kavscanner, die den Einstellungen entsprechend die Untersu-

chung ausführt und infizierte und verdächtige Objekte verarbeitet.

Sie können die Untersuchung eines vollständigen Dateisystems oder eines ein-

zelnen Ordners oder Objekts veranlassen. Die Gesamtheit der Schutzparameter lässt sich nach ihren Funktionen in folgende Gruppen unterteilen:

 Untersuchungsbereich (s. Pkt. 6.1 auf S. 76)  Modus zur Untersuchung und Desinfektion von Objekten (s. Pkt. 6.2 auf

S. 77)

 Aktionen für Objekte (s. Pkt. 6.3 auf S. 78)

Die Untersuchung der Dateisysteme Ihres Computers kann gestartet werden:

 ein Mal aus der Befehlszeile (s. Pkt. 6.4 auf S. 79)  nach Zeitplan mit Hilfe des Programms cron (s. Pkt. 6.5 auf S. 80)

Page 76

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Hinweis

Zur Untersuchung aller Dateisysteme des Computers ist es erforderlich, in den Stammordner zu wechseln oder in der Befehlszeile den Untersuchungsbereich "/" anzugeben.

Achtung!

Werden in der Befehlszeile sowohl der Untersuchungspfad als auch die Textdatei mit einer Liste von Untersuchungsobjekten angegeben, dann wird der in der Datei angegebene Bereich untersucht. Der in der Befehlszeile angegebene Pfad wird ignoriert.

6.1. Untersuchungsbereich

Der Untersuchungsbereich lässt sich bedingt in zwei Teile gliedern:

 Untersuchungspfad – Liste der Ordner und Objekte, in denen eine Vi-

rensuche ausgeführt werden soll.

 Untersuchungsobjekte – Objekttypen, die auf Viren untersucht werden

sollen (Archive usw.).

Standardmäßig werden alle Objekte der verfügbaren Dateisysteme untersucht,

wobei mit dem aktuellen Verzeichnis begonnen wird.

Der Untersuchungspfad kann auf folgende Weise geändert werden:

 Beim Start der Komponente werden die Ordner und Dateien (durch Leer-

zeichen getrennt) mit absoluten oder relativen (auf das aktuelle Verzeichnis bezogenen) Pfaden direkt in der Befehlszeile angegeben.

 Die Untersuchungspfade werden in einer Textdatei angegeben und die

Verwendung der Datei wird in der Befehlszeile durch den Parameter -@ <Dateiname> festgelegt. Jedes Objekt in dieser Datei wird in einer separaten Zeile und mit absolutem Pfad angegeben.

 Deaktivieren der rekursiven Untersuchung von Ordnern (Abschnitt

[scanner.options], Parameter Recursion oder Befehlszeilenparameter –r).

 Erstellen einer alternativen Konfigurationsdatei und Festlegen der Ver-

wendung dieser Datei durch den Befehlszeilenparameter -c (-C) <Datei- name> beim Start der Komponente.

Page 77

Antiviren-Schutz für Dateisysteme 77

Achtung!

Die Länge des Pfads eines Untersuchungsobjekts darf maximal 4096 Byte betragen. Objekte die sich auf einer tieferen Verschachtelungsebene befinden, werden nicht untersucht.

Die standardmäßigen Untersuchungsobjekte sind auch in der Konfigurationsdatei kav4lms.conf (Abschnitt [scanner.options]) festgelegt und können geändert werden:

 direkt in dieser Datei  durch Befehlszeilenparameter beim Start der Komponente  durch Verwendung einer alternativen Konfigurationsdatei

6.2. Modus zur Untersuchung und

Desinfektion von Objekten

Dieser Modus ist ein sehr wichtiger Untersuchungsparameter, da von ihm abhängt, ob die Desinfektion von infizierten Dateien, die bei der Untersuchung gefunden werden, erfolgt.

Der Desinfektionsmodus ist standardmäßig deaktiviert. Es erfolgt also nur die Untersuchung von Objekten und die Benachrichtigung über den Fund von Viren und anderen verdächtigen oder beschädigten Dateien durch Meldungen auf der

Konsole und im Bericht.

Als Ergebnis der Virenuntersuchung erhält jedes Objekt einen der folgenden

Status:

 Clean – Es wurden keine Viren gefunden. (Das Objekt ist nicht infiziert.)  Infected – Das Objekt ist infiziert.  Warning – Der Code des Objekts besitzt Ähnlichkeit mit dem Code ei-

nes bekannten Virus.

 Suspicious – Der Code des Objekts ist verdächtig, durch einen unbe-

kannten Virus infiziert zu sein. (Dieser Status wird nicht zugewiesen, wenn der Parameter UseCodeAnalyzer den Wert no besitzt.)

 Corrupted – Das Objekt ist beschädigt.  Protected – Das Objekt kann nicht untersucht werden, weil es ver-

schlüsselt (kennwortgeschützt) ist.

 Error – Bei der Untersuchung des Objekts ist ein Fehler aufgetreten.

Page 78

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Die Aktionen für selbstextrahierende Archive sind nicht eindeutig: Ist ein Archiv selbst infiziert, so wird es als einfaches Objekt betrachtet, sind dagegen Objekte innerhalb eines Archivs infiziert, als Container. Dementsprechend werden in solchen Fällen auch die Aktionen für Archive durch die Parameter verschiedener Abschnitte der Konfigurationsdatei bestimmt!

Wenn der Desinfektionsmodus aktiviert ist (Abschnitt [scanner.options], Parameter Cure=yes), werden nur Objekte mit dem Status Infected der Desinfektion

unterzogen. Als Ergebnis der Desinfektion erhält ein Objekt einen der folgenden

Status:

 Cured – Das Objekt wurde erfolgreich desinfiziert.  Curefailed – Die Desinfektion des Objekts ist fehlgeschlagen. Eine Da-

tei mit diesem Status wird nach den Regeln bearbeitet, die für infizierte

Objekte gelten.

6.3. Aktionen für Objekte

Abhängig vom Status eines Objekts können bestimmte Aktionen darauf ange- wendet werden. Standardmäßig erfolgt nur eine Benachrichtigung über den Fund von Objekten mit einem bestimmten Status. Allerdings kann für Objekte mit den

Status Infected, Suspicious, Warning, Error, Protected und Corrupted festgelegt werden, dass bestimmte Aktionen ausgeführt werden:

 Verschieben in einen bestimmten Ordner – Objekte mit einem bestimm-

ten Status werden in einen festgelegten Ordner verschoben. (Das ein- fache und rekursive Verschieben ist möglich.)

 Löschen des Objekts aus dem Dateisystem  Ausführen eines bestimmten Befehls – Verarbeitung von Dateien durch

Unix-Standardbefehle, Skriptdateien usw.

Es ist anzumerken, dass Kaspersky Anti-Virus zwischen einem gewöhnlichen Objekt (Datei) und einem Container-Objekt (das aus mehreren Objekten besteht, z.B. Archiv) unterscheidet. Auch die Aktionen, die mit solchen Objekten

ausgeführt werden, sind unterschiedlich und werden in der Konfigurationsdatei in verschiedenen Abschnitten festgelegt: für einfache Objekte im Abschnitt

[scanner.object], für Container im Abschnitt [scanner.container].

Die Aktionen für bestimmte Objekte können folgendermaßen festgelegt werden:

 Aktionen in der Konfigurationsdatei kav4lms.conf festlegen, wenn sie als

Standardaktionen verwendet werden sollen (Abschnitte [scanner.object] und [scanner.container]).

Page 79

Antiviren-Schutz für Dateisysteme 79

Hinweis

Wenn beim Start der Komponente in der Befehlszeile keine Konfigurationsdatei angegeben wird, werden die Funktionsparameter aus der Datei kav4lms.conf verwendet. Auf die Verwendung dieser Datei wird beim Start nicht gesondert hingewiesen!

 Aktionen in einer alternativen Konfigurationsdatei festlegen und die Datei

beim Start der Komponente verwenden.

 Aktionen für die laufende Sitzung durch Befehlszeilenparameter beim

Start der Komponente kav4lms-kavscanner festlegen.

Die Syntax der Aktionen ist für einfache Objekte und Container-Objekte identisch (Abschnitte [scanner.object] und [scanner.container]).

6.4. Verzeichnis auf Befehl scannen

Eine der häufigsten Aufgaben, die mit Kaspersky Anti-Virus gelöst werden, ist die Antiviren-Untersuchung und die Desinfektion eines bestimmten Verzeichnisses.

Beispiel: Ausführen einer Untersuchung nach folgenden Bedingungen:

1. Untersuchung des Verzeichnisses /tmp starten, wobei alle gefundenen

infizierten Objekte automatisch desinfiziert werden. Alle irreparablen Objekte werden gelöscht.

2. Im gleichen Verzeichnis werden die Dateien infected.lst, suspicion.lst,

corrupted.lst und warning.lst erstellt, die dazu dienen, die Namen aller infizierten, verdächtigen und beschädigten Objekte, die bei der Untersuchung gefunden werden, zu speichern.

3. Die Arbeitsergebnisse der Komponente (Startdatum, Informationen über

alle Dateien, außer virenfreien) werden in der Berichtsdatei kav4lmskavscanner-aktuelles_Datum-pid.log aufgezeichnet, die im gleichen Verzeichnis abgelegt wird:

Um diese Aufgabe auszuführen, geben Sie in der Befehlszeile ein:

# /opt/kaspersky/kav4lms/bin/kav4lms-kavscanner -\ rlq -pi/tmp/infected.lst -ps/tmp/suspicion.lst -\ pc/tmp/corrupted.lst -pw/tmp/warning.lst -o /tmp/ \ kav4lms-kavscanner-`date "+%Y-%m-%d-$$"`.log -i3 \

Page 80

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Das angeführte Beispiel gilt für Linux!

6.5. Untersuchung nach Zeitplan

Der nach einem Zeitplan stattfindende Start von Programmen (einschließlich der

Aufgaben von Kaspersky Anti-Virus) erfolgt mit Hilfe des Programms cron.

Beispiel: Die Virenuntersuchung des Ordners /home soll jeden Tag um 0:00 Uhr gestartet werden. Dabei sollen die Untersuchungsparameter verwendet werden, die in der Konfigurationsdatei /etc/kav/scanhome.conf angegeben sind.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Erstellen Sie die Konfigurationsdatei /etc/kav/scanhome.conf und geben

Sie dort alle erforderlichen Untersuchungsparameter an.

2. Ändern Sie die Datei, die die Regeln für die Arbeit des Prozesses cron

(crontab -e) festlegt. Geben Sie dazu folgende Zeile ein:

0 0 * * * /opt/kaspersky/kav4lms/bin/kav4lms-\ kavscanner -c /etc/kav/scanhome.conf /home

6.6. Benachrichtigungen an den

Administrator senden

Durch die Verwendung von Unix-Standardwerkzeugen können Sie eine Benachrichtigung an den Administrator konfigurieren, die über den Fund von infizierten, verdächtigen und beschädigten Objekten in den Computerdateisystemen informiert.

Beispiel: Anpassen einer Benachrichtigung an den Administrator beim Fund infizierter Dateien und Archive in den Dateisystemen bei jeder Untersuchung des Computers, die entsprechend den Parametern der Konfigurationsdatei

kav4lms.conf ausgeführt wird.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

Geben Sie in der Konfigurationsdatei kav4lms.conf folgende Verarbeitungsregeln für einfache Objekte und Container an:

[scanner.object]

OnInfected=exec echo %FULLPATH%/%FILENAME% is \ infected by %VIRUSNAME% |

mail -s kav4lms-kavscanner admin@localhost

Page 81

Antiviren-Schutz für Dateisysteme 81

Achtung!

Bevor das Beispiel gestartet wird, vergewissern Sie sich, dass sich die Utility mail am Standardpfad dieser Utility im Betriebssystem befindet.

[scanner.container]

OnInfected=exec echo archive %FULLPATH%/%FILENAME% \ is infected, viruses list is in the attached file \ %LIST% | mail -s kav4lms-kavscanner -a %LIST% \ admin@localhost

Page 82

Hinweis

Die Updates für die Antiviren-Datenbanken werden stündlich auf den Updateservern von Kaspersky Lab veröffentlicht.

KAPITEL 7. UPDATE DER

ANTIVIREN-DATENBANKEN

Ein obligatorischer Faktor des umfassenden Antiviren-Schutzes ist die Aktualisierung der Antiviren-Datenbanken, die von der Anwendungskomponente kav4lms- keepup2date ausgeführt wird. Als Quelle für die Updates der AntivirenDatenbanken, die von Kaspersky Anti-Virus bei der Suche nach und bei der Desinfektion von infizierten Objekten verwendet werden, dienen die Kaspersky-LabUpdateserver. Zu diesen gehören beispielsweise:

http://downloads1.kaspersky-labs.com/ http://downloads2.kaspersky-labs.com/ ftp://downloads1.kaspersky-labs.com/ und andere.

Eine Liste der Adressen, von denen die Updates kopiert werden können, befindet sich in der Datei /var/opt/kaspersky/kav4lms/bases/updcfg.xml, die zum Lie-

ferumfang der Distribution gehört. Um eine Liste der Updateserver anzuzeigen,

geben Sie in der Befehlszeile ein:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -s

Beim Updateprozess greift die Komponente kav4lms-keepup2date auf die genannte Liste zu, wählt eine Adresse aus und versucht, die AntivirenDatenbanken vom Server herunterzuladen. Mit Hilfe des Parameters RegionSettings im Abschnitt [updater.options] der Konfigurationsdatei der Anwendung kann der aktuelle Standort des Computers angegeben werden (in Form eines Codes, der aus zwei Buchstaben besteht und dem Standard ISO 3166-1 entspricht). In diesem Fall wählt die Komponente kav4lms-keepup2date zuerst die Updateserver aus, die sich der Liste nach in der gewählten Region befinden. Wenn die Aktualisierung von der gewählten Adresse erfolglos ist, wendet sich die Komponente an die nächste Adresse und versucht erneut, die Datenbanken zu aktualisieren.

Nach einem erfolgreichen Update wird der Befehl ausgeführt, der als Wert des Parameters PostUpdateCmd im Abschnitt [updater.options] der Konfigurationsdatei festgelegt ist. In der Grundeinstellung werden durch diesen Befehl die Antiviren-Datenbanken automatisch neu geladen. Wenn dieser Parameter einen fehlerhaften Wert erhält, kann es dazu führen, dass die

Page 83

Update der Antiviren-Datenbanken 83

Hinweis

Alle Parameter der Komponente kav4lms-keepup2date befinden sich in den Optionen [updater.*] der Konfigurationsdatei.

Anwendung die aktualisierten Datenbanken nicht verwendet oder nicht korrekt funktioniert.

Wenn die Struktur Ihres lokalen Netzwerks eine gewisse Komplexität aufweist, ist es empfehlenswert, die Updates der Antiviren-Datenbanken jede Stunde von den Updateservern herunterzuladen, in einem speziellen Netzwerkordner zu speichern und für die Computer des lokalen Netzwerks das Kopieren der Datenbanken aus diesem Ordner einzustellen. Details zum Erstellen eines Netzwerkordners s. Pkt. 7.3 auf S. 85.

Die Aktualisierung lässt sich mit Hilfe des Programms cron nach Zeitplan orga- nisieren (s. Pkt. 7.1 auf S. 83) oder kann auf Befehl des Administrators manuell aus der Befehlszeile gestartet werden (s. Pkt. 7.2 auf S. 84).

7.1. Automatisches Update

Sie können die regelmäßige automatische Aktualisierung der Antiviren-Datenbanken festlegen, indem Sie die Konfigurationsdatei entsprechend anpassen.

Beispiel: Das Update der Antiviren-Datenbanken soll automatisch jede Stunde stattfinden. Im Systembericht sollen nur Programmfehler aufgezeichnet werden. In einem allgemeinen Bericht werden alle Aufgabenstarts aufgezeichnet. Auf der Konsole werden keine Informationen angezeigt.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Legen Sie in der Konfigurationsdatei der Anwendung die entsprechenden Parameterwerte fest, z.B.:

[updater.options]

KeepSilent=yes

[updater.report]

Append=yes

ReportLevel=1

2. Ändern Sie die Datei, die die Regeln für die Arbeit des Prozesses cron (crontab -e) festlegt. Geben Sie dazu folgende Zeile ein:

0 0-23/1 * * * /opt/kaspersky/kav4lms/bin/kav4lmskeepup2date -e

Beispiel: Konfiguration des Downloads von Updates für die AntivirenDatenbanken von den Kaspersky-Lab-Updateservern. Die Adresse der Update-

Page 84

Kaspersky Anti-Virus 5.6 for Linux Mail Server

seite wird automatisch aus der Liste ermittelt, die zu der Komponente kav4lmskeepup2date gehört.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

Weisen Sie dem Parameter UseUpdateServerUrl im Abschnitt [updater.options] den Wert No zu.

Beispiel: Konfiguration des Downloads von Updates für die AntivirenDatenbanken von einer vom Administrator festgelegten Adresse. Wenn das Update von dieser Adresse nicht möglich ist, soll der Updateprozess abgebrochen werden.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

Weisen Sie den Parametern UseUpdateServerUrl und UseUpdateServerUrlOnly im Abschnitt [updater.options] den Wert Yes zu. Außerdem muss der Parameter UpdateServerUrl die Adresse des Updateservers enthalten.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

Weisen Sie dem Parameter UseUpdateServerUrl im Abschnitt [updater.options] den Wert Yes zu und dem Parameter UseUpdateServerUrlOnly den Wert No. Außerdem muss der Parameter UpdateServerUrl die Adresse des Updateservers enthalten.

7.2. Update auf Befehl

Die Aktualisierung der Antiviren-Datenbanken kann jederzeit aus der Befehlszeile gestartet werden:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date

Beispiel: Start des Updates der Antiviren-Datenbanken, Speichern der Arbeitsergebnisse in der Datei /tmp/updatesreport.log.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \ /tmp/updatesreport.log

Wenn es erforderlich ist, die Antiviren-Datenbanken auf mehreren Computern zu aktualisieren, bietet sich an, anstelle des mehrmaligen Downloads der Datenbanken aus dem Internet, die Datenbanken nur einmal von den Updateservern

Page 85

Update der Antiviren-Datenbanken 85

herunterzuladen, sie in einem speziellen Netzwerkordner zu speichern und die Datenbanken danach aus diesem Ordner zu aktualisieren.

Beispiel: Organisation des Updates der Antiviren-Datenbanken aus dem Netzwerkordner ftp://10.10.10.1/home/bases. Wenn dieser Ordner nicht verfügbar oder leer ist, erfolgt das Update von den Kaspersky-Lab-Servern. Die Arbeitsergebnisse werden in der Berichtsdatei report.txt aufgezeichnet.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Legen Sie in der Konfigurationsdatei der Anwendung die entsprechenden Parameterwerte fest:

[updater.options]

UpdateServerUrl=ftp://10.10.10.1/home/bases

UseUpdateServerUrl=yes

UseUpdateServerUrlOnly=no

2. Geben Sie in der Befehlszeile ein:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \ /tmp/report.txt

7.3. Update aus einem

Netzwerkordner

Um die korrekte Weitergabe von Updates der Antiviren-Datenbanken aus einem bestimmten Ordner Ihres Netzwerks auf die lokalen Computer zu gewährleisten, muss in diesem Ordner eine Dateistruktur erstellt werden, die der Struktur der Kaspersky-Lab-Updateseiten entspricht. Diese Aufgabe lässt sich folgendermaßen lösen.

Beispiel: Erstellen eines Netzwerkordners, aus dem die Antiviren-Datenbanken auf die Computer des lokalen Netzwerks kopiert werden.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Erstellen Sie einen lokalen Ordner.

2. Starten Sie die Komponente kav4lms-keepup2date:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -u <dir>

wobei <dir> - vollständiger Pfad der erstellten Ordners.

3. Erteilen Sie für die lokalen Computer den Netzwerkzugriff zum Lesen des Ordners.

Page 86

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Beispiel: Konfiguration des Updates der Antiviren-Datenbanken über einen Proxyserver.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Weisen Sie im Abschnitt [updater.options] der Konfigurationsdatei dem Parameter UseProxy den Wert Yes zu.

2. Vergewissern Sie sich, dass der Parameter ProxyAddress im Abschnitt [updater.options] der Konfigurationsdatei die Adresse des

Proxyservers enthält. Die Adresse muss folgendes Format besitzen:

http://username:password@ip_address:port. Dabei gelten die Werte ip_address und port als obligatorisch, username und password sind

nur erforderlich, wenn auf dem Proxyserver eine Authentifizierung erforderlich ist.

oder:

1. Weisen Sie im Abschnitt [updater.options] der Konfigurationsdatei dem Parameter UseProxy den Wert Yes zu.

2. Legen Sie die Umgebungsvariable http_proxy im Format http://username:password@ip_address:port fest. Beachten Sie,

dass die Variable nur dann berücksichtigt wird, wenn der Parameter

UseProxy im Abschnitt [updater.options] fehlt oder den Wert Yes besitzt.

Page 87

KAPITEL 8. SCHLÜSSEL-

VERWALTUNG

Der Lizenzschlüssel verleiht Ihnen das Recht zur Nutzung der Anwendung und enthält alle erforderlichen Informationen, die mit der von Ihnen erworbenen Li- zenz verbunden sind. Dazu zählen: Typ und Gültigkeitsdauer der Lizenz, Händ-

lerinformationen, u.a.

Während der Gültigkeitsdauer des Schlüssels besitzen Sie neben dem Recht zur Nutzung der Anwendung folgende Möglichkeiten:

 technische Unterstützung (rund um die Uhr)  stündliches Update der Antiviren-Datenbanken  Aktualisierung der Anwendung (Patch)  Download neuer Versionen der Anwendung (Upgrade)  frühzeitige Benachrichtigung über neue Viren

Bei Ablauf der Gültigkeitsdauer des Schlüssels erlischt automatisch das Recht auf die oben genannten Leistungen. Kaspersky Anti-Virus wird weiterhin die Antiviren-Verarbeitung von E-Mails ausführen, dabei aber nur die AntivirenDatenbanken verwenden, die bei Ablauf des Schlüssels aktuell waren. Wenn Updates für die Antiviren-Datenbanken ohne die entsprechende Anwendungsfunktion heruntergeladen werden, kann deren Erscheinungsdatum nach dem Ende der Gültigkeitsdauer des Schlüssels liegen. In diesem Fall wird die E-MailVerarbeitung von der Anwendung beendet und im Bericht wird eine entsprechende Meldung protokolliert.

Darum ist es äußerst wichtig, regelmäßig die Berichtsdateien, die Informationen über den Schlüssel enthalten, zu prüfen und das Gültigkeitsende des Schlüssels zu verfolgen.

Die Anwendung bietet folgende Lizenzierungsmethoden:

 nach Datenverkehr.

Bei diesem Lizenzierungsschema wird ein im Schlüssel angegebenen Volumen des täglichen Datenverkehrs geschützt. Es wird nur der Datenverkehr berücksichtigt, dem bei der Untersuchung die Status clean oder notchecked zugewiesen werden. Wenn der tägliche Datenverkehr das Lizenzlimit überschreitet, erhält der Administrator eine Benachrichtigung über die erste und letzte E-Mail, die nicht mehr geschützt wurden.

Page 88

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Achtung!

Bei regulären Ausdrücken wird die Groß- und Kleinschreibung nicht berücksichtigt.

 nach der Anzahl der geschützten Adressen.

Dieses Lizenzierungsschema bietet den Antiviren-Schutz für eine bestimmte Anzahl von E-Mail-Adressen. Die geschützten Adressen müssen zu einer der Domänen gehören, die durch den Parameter LicensedUsersDomains im Abschnitt [kav4lms:server.settings] der Konfigurationsdatei kav4lms.conf angegeben werden. Die Adressen

müssen zu einem Server gehören, auf dem die Anwendung läuft. Die lizenzierten Domänen können angegeben werden:

o als Zeichenkette o als Ausdruck mit Platzhalterzeichen (UNIX-Syntax) o als reguläre Ausdrücke (POSIX-Syntax)

Wenn die Anzahl der E-Mail-Adressen in einer festgelegten Domäne das Lizenzlimit überschreitet, wird dem Administrator vorgeschlagen, einen Schlüssel für die zusätzlichen Adressen zu erwerben.

8.1. Lizenzinformationen anzeigen

Kaspersky Anti-Virus verfügt über die spezielle Komponente kav4lms- licensemanager, die es erlaubt, umfassende Informationen über die Schlüssel anzuzeigen und Analysedaten zu erhalten.

Alle Informationen können auf dem Terminalbildschirm angezeigt werden.

Um Informationen über alle Schlüssel anzuzeigen, geben Sie in der Befehlszeile ein:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager -s

Auf dem Bildschirm werden Informationen der folgenden Art angezeigt:

Kaspersky license manager for Linux. Version

5.6/RELEASE #68

Portions Copyright (C) Lan Crypto

Page 89

Schlüsselverwaltung 89

License info:

Product name: Kaspersky Anti-Virus BO for SendMail / Qmail / Postfix Milter API International Edition. 1014 MailAddress 1 month Beta Licence

Expiration date: 01-09-2007, expires in 28 days

Active key info:

Key file: 00BEA0DB.key

Install date: 02-08-2007

Product name: Kaspersky Anti-Virus BO for SendMail / Qmail / Postfix Milter API International Edition. 10-14 MailAddress 1 month Beta Licence

Creation date: 02-02-2007

Expiration date: 03-03-2008

Serial: 0038-000413-00BEA0DB

Type: Beta

Count: 10

Lifespan: 30

Objs: 7:10

Der Parameter Objs gibt die Anzahl der Lizenzierungsobjekte an. Sein Wert besteht aus den beiden Teilen

<Typ_der_Objekte>:<Anzahl_der_Objekte>. Der Teil <Typ_der_Objekte> kann folgende Werte annehmen:

o 3 – Lizenzierungsschema nach Datenverkehr. o 7 – Lizenzierungsschema nach Anzahl der Adressen.

Der Teil <Anzahl_der_Objekte> besitzt den gleichen Wert wie der Parameter Count.

Um Informationen über einen bestimmten Schlüssel anzuzeigen, geben Sie in

der Befehlszeile ein:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-k <key filename>

wobei <Schlüsselname> - Name der Schlüsseldatei, z.B. 0003D3EA.key.

Auf dem Bildschirm werden Informationen der folgenden Art angezeigt:

Kaspersky license manager for Linux. Version

5.6/RELEASE #68

Page 90

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Portions Copyright (C) Lan Crypto

Product name: Kaspersky Anti-Virus BO for SendMail / Qmail / Postfix Milter API International Edition. 10-14 MailAddress 1 month Beta Licence

Creation date: 02-02-2007

Expiration date: 03-03-2008

Serial: 0038-000413-00BEA0DB

Type: Beta

Count: 10

Lifespan: 30

Objs: 7:10

8.2. Gültigkeitsdauer des Schlüssels

verlängern

Die Verlängerung der Gültigkeitsdauer für die Nutzung von Kaspersky Anti-Virus verleiht Ihnen das Recht auf die Wiederherstellung der vollen Funktionalität der Anwendung einschließlich der Aktualisierung der Antiviren-Datenbanken. Außerdem werden die Zusatzleistungen, die in Pkt.1.3 auf S. 10 genannt sind, wiederhergestellt.

Die Gültigkeitsdauer des Schlüssels hängt vom Lizenzierungsschema ab, das Sie beim Erwerb der Anwendung gewählt haben.

Um die Gültigkeitsdauer des Schlüssels für die Nutzung von Kaspersky Anti- Virus zu verlängern:

Setzen Sie sich mit der Firma, bei der Sie die Anwendung gekauft haben, in Verbindung und erwerben Sie eine Lizenzverlängerung für die Nutzung von Kaspersky Anti-Virus.

oder: Verlängern Sie die Gültigkeitsdauer des Schlüssels direkt bei Kaspersky

Lab. Schreiben Sie dazu an die Verkaufsabteilung (sales@kaspersky.com)

oder füllen Sie auf unserer Internetseite (www.kaspersky.com/de) im Ab-

schnitt PRODUKTE  Erneuern Sie Ihre Lizenz das entsprechende Formular aus. Nach Eingang der Bezahlung wird Ihnen an die im Bestellformular angegebene E-Mai-Adresse ein Lizenzschlüssel zugeschickt.

Der erworbene Schlüssel muss nun installiert werden.

Um einen neuen Schlüssel zu installieren, geben Sie in der Befehlszeile ein:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-a <Pfad_der_Schlüsseldatei>

Page 91

Schlüsselverwaltung 91

Es wird empfohlen, anschließend die Antiviren-Datenbanken zu aktualisieren (s. Kapitel 7 auf S. 82).

Um einen Schlüssel zu löschen, geben Sie in der Befehlszeile ein:

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-da

um den aktiven Schlüssel zu löschen, oder

# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\

-dr

um einen Reserveschlüssel zu löschen.

Page 92

Hinweis

Die Parameter für die Berichte über die Anwendungsarbeit befinden sich in den

Abschnitten [kav4lms:server.log] und [kav4lms:filter.log] der Konfigurationsdatei kav4lms.conf.

Achtung!

Verwenden Sie unterschiedliche Dateien zum Speichern der Berichte für den

zentralen Anwendungsdienst und für den Filter, weil nur ein Prozess Zugriff auf die Datei erhalten kann.

KAPITEL 9. BERICHTE UND

STATISTIK ÜBER DIE ANWENDUNGSARBEIT

9.1. Berichte erstellen

In Anti-Virus besteht die Möglichkeit, Berichte über die Arbeit des zentralen Dienst und des Filters anzulegen. Die Arbeitsergebnisse können im Systembericht oder in einer Berichtsdatei gespeichert werden. Der Speicherort des Berichts wird durch den Parameter Destination festgelegt, der folgende Werte besitzen kann:

 syslog:<Name>@<Kategorie> – Der Bericht wird im Systembericht

aufgezeichnet. Der Name der Anwendung wird durch das Argument <Name> angegeben, die Kategorie des Systemberichts durch das Argument <Kategorie>.

 file:<log_file_path> – Der Bericht wird in der angegebenen Da-

tei aufgezeichnet.

Die Kategorie und die Genauigkeitsstufe der gespeicherten Informationen werden durch den Parameter Options bestimmt. Der Wert dieses Parameters besteht aus zwei Teilen, die durch einen Punkt getrennt sind:

1. Kategorie der Anwendungsfunktionalität, über die der Bericht erstellt wird. Folgende Werte stehen zur Auswahl:

 all – alle Aspekte der Anwendungsfunktionalität

Page 93

Berichte und Statistik über die Anwendungsarbeit 93

Symbol der Stufe

Name der Stufe

Beschreibung

0, F

fatal

Nur Informationen über kritische Fehler (Fehler, die zum Beenden der Anwendungsarbeit führen, weil bestimm-

te Aktionen nicht ausgeführt werden können). Beispiele: Eine Komponente

ist infiziert oder bei der Untersuchung bzw. beim Laden von Datenbanken und Schlüsseln ist ein Fehler aufgetreten. Meldungen über kritische Fehler werden in der Berichtsdatei mit dem Zeichen F markiert.

1, E

error

Informationen über sonstige Fehler, einschließlich Fehlern, die nicht zum

Beenden der Arbeit von Komponenten

geführt haben. Beispiel: Informationen über einen Fehler bei der Untersu-

chung eines Objekts. Meldungen über nicht kritische Fehler werden in der Berichtsdatei mit dem Zeichen E markiert.

 config – Meldungen, die sich auf die Anwendungskonfiguration be-

ziehen.

 app – Meldungen, die sich auf die interne Logik der Anwendungs-

arbeit beziehen.

 scan – Meldungen über den Untersuchungsstatus und die entspre-

chenden Aktionen

 cfilter – Meldungen über den Filterstatus und die entsprechenden

Aktionen

 backup – Meldungen über das Anlegen von Sicherungskopien  notif – Meldungen über das Senden von Benachrichtigungen  admin – Meldungen über die Verwaltung der Anwendung (z.B.

Ausführung von SNMP-Befehlen)

 smtp – Meldungen über den Informationsaustausch zwischen der

Anwendung und einem Mailsystem

2. Genauigkeitsstufe, die die Priorität der aufzuzeichnenden Informationen angibt. Die Genauigkeitsstufen werden in folgender Tabelle beschrieben.

Page 94

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Symbol der Stufe

Name der Stufe

Beschreibung

2, W

warning

Informationen über Fehler, die zum Beenden der Arbeit des Produkts füh- ren können (z.B. Informationen über

unzureichenden Platz auf einem Laufwerk oder über den Ablauf der Gültig-

keitsdauer des Schlüssels). Meldun- gen über solche Fehler werden in der

Berichtsdatei mit dem Zeichen W markiert.

3, I

info

Wichtige Meldungen mit informativem Charakter. Beispiele: Informationen darüber, ob eine Komponente gestartet wurde, Pfad der Konfigurationsdatei, Untersuchungsbereich, Informa-

tionen über die Antiviren-Datenbanken und über Schlüssel, Ergebnisstatistik.

Informative Meldungen werden in der Berichtsdatei mit dem Zeichen I markiert.

4, A

Activity

Meldungen über die aktuelle Aktivität der Anwendung (z.B. Name einer un-

tersuchten Datei). Meldungen über die Anwendungsaktivität werden in der

Berichtsdatei mit dem Zeichen A markiert.

9, D

debug

Meldungen die mit DebugInformationen. Debug-Infos werden in der Berichtsdatei mit dem Zeichen D markiert.

Die Berichtsoptionen können auf folgende Weise angegeben werden:

 als Kombination von Gruppe und Stufe (z.B. scan.info).  als Kombination von Gruppe und Stufe mit dem Präfix '-', das angibt,

dass die entsprechende Option ausgeschlossen wird.

Zum Beispiel:

[kav4lms:server.log]

Options = backup.all, config.error, scan.all, -scan.debug

Options = backup.all, config.E, scan.all, -scan.9

Page 95

Berichte und Statistik über die Anwendungsarbeit 95

Achtung!

Die Genauigkeitsstufen schließen die vorhergehenden (niedrigeren) Niveaus nicht ein. Um mehrere Genauigkeitsstufen zu wählen, müssen sie alle aufgezählt werden.

Hinweis

Die Parameter für die Statistik über die Anwendungsarbeit befinden sich im Abschnitt [kav4lms:server.statistics] der Hauptkonfigurationsdatei der Anwendung.

Diese Werte aktivieren alle Backup-Meldungen, Meldungen über die AntivirenUntersuchung und Fehlermeldungen unter Ausnahme von Debug-Infos. Das zweite Beispiel ist identisch mit dem ersten und zeigt den Gebrauch der Einstel-

lungen für die Protokollierungsgenauigkeit.

Um zu vermeiden, dass die Berichtsdateien übermäßig groß werden, kann ein

Modus zur Rotation der Berichtsdatei aktiviert werden. Dazu ist es erforderlich, den Parametern RotateSize und RotateRounds Werte zuzuweisen, die ungleich Null sind.

Wenn die Rotation der Berichtsdatei aktiviert ist, wächst die Berichtsdatei, bis sie

den Wert des Parameters RotateSize erreicht hat. Dann wird dem Namen der

Berichtsdatei das Suffix ".1" hinzugefügt. Wenn bereits eine Datei mit diesem

Namen existiert, werden Dateien mit den Suffixen ".2", ".3", usw. erstellt. Die maximale Anzahl der auf diese Weise erstellten Dateien wird durch den Wert des Parameters RotateRounds festgelegt. Wenn der Wert des Suffixes diesen Wert erreicht hat, wird erneut die Datei mit dem Suffix ".1" verwendet.

9.2. Statistik über die

Anwendungsarbeit

Bei der Arbeit der Anwendung werden zwei Typen von statistischen Informationen gesammelt:

 allgemeine Statistik, die in bestimmten Intervallen ermittelt wird und

die Gesamtaktivität der Anwendung dokumentiert.

 detaillierte Statistik, die für jede verarbeitete E-Mail geführt wird.

Der Typ der Statistik wird durch den Parameter Options festgelegt, dessen mögliche Werte in folgende Tabelle stehen.

Page 96

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Kategorie der Statistik

Wert des Parameters Options

Gesammelte Informationen

E-Mails

messages

Anzahl der eingehenden E-Mails; Anzahl der untersuchten E-Mails; Anzahl der E-Mails mit dem Status protected; Anzahl der E-Mails mit dem Status infected; Anzahl der EMails mit dem Status error; Durchschnittsgröße einer E-Mail (in Byte); durchschnittliche Untersuchungsdauer für eine E-Mail (in Millisekunden)

Systemressourcen

resources

Dauer seit der letzten Anfrage für

die Statistik (in Sekunden); Gesamtvolumen des Datenverkehrs (in KB); Gesamtlast des Prozessors durch Benutzeranwendungen; Gesamtlast des Prozessors durch Systemdienste

Gefundene Bedrohungen

viruses

10 zuletzt gefundene Bedrohungen; 10 IP-Adressen, von denen die meisten Bedrohungen eingetroffen sind.

Filterung

Filters

Anzahl der nach MIME-Typ gefilterten E-Mails; Anzahl der nach dem Namen der Anlagen gefilterten E-

Mails; Anzahl der nach der Größe

der Anlagen gefilterten E-Mails; Anzahl der nach dem Namen der gefundenen Bedrohung gefilterten E-Mails

Alle Kategorien

all

Alle oben genannten Kategorien

Detaillierte Statistik

raw

Ausführliche Statistik für jede EMail

Deaktivieren der Statistik

None

Wenn der Parameter Options den Wert none besitzt, wird keine Statistik angelegt.

Page 97

Berichte und Statistik über die Anwendungsarbeit 97

Achtung!

Wenn der Parameter Options den Wert all besitzt, wird keine detaillierte Stati stik angelegt! Dieser Modus muss explizit festgelegt werden.

Beispiele:

Damit eine allgemeine Statistik für alle Kategorien (E-Mails, Systemressourcen, Bedrohungen, Filterung) geführt wird, weisen Sie dem Parameter Options fol-

genden Wert zu:

Options = all

Damit eine allgemeine Statistik für alle Kategorien und eine Detailstatistik für jede E-Mail angelegt wird, weisen Sie dem Parameter Options folgenden Wert zu:

Options = all, raw

Damit nur eine Detailstatistik angelegt wird, weisen Sie dem Parameter Options folgenden Wert zu:

Options = none, raw

Beispiel für einen Eintrag in einer Datei der raw-Statistik:

1210247100 1208 from@exmaple.com rcpt@example.com infected EICAR-Test-File 127.0.0.1 1Ju4YW-000Du9-0U Default

Wobei:

 1210247100 – Verarbeitungszeit der E-Mail im UNIX-Format  1208 – Größe der E-Mail  from@example.com – Adresse des E-Mail-Absenders  rcpt@example.com – Adresse des E-Mail-Empfängers  infected – Status, der der E-Mail aufgrund der Untersuchungsergebnis-

se zugewiesen wurde.

 EICAR-Test-File – Name der in der E-Mail gefundenen Bedrohung  127.0.0.1 – IP-Adresse, von der die E-Mail abgeschickt wurde.  1Ju4YW-000Du9-0U – ID der E-Mail in der Warteschlange des Mailsys-

tems

 Default – Name der Gruppe, mit deren Parametern die E-Mail verarbei-

tet wurde.

Page 98

Kaspersky Anti-Virus 5.6 for Linux Mail Server

Hinweis

Nach dem Zurücksetzen der Zähler muss die Statistikdatei überschrieben werden.

Um die gesammelten statistischen Informationen in einer Datei zu speichern, führen Sie folgenden Befehl aus:

# /opt/kaspersky/kav4lms/bin/kav4lms-cmd -m statistics -x \ write

Der Start dieses Befehls aktualisiert außerdem die Informationen in der vorhandenen Statistikdatei.

Um die Werte der internen Statistikzähler zurückzusetzen, führen Sie folgenden

Befehl aus:

# /opt/kaspersky/kav4lms/bin/kav4lms-cmd -m statistics -x \ reset

Die Statistikparameter sind im Abschnitt [kav4lms:server.statistics] der Datei kav4lms.conf angeordnet.

Es gibt zwei Typen für die Statistik:

 aggregate – akkumulierte langfristige Statistik, die einen Überblick über

die gesamte Produktaktivität gibt.

 per message – Statistik, die für jede verarbeitete E-Mail angelegt wird

und Informationen über die Verarbeitung enthält. Diese Statistik wird

auch raw-Statistik genannt.

Die allgemeine Statistik wird in der Datei gespeichert, die durch den Parameter Destination festgelegt wird. Die Detailstatistik wird in der Datei aufgezeichnet, die durch den Parameter RawDestination bestimmt wird.

Page 99

Berichte und Statistik über die Anwendungsarbeit 99

Achtung!

Wenn den Bestandteilen einer E-Mail aufgrund der Untersuchung unterschiedliche Status zugewiesen wurden, wird diese E-Mail von allen entsprechenden

Zählern berücksichtigt. Dadurch kann es sein, dass die Summe aller Zähler nicht

mit der Gesamtzahl der untersuchten Nachrichten übereinstimmt. Wenn eine E-Mail beispielsweise drei Anlagen enthält: eine infizierte, eine kenn-

wortgeschützte und eine des Typs application/msword, so wird diese E-Mail von folgenden Zählern berücksichtigt:

 total_messages  scanned_messages  protected_messages  infected_messages  filtered_mime

Diese Dateien können zwei Formate besitzen:

 txt-Datei  xml-Datei

Das Format der Statistikdateien wird durch den Parameter Format festgelegt.

Page 100

Hinweis

Die Anwendung arbeitet mit einem Master-Agenten, der das Protokoll SNMP v1,

v2 und v3 unterstützt. Beachten Sie, dass die Anwendung Traps der Version 2 sendet und der Trap-Empfänger entsprechend konfiguriert sein muss.

KAPITEL 10. ERWEITERTE

EINSTELLUNGEN

10.1. Schutzstatus mit Hilfe des

SNMP-Protokolls kontrollieren

Die Anwendung bietet den Nur-Lesen-Zugriff auf folgende Informationen über das SNMP-Protokoll:

 Konfiguration der Anwendung – Informationen über alle Parameter in al-

len Abschnitten der Konfigurationsdateien (einschließlich der Dateien, die die Gruppen beschreiben).

 Statistik über die Arbeit – Statistische Informationen über die Arbeit der

Anwendung (wenn die Anwendungseinstellungen das Führen einer Statistik vorsehen; Details s. Pkt. 9.2 auf S. 95).

Zur Definition von Informationen, die über das SNMP-Protokoll verfügbar sind, dient der Parameter SNMPServices, der sich im Abschnitt [kav4lms:server.snmp] der Konfigurationsdatei kav4lms.conf befindet. Dieser Parameter kann folgende Werte besitzen:

 config – Informationen über die Konfiguration der Anwendung  statistics – Statistik über die Arbeit der Anwendung; (s. Pkt. 9.2 auf S.

95)

 admin – administrative Informationen, zu denen zählen:

 Status.StartedOn – Datum des Anwendungsstarts im Format ISO

8601

 Status.UpTime – Zeit, die seit dem Start der Anwendung vergan-

gen ist (in Sekunden).

 update – Informationen über das Update der Anwendung. Dazu gehö-

ren: