Page 1
KASPERSKY LAB
Kaspersky Anti-Virus 5.6 for Linux
Mail Server
GUIDE DE
L'ADMINISTRATEUR
Page 2
KASPERSKY A N TI-VI R U S 5. 6 F OR L I N U X M A I L SERVE R
Guide de
l'administrateur
Kaspersky Lab
http://www.kaspersky.com
Date de révision : November, 2008
Page 3
Table des matières
CHAPITRE 1. INTRODUCTION ..................................................................................... 7
1.1. Nouveautés............................................................................................................ 8
1.2. Spécifications requises .......................................................................................... 9
1.3. Services aux utilisateurs enregistrés .................................................................. 10
CHAPITRE 2. STRUCTURE ET ALGORITHME DE FONCTIONNEMENT DE
L'APPLICATION ............................................................................................................. 12
CHAPITRE 3. INSTALLATION ET DESINSTALLATION DE L'APPLICATION ......... 15
3.1. Installation de l'application sur un serveur Linux ................................................ 15
3.2. Installation de l'application sur un serveur FreeBSD .......................................... 16
3.3. Emplacement des fichiers de l'application .......................................................... 17
3.3.1. Emplacement des fichiers sur un serveur Linux .......................................... 17
3.3.2. Emplacement des fichiers sur un serveur FreeBSD ................................... 19
3.4. Configuration postérieure à l'installation ............................................................. 21
3.5. Configuration des règles d'accès dans les systèmes SELinux et AppArmor ... 24
3.6. Installation du module Webmin pour gérer Kaspersky Anti-Virus ..................... 26
3.7. Suppression de l'application................................................................................ 28
CHAPITRE 4. INTEGRATION AVEC MTA .................................................................. 30
4.1. Intégration avec Exim .......................................................................................... 31
4.1.1. Intégration aval de la file d'attente en modifiant les routages ..................... 31
4.1.2. Intégration amont par chargement d'une bibliothèque dynamique ............ 34
4.2. Intégration avec Postfix ....................................................................................... 37
4.2.1. Intégration en aval de la file d'attente ........................................................... 37
4.2.2. Pre-queue integration ................................................................................... 39
4.2.3. Integration avec Milter .................................................................................. 42
4.3. Intégration avec qmail ......................................................................................... 43
4.4. Intégration avec Sendmail ................................................................................... 45
4.4.1. Intégration avec Sendmail par un fichier .cf ................................................. 45
4.4.2. Intégration avec Sendmail par un fichier .mc .............................................. 47
Page 4
4 Kaspersky Anti-Virus 5.6 for Linux Mail Server
CHAPITRE 5. PROTECTION ANTIVIRUS DE LA MESSAGERIE ............................. 48
5.1. Configuration de groupes .................................................................................... 48
5.2. Définition d'une stratégie d'analyse du courrier .................................................. 50
5.3. Mode d'analyse du courrier ................................................................................. 51
5.3.1. Analyse antivirus ........................................................................................... 51
5.3.2. Filtrage du contenu ....................................................................................... 53
5.4. Actions sur les objets ........................................................................................... 54
5.5. Profils de sécurité prédéfinis ............................................................................... 55
5.5.1. Profil Recommandé ...................................................................................... 56
5.5.2. Profil de sécurité maximum .......................................................................... 57
5.5.3. Profil de performance maximum .................................................................. 58
5.6. Copies de sauvegarde ........................................................................................ 59
5.7. Notifications ......................................................................................................... 60
5.7.1. Configuration des notifications ..................................................................... 60
5.7.2. Modèles de notifications ............................................................................... 62
5.7.3. Personnalisation des modèles de notification ............................................. 65
CHAPITRE 6. PROTECTION ANTIVIRUS DU SYSTEME DE FICHIERS ................ 74
6.1. Couverture de l'analyse ....................................................................................... 75
6.2. Mode d'analyse et de réparation des objets ....................................................... 76
6.3. Actions à exécuter sur les objets ........................................................................ 77
6.4. Analyse à la demande d'un répertoire individuel ................................................ 78
6.5. Planification de l'analyse ..................................................................................... 79
6.6. Notifications émises vers l'administrateur ........................................................... 79
CHAPITRE 7. MISE A JOUR DES BASES ANTIVIRUS ............................................. 81
7.1. Mise à jour automatique de la base antivirus ..................................................... 82
7.2. Mise à jour à la demande de la base antivirus ................................................... 83
7.3. Création d'un répertoire réseau pour entreposer les mises à jour..................... 84
CHAPITRE 8. GESTION DES CLES DE LICENCE .................................................... 86
8.1. Affichage des détails de la clé ............................................................................. 87
8.2. Renouvellement de la clé .................................................................................... 89
CHAPITRE 9. GENERATION DE RAPPORTS ET DE STATISTIQUES ................... 91
9.1. Fichier-journal de l'application ............................................................................. 91
9.2. Statistiques d'application ..................................................................................... 94
Page 5
Sommaire 5
CHAPITRE 10. CONFIGURATION AVANCEE ........................................................... 98
10.1. Surveillance de l'état de la protection via SNMP .............................................. 98
10.2. Utilisation du script d'installation de l'application ............................................ 102
10.3. Gestion de l'application depuis la ligne de commande .................................. 105
10.4. Champs d'information supplémentaires dans les messages ........................ 106
10.5. Affichage régional de la date et de l'heure ..................................................... 107
CHAPITRE 11. TEST DE L'APPLICATION ................................................................ 109
ANNEXE A. INFORMATIONS COMPLÉMENTAIRES ............................................. 111
A.1. Fichier de configuration de l'application kav4lms.conf ..................................... 111
A.1.1. Section [kav4lms:server.settings] .............................................................. 111
A.1.2. Section [kav4lms:server.log] ...................................................................... 114
A.1.3. Section [kav4lms:server.statistics] ............................................................. 115
A.1.4. Section [kav4lms:server.snmp] .................................................................. 116
A.1.5. Section [kav4lms:server.notifications] ....................................................... 118
A.1.6. Section [kav4lms:filter.settings] .................................................................. 119
A.1.7. Section [kav4lms:filter.log] ......................................................................... 122
A.1.8. Section [kav4lms:groups] ........................................................................... 124
A.1.9. Section [path] .............................................................................................. 124
A.1.10. Section [locale] ......................................................................................... 125
A.1.11. Section [options] ....................................................................................... 125
A.1.12. Section [updater.path] .............................................................................. 126
A.1.13. Section [updater.options] ......................................................................... 126
A.1.14. Section [updater.report]............................................................................ 127
A.1.15. Section [updater.actions] ......................................................................... 128
A.1.16. Section [scanner.display] ......................................................................... 129
A.1.17. Section [scanner.options] ......................................................................... 130
A.1.18. Section [scanner.report] ........................................................................... 132
A.1.19. Section [scanner.container] ..................................................................... 134
A.1.20. Section [scanner.object] ........................................................................... 135
A.1.21. Section [scanner.path] ............................................................................. 136
A.2. Fichier de configuration de groupe ................................................................... 137
A.2.1. Section [kav4lms:groups.<group_name>.definition] ................................. 137
A.2.2. Section [kav4lms:groups.<group_name>.settings] ................................... 138
A.2.3. Section [kav4lms:groups.<group_name>.actions] .................................... 140
A.2.4. Section [kav4lms:groups.<group_name>.contentfiltering] ....................... 142
Page 6
6 Kaspersky Anti-Virus 5.6 for Linux Mail Server
A.2.5. Section [kav4lms:groups.<group_name>.notifications] ............................ 145
A.2.6. Section [kav4lms:groups.<group_name>.backup] ................................... 147
A.3. Paramètres de commande du composant kav4lms-licensemanager ............ 148
A.4. Codes retour du composant kav4lms-licensemanager ................................... 148
A.5. Paramètres de commande du composant kav4lms-keepup2date ................. 150
A.6. Codes retour du composant kav4lms-keepup2date ........................................ 151
ANNEXE B. KASPERSKY LAB .................................................................................. 152
B.1. Autres produits Kaspersky Lab ........................................................................ 153
B.2. Comment nous contacter ................................................................................. 164
ANNEXE C. LOGICIELS D'AUTRES FABRICANTS ................................................. 166
C.1. Pcre library ........................................................................................................ 166
C.2. Expat library ...................................................................................................... 167
C.3. AgentX++v1.4.16 library ................................................................................... 167
C.4. Agent++v3.5.28a library ................................................................................... 174
C.5. Boost v 1.0 library ............................................................................................. 175
C.6. Milter library ....................................................................................................... 176
C.7. Libkavexim.so library ........................................................................................ 178
Page 7
CHAPITRE 1. INTRODUCTION
Kaspersky Anti-Virus® 5.6 for Linux Mail Server (désigné par la suite par
Kaspersky Anti-Virus ou par l'application) est conçu pour le traitement antivirus
du trafic de courrier et des systèmes de fichiers de serveurs sous systèmes
d'exploitation Linux ou FreeBSD, utilisant les logiciels de messagerie Sendmail,
Postfix, qmail, Exim MTA.
Cette application offre les fonctionnalités suivantes :
Recherche de menaces sur tous les systèmes de fichiers serveurs ainsi
que des messages entrants et sortants.
Détection des fichiers infectés, suspects, endommagés et protégés par
mot de passe, y compris les fichiers qui ne peuvent être analysés.
Neutralisation de menaces découvertes dans les fichiers ou les
messages de courrier. Désinfection d'objets infectés.
Sauvegarde de sécurité des messages électroniques avant traitement
et filtrage antivirus.
Traitement du trafic des messages conformément à des règles
prédéfinies pour des groupes d'expéditeurs ou de destinataires.
Assure le filtrage par contenu du trafic de courrier par nom et type de
pièce jointe, et fait appel à des règles de traitement individuelles sur les
objets filtrés.
Informe l'administrateur, les expéditeurs et les destinataires de la
détection de messages contenant des objets infectés, suspects ou
protégés par mot de passe, ou de messages qu'il n'est pas possible
d'analyser.
Génération de statistiques et de rapports sur l'activité de l'application.
Mise à jour des bases antivirus, de manière planifiée ou à la demande,
en téléchargeant les mises à jour depuis les serveurs spécialisés de
Kaspersky Lab.
La base antivirus est utilisée pour rechercher et nettoyer les objets
infectés. Pendant l'analyse, chaque fichier est analysé à la recherche
de menaces, en comparant son code avec le code typique de
différentes menaces.
Configuration et administration de Kaspersky Anti-Virus à la fois en local
(avec les moyens standard du S.E., comprenant l'utilisation d'options en
ligne de commande, de signaux et la modification du fichier de
Page 8
8 Kaspersky Anti-Virus 5.6 for Linux Mail Server
configuration de l'application) et à distance grâce à l'interface Web
fournie par le programme Webmin.
Utilisation de SNMP pour l'obtention d'informations sur la configuration
et les statistiques d'activité du produit, et configuration de l'application
pour générer des pièges SNMP quand des événements spécifiés se
produisent.
1.1. Nouveautés
La version 5.6 de Kaspersky Anti-Virus for Linux Mail Server combine les
caractéristiques de Kaspersky Anti-Virus 5.5 for Linux Mail Server et FreeBSD et
de Kaspersky Anti-Virus 5.6 pour Sendmail avec l'API Milter, auxquelles
s'ajoutent les améliorations suivantes :
L'intégration de la file d'attente en amont et en aval est prise en charge
pour Exim. Dans le cas de l'intégration en amont de la file d'attente, le
message est transféré pour analyse avant d'être ajouté à la file d'attente
du système de messagerie, tandis que l'intégration en aval signifie que
les messages sont analysés après leur ajout à la file d'attente.
L'intégration automatique par un script de configuration de l'application
est désormais disponible. Voir Chapitre 4 à la p. 30 pour plus de détails
sur la procédure d'intégration.
Les possibilités de configuration des fonctions d'analyse du courrier ont
été améliorées : deux méthodes d'analyse sont maintenant disponibles.
Un message peut être analysé en tant qu'objet simple ou par une
approche combinée – d'abord comme un simple objet puis comme la
collection de ses parties. Ces méthodes diffèrent quant au niveau de
protection assuré. Reportez-vous à la section 5.2 à la p. 50 pour plus de
détails.
La configuration de l'application a changé. La configuration séparée de
groupes d'expéditeurs et de destinataires est maintenant prise en
charge. Reportez-vous à la section 5.1 à la p.48 pour plus de détails sur
la configuration de groupes.
La liste des actions applicables aux messages a été enrichie. Ajout d'un
nouveau type d'actions, dépendant du logiciel malveillant découvert.
Reportez-vous à la section 5.4 à la p. 54 pour plus de détails.
Les prestations de filtrage par contenu ont été améliorées par l'ajout de
critères de filtrage par taille de pièce jointe. Reportez-vous à la section
5.3.2 à la p. 53 pour plus de détails.
Page 9
Introduction 9
La bibliothèque de modèles de notifications a été enrichie par de
nouveaux modèles administrateurs. Les modèles sont désormais
conservés dans un répertoire séparé.
La possibilité de placer les objets infectés dans une zone de
sauvegarde n'est plus implémentée.
Les fonctions de sauvegarde ont été améliorées – des fichiers
d'information peuvent être créés pour chacune des entrées de
sauvegarde. Reportez-vous à la section 5.6 à la p.59 pour plus de
détails.
La génération de rapports a été améliorée en augmentant les niveaux
de consignations. Reportez-vous à la section 9.1 à la p.91 pour plus de
détails.
Les fonctions statistiques ont été étendues par l'ajout de statistiques par
message. Reportez-vous à la section 9.2 à la p.94 pour plus de détails.
Des requêtes SNMP sur la configuration, des statistiques et des
indicateurs d'état de l'application sont désormais pris en charge. Des
pièges SNMP sont également prises en charge. Reportez-vous à la
section 10.1 à la p. 98 pour plus de détails.
Un outil d'administration sur la ligne de commande est compris dans le
paquet de l'application. Il est capable de gérer plusieurs aspects du
fonctionnement de l'application. Reportez-vous à la section 10.3 à la p.
105 pour plus de détails.
1.2. Spécifications requises
Les spécifications système pour Kaspersky Anti-Virus sont :
Spécifications matérielles pour un serveur de messagerie avec un trafic
journalier d'environ 200 mo :
Intel Pentium IV, processeur 3 GHz ou supérieur ;
1 Go RAM ;
200 mo d'espace disque disponible (non compris l'espace
nécessaire à la conservation des copies de sauvegarde des
messages).
Configuration logicielle :
L'un des systèmes d'exploitation 32 bits suivants :
o Red Hat Enterprise Linux Server 5.2 ;
o Fedora 9 ;
Page 10
10 Kaspersky Anti-Virus 5.6 for Linux Mail Server
o SUSE Linux Enterprise Server 10 SP2 ;
o openSUSE 11.0 ;
o Debian GNU/Linux 4.0 r4 ;
o Mandriva Corporate Server 4.0 ;
o Ubuntu 8.04.1 Server Edition ;
o FreeBSD 6.3, 7.0.
L'un des systèmes d'exploitation 64 bits suivants :
o Red Hat Enterprise Linux Server 5.2 ;
o Fedora 9 ;
o SUSE Linux Enterprise Server 10 SP2 ;
o openSUSE Linux 11.0.
L'un des systèmes de messagerie suivants : Sendmail 8.12.x ou
supérieur, qmail 1.03, Postfix 2.x, Exim 4.x ;
Facultatif – le logiciel Webmin (www.webmin.com) pour
l'administration à distance de Kaspersky Anti-Virus ;
Perl version 5.0 ou supérieur (www.perl.org).
1.3. Services aux utilisateurs
enregistrés
Kaspersky Lab offre à ses utilisateurs légalement enregistrés un éventail de
prestations complémentaires leur permettant d'utiliser plus efficacement le
logiciel Kaspersky Anti-Virus.
En vous enregistrant, vous devenez utilisateur agréé du programme et durant
toute la période de validité de votre souscription, vous bénéficiez des prestations
suivantes :
mises à niveau du logiciel d'application ;
assistance téléphonique et par messagerie sur l'installation, la
configuration et l'utilisation de ce logiciel antivirus ;
communications sur les nouveaux produits de Kaspersky Lab, et les
nouvelles attaques virales. Ce service est offert aux utilisateurs ayant
souscrit un abonnement à la liste de diffusion de Kaspersky Lab.
Page 11
Introduction 11
Remarque :
Kaspersky Lab n'assure pas de service sur le fonctionnement ou l'utilisation de
votre système d'exploitation, de logiciels d'autres fabricants ou d'autres
technologies.
Page 12
CHAPITRE 2. STRUCTURE ET
ALGORITHME DE
FONCTIONNEMENT DE
L'APPLICATION
Kaspersky Anti-Virus comprend les composants suivants :
Filtre – le service de connexion au système de messagerie, c'est un
programme séparé qui assure l'interaction entre Kaspersky Anti-Virus et
un agent de transfert de messages (MTA, message transfer agent)
spécifique. Le paquet de distribution comprend des modules pour
chaque système de messagerie pris en charge :
kav4lms-milter – service Milter pour la connexion avec Sendmail et
Postfix via l'API Milter.
kav4lms-filter – service SMTP pour la connexion à Postfix et Exim.
kav4lms-qmail – gestionnaire de file d'attente de messages pour
qmail.
kavmd – service central de l'application, à l'écoute des requêtes de filtre
et implémentant les fonctions antivirus de l'application protégeant le
trafic de messagerie.
kav4lms-kavscanner – assure la protection antivirus des systèmes de
fichiers serveurs.
kav4lms-keepup2date – assure la mise à jour de la base antivirus en
téléchargeant les nouvelles données depuis les serveurs de mises à
jour de Kaspersky Lab ou d'un répertoire local.
kav4lms-licensemanager – composant gestionnaire des clés de
produit : installation, suppression, affichage d'informations statistiques.
kav4lms.wbm – complément logiciel pour Webmin pour la gestion à
distance de l'application à travers une interface Web (optionnelle), qui
permet de configurer et de lancer la mise à jour de la base antivirus,
d'afficher des informations statistiques, de définir des actions sur les
objets en fonction de leur état, et de surveiller les données d'activité des
applications.
Page 13
Structure et algorithme de fonctionnement de l'application 13
kav4lms-cmd – utilitaire de gestion de l'antivirus depuis la ligne de
commande.
L'application utilise l'algorithme suivant pour contrôler les messages :
1. Le filtre reçoit un message depuis l'agent de transfert de messages ou
MTA. Si le filtre et le service central s'exécutent sur le même ordinateur,
ce sont les noms des fichiers de messages qui sont transmis pour
analyse, au lieu des messages réels.
2. Le filtre détermine les groupes auxquels le message appartient,
sélectionne celui avec la priorité la plus haute (section 5.1 à la p. 48)
puis transmet pour analyse le message au service central de
l'application. Si le groupe n'existe pas, l'application applique au
message les règles du groupe Default compris dans le paquet de
distribution.
Le service central examine le message en fonction des paramètres
précisés par le fichier de configuration du groupe. En fonction de la
méthode définie par la stratégie, l'application peut analyser le message
comme un seul objet compact ou utiliser une approche combinée, en
analysant d'abord l'objet comme un tout, puis ses parties
individuellement (section 5.2 à la p. 50).
L'analyse combinée est plus approfondie et assure un meilleur degré de
protection, au prix de performances un peu inférieures, par la
vérification du message dans son ensemble ou par celle du message et
de chacune de ses parties (stratégie combinée).
3. Si l'analyse antivirus du courrier est activée (section 5.3 à la p. 50), le
service central vérifie un message en tant qu'objet simple.
Conformément à l'état attribué après cette vérification (section 5.3.1 à la
p. 51) le service central peut interdire la réception du message, le
refuser ou l'autoriser, le remplacer par un avertissement ou modifier ses
en-têtes (section 5.4 à la p. 54). Si un traitement spécial est défini pour
certains types de logiciels malveillants individuels (option
VirusNameList), les actions spécifiées sont exécutées quand les types
en question sont détectées(option VirusNameAction). L'ordre de
traitement des messages est précisé dans le fichier de configuration du
groupe.
L'application crée une copie de sauvegarde du message original avant
de lui appliquer un traitement, si cette opération est activée dans les
paramètres de groupe.
4. Après l'analyse antivirus du message, l'application exécute le filtrage, si
cette opération est activée dans les paramètres de groupe.
Le filtrage peut être exécuté en fonction du nom, du type ou de la taille
de la pièce jointe (section 5.3.2 à la p. 53). L'examen se traduit par
Page 14
14 Kaspersky Anti-Virus 5.6 for Linux Mail Server
l'application des actions définies par les paramètres de filtrage du fichier
de configuration du groupe. Parmi les objets traités, ceux qui
correspondent aux critères de filtrage sont transmis pour analyse
avancée pièce par pièce, si la méthode d'analyse combinée est activée
dans les paramètres du groupe.
5. Pendant l'inspection pièce par pièce du courrier, l'application
décompose sa structure MIME et traite les composants du message.
Dans le message, les objets sont traités conformément à l'état qui leur
est attribué individuellement, sans tenir compte de l'état attribué au
message dans son ensemble.
Si un message considéré comme un objet simple est identifié comme
étant infecté, mais qu'aucune menace n'est trouvée après l'examen de
ses parties, l'application applique à l'ensemble du message l'action
définie pour un courrier infecté (option InfectedAction). Si le nombre
d'imbrications d'un objet en pièce jointe, dans un message non infecté,
dépasse la limite spécifiée dans les paramètres du groupe (option
MaxScanDepth), l'application applique au message dans son
ensemble l'action définie pour les messages qui provoquent une erreur
au cours de leur analyse (option ErrorAction).
Pendant son traitement des objets dans les messages, le service
central peut renommer, supprimer ou remplacer un objet par un
avertissement, ajouter des en-têtes d'information ou autoriser la
transmission du message (section 5.4 à la p. 54). Les messages
infectés sont réparés. L'application crée une copie de sauvegarde du
message original dans son ensemble avant d'appliquer un traitement à
son objet (sauf si c'est déjà fait), si cette opération est activée dans les
paramètres de groupe.
6. Après analyse et traitement du message, le service central renvoie de
nouveau le message vers le filtre. Le message traité, accompagné de
notifications sur le résultat de l'analyse et de la désinfection, est
transmis au MTA, qui délivre à son tour le message aux utilisateurs
locaux, ou le redirige vers d'autres serveurs de messagerie.
Page 15
Attention !
Nous vous conseillons d'installer l'application pendant les heures de faible trafic,
lorsque le trafic de courrier est au plus bas.
CHAPITRE 3. INSTALLATION ET
DESINSTALLATION DE
L'APPLICATION
Avant d'installer Kaspersky Anti-Virus, nous vous recommandons de préparer
votre système de la manière suivante :
Assurez-vous que votre système est conforme aux spécifications
matérielles et logicielles minimales requises, décrites dans la section
1.2 à la page 9.
Réalisez des copies de sauvegardes des fichiers de configuration du
système de messagerie installé sur votre serveur.
Configurez votre connexion Internet.
Connectez-vous au système avec des droits d'accès root, ou sous tout
autre compte disposant des privilèges d'un super-utilisateur.
3.1. Installation de l'application sur
un serveur Linux
Pour les serveurs exploités sous Linux, Kaspersky Anti-Virus est distribué dans
deux paquets d'installation différents, en fonction du type de votre distribution
Linux.
Pour installer l'application sous Red Hat Enterprise Linux, Fedora, SUSE Linux
Enterprise Server, openSUSE et Mandriva Linux, utilisez le paquet rpm.
Pour démarrer l'installation de Kaspersky Anti-Virus à partir du paquet .rpm,
tapez ce qui suit sur la ligne de commande :
# rpm -i <package_name>
Page 16
16 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Après avoir installé l'application à partir du paquet rpm, vous devez exécuter le
script postinstall.pl pour la configuration post-installation. L'emplacement par
défaut des scripts postinstall.pl se trouve dans le répertoire
/opt/kaspersky/kav4lms/lib/bin/setup/ (sous Linux) et dans le répertoire
/usr/local/libexec/kaspersky/kav4lms/setup/ (sous FreeBSD) !
Attention !
La procédure d'installation de l'application pour les distributions Mandriva
présente quelques particularités.
Pour permettre le démarrage correct de Kaspersky Anti-Virus après son
installation, vous devez vous assurer que le répertoire /root/tmp/ est bien utilisé
pour stocker les fichiers temporaires du système d'exploitation et que le compte
utilisé pour lancer l'application (kluser, par défaut) possède des droits d'écriture
dans le répertoire.
Vous devrez peut-être modifier les droits d'accès du répertoire, redéfinir ou
supprimer les variables d'environnement TMP et TEMP, pour permettre au
système d'utiliser un autre répertoire (tel que /tmp/) avec les droits nécessaire
pour le fonctionnement de l'application.
Pour les versions Debian GNU/Linux et Ubuntu, l'installation est assurée par un
paquet .deb.
Pour démarrer l'installation de Kaspersky Anti-Virus à partir du paquet .deb,
tapez ce qui suit sur la ligne de commande :
# dpkg -i <package_name>
Après envoi de cette commande, l'application sera installée automatiquement.
Une fois installation terminée, des informations sur la configuration de postinstallation sont affichées (section 3.4 à la p. 21).
3.2. Installation de l'application sur
un serveur FreeBSD
Le fichier de distribution pour l'installation de Kaspersky Anti-Virus sur des
serveurs sous S.O. FreeBSD est fourni sus la forme d'un paquet pkg.
Pour démarrer l'installation de Kaspersky Anti-Virus à partir du paquet pkg, tapez
ce qui suit sur la ligne de commande :
# pkg_add <package_name>
Page 17
Installation et désinstallation de l'application 17
Attention !
Pour que les pages du manuel de l'application soient disponibles par une
commande man <nom_de_page_man>, les opérations suivantes sont
nécessaires :
pour les distributions Debian Linux, Ubuntu Linux, SUSE Linux, ajoutez
la ligne suivante au fichier /etc/manpath.config :
MANDATORY_MANPATH /opt/kaspersky/kav4lms/share/man
pour les distributions Red Hat Linux et Mandriva Linux, ajoutez la ligne
suivante au fichier /etc/man.config :
MANPATH /opt/kaspersky/kav4lms/share/man
pour les distributions FreeBSD distributions, ajoutez la ligne suivante au
fichier /etc/manpath.config :
MANDATORY_MANPATH /usr/local/man
Si votre système utilise la variable MANPATH, ajoutez à sa liste de valeurs le
chemin du répertoire contenant les pages du manuel de l'application, en
exécutant la commande suivante :
# export MANPATH=$MANPATH:<chemin du répertoire des pages
du manuel>
Après envoi de cette commande, l'application sera installée automatiquement.
Une fois installation terminée, des informations sur la configuration de postinstallation sont affichées (section 3.4 à la p. 21).
3.3. Emplacement des fichiers de
l'application
Pendant l'installation de Kaspersky Anti-Virus, l'installateur du produit recopie les
fichiers d'application dans les répertoires du programme, sur le serveur.
3.3.1. Emplacement des fichiers sur un
Les emplacements par défaut des fichiers Kaspersky Anti-Virus sur un serveur
exploité sous Linux sont les suivants :
/etc/opt/kaspersky/kav4lms.conf – fichier de configuration principal de
serveur Linux
l'application ;
Page 18
18 Kaspersky Anti-Virus 5.6 for Linux Mail Server
/etc/opt/kaspersky/kav4lms/ – répertoire des fichiers de configuration de
Kaspersky Anti-Virus :
groups.d/ – répertoire des fichiers de configuration des groupes ;
default.conf – fichier de configuration, avec les paramètres du groupe
par défaut ;
locale.d/strings.en – fichier de chaînes, utilisées par l'application ;
profiles/ – répertoire de profils de configuration prédéfinis :
default_recommandé/ – répertoire des fichiers de configuration par
défaut ;
high_overall_security/ – répertoire des fichiers de configuration du profil
de sécurité maximum ;
high_scan_speed/ répertoire des fichiers de configuration du profil de
vitesse maximum ;
modèles/ – répertoire des modèles de notifications ;
templates-admin/ – répertoire des modèles de notifications pour
l'administrateur ;
kav4lms.conf – le fichier de configuration principal de l'application ;
/opt/kaspersky/kav4lms/ – répertoire principal de Kaspersky Anti-Virus,
contenant :
bin/ – répertoire des fichiers exécutables de tous les composants de
Kaspersky Anti-Virus :
kav4lms-cmd – fichier exécutable de l'outil de ligne de commande ;
kav4lms-setup.sh – script d'installation de l'application ;
kav4lms-kavscanner – fichier exécutable du composant analyseur du
système de fichiers ;
kav4lms-licensemanager – fichier exécutable du composant
gestionnaire des clés ;
kav4lms-keepup2date – fichier exécutable du composant
d'actualisation ;
sbin/ – répertoire contenant les fichiers exécutables des services de
l'application ;
lib/ – répertoire des fichiers de bibliothèque de Kaspersky Anti-Virus ;
bin/avbasestest – outil de validation des mises à jour de bases antivirus
téléchargées, utilisé par le composant kav4lms-keepup2date ;
share/doc/ – répertoire contenant l'accord de licence et la documentation de
déploiement ;
share/man/ – répertoire contenant les fichiers du manuel ;
share/scripts/ – répertoire des scripts d'application ;
share/snmp-mibs/ – répertoire de Kaspersky Anti-Virus MIB ;
Page 19
Installation et désinstallation de l'application 19
Attention !
La spécification Linux des chemins d'accès est utilisée dans la suite de ce
document.
share/webmin/ – répertoire du complément logiciel pour Webmin ;
/etc/init.d/ – répertoire des scripts de contrôle des services de l'application :
kav4lms – script de contrôle du service central de l'application ;
kav4lms-filters – script de contrôle pour le filtre Kaspersky Anti-Virus ;
/var/opt/kaspersky/kav4lms/ – répertoire contenant des données variables de
Kaspersky Anti-Virus :
backup/ – répertoire des copies de sauvegarde des messages et des
fichiers d'information ;
bases/ – répertoire des bases antivirus ;
bases.backup/ – répertoire des copies de sauvegarde des bases antivirus ;
licenses/ – répertoire des fichiers de clés ;
nqueue/ – répertoire des files d'attente de messages ;
patches/ – répertoire des correctifs des modules d'application ;
stats/ – répertoire des fichiers de statistiques ;
updater/ – répertoire du fichier d'informations de la mise à jour précédente.
3.3.2. Emplacement des fichiers sur un
serveur FreeBSD
Les emplacements par défaut des fichiers Kaspersky Anti-Virus sur un serveur
exploité sous FreeBSD sont les suivants :
/usr/local/etc/kaspersky/kav4lms.conf – fichier de configuration principal de
l'application ;
/usr/local/etc/kaspersky/kav4lms/ – répertoire des fichiers de configuration de
Kaspersky Anti-Virus :
groups.d/ – répertoire des fichiers de configuration des groupes ;
default.conf – fichier de configuration, avec les paramètres du groupe
par défaut ;
locale.d/strings.en – fichier de chaînes utilisées par l'application ;
profiles/ – répertoire de profils de configuration prédéfinis :
default_recommandé/ – répertoire des fichiers de configuration par
défaut ;
Page 20
20 Kaspersky Anti-Virus 5.6 for Linux Mail Server
high_overall_security/ – répertoire des fichiers de configuration du profil
de sécurité maximum ;
high_scan_speed/ – répertoire des fichiers de configuration du profil de
vitesse maximum ;
modèles/ – répertoire des modèles de notifications ;
templates-admin/ – répertoire des modèles de notifications pour
l'administrateur ;
kav4lms.conf – le fichier de configuration principal de l'application.
/usr/local/bin/ – répertoire des fichiers exécutables de tous les composants de
Kaspersky Anti-Virus :
kav4lms-cmd – fichier exécutable de l'outil de ligne de commande ;
kav4lms-setup.sh - script d'installation de l'application ;
kav4lms-kavscanner – fichier exécutable du composant analyseur du
système de fichiers ;
kav4lms-licensemanager – fichier exécutable du composant gestionnaire
des clés ;
kav4lms-keepup2date – fichier exécutable du composant d'actualisation ;
/usr/local/sbin/ – répertoire des fichiers exécutables des services de
l'application ;
/usr/local/etc/rc.d/ – répertoire des scripts de contrôle pour les services de
l'application :
kav4lms.sh – script de contrôle du service central de l'application ;
kav4lms-filters.sh – script de contrôle pour le filtre Kaspersky Anti-Virus ;
/usr/local/lib/kaspersky/kav4lms/ – répertoire des fichiers de bibliothèque de
Kaspersky Anti-Virus ;
/usr/local/libexec/kaspersky/kav4lms/avbasestest – outil de validation des mises
à jour de bases antivirus téléchargées, utilisé par le composant kav4lmskeepup2date ;
/usr/local/share/doc/kav4lms/ – répertoire contenant l'accord de licence et la
documentation de déploiement ;
/usr/local/man/ – répertoire des fichiers du manuel ;
/usr/local/share/kav4lms/scripts/ – répertoire de scripts de l'application ;
/usr/local/share/kav4lms/snmp-mibs/ – répertoire des fichiers MIB pour
Kaspersky Anti-Virus ;
/usr/local/share/kav4lms/webmin/ – répertoire du complément logiciel pour
l'application Webmin ;
/var/db/kaspersky/kav4lms/ – répertoire contenant des données variables de
Kaspersky Anti-Virus :
backup/ – répertoire des copies de sauvegarde des messages et des
fichiers d'information ;
Page 21
Installation et désinstallation de l'application 21
bases/ – répertoire des bases antivirus ;
bases.backup/ – répertoire des copies de sauvegarde des bases antivirus ;
licenses/ – répertoire des fichiers de clés ;
nqueue/ – répertoire des files d'attente de messages ;
patches/ – répertoire des correctifs des modules d'application ;
stats/ – répertoire des fichiers de statistiques ;
updater/ – répertoire du fichier d'informations de la mise à jour précédente.
3.4. Configuration postérieure à
l'installation
Immédiatement après avoir recopié les fichiers d'application dans le serveur, le
processus de configuration du système démarre. La procédure de configuration
démarre automatiquement ou bien, si le gestionnaire de paquets (rpm, par
exemple) ne permet pas l'usage de scripts interactifs, vous devez la lancer
manuellement.
Pour lancer la configuration du produit manuellement, tapez ce qui suit sur
l'invite de commande :
Sous Linux :
# /opt/kaspersky/kav4lms/lib/bin/setup/postinstall.pl
Sous FreeBSD :
# /usr/local/libexec/kaspersky/kav4lms/setup/postinstall.pl
Une invite vous présente au choix les opérations suivantes :
1. Si des fichiers de configuration de Kaspersky Anti-Virus 5.5 for Linux
Mail Server ou de Kaspersky Anti-Virus 5.6 for Sendmail avec l'API
Milter sont retrouvés dans l'ordinateur, l'application propose à cette
étape de choisir le fichier à convertir et à enregistrer dans le format de
la version courante du produit. En sélectionnant l'un des fichiers, vous
aurez la possibilité de remplacer le fichier de configuration par défaut
compris dans le paquet de distribution par le fichier restauré et converti.
Pour remplacer le fichier de configuration du paquet de distribution par
le fichier restauré, tapez la réponse yes. Pour annuler le remplacement,
tapez no.
Par défaut, les fichiers de configuration convertis sont enregistrés dans
les répertoires suivants :
Page 22
22 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Remarque :
Les bases antivirus ne peuvent être mises à jour que si une clé de
produit est installée.
kav4mailservers /etc/opt/kaspersky/kav4lms/profiles/kav4mailservers5.
5-converted
kavmilter /etc/opt/kaspersky/kav4lms/profiles/kavmilter5.6converted
2. Spécifiez le chemin au fichier clé.
Notez que si la clé du produit n'est pas installée, l'antivirus ne fera pas
la mise à jour des bases de données et ne créera pas la liste des
domaines protégés au cours de l'installation. Dans ce cas, vous devrez
réaliser ces étapes manuellement après l'installation d'une clé.
3. Spécifiez les paramètres du serveur proxy utilisé pour la connexion à
Internet avec la mise en forme suivante :
http://<IP-proxy_server_address>:<port>
ou
http://<user_name>:<password>@<proxy_server_IP_addres
s>:<port>
if the proxy server requires authentication.
Si aucun serveur proxy n'est utilisé pour se connecter à Internet, tapez
la réponse no.
Le composant kav4lms-keepup2date pour la mise à jour utilise cette
valeur pour se connecter à la source des mises à jours.
4. Mettre à jour les bases antivirus. Pour ce faire, tapez la réponse yes.
Pour ignorer les mises à jour pendant cette étape, tapez no. Vous
pourrez exécuter la procédure de mise à jour par la suite à l'aide du
composant kav4lms-keepup2date (section 7.2 à la p. 83 pour plus de
détails).
5. Configurez les mises à jour automatiques des bases antivirus. Pour ce
faire, tapez la réponse yes. Pour ignorer la configuration des les mises
à jour automatiques pendant cette étape, tapez no. Vous pourrez
configurer les mises à jour plus tard, à l'aide du composant kav4lms-
setup (section 7.1 à la p. 82) ou manuellement (section 10.2 à la p. 102
pour plus de détails).
Page 23
Installation et désinstallation de l'application 23
Attention !
Dans le cas de l'intégration du produit avec qmail, il convient de
configurer les mises à jour automatiques comme ceci :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-cron=updater --user=root
6. Installez le module Webmin afin de pouvoir gérer Kaspersky Anti-Virus
à l'intérieur de l'interface Web de l'outil Webmin.
Le complément logiciel du gestionnaire à distance ne sera installé que
si Webmin est installé dans le répertoire par défaut. Après l'installation
du plug-in, des instructions appropriées s'afficheront pour configurer
l'interaction avec l'application.
Tapez yes pour installer le module Webmin ou no pour annuler son
installation.
7. Déterminez la liste des domaines dont le trafic de messagerie doit être
protégé contre les virus. La valeur par défaut est localhost,
localhost.localdomain. Pour l'utiliser, tapez Entrée.
Pour préciser la liste des domaines manuellement, entrez-les sur la
ligne de commande. Vous pouvez définir plusieurs valeurs séparées
pas des virgules ; les caractères génériques et les expressions
régulières sont également acceptées. Les points doivent être précédés
par un caractère barre-inversée.
Par exemple :
re:.*\.example\.com
8. Intégration de Kaspersky Anti-Virus avec MTA. Vous pouvez accepter la
méthode suggérée par défaut pour l'intégration avec le MTA localisé sur
l'ordinateur ou annuler et effectuer manuellement l'intégration.
Reportez-vous à Chapitre 4 à la p. 30 pour une description détaillée de
l'intégration avec MTA.
Par défaut, l'intégration aval de la file d'attente avec Exim fait appel à la
modification du routage (section 4.1.1 à la p. 31).
Page 24
24 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Pendant l'intégration automatique avec Sendmail, le script essaie
toujours de modifier le fichier .mc parce que les mises à jours
postérieures ne détruiront pas les modifications introduites. Si le
fichier .mc contient des adressages “include” faisant référence à des
fichiers .mc qui n'existent pas, il n'est pas alors possible d'utiliser ce
fichier pour l'intégration de Kaspersky Anti-Virus. Dans ce cas, installez
le paquet sendmail-cf pour faire l'intégration à partir du fichier .cf.
Si le fichier .mc ne peut pas être utilisé, l'intégration de l'application fait
alors appel au fichier .cf.
3.5. Configuration des règles
d'accès dans les systèmes
SELinux et AppArmor
Pour créer un module SELinux contenant les règles nécessaires au
fonctionnement de Kaspersky Anti-Virus, effectuez les étapes suivantes après
l'installation et l'intégration de l'application avec le système de messagerie :
1. Basculez SELinux en mode permissif :
# setenforce Permissive
2. Envoyez un ou plusieurs messages de test et assurez-vous qu'il sont
passés par l'analyseur antivirus et ont été remis à leurs destinataires.
3. Créez un module de règles, à partir des enregistrements sur les
blocages appliqués :
Pour Fedora :
# audit2allow -l –M kav4lms -i /var/log/messages
Pour RHEL :
# audit2allow -l -M kav4lms –i\
/var/log/audit/audit.log
4. Chargez le module de règles ainsi obtenu :
# semodule -i kav4lms.pp
5. Basculez SELinux en mode restrictif :
# setenforce Enforcing
Page 25
Installation et désinstallation de l'application 25
Si de nouveaux messages d'audit appartenant à Kaspersky Anti-Virus
apparaissent, il convient de mettre à jour le fichier module des règles :
Pour Fedora :
# audit2allow -l –M kav4lms -i /var/log/messages
# semodule -u kav4lms.pp
Pour RHEL :
# audit2allow -l -M kav4lms -i /var/log/audit/audit.log
# semodule -u kav4lms.pp
Pour des informations complémentaires, reportez-vous à :
RedHat Enterprise Linux: “Red Hat Enterprise Linux Deployment
Guide”, chapitre 44 “Security and SELinux”.
Fedora: Fedora SELinux Project Pages.
Debian GNU/Linux: manuel « Configuring the SELinux Policy » du
paquet selinux-doc « Documentation for Security Enhanced Linux ».
Pour mettre à jour les profils AppArmor nécessaires au fonctionnement de
Kaspersky Anti-Virus, effectuez les étapes suivantes après l'installation et
l'intégration de l'application avec le système de messagerie :
1. Basculez toutes les règles d'application en mode audit (“complain”) :
# aa-complain /etc/apparmor.d/*
# /etc/init.d/apparmor reload
2. Redémarrez le système de messagerie :
# /etc/init.d/postfix restart
3. Redémarrez kav4lms et kav4lms-filters :
# /etc/init.d/kav4lms restart
# /etc/init.d/kav4lms-filters restart
4. Envoyez un ou plusieurs messages de test et assurez-vous qu'il sont
passés par l'analyseur antivirus et ont été remis à leurs destinataires.
5. Lancez l'outil de mise à jour des profils :
# aa-logprof
6. Rechargez les règles pour AppArmor :
# /etc/init.d/apparmor reload
7. Basculez toutes les règles d'application en mode restrictif :
Page 26
26 Kaspersky Anti-Virus 5.6 for Linux Mail Server
# aa-enforce /etc/apparmor.d/*
# /etc/init.d/apparmor reload
Si de nouveaux messages d'audit appartenant à Kaspersky Anti-Virus
apparaissent, les étapes 5 et 6 doivent être répétées.
Pour des informations complémentaires, reportez-vous à :
OpenSUSE et SUSE Linux Enterprise Server: “Novell AppArmor
Quick Start”, “Novell AppArmor Administration Guide”.
Ubuntu: “Ubuntu Server Guide”, chapitre 8, “Security”.
3.6. Installation du module Webmin
pour gérer Kaspersky AntiVirus
Il est possible de contrôler à distance l'activité de Kaspersky Anti-Virus depuis un
navigateur Web browser utilisant Webmin.
Webmin est un programme qui simplifie l'administration des systèmes
Linux/Unix. Le logiciel possède une structure modulaire, prenant en charge les
connexions de nouveaux modules ou de modules personnalisés. Vous trouverez
des informations complémentaires sur Webmin et ses paquets distribution
téléchargeables depuis le site Web officiel du logiciel, à l'adresse :
www.webmin.com.
Le paquet de distribution de Kaspersky Anti-Virus contient un module pour
Webmin qu'il est possible de connecter soit à l'étape de configuration postérieure
à l'installation de l'application (section 3.4 à la p. 21) si le système est déjà
équipé de Webmin, soit à tout moment après l'installation de Webmin.
La partie suivante de ce manuel décrit en détail la procédure requise pour
connecter le module Webmin afin d'administrer Kaspersky Anti-Virus.
Si les paramètres par défaut ont été sélectionnés lors de l'installation de
Webmin, vous pouvez alors accéder au logiciel après avoir configuré un
navigateur Web pour se connecter au port 10000 via HTTP/HTTPS.
Pour installer le module Webmin pour la gestion de Kaspersky Anti-Virus :
1. Utilisez votre navigateur Web pour accéder à Webmin avec des
privilèges d'administrateur.
2. Sélectionnez l'onglet Webmin Configuration dans le menu puis
dirigez-vous à la section Webmin modules.
Page 27
Installation et désinstallation de l'application 27
Remarque :
Le module Webmin est le fichier mailgw.wbm, installé par défaut dans le
répertoire /opt/kaspersky/kav4lms/share/webmin/ (pour les distributions Linux),
ou /usr/local/share/kav4lms/webmin/ (pour les distributions FreeBSD).
3. Sélectionnez l'option From Local File dans la section Install module
puis cliquez sur (Figure 1).
Figure 1. Section Install Module
4. Sélectionnez le chemin du module Webmin du produit et cliquez sur
OK.
Un message confirmera à l'écran l'installation réussie du module Webmin.
Pour accéder aux paramètres de Kaspersky Anti-Virus, vous pouvez cliquer sur
son icône, dans l'onglet Others (Figure 2).
Page 28
28 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
La procédure de suppression arrête l'application sans autre intervention de
l'utilisateur !
Figure 2. L'icône de Kaspersky Anti-Virus dans l'onglet Others
3.7. Suppression de l'application
La suppression de Kaspersky Anti-Virus dans le serveur exige des privilèges de
super-utilisateur (root). Si vous ne disposez pas de ces privilèges au moment de
la désinstallation, vous devez d'abord ouvrir une session en tant qu'utilisateur
root.
Pendant la désinstallation, l'application est arrêtée, les fichiers et les répertoires
créés lors de l'installation du produit sont supprimés. Cependant, les fichiers et
répertoires créés ou modifiés par l'administrateur (fichier de configuration de
l'application, fichiers de configuration des groupes, fichiers modèle de
notification, répertoires de sauvegarde, fichier clé) seront conservés.
Il est possible de lancer la procédure de suppression de l'application par
différentes méthodes, en fonction du gestionnaire de paquets du système. Nous
allons examiner ces méthodes de plus près.
Pour supprimer une installation de Kaspersky Anti-Virus réalisée à partir d'un
paquet rpm, tapez le texte suivant dans une ligne de commande :
# rpm -e <package_name>
Page 29
Installation et désinstallation de l'application 29
Pour supprimer une installation de Kaspersky Anti-Virus réalisée à partir d'un
deb, tapez ce qui suit sur la ligne de commande :
# dpkg -P <package_name>
si vous souhaitez supprimer l'application en même temps que ses fichiers de
configuration, ou bien :
# dpkg -r <package_name>
si vous souhaitez désinstaller l'application mais en gardant ses fichiers de
configuration.
Pour supprimer une installation de Kaspersky Anti-Virus réalisée à partir d'un
pkg, tapez ce qui suit sur la ligne de commande :
# pkg_delete <package_name>
Un message confirmera à l'écran la suppression réussie de l'application.
Si un complément logiciel est installé pour la gestion à distance de l'application
(module Webmin), il doit être supprimé manuellement à l'aide des outils standard
de Webmin.
Page 30
Remarque :
Le MTA ne permet pas le rejet des messages en cas d'intégration en aval de la
file d'attente. Cependant, si l'action de rejet des objets est sélectionnée dans les
paramètres de Kaspersky Anti-Virus, l'expéditeur recevra une notification sur le
rejet du message. Le texte de la notification est défini par l'option RejectReply
dans la section [kav4lms: groups. <group_name>.settings] du fichier de
configuration du groupe.
Attention !
Deux règles sont à respecter pour utiliser un socket :
Le numéro du port, qui fait partie de la définition du socket réseau, doit
être supérieur à 1024.
Le service de filtrage et le service central doivent avoir des privilèges
d'accès suffisants au socket local utilisé.
CHAPITRE 4. INTEGRATION
AVEC MTA
Après son installation, l'antivirus doit être intégré au système de messagerie de
l'hôte. Pour ce faire, les paramètres des fichiers de configuration de l'application
et du MTA doivent être modifiés. L'intégration peut se faire avec le script de
configuration du produit compris dans le paquet de distribution (section 3.4 à la
p. 21 et 10.2 à la p. 102), ou en modifiant les fichiers de configuration de
Kaspersky Anti-Virus et du MTA manuellement.
Pour Exim et Postfix, l'antivirus prend en charge l'intégration aussi bien en amont
qu'en aval de la file d'attente. Dans le cas de l'intégration en amont de la file
d'attente, les messages sont transférés pour analyse avant d'être ajoutés à la file
d'attente MTA, tandis que l'intégration en aval signifie qu'ils sont contrôlés après
leur ajout à la file d'attente des messages.
Les sockets utilisés pour l'échange des données entre le MTA, le filtre et le
service central de Kaspersky Anti-Virus sont attribués d'après les règles
suivantes :
inet:<port>@<adresse_ip> – pour un socket réseau
local:<socket_path> – pour un socket local.
Page 31
Intégration avec MTA 31
Attention !
Dans le cas d'une intégration du filtre avec Exim (en tant que filtre
intermédiaire) les options FilterSocket, ServiceSocket et
ForwardSocket doivent pointer sur le socket réseau.
4.1. Intégration avec Exim
L'antivirus peut suivre deux méthodes pour son intégration avec Exim :
intégration aval de la file d'attente par la modification des
routages: tout le trafic de messagerie qui traverse le serveur protégé
est alors transféré pour analyse après avoir été ajouté à la file d'attente
du MTA (filtrage en aval).
intégration amont de la file d'attente moyennant le chargement de
bibliothèques dynamiques: les messages seront transférés pour
analyse avant qu'ils ne soient ajoutés à la file d'attente du MTA queue
(filtrage en amont).
4.1.1. Intégration aval de la file d'attente
en modifiant les routages
L'intégration par modification des routages implique que les messages vont être
envoyés pour analyse dans le cas de tous les transferts de courrier. Pour ce
faire, kav4lms_filter doit figurer en tant que valeur de l'option pass_router de
chaque routage Exim.
Dans le cas d'une intégration aval de la file d'attente correcte, le courrier est
transféré vers l'antivirus et son retour au MTA exige que soient respectées les
conditions suivantes :
1. Le filtre doit être configuré pour intercepter les messages provenant du
MTA. L'extrémité de la connexion “filtre – MTA” est le socket défini par
l'option FilterSocket dans la section [kav4lms:filter.settings] du fichier
de configuration de l'application principale.
2. Le filtre doit transmettre les messages au service central de
l'application, pour analyse. L'extrémité de la connexion “filtre – service
central” est le socket défini par l'option ServiceSocket dans la section
[kav4lms:server.settings] du fichier de configuration de l'application
principale.
3. Le filtre doit renvoyer les messages vers le MTA. L'extrémité de la
connexion “application – MTA” est le socket défini par l'option
Page 32
32 Kaspersky Anti-Virus 5.6 for Linux Mail Server
ForwardSocket dans la section [kav4lms:filter.settings] du fichier de
configuration de l'application principale.
Pour intégrer Kaspersky Anti-Virus avec Exim avec le script de configuration de
l'application :
exécutez la commande suivante :
Sous Linux :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-filter=exim
Sous FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--install-filter=exim
Pour intégrer l'application avec Exim manuellement :
1. Faites une sauvegarde des fichiers de configuration Exim.
2. Ajoutez les lignes suivantes à la section main configuration settings
du fichier de configuration Exim :
#kav4lms-filter-begin-1
local_interfaces=0.0.0.0.25:<forward_socket_ip>.\
<forward_socket_port_number>
#kav4lms-filter-end-1
où <forward_socket_ip>.<forward_socket_port_number> est
l'adresse IP et le port du socket vers lequel le courrier est rerouté par
l'application, après analyse.
3. Ajoutez les lignes suivantes à la section routers du fichier de
configuration Exim :
#kav4lms-filter-begin-2
kav4lms_dnslookup:
driver = dnslookup
domains = ! +local_domains
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
verify_only
pass_router = kav4lms_filter
no_more
kav4lms_system_aliases:
driver = redirect
Page 33
Intégration avec MTA 33
allow_fail
allow_defer
data = ${lookup{$local_part}lsearch{/etc/aliases}}
verify_only
pass_router = kav4lms_filter
kav4lms_localuser:
driver = accept
check_local_user
verify_only
pass_router = kav4lms_filter
failed_address_router:
driver = redirect
verify_only
condition = "{0}"
allow_fail
data = :fail: Failed to deliver to address
no_more
kav4lms_filter:
driver = manualroute
condition = "${if or {{eq {$interface_port}\
{<forward_socket_port_number>}} \
{eq {$received_protocol}{spam-scanned}} \
}{0}{1}}"
transport = kav4lms_filter
route_list = "* localhost byname"
self = send
#kav4lms-filter-end-2
où <forward_socket_port_number> est le numéro de port vers
lequel le courrier est rerouté par l'application après analyse.
4. Ajoutez les lignes suivantes à la section de définition des transports
pour Exim :
#kav4lms-filter-begin-3
kav4lms_filter:
Page 34
34 Kaspersky Anti-Virus 5.6 for Linux Mail Server
driver = smtp
port = <filter_socket_port_number>
delay_after_cutoff = false
allow_localhost
#kav4lms-filter-end-3
où <filter_socket_port_number> est le numéro du port, sur
lequel le service de filtrage de l'application est à l'écoute.
5. Renseignez le paramètre ForwardSocket avec la
<forward_socket_ip>.<forward_socket_port_number> valeur
définie à l'étape 2. Le paramètre ForwardSocket se trouve dans la
section [kav4lms:filter.settings] du fichier de configuration
kav4lms.conf.
6. Arrêtez le service kav4lms-filter.
7. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) file :
FILTER_SERVICE=true
FILTER_PROGRAM=kav4lms-filter
8. Lancez le service kav4lms-filter.
9. Redémarrez Exim :
4.1.2. Intégration amont par chargement
d'une bibliothèque dynamique
Le filtre doit transmettre les messages au service central de l'application, pour
analyse. L'extrémité de la connexion “filtre – service central” est le socket défini
par l'option ServiceSocket dans la section [kav4lms:server.settings] du fichier
de configuration du produit principal.
Pour intégrer Kaspersky Anti-Virus avec Exim avec le script de configuration de
l'application :
exécutez la commande suivante :
sous Linux:
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-filter=exim-dlfunc
Page 35
Intégration avec MTA 35
sous FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--install-filter=exim-dlfunc
Pour intégrer Kaspersky Anti-Virus avec Exim manuellement :
1. Assurez-vous qu'Exim prend en charge la fonction dlfunc, chargée du
filtrage par contenu. Pour ce faire, exécutez la commande suivante :
exim -bV
Une réponse positive ressemble à ceci :
Expand_dlfunc
2. Faites une sauvegarde des fichiers de configuration Exim.
3. Ajoutez les lignes suivantes à la section main configuration settings
du fichier de configuration Exim :
#kav4lms-filter-begin
acl_smtp_data = acl_check_data
#kav4lms-filter-end
4. Ajoutez les lignes suivantes à la section ACL du fichier de configuration
Exim :
acl_check_data:
#kav4lms-dlfunc-begin
warn set acl_m0 = \
${dlfunc{<libkavexim.so>}{kav}{<socket>} \
{/var/tmp//.kav4lms-exim}}
accept condition = ${if match{$acl_m0}{\N^kav4lms: \
continue\N}{yes}{no}}
logwrite = kav4lms returned continue
deny condition = ${if match{$acl_m0}{\N^kav4lms: \
reject.*\N}{yes}{no}}
logwrite = kav4lms returned reject
message = Kaspersky Anti-Virus rejected the mail
discard condition = ${if match{$acl_m0}\
{\N^kav4lms: drop.*\N}{yes}{no}}
logwrite = kav4lms returned drop
message = Kaspersky Anti-Virus dropped the mail
defer condition = ${if match{$acl_m0}\
{\N^kav4lms: temporary failure.*\N}{yes}{no}}
logwrite = kav4lms returned temporary failure
Page 36
36 Kaspersky Anti-Virus 5.6 for Linux Mail Server
message = Kaspersky Anti-Virus returned \
temporary failure
accept
#kav4lms-dlfunc-end
où <socket> correspond au socket utilisé pour les communications
entre le filtre et le service central de Kaspersky Anti-Virus défini par
l'option FilterSocket dans la section [kav4lms:filter.settings] du fichier
de configuration principal de Kaspersky Anti-Virus; <libkavexim.so>
- le chemin de la bibliothèque libkavexim.so :
pour les distributions Linux pour 32 bits :
/opt/kaspersky/kav4lms/lib/libkavexim.so
pour les distributions Linux pour 64 bits :
/opt/kaspersky/kav4lms/lib64/libkavexim.so
sous FreeBSD:
/usr/local/lib/kaspersky/kav4lms/libkavexim.so
5. Arrêtez le service kav4lms-filter.
6. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) :
sous Linux :
FILTER_SERVICE=false
FILTER_PROGRAM=/opt/kaspersky/kav4lms/lib/libkavexim\
.so
in FreeBSD:
FILTER_SERVICE=false
FILTER_PROGRAM=/usr/local/lib/kaspersky/kav4lms/\
libkavexim.so
7. Redémarrez Exim.
Page 37
Intégration avec MTA 37
Attention !
Dans le cas d'une intégration avec Postfix, les options FilterSocket,
ServiceSocket et ForwardSocket peuvent pointer sur un socket
réseau ou local.
4.2. Intégration avec Postfix
Il est possible de suivre trois méthodes pour intégrer l'antivirus avec Exim :
intégration en aval : tout le trafic de courrier qui passe à travers le
serveur protégé est transféré pour analyse après avoir été ajouté à la
file d'attente du système de messagerie;
intégration en amont : le courrier est transféré pour analyse avant qu'il
ne soit ajouté à la file d'attente du système de messagerie;
intégration avec l'API Milter : les messages sont transférés pour
analyse moyennant l'interfacce de programmation Milter.
4.2.1. Intégration en aval de la file
d'attente
Pour que le transfert des messages vers l'antivirus et leur retour vers le MTA se
fasse correctement, les conditions suivantes doivent être respectées :
1. Le filtre doit être configuré pour intercepter les messages provenant du
MTA. L'extrémité de la connexion “filtre – MTA” est le socket défini par
l'option FilterSocket dans la section [kav4lms:filter.settings] du fichier
de configuration de l'application principale.
2. Le filtre doit transmettre les messages au service central de
l'application, pour analyse. L'extrémité de la connexion “filtre – service
central” est le socket défini par l'option ServiceSocket dans la section
[kav4lms:server.settings] du fichier de configuration de l'application
principale.
3. Le filtre doit renvoyer les messages vers le MTA. L'extrémité de la
connexion “application – MTA” est le socket défini par l'option
ForwardSocket dans la section [kav4lms:filter.settings] du fichier de
configuration de l'application principale.
Page 38
38 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Remarque :
Quand vous recopiez des lignes du manuel vers le fichier de configuration,
supprimez les caractères "\" suivis de retours à la ligne.
Remarque :
Si des sockets locaux sont utilisés avec Postfix 2.3 ou supérieur,
ajoutez également la ligne précédente à l'option “no_milters”, comme
ceci :
-o receive_override_options=\
no_unknown_recipient_checks,no_header_body_checks,\
no_address_mappings,no_milters
Pour intégrer Kaspersky Anti-Virus avec Postfix avec le script de configuration de
l'application :
exécutez la commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-filter=postfix
sous FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--install-filter=postfix
Pour intégrer l'application avec Postfix manuellement :
1. Ajoutez les lignes suivantes au fichier master.cf :
#kav4lms-filter-begin
kav4lms_filter unix - - n\
- 10 smtp
-o smtp_send_xforward_command=yes
<forward_socket_ip_address>:<forward_socket_port>\
inet n - n -
10\
smtpd
-o content_filter=
-o receive_override_options=\
no_unknown_recipient_checks,no_header_body_checks,\
no_address_mappings
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
Page 39
Intégration avec MTA 39
-o smtpd_recipient_restrictions=\
permit_mynetworks,reject
-o mynetworks=127.0.0.0/8,[::1]/128
-o smtpd_authorized_xforward_hosts=\
127.0.0.0/8,[::1]/128
#kav4lms-filter-end
où <forward_socket_ip_address>:<forward_socket_
port> est l'adresse et le port du socket vers lequel le courrier est
rerouté par l'application, après analyse.
2. Ajoutez les lignes suivantes au fichier main.cf :
#kav4lms-filter-begin
content_filter = \
kav4lms_filter:<filter_socket_ip_address>:\
<filter_socket_port>
#kav4lms-filter-end
où <filter_socket_ip_address>:<filter_socket_port> est
l'adresse et le port du socket, où le processus du filtre est à l'écoute.
3. Arrêtez le service kav4lms-filter.
4. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) :
FILTER_SERVICE=true
FILTER_PROGRAM=kav4lms-filter
5. Lancez le service kav4lms-filter.
6. Redémarrez Postfix.
4.2.2. Pre-queue integration
Pour que le transfert des messages vers l'antivirus et leur retour vers le MTA se
fasse correctement, les conditions suivantes doivent être respectées :
1. Le filtre doit être configuré pour intercepter les messages provenant du
MTA. L'extrémité de la connexion “filtre – MTA” est le socket défini par
l'option FilterSocket dans la section [kav4lms:filter.settings] du fichier
de configuration de l'application principale.
2. Le filtre doit transmettre les messages au service central de
l'application, pour analyse. L'extrémité de la connexion “filtre – service
central” est le socket défini par l'option ServiceSocket dans la section
Page 40
40 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Dans le cas d'une intégration avec Postfix, les options FilterSocket,
ServiceSocket et ForwardSocket peuvent pointer sur un socket
réseau ou local.
Remarque :
Quand vous recopiez des lignes du manuel vers le fichier de configuration,
supprimez les caractères "\" suivis de retours à la ligne.
[kav4lms:server.settings] du fichier de configuration de l'application
principale.
3. Le filtre doit renvoyer les messages vers le MTA. L'extrémité de la
connexion “application – MTA” est le socket défini par l'option
ForwardSocket dans la section [kav4lms:filter.settings] du fichier de
configuration de l'application principale.
Pour intégrer Kaspersky Anti-Virus avec Postfix avec le script de configuration de
l'application :
exécutez la commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-filter=postfix-prequeue
sous FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--install-filter=postfix-prequeue
Pour intégrer l'application avec Postfix manuellement :
1. Ajoutez les lignes suivantes au fichier master.cf :
#kav4lms-filter-begin
kav4lms_filter unix - - n\
- 10 smtp
-o smtp_send_xforward_command=yes
<forward_socket_ip_address>:<forward_socket_port>\
inet n - n -
10\
smtpd
-o content_filter=
-o receive_override_options=\
no_unknown_recipient_checks,no_header_body_checks,\
no_address_mappings
Page 41
Intégration avec MTA 41
Remarque :
Si des sockets locaux sont utilisés avec Postfix 2.3 ou supérieur,
ajoutez également la ligne précédente à l'option “no_milters”, comme
ceci :
-o receive_override_options=\
no_unknown_recipient_checks,no_header_body_checks,\
no_address_mappings,no_milters
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=\
permit_mynetworks,reject
-o mynetworks=127.0.0.0/8,[::1]/128
-o smtpd_authorized_xforward_hosts=\
127.0.0.0/8,[::1]/128
#kav4lms-prequeue-end
où <forward_socket_ip_address>:<forward_socket_
port> est l'adresse et le port du socket vers lequel le courrier est
rerouté par l'application, après analyse.
2. Ajoutez les lignes suivantes au fichier master.cf :
smtp inet n - n - 20 smtpd
Ajoutez le paramètre :
#kav4lms-prequeue-begin
-o smtpd_proxy_filter=:<filter_socket_port>
#kav4lms-prequeue-end
3. Arrêtez le service kav4lms-filter.
4. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) :
FILTER_SERVICE=true
FILTER_PROGRAM=kav4lms-filter
5. Lancez le service kav4lms-filter.
6. Redémarrez Postfix.
Page 42
42 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Dans le cas d'une intégration avec Postfix, les options FilterSocket,
ServiceSocket peuvent pointer sur un socket réseau ou local.
Remarque :
Quand vous recopiez des lignes du manuel vers le fichier de configuration,
supprimez les caractères "\" suivis de retours à la ligne.
4.2.3. Integration avec Milter
Pour que le transfert des messages vers l'antivirus et leur retour vers le MTA se
fasse correctement, les conditions suivantes doivent être respectées :
1. Le filtre doit être configuré pour intercepter les messages provenant du
MTA. L'extrémité de la connexion “filtre – MTA” est le socket défini par
l'option FilterSocket dans la section [kav4lms:filter.settings] du fichier
de configuration de l'application principale.
2. Le filtre doit transmettre les messages au service central de
l'application, pour analyse. L'extrémité de la connexion “filtre – service
central” est le socket défini par l'option ServiceSocket dans la section
[kav4lms:server.settings] du fichier de configuration de l'application
principale.
Pour intégrer Kaspersky Anti-Virus avec Postfix avec le script de configuration de
l'application :
exécutez la commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-filter=postfix-milter
sous FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--install-filter=postfix-milter
Pour intégrer l'application avec Postfix manuellement :
1. Ajoutez les lignes suivantes au fichier main.cf :
smtpd_milters = inet:127.0.0.1:10025,
#kav4lms-milter-begin
milter_connect_macros = j _ {daemon_name} {if_name} \
{if_addr}
Page 43
Intégration avec MTA 43
Attention !
Dans le cas d'une intégration avec qmail, l'option ServiceSocket peut pointer
sur un socket réseau ou local.
milter_helo_macros = {tls_version} {cipher} \
{cipher_bits} {cert_subject} {cert_issuer}
milter_mail_macros = i {auth_type} {auth_authen} \
{auth_ssf} {auth_author} {mail_mailer} {mail_host} \
{mail_addr}
milter_rcpt_macros = {rcpt_mailer} {rcpt_host} \
{rcpt_addr}
milter_default_action = tempfail
milter_protocol = 3
milter_connect_timeout=180
milter_command_timeout=180
milter_content_timeout=600
#kav4lms-milter-end
2. Arrêtez le service kav4lms-milter.
3. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) :
FILTER_SERVICE=true
FILTER_PROGRAM=kav4lms-milter
4. Lancez le service kav4lms-milter.
5. Redémarrez Postfix.
4.3. Intégration avec qmail
The MTA de qmail n'offre pas de prise en charge pour des extensions de filtrage.
Le filtrage est implémenté par l'exécutable
/opt/kaspersky/kav4lms/lib/bin/kav4lms-qmail
(/usr/local/libexec/kaspersky/kav4lms/kav4lms-qmail pour FreeBSD), fourni avec
l'application, et qui remplace l'exécutable qmail-queue originaire. Le fichier de
remplacement implémente le filtrage et transfère le trafic de messagerie au
binaire original qmail-queue pour distribution. Les messages sont transférés pour
analyse avant d'être ajoutés à la file d'attente du MTA (filtrage amont de la file
d'attente).
Page 44
44 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Pour intégrer Kaspersky Anti-Virus avec qmail avec le script de configuration de
l'application :
exécutez la commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-filter=qmail
sous FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--install-filter=qmail
Pour intégrer l'application avec qmail manuellement :
1. Renommez le fichier qmail-queue dans le répertoire /var/qmail/bin à
qmail-queue-real.
2. Copiez le fichier /opt/kaspersky/kav4lms/lib/bin/kav4lms-qmail
(/usr/local/libexec/kaspersky/kav4lms/kav4lms-qmail for FreeBSD) dans
le répertoire /var/qmail/bin et renommez-le à qmail-queue.
3. Définissez les permissions suivantes pour les fichiers qmail-queue et
qmail-queue-real :
-rws—x--x 1 qmailq qmail
4. Arrêtez le service kav4lms-filter.
5. Changez le propriétaire et le groupe à qmailq:qmail, pour les
répertoires suivant, y compris leurs contenus :
pour Linux :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--switch-credentials=qmailq,qmail
pour FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--switch-credentials=qmailq,qmail
6. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) :
sous Linux :
FILTER_SERVICE=false
FILTER_PROGRAM=/opt/kaspersky/kav4lms/lib/bin\
/kav4lms-qmail
Page 45
Intégration avec MTA 45
Remarque :
Si vous modifiez le fichier cf uniquement, les modifications seront perdues quand
la prochaine génération du fichier cf à partir du fichier mc se produira.
Attention !
Dans le cas d'une intégration avec Sendmail, les options FilterSocket et
ServiceSocket peuvent pointer sur un socket réseau ou local.
in FreeBSD:
FILTER_SERVICE=false
FILTER_PROGRAM=/usr/local/libexec/kaspersky/kav4lms\
/kav4lms-qmail
7. Redémarrez qmail.
4.4. Intégration avec Sendmail
Sendmail offre l'API Milter pour implémenter l'intégration de filtres personnalisés.
Le trafic de messagerie doit être transmis de Sendmail à Kaspersky Anti-Virus,
puis être renvoyé moyennant des appels à l'interface Milter. Les messages sont
transférés pour analyse avant d'être ajoutés à la file d'attente du MTA
(intégration amont de la file d'attente).
En règle générale, quand le produit est intégré avec Sendmail, si des
modifications sont apportées au fichier de configuration MTA au format mc, alors
le fichier cf est automatiquement modifié. Si cette fonctionnalité n'est pas prise
en charge, alors après la modification du fichier mc approprié, le fichier cf
correspondant doit être également modifié.
4.4.1. Intégration avec Sendmail par un
fichier
Pour intégrer Kaspersky Anti-Virus avec Sendmail avec le script de configuration
de l'application :
exécutez la commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-setup.sh \
--install-filter=sendmail-milter
.cf
Page 46
46 Kaspersky Anti-Virus 5.6 for Linux Mail Server
sous FreeBSD :
# /usr/local/bin/kav4lms-setup.sh \
--install-filter=sendmail-milter
Pour intégrer l'application avec Sendmail manuellement :
1. Faites une sauvegarde du fichier sendmail.cf.
2. Ajoutez les chaînes suivantes au fichier sendmail.cf :
#kav4lms-milter-begin-filter
O InputMailFilters=kav4lms_filter
O Milter.macros.connect=j, _, {daemon_name}, \
{if_name}, {if_addr}
O Milter.macros.helo={tls_version}, {cipher}, \
{cipher_bits}, {cert_subject}, {cert_issuer}
O Milter.macros.envfrom=i, {auth_type}, \
{auth_authen}, {auth_ssf}, {auth_author}, \
{mail_mailer}, {mail_host}, {mail_addr}
O Milter.macros.envrcpt={rcpt_mailer}, {rcpt_host}, \
{rcpt_addr}
#kav4lms-milter-end-filter
3. Ajoutez les lignes suivantes au fichier sendmail.cf :
a) si l'intégration se fait via un socket réseau :
#kav4lms-milter-begin-socket
Xkav4lms_filter,
S=inet:<filter_port>@<filter_address>,F=T,\
T=S:3m;R:5m;E:10m
#kav4lms-milter-end-socket
où <filter_port> est le numéro du port du socket réseau, sur
lequel le service de filtrage est à l'écoute, et <filter_address>
est le nom ou l'adresse IP du serveur sur lequel est exécuté le
service de filtrage.
b) Si le socket local est nécessaire pour la connexion, modifiez la
section de définition du socket comme ceci :
#kav4lms-milter-begin-socket
Xkav4lms_filter,
S=unix:<filter_socket_file_path>,F=T,T=S:3m;\
R:5m;E:10m
#kav4lms-milter-end-socket
où <socket_file_path> est le chemin d'accès au socket local.
Page 47
Intégration avec MTA 47
4. Arrêt du service kav4lms-milter.
5. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) :
FILTER_SERVICE=true
FILTER_PROGRAM=kav4lms-milter
6. Démarrage du service kav4lms-milter.
7. Redémarrez Sendmail.
4.4.2. Intégration avec Sendmail par un
fichier
Pour intégrer l'application avec Sendmail via le fichier .mc :
1. Faites une sauvegarde du fichier .mc.
2. Ajoutez les chaînes suivantes au fichier .mc :
dnl kav4lms-milter-begin dnl
define(`_FFR_MILTER', `true')dnl
INPUT_MAIL_FILTER(`kav4lms_filter',\
`S=inet:10025@127.0.0.1,F=T,T=S:3m;R:5m;E:10m')dnl
dnl kav4lms-milter-end dnl
3. Compilez le fichier .cf configuration suivant la procédure de votre
système d'exploitation.
4. Arrêtez le service kav4lms-filter.
5. Ajoutez la ligne suivante à la section [1043] du fichier de configuration
/var/opt/kaspersky/applications.setup (sous Linux)
/var/db/kaspersky/applications.setup (sous FreeBSD) :
FILTER_SERVICE=true
FILTER_PROGRAM=kav4lms-milter
6. Lancez le service kav4lms-filter.
7. Redémarrez Sendmail.
.mc
Page 48
CHAPITRE 5. PROTECTION
ANTIVIRUS DE LA
MESSAGERIE
5.1. Configuration de groupes
Un group consiste en plusieurs adresses d'expéditeurs et de destinataires dont
les messages sont traités en fonction des mêmes paramètres de Kaspersky Anti-
Virus.
Il est possible d'utiliser des paramètres personnalisés d'analyse des messages
pour chaque groupe défini, par exemple :
Méthode d'analyse du courrier (section 5.2 à la p. 50).
Mode d'analyse du courrier (section 5.3 à la p. 51).
Actions sur les messages et leurs objets (section 5.4 à la p. 54).
Copie de sauvegarde des messages avant leur traitement (section 5.6 à
la p. 59).
Notifications sur les objets trouvés (section 5.7 à la p. 60).
Chaque groupe de paramètres est conservé dans un fichier de configuration
séparé (section A.2 à la p. 137). Tous les fichiers de configuration des groupes
doivent être spécifiés par une directive _include dans la section
[kav4lms:groups] du fichier de configuration principal de l'application
kav4lms.conf. Il est possible d'inclure les configurations de groupes en indiquant
le nom d'un fichier de configuration, ou d'un répertoire contenant tous les fichiers
de configuration de groupes.
Par défaut, les fichiers de configuration de groupes doivent se trouver dans le
répertoire /etc/opt/kaspersky/kav4lms/groups.d/.
Le paquet de distribution du produit inclut le fichier de configuration du groupe
Default, –default.conf. Après l'installation du produit, il figure dans le répertoire
/etc/opt/kaspersky/kav4lms/groups.d/. Les valeurs définies dans ce fichier sont
utilisées par défaut, à moins d'être spécifiées dans le fichier de configuration du
groupe correspondant. Les paramètres du fichier de configuration du groupe
Default sont utilisés en l'absence de groupe.
Page 49
Protection antivirus de la messagerie 49
Remarque :
Il est conseillé d'utiliser le fichier default.conf comme modèle pour la
création d'un fichier de configuration de groupe. Exécutez les
commandes suivantes pour remplacer rapidement le nom de groupe :
# cd /etc/opt/kaspersky/kav4lms/groups.d
# sed 's|groups.default|groups.<group_name>|'
default.conf > <group_name>.conf
L'antivirus analyse un message en fonction de paramètres du groupe auquel
appartiennent son expéditeur ou son destinataire (d'après les commandes MAIL
FROM et RCPT TO). Si l'expéditeur et tous les destinataires appartiennent à des
groupes différents, l'application sélectionne le groupe avec la priorité la plus
haute. Si aucun groupe n'a pu être trouvé, les messages seront traités en
appliquant les paramètres spécifiés dans le fichier de configuration du groupe
Default, qui possède la priorité la plus basse de 0. Par conséquent, il est
recommandé de spécifier un niveau de protection plus élevé pour les groupes de
plus grande priorité.
La priorité est un identificateur de groupe unique. Il est défini par l'option Priority
de la section [kav4lms:groups.<group_name>.definition] du fichier de
configuration du groupe.
Les expéditeurs et destinataires sont définis par les options Expéditeurs et
Destinataires de la section [kav4lms:groups.<group_name>.definition] d'un
fichier de configuration de groupe.
Pour créer un nouveau groupe,
1. Créez un fichier de configuration du groupe dans le répertoire spécifié
dans la section [kav4lms:groups] du fichier de configuration du produit
principal. Le répertoire par défaut est
/etc/opt/kaspersky/kav4lms/groups.d/
2. Définissez la priorité du groupe dans ses fichiers de configuration avec
l'option Priority dans la section
[kav4lms:groups.<group_name>.definition]. Tous les nombres
naturels sont admis. Les groupes avec la même priorité ou avec une
priorité 0 ne sont pas autorisés.
3. Définissez les adresses des expéditeurs et destinataires dans le fichier
de configuration du groupe avec les options Expéditeurs et
Destinataires dans la section
[kav4lms:groups.<group_name>.definition].
Les caractères génériques "*" et "?" sont acceptés pour créer des
masques, ainsi que les expressions régulières préfixées avec "re:".
Pour spécifier plusieurs adresses (ou masques d'adresses), chaque
nouvel enregistrement doit commencer sur une nouvelle ligne :
Page 50
50 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Les expressions régulières ne sont pas sensibles à la casse.
Remarque :
Si une action applicable à une partie du message est choisie pour s'appliquer à
l'ensemble du message (section 5.4 à la p. 54), alors ce message sera
examiné partie par partie, sans tenir compte de la méthode d'analyse choisie.
Senders=reporter@*.mydomain.com
Recipients=re:office\d+@central\.mydomain\.com
Au moins une des options Destinataires ou Expéditeurs doit être
définie. Si l'option Destinataires ou Expéditeurs manque dans la
définition du groupe, l'application la renseigne avec la valeur par défaut
spécifiée dans default.conf – "*@*" (toutes adresses).
4. Si nécessaire, spécifiez les options d'analyse du courrier dans les
sections correspondantes du fichier de configuration du groupe (section
A.2 à la p. 137 pour plus de détails). Si une option n'est pas définie
dans le fichier de configuration du groupe, l'application utilise la valeur
correspondante spécifiée dans le fichier de configuration du groupe
Default – default.conf.
5.2. Définition d'une stratégie
d'analyse du courrier
L'antivirus prend en charge les méthodes d'analyse du courrier suivantes :
Analyse de l'ensemble du message comme un seul objet simple – les
en-têtes et le corps du message sont analysés comme un tout.
Approche combinée – l'application analyse d'abord un message en tant
qu'objet simple, puis le décompose en parties (corps du message,
pièces jointes, etc.) et analyse chacune d'elles séparément. Cette
méthode offre un meilleur niveau de protection et une plus grande
fiabilité.
La méthode d'analyse du courrier est déterminée par la stratégie et définie par
l'option ScanPolicy de la section [kav4lms:groups.<group_name>.settings]
du fichier de configuration du groupe.
Pour analyser des messages en tant qu'objets simples,
définissez l'option ScanPolicy à message.
Page 51
Protection antivirus de la messagerie 51
Pour utiliser l'approche combinée lors de l'analyse des messages,
définissez l'option ScanPolicy à combined.
5.3. Mode d'analyse du courrier
L'étape suivante de la configuration du groupe est la sélection du mode
d'analyse du courrier. Kaspersky Anti-Virus offre les modes d'analyse suivants :
Analyse de la présence de logiciels malveillants.
Filtrage du contenu.
La spécification du mode d'analyse pour un groupe se fait avec l'option Check
de la section [kav4lms:groups.<group_name>.settings] du fichier de
configuration du groupe. Il est possible d'utiliser les valeurs suivantes :
antivirus – exécute une analyse antivirus du courrier ;
content-filter – filtrage par nom, par type et par taille de pièce jointe ;
all – exécute à la fois un examen antivirus et un filtrage par contenu ;
none – désactive l'analyse du courrier.
Si les deux fonctions d'analyse antivirus et de filtrage par contenu son activées,
l'analyse est exécutée dans l'ordre suivant :
1. analyse antivirus d'un message considéré comme un tout ;
2. filtrage des pièces jointes ;
3. analyse des messages pièce par pièce (si la méthode d'analyse
combinée est sélectionnée avec ScanPolicy=combined).
5.3.1. Analyse antivirus
L'analyse antivirus est activée en renseignant l'option Check dans la section
[kav4lms:groups.<group_name>.settings] du fichier de configuration du
groupe, avec la valeur antivirus ou all.
Suite à l'analyse antivirus d'un objet, l'application attribue un certain état au
message ou à ses objets :
clean – le message ne contient pas de code malveillant ;
infected – le message (ou l'une de ses parties) contient des objets
malveillants ;
Page 52
52 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Remarque :
La valeur yes de ce paramètre active le verdict suspicious, qui n'est
pas disponible autrement.
suspicious – le message (ou l'une de ses parties) contient un objet
suspect (attribué uniquement quand un analyseur heuristique est
activé) ;
protected – le message (ou l'une de ses parties) est protégé par un
mot de passe ou chiffré ;
error – le message est endommagé ou le processus d'analyse a
généré une erreur.
L'état attribué après l'analyse est utilisée pour dans le traitement postérieur des
messages et de leurs objets (section 5.4 à la p. 54).
Pour des messages infectés (infected), il est possible de définir une procédure
de traitement spécifique, en fonction du nom de la menace détectée (option
VirusNameAction dans la section [kav4lms:groups.<group_name>.actions]
du fichier de configuration du groupe). Kaspersky Anti-Virus renvoie les noms
des menaces identifiées, en utilisant la notation de Kaspersky Lab décrite sur
www.viruslist.com. La liste des noms de virus qui sont passibles d'actions est
précisée par le paramètre VirusNameList dans la section
[kav4lms:groups.<group_name>.contentfiltering]. Ce paramètre reconnaît
les noms de virus notés littéralement ou par une expression régulière (standard
POSIX).
Il est possible de personnaliser les possibilités d'analyse de l'application pour
augmenter la précision ou la vitesse de l'analyse. Les paramètres liés à la
performance du moteur d'analyse se trouvent dans la section
[kav4lms:groups.<group_name>.settings] du fichier de configuration du
groupe. Ces paramètres indiquent :
s'il faut analyser les archives (paramètre ScanArchives) ;
s'il faut analyser les exécutables comprimés (paramètre ScanPacked) ;
s'il faut effectuer une analyse heuristique (paramètre
UseCodeAnalyzer) ;
le temps maximum autorisé pour l'analyse d'un message ou d'un de ses
objets (paramètre MaxScanTime). Si la durée d'analyse dépasse la
limite spécifiée, l'analyse conclut sur le verdict error ;
si l'application doit décoder les objets MIME qui ne sont pas conformes
aux normes RFC, au moyen d'algorithmes heuristiques (option
MIMEEncodingHeuristics) ;
Page 53
Protection antivirus de la messagerie 53
Attention !
Dans certaines situations, le contenu réel ne correspond pas au type
MIME déclaré. L'application n'effectue pas une identification du
contenu.
Remarque :
Si les deux fonctions d'analyse antivirus et de filtrage par contenu son activées,
le filtrage par contenu précède l'analyse.
quels types de logiciels malveillants sont détectés (paramètre
UseAVBasesSet dans la section [kav4lms:server.settings] du fichier
de configuration kav4lms.conf).
5.3.2. Filtrage du contenu
Le service de filtrage par contenu est activé en renseignant le paramètre Check
dans la section [kav4lms:groups.<group_name>.settings] du fichier de
configuration du groupe avec les valeurs content-filter ou all.
L'antivirus peut utiliser les critères suivants pour le filtrage par contenu :
type MIME des pièces jointes (s'applique aux en-têtes “Content-Type”) ;
nom de pièce jointe (s'applique aux noms et aux extensions des pièces
jointes) ;
taille de la pièce jointe (s'applique à la taille des parties du message,
calculée après décompression de chaque pièce jointes).
Les critères de filtrage sont définis dans la section
[kav4lms:groups.<group_name>.contentfiltering]du fichier de configuration
du groupe.
Chaque critère peut être associé à deux règles :
Règle d'inclusion. Cette règle spécifie que les objets sont soumis au
filtre et sa description utilise les paramètres suivants :
IncludeMime – spécifie la liste des types MIME ;
IncludeName – spécifie la liste des noms de pièces jointes ;
IncludeSize – spécifie la liste de tailles des objets.
Règle d'exclusion. Cette règle spécifie que les objets ne sont pas
soumis au filtre et sa description utilise les paramètres suivants :
ExcludeMime – spécifie la liste des types MIME ;
Page 54
54 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Si la règle d'inclusion est vide, mais pas la règle d'exclusion, alors tous les objets
qui ne vérifient pas la règle d'exclusion sont inclus dans le filtrage.
Si les deux règles sont vides, le filtrage par contenus n'est pas exécuté, quelle
que soit la valeur du paramètre Check.
Attention !
Les expressions régulières ne sont pas sensibles à la casse ; elles doivent
commencer par le préfixe "re:".
ExcludeName – spécifie la liste des noms de pièces jointes ;
ExcludeSize – spécifie la liste de tailles des objets.
Les règles de filtrage des types MIME et des noms de pièces jointes doivent être
précisées comme une liste de :
chaînes ;
caractères génériques (normalisés UNIX) ;
expressions régulières (au standard POSIX).
Les règles pour la taille des objets doivent être précisées comme :
le nombre d'octets ;
des nombres avec indicateur de taille ('KB' ou 'MB' en anglais) ;
des signes de comparaison.
5.4. Actions sur les objets
Suite à l'analyse et au filtrage des contenus, Kaspersky Anti-Virus exécute des
actions spécifiques sur les messages et leurs parties. Certaines actions sont
applicables aux messages dans leur ensemble, tandis que d'autres ne
s'appliquent qu'aux parties des messages. Les paramètres qui déterminent les
actions de l'application peuvent avoir les valeurs suivantes :
warn – le message est complètement remplacé par un texte
d'avertissement sur la présence d'un objet dangereux ;
drop – le message est accepté, mais écarté sans plus, sans le remettre
au destinataire ;
reject – la délivrance du message est rejetée (cette action n'est pas
effectuée quand l'application est utilisée avec Postfix (intégration aval
Page 55
Protection antivirus de la messagerie 55
Attention !
Le fait que le filtrage par contenus intervienne avant l'analyse peut conduire à
une situation dans laquelle le résultat d'une analyse du message correspond au
verdict infected, alors que l'analyse pièce par pièce indique qu'aucune partie
n'est infectée. Ceci peut se produire si l'action delete est choisie en réponse au
filtrage des contenus, et la partie du message est supprimée après le filtrage.
de la file d'attente) ou avec Exim (l'action bounce se produit dans ce
cas). Si cette action est choisie. l'expéditeur reçoit une notification
définie par l'option RejectReply ;
skip – le message ou sa partie est autorisée à passer sans
modification, le résultat de l'analyse est consigné dans le registre de
l'application ;
cure (disponible uniquement après l'analyse antivirus des parties du
message) – l'application tente de réparer les objets infectés. Si la
réparation échoue, l'action delete est appliquée ;
rename (disponible uniquement pour le filtrage par contenus des
parties du message) – l'application ajoute au nom de la pièce jointe la
valeur du paramètre RenameTo. Si la valeur définit une extension
(.vir, par exemple), alors cette valeur est ajoutée au nom de la pièce
jointe. Autrement, cette valeur est interprétée comme le nom complet,
de sorte que le nom tout entier de la pièce jointe est remplacé ;
delete – la partie du message est supprimée et (si le paramètre
UsePlaceholderNotice est défini à yes) remplacé par une notification.
Le texte de la notification est pris dans un fichier modèle appelé
part_<action>.
Les actions réalisées après l'analyse antivirus sont spécifiées par les paramètres
InfectedAction, SuspiciousAction, ProtectedAction, ErrorAction et
VirusNameAction. Les actions réalisées après le filtrage sont spécifiées par les
paramètres FilteredMimeAction, FilteredNameAction et FilteredSizeAction.
Les paramètres liés aux actions sont disponibles dans la section
[kav4lms:groups.<group_name>.actions] du fichier de configuration du
groupe.
5.5. Profils de sécurité prédéfinis
Le paquet de distribution de Kaspersky Anti-Virus est fourni avec des profils de
configuration prédéfinis pour différents niveaux de protection du courrier :
Page 56
56 Kaspersky Anti-Virus 5.6 for Linux Mail Server
recommandé – sauvegardé dans le répertoire default_recommended
(section 5.5.1 à la p. 56 pour plus de détails) ;
protection maximum – sauvegardé dans le répertoire
high_overall_security (section 5.5.2 à la p. 57 pour plus de détails) ;
performance maximum – sauvegardé dans le répertoire
high_scan_speed (section 5.5.3 à la p. 58 pour plus de détails).
Chaque profil consiste en deux fichiers de configuration: kav4lms.conf et
default.conf (placé dans le sous-répertoire groups.d). Les profils sont conservés
dans les sous-répertoires du même nom, sous le répertoire
/etc/opt/kaspersky/kav4lms/profiles.
Vous pouvez sélectionner l'un des profils prédéfinis ou configurer manuellement
les paramètres de protection du courrier dans les fichiers de configuration de
l'application.
Pour utiliser un profil prédéfini :
1. Sauvegardez les fichiers de configuration de l'application (kav4lms.conf
et groups.d/default.conf).
2. Copiez le contenu du répertoire du profil requis vers le répertoire
/etc/opt/kaspersky/kav4lms.
3. Appliquez la nouvelle configuration en exécutant la commande
suivante :
/etc/init.d/kav4lms reload
5.5.1.
Ce profil offre un équilibre optimum entre le degré de protection antivirus et la
vitesse d'analyse. Les caractéristiques du profil sont les suivantes :
Profil Recommandé
Les messages sont analysés conformément à la stratégie d'analyse par
message : chaque message considéré comme un tout est analysé à la
recherche de virus.
Des bases antivirus étendues sont utilisées pour l'analyse.
Le nombre d'imbrications d'objets MIME autorisé est de 10 maximum par
message.
Une copie de sauvegarde et un fichier d'informations sont créés pour
chaque message soumis à un traitement antivirus.
Les messages infectés sont réparés.
Page 57
Protection antivirus de la messagerie 57
Le filtrage des pièces jointes par type MIME est activé. L'application
élimine des messages les liens aux objets externes (type
message/external-body) et les pièces jointes avec des
extensions .pif, .com, .bat et .exe.
Des avertissements sont émis pour tous les messages identifiés comme
suspects, protégés par un mot de passe, erronés, filtrés par leur type
MIME et par le nom de pièce jointe. Si une menace spécifique est
découverte, le message est écarté.
L'application ajoute à l'en-tête et au corps du message des informations
sur le résultat du traitement.
L'application envoie des notifications sur le traitement du message à ses
destinataires. Aucune notification n'est délivrée à l'expéditeur ni à
l'administrateur.
Tous les messages de l'application (à l'exception des informations de
mise au point) sont consignés dans le rapport.
Des statistiques sont collectées sur tous les aspects opérationnels de
l'application.
5.5.2.
Ce profil offre la protection la plus complète du trafic de courrier. Le profil
dispose des fonctions suivantes :
Profil de sécurité maximum
Le courrier électronique est analysé conformément à une stratégie
d'analyse combinée : chaque message est d'abord analysé comme un
tout puis chaque objet du message est analysé séparément, que des
objets infectés soient trouvés ou pas.
L'application interprète les messages non conformes aux normes RFC à
l'aide d'algorithmes heuristiques ; les messages sont renvoyés pour
analyse après un décodage réussi.
Des bases antivirus étendues sont utilisées pour l'analyse.
Les messages sont filtrés par type MIME. L'application filtre les messages
contenant des références à des objets de type externe
(message/external-body) et les supprime. En outre, les pièces
jointes .pif, .com, .bat et .exe sont supprimées.
Le nombre d'imbrications par message est illimité.
Un fichier d'informations est créé pour chaque message soumis à un
traitement antivirus ou à un filtrage.
Page 58
58 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Les objets infectés sont réparés.
L'application supprime tous les objets suspects, protégés ou filtrés dans
les messages. Les messages contenant des menaces recensées dans
une liste spécifiée sont écartés.
Si un message contient des objets ayant causé une erreur lors de
l'analyse, son contenu est remplacé par une notification.
L'application envoie des notifications sur le traitement du message à ses
destinataires. Aucune notification n'est délivrée à l'expéditeur ni à
l'administrateur.
Tous les messages de l'application (à l'exception des informations de
mise au point) sont consignés dans le rapport.
Les statistiques ne sont pas préservées.
5.5.3.
Ce profil offre une performance maximum de l'application, en échange d'une
certaine perte de fiabilité dans la protection antivirus. Les caractéristiques du
profil sont les suivantes :
Profil de performance maximum
Les messages sont analysés conformément à la stratégie d'analyse par
message : chaque message considéré comme un tout est analysé à la
recherche de virus.
Le filtrage des objets dans le message est désactivé.
L'application enregistre une copie de sauvegarde pour chaque message
qui se trouve écarté ou génère un avertissement suite à une action.
Aucun fichier d'informations n'est créé.
Des avertissements sont émis pour tous les objets infectés, suspects,
protégé et erronés dans les messages de courrier. Si une menace
recensée dans la liste spécifiée est découverte, le message est écarté.
L'application ajoute à l'en-tête les informations sur le résultat du
traitement.
L'application envoie des notifications sur le traitement du message à ses
destinataires. Aucune notification n'est délivrée à l'expéditeur ni à
l'administrateur.
L'application consigne des informations dans le rapport d'activité sur tous
les aspects de son fonctionnement ; niveau de détail : erreurs fatales ou
autres, ainsi que les messages d'information importants.
Des statistiques sont collectées sur les virus détectés.
Page 59
Protection antivirus de la messagerie 59
Le nombre maximum de pétitions client adressées au service central est
doublé, par rapport aux profils recommandé et de protection maximale.
Le nombre maximum de pétitions d'analyses simultanées est illimité.
5.6. Copies de sauvegarde
L'application prend en charge la copie de sauvegarde des messages avant leur
traitement. Les paramètres de sauvegarde sont spécifiés dans la section
[kav4lms:groups.<group_name>.backup] du fichier de configuration du
groupe.
Le mode de sauvegarde du courrier est déterminé par l'option Policy, qui peut
prendre les valeurs suivantes :
message – seule une copie du message est créée ;
info – le fichier d'informations est créé en même temps que la copie du
message. Ce fichier contient les informations suivantes :
adresse IP (ou hôte si disponible) du client MTA ;
adresse IP (ou hôte si disponible) du connecteur MTA ;
l'expéditeur du message, indiqué par le connecteur MTA ;
l'adresse du serveur de traitement ;
le nom du groupe correspondant, sous lequel le message a été
analysé ;
la liste des destinataires du message, indiquée par le connecteur
MTA ;
la cause de l'action de sauvegarde (réparé, supprimé, rejeté, filtré,
etc.) ;
le chemin vers le fichier d'origine, relativement à la cible de la
sauvegarde ;
informations sur l'instance de l'application (process id et thread id).
none – pas de sauvegarde du message.
Le paramètre Options spécifie l'activité de l'application qui est la cause de la
sauvegarde :
cured – quand l'objet du message original a été réparé ;
deleted – quand l'objet du message original a été supprimé ;
Page 60
60 Kaspersky Anti-Virus 5.6 for Linux Mail Server
rejected – quand le message original a été rejeté (le client MTA reçoit
le code d'erreur), mais l'administrateur a décidé de sauvegarder le
message infecté ;
dropped – quand le message original a été écarté ;
warning – quand le message original a été remplacé par un
avertissement ;
renamed – quand le message contient au moins un objet (partie MIME)
qui a vérifié les règles de filtrage et qui a été renommé ;
all – toutes les options mentionnées ci-dessus.
Le paramètre Options peut prendre une des valeurs précédentes ou une liste de
ces valeurs, séparées par des virgules.
Les sauvegardes de messages et les fichiers d'information sont conservés sous
un répertoire spécifié par le paramètre Destination.
5.7. Notifications
Une notification est un message électronique contenant un message traité et
transmis à son destinataire, à l'expéditeur ou à l'administrateur du serveur.
Outre le texte de la notice proprement dite, une notification contient également la
description des objets qui ont été supprimés du message pour une raison ou
pour une autre.
L'application se charge également d'annexer le message d'origine à la
notification. Cependant, ceci n'est possible que pour des notifications adressées
au destinataire. Dans le cas des administrateurs et des expéditeurs, l'application
génère de nouveaux messages ne contenant que le texte de la notification.
5.7.1. Configuration des notifications
Les paramètres de l'application associés aux notifications sont conservés :
dans la section [kav4lms:server.notifications] du fichier de
configuration kav4lms.conf de l'application ;
dans la section [kav4lms:groups.<group_name>.notifications] de
chacun des fichiers de configuration de groupe.
La mise en place des notifications se fait en deux étapes.
Page 61
Protection antivirus de la messagerie 61
Etape 1. Qui doit recevoir la notification ?
Les destinataires de notifications peuvent être :
l'expéditeur du message (paramètre NotifySender dans le fichier de
configuration du groupe) ;
les destinataires du message (paramètre NotifyRecipients dans le
fichier de configuration du groupe) ;
les administrateurs de la sécurité (paramètre NotifyAdmin dans la
configuration du groupe). La liste des adresses électroniques des
administrateurs de la sécurité est spécifiée par le paramètre
AdminAdresses dans la configuration du groupe ;
les administrateurs du produit (définis par le paramètre ProductNotify
du fichier kav4lms.conf). La liste des adresses des administrateurs du
produit est spécifiée par le paramètre ProductAdmins dans le fichier
kav4lms.conf.
Les notifications à l'expéditeur du message sont activées en renseignant ces
paramètres avec une valeur différente de none. Autrement, les notifications sont
désactivées.
Etape 2. Quel doit être le sujet de la notification ?
Les expéditeurs et destinataires du message et les administrateurs de la sécurité
peuvent recevoir une notification sur :
la valeur InfectedAction (section 5.4 à la p. 54 pour plus de détails)
appliquée (au moins un objet était infecté). Ce type de notification est
activé en renseignant le paramètre obligatoire avec la valeur infected ;
la valeur ProtectedAction (section 5.4 à la p. 54 pour plus de détails)
appliquée (au moins un objet était protégé). Ce type de notification est
activé en renseignant le paramètre obligatoire avec la valeur
protected ;
la valeur ErrorAction (section 5.4 à la p. 54 pour plus de détails)
appliquée (au moins un objet était erroné). Ce type de notification est
activé en renseignant le paramètre obligatoire avec la valeur error ;
la vérification d'un règle de filtrage (section 5.3.2 à la p. 53 pour plus de
détails). Ce type de notification est activé en renseignant le paramètre
obligatoire avec la valeur filtered ;
toutes les options mentionnées. Ce type de notification est activé en
renseignant le paramètre obligatoire avec la valeur all.
Page 62
62 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Les administrateurs du produit peuvent recevoir une notification sur :
le téléchargement d'une nouvelle mise à jour des bases antivirus. Ce
type de notification est activé en renseignant le paramètre
ProductNotify avec la valeur update ;
une défaillance critique de l'application (récupérable ou pas). Ce type
de notification est activé en renseignant le paramètre ProductNotify
avec la valeur fault ;
des notifications liées à la gestion des licences. Ce type de notification
est activé en renseignant le paramètre ProductNotify avec la valeur
license ;
toutes les options mentionnées. Ce type de notification est activé en
renseignant le paramètre ProductNotify avec la valeur all.
Les notifications associées à la licence sont des cas exceptionnel qui ne peuvent
être exclus de la liste. Ces sortes de notifications sont toujours émises et quand
les notifications sont désactivées, elles sont consignées dans les registres.
Les notifications sur la licence sont envoyées en cas de :
expiration de la clé – la première notification est émise 14 jours avant la
date d'expiration, puis quotidiennement jusqu'à cette dernière. Le jour
suivant, une notification sur l'expiration de la clé est émise ;
violation des restrictions de licence – en cas de dépassement du
nombre d'utilisateurs ou du trafic autorisé par la clé.
5.7.2. Modèles de notifications
Les modèles suivants peuvent être utilisés pour créer des notifications (les
modèles sont stockés dans le répertoire définit par le paramètre Templates dans
le fichier de configuration de l'application) :
Modèles de notifications sur des objets supprimés – texte ajouté au
message original si l'une de ses parties a été supprimée pendant le
traitement antivirus ou par filtrage. Ce texte peut inclure une macro
décrivant les raisons de la suppression. Les modèles suivants sont
disponibles :
part_infected – texte de remplacement de l'objet supprimé après
une tentative échouée de désinfection ;
part_filtered – texte de remplacement de l'objet MIME supprimé
suite au filtrage des objets MIME ;
Page 63
Protection antivirus de la messagerie 63
part_suspicious – texte de remplacement de l'objet identifié comme
suspect et supprimé ;
part_filtered – notice remplaçant objet de courrier original,
renommé après le filtrage ;
part_protected – notice remplaçant objet protégé, qui a été
supprimé car il ne pouvait être soumis à l'analyse antivirus ;
part_error – texte de remplacement de l'objet supprimé pour avoir
généré une erreur d'analyse.
Modèle standard de notification – texte de la notification envoyée à
l'expéditeur, au destinataire et à l'administrateur à travers le filtre ou
nouveau message automatique envoyé par le composant SMTP. Ce
texte peut inclure une macro décrivant les raisons de la suppression.
Les modèles suivants sont disponibles :
notify_common – texte envoyé par défaut au destinataire, à
l'expéditeur et aux administrateurs au sujet des actions appliquées
au message ;
notify_infected – notice remplaçant le message infecté ;
notify_suspicious – notice remplaçant le message contenant des
objets suspects ;
notify_filtered – notice remplaçant le message exclu par le filtre ;
notify_error – notice remplaçant message ayant généré une erreur
d'analyse ;
notify_protected – notice remplaçant message protégé contre
l'analyse ;
disclaimer – texte ajouté à tous les messages traités ou
automatiques. Par défaut, ce modèle inclut une notice en anglais
indiquant que le message a été analysé par Kaspersky Anti-Virus,
signifiant : “Ce message a été analysé par Kaspersky Anti-Virus.
Pour plus d'informations sur la sécurité des données, visitez
http://www.kaspersky.com et http://www.viruslist.com".
Modèle de notification détaillée – texte d'information adressé à une
personne désireuse d'en savoir plus sur le traitement antivirus d'un
message de courrier. Il existe des modèles de notifications séparés
pour le destinataire, l'expéditeur et l'administrateur. Définissez le
paramètre UseCustomTemplates à yes pour pouvoir utiliser ces
modèles. Les modèles suivants sont disponibles :
Page 64
64 Kaspersky Anti-Virus 5.6 for Linux Mail Server
notifications pour l'expéditeur :
o notify_ sender_common – texte de la notification envoyée au
l'expéditeur sur les actions appliquées au message original ;
o notify_sender_infected – notice remplaçant le message
infecté ;
o notify_sender_suspicious – notice remplaçant le message
contenant des objets suspects ;
o notify_sender_filtered – notice remplaçant le message exclu
par le filtre ;
o notify_sender_error – notice remplaçant message ayant
généré une erreur d'analyse ;
o notify_sender_protected – notice remplaçant message protégé
contre l'analyse ;
notifications aux destinataires :
o notify_recipients_common – texte de la notification envoyée au
destinataire sur les actions appliquées au message original ;
o notify_recipients_infected – notice remplaçant le message
infecté ;
o notify_recipients_suspicious – notice remplaçant le message
contenant des objets suspects ;
o notify_recipients_filtered – notice remplaçant le message exclu
par le filtre ;
o notify_recipients_error – notice remplaçant message ayant
généré une erreur d'analyse ;
o notify_recipients_protected – notice remplaçant message
protégé contre l'analyse ;
notifications pour administrateurs :
o notify_admin_common – texte de la notification envoyée au
l'administrateur sur les actions appliquées au message
original ;
o notify_admin_infected – notice remplaçant le message infecté ;
o notify_admin_suspicious – notice remplaçant le message
contenant des objets suspects ;
o notify_admin_filtered – notice remplaçant le message exclu par
le filtre ;
Page 65
Protection antivirus de la messagerie 65
Attention !
Quand l'application est lancée, la présence de tous les modèles ci-dessus est
vérifiée. Il suffit qu'un seul de ces modèles soit absent pour que l'application
retourne une erreur.
L'application vérifie également que la taille de chaque modèle ne
dépasse pas 8 Ko.
o notify_admin_error – notice remplaçant message ayant généré
une erreur d'analyse ;
o notify_admin_protected – notice remplaçant message protégé
contre l'analyse.
Modèle de notification spéciale pour l'administrateur – texte ajouté
aux notifications spécialisées, envoyé en cas d'événements graves qui
exigent l'attention particulière de l'administrateur. Les modèles des
administrateurs sont conservés dans un répertoire spécifié par le
paramètre Templates dans la section [kav4lms:server.notifications]
du fichier de configuration de l'application. Les modèles suivants sont
disponibles :
product_update – texte informant l'administrateur de la réception
des mises à jour des bases antivirus de l'application ;
product_fault – notification pour l'administrateur qu'une erreur
critique s'est produite pendant l'exécution de Kaspersky Anti-Virus ;
product_license – notification à l'administrateur d'une violation de
l'accord de licence ou de la fin de la période de validité.
5.7.3. Personnalisation des modèles de
notification
Kaspersky Anti-Virus est suffisamment flexible pour permettre aux utilisateurs de
personnaliser les modèles de notification envoyés aux administrateurs, aux
expéditeurs et aux destinataires. La personnalisation des modèles fait appel à un
langage spécialisé pour les notifications.
Le langage des modèles est un ensemble d'instructions de contrôle et de
macros.
Nous présentons ci-après les règles du langage, sa syntaxe et des exemples
d'utilisation détaillés.
Page 66
66 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
La première ligne d'un modèle ne doit pas contenir le signe ":", qui est interprété
comme une en-tête. Vous pouvez commencer par un saut de ligne (appuyez sur
Entrée) pour éviter que ce caractère ne soit interprété par erreur comme une entête de notification.
5.7.3.1. Macros
Une macro est un élément de substitution utilisé dans les modèles de notification
par courrier. Dans le texte d'une notice créée à partir d'un modèle, la macro est
remplacée par une certaine valeur.
La syntaxe des macros est %macro_name%.
Si un nom de macro contient le signe "%", celui-ci doit être précédé d'un
caractère d'échappement (section 5.7.3.5 à la page 70).
Plusieurs valeurs peuvent être associées à une macro. Dans ce cas, la simple
interprétation de "%macro_name%" renverra la dernière valeur attribuée.
Pour attribuer plusieurs valeurs à une même macro, utilisez des instructions
itératives.
5.7.3.2. Constructions itératives
Une construction itérative (CI) est l'élément central du langage des modèles.
La syntaxe d'une instruction itérative est :
<FOR INAME IOP IVALUE>BODY</FOR>
où :
<FOR – début de la définition de la CI. Un symbole "<", s'il n'ouvre pas sur
la définition d'une CI, doit être échappé (section 5.7.3.5 à la page 70).
INAME – nom de la CI sous la forme 1*(nchar)*(nchar); la longueur
maximale est de 64 octets.
IOP – opération de comparaison sous la forme == | !=; la longueur
maximale est de 2 octets.
IVALUE – valeur de la CI sous la forme 1*(vchar)*(vchar); la longueur
maximale est de 4096 octets. Les valeurs de CI ne sont acceptées
qu'entre guillemets. Pour des comparaisons avec une valeur contenant
elle-même des guillemets, faites précéder ceux-ci du caractère
d'échappement (section 5.7.3.5 à la page 70). Exemple :
<FOR _macro_name_parent_ == "\"_value_1\"">
Page 67
Protection antivirus de la messagerie 67
> – fin de la définition de la CI et début du corps de l'itération. Un caractère
<, s'il n'est pas la fin de la définition d'une CI, doit être précédé d'un
caractère d'échappement (section 5.7.3.5 à la page 70).
BODY – corps de l'itération sous la forme *(char).
</FOR> – fin de la définition du corps de l'itération. Le caractère < qui n'est
pas le caractère final de la définition du corps de l'itération doit être
précédé d'un caractère d'échappement (section 5.7.3.5 à la page 70).
... – séparateur sous la forme *( )*(\t)
nchar – caractères appartenant à l'ensemble a-z, A-Z, 0-9, -, _
vchar – caractères appartenant à l'ensemble nchar, *, ?
char – caractères appartenant à la plage de valeurs 32 – 255
Exemple de construction itérative :
<FOR _macro_name_ == "*">%_macro_name_%</FOR>
Quand il exécute la construction, l'analyseur syntactique (le “parseur”)
transforme la commande ci-dessus en structures conditionnelles :
<FOR _macro_name_ == "_value_1">%_macro_name_%</FOR>
<FOR _macro_name_ == "_value_2">%_macro_name_%</FOR>
<FOR _macro_name_ == "_value_3">%_macro_name_%</FOR>
<FOR _macro_name_ == "_value_N">%_macro_name_%</FOR>
Ces structures conditionnelles sont interprétées de manière séquentielle.
De cette manière, les constructions itératives sont capables de différencier une
macro avec une valeur unique et la même macro, avec des valeurs multiples.
Par exemple, si la macro %FILTERNAME% possède les valeurs KAVFilter1,
KAVFilter2, KAVFilter3 et SimpleFilter, alors
la construction :
<FOR FILTERNAME == "KAVFilter1">%FILTERNAME%</FOR>
produira le texte :
KAVFilter1
la construction :
<FOR FILTERNAME = "KAVFilter?">%FILTERNAME%, </FOR>
produira le texte :
KAVFilter1, KAVFilter2, KAVFilter3
Page 68
68 Kaspersky Anti-Virus 5.6 for Linux Mail Server
la construction :
<FOR FILTERNAME != "KAVFilter2">%FILTERNAME%, </FOR>
produira le texte :
KAVFilter1, KAVFilter3, SimpleFilter
la construction :
<FOR FILTERNAME != "KAV*">%FILTERNAME%, </FOR>
produira le texte :
SimpleFilter
5.7.3.3. Limites de visibilité d'une instruction
itérative
Une construction itérative peut contenir des sous-macros, dont les valeurs ne
sont accessibles (“visibles”) qu'à l'intérieur de la construction parente. Des
instructions itératives peuvent être utilisées non seulement pour retourner les
valeurs particulières de macros concrètes, mais aussi pour circonscrire la
visibilité des sous-macros.
La visibilité d'une sous-macro est déterminée par les balises de début et de fin
de la structure conditionnelle :
<FOR _macro_name_parent_ ==
"_value_1">%_macro_name_child_%</FOR>
Dans l'exemple précédent, la macro %_macro_name_parent_% est visible pour
tous les sous-niveaux (entre les balises FOR), pour le cas où sa valeur serait
modifiée.
5.7.3.4. Variables
Les variables offrent une meilleure flexibilité pour personnaliser des modèles en
utilisant le langage des modèles.
Une variable peut être définie à l'intérieur de certaines limites de visibilité, de la
manière suivante :
<DEF _var_name_ = "_const_value_"/>
Cette variable peut être utilisée par la suite comme une macro normale, sans
aucune limitation.
Page 69
Protection antivirus de la messagerie 69
La syntaxe d'une instruction de définition d'une variable est la suivante :
<DEF VNAME VOP VVALUE/>
où :
<DEF – début d'une instruction de définition d'une variable. Le caractère "<",
s'il n'introduit pas une instruction, doit être précédé d'un caractère
d'échappement (section 5.7.3.5 à la page 70) ;
VNAME – nom de variable sous la forme 1*(nchar)*(nchar); la longueur
maximale est de 64 octets ;
VOP – opération d'affectation sous la forme =, d'une longueur de 1 octet ;
VVALUE – valeur de variable sous la forme 1*(vchar)*(vchar); la longueur
maximale est de 4096 octets. La valeur n'est acceptée qu'entre
guillemets. Pour des comparaisons avec une valeur contenant ellemême des guillemets, précédez ceux-ci du caractère d'échappement
(section 5.7.3.5 à la page 70). Exemple :
<DEF _value_name_ = "\"_value_1\""/>
> – fin de l'instruction de définition d'une variable. Le caractère > qui n'est
pas la fin de la définition d'une variable doit être précédé d'un caractère
d'échappement (section 5.7.3.5 à la page 70). À la différence d'une
instruction FOR, l'instruction DEF n'a pas de corps. Par conséquent, la
balise clôturée permet d'indiquer au parseur que la balise de fin est
absente.
... – séparateur sous la forme *( )*(\t)
nchar – caractères appartenant à l'ensemble a-z, A-Z, 0-9, -, _
vchar – caractères appartenant à l'ensemble nchar, *, ?
Si une variable est redéfinie à l'intérieur de ses limites de visibilité, elle prend une
nouvelle valeur à chaque redéfinition. Par conséquent, l'instruction :
<DEF __NAME__= "NAME_1"/>Voici la première
valeur: %__NAME__%.
<DEF __NAME__= " NAME _2"/>Voici la seconde
valeur: %__NAME__%.
aura pour sortie :
Voici la première valeur: NAME_1.
Voici la seconde valeur: NAME_2.
Il est possible de renseigner une variable avec une macro.
<DEF _var_name_ = "%_macro_name_%"/>
Page 70
70 Kaspersky Anti-Virus 5.6 for Linux Mail Server
%
signale une macro. La macro doit figurer entre deux symboles "%".
Exemple : %VIRUSNAME%
<
crochet ouvrant d'une balise.
Exemple : <FOR FILTERNAME == "KAVFilter1">
>
crochet fermant d'une balise.
Exemple : <FOR FILTERNAME == "KAVFilter1">
</
crochet ouvrant d'une balise de fermeture.
Exemple : </FOR>
/>
crochet fermant d'une balise, dans le cas d'une structure ne
possédant pas de corps.
Exemple : <DEF __NAME __= "NAME_1"/>
\
caractère d'échappement. Indique au parseur de traiter le caractère
spécial qui le suit comme un simple caractère normal. Exemple :
\%VIRUSNAME\%
==
signe égal : coïncidence dans un masque ou dans une valeur.
Exemple : <FOR FILTERNAME == "KAVFilter1">
Exemple : <FOR FILTERNAME == "KAVFilter*">
!=
signe non égal : non-coïncidence dans un masque ou dans une
valeur.
Exemple : <FOR FILTERNAME != "KAVFilter1">
Exemple : <FOR FILTERNAME != "KAVFilter*">
*
Nombre illimité de caractères quelconques. Utilisé uniquement à
l'intérieur d'une balise, pour des comparaison avec des modèles.
Exemple: <FOR FILTERNAME == "KAV*">
Dans ce cas, le parseur substitue en premier lieu la macro par sa valeur puis
renseigne la variable avec cette valeur, qui sera effective à l'intérieur des limites
courantes de visibilité.
5.7.3.5. Syntaxe du langage
Symboles spéciaux
Page 71
Protection antivirus de la messagerie 71
?
Un seul caractère quelconque. Utilisé uniquement à l'intérieur d'une
balise, pour des comparaison avec des modèles.
Exemple: <FOR FILTERNAME == "KAVFilter?">
#
Commentaire ; le parseur ignore tous les caractères qui suivent le
signe "#" jusqu'à la fin de la ligne.
FOR
Définition d'une construction itérative.
Exemple : <FOR FILTERNAME = "KAVFilter1">
DEF
Définition de variable (instruction sans balise finale). Exemple :
<DEF __NAME__= "NAME_1"/>
%CRLF%
Retour chariot et saut de ligne (CR+LF)
%TAB%
Tabulation
Mots-clés réservés
Macros prédéfinies
Le traitement est exécuté а l'intérieur d'une section globale (aucune instruction
n'est nécessaire) ou а l'intérieur d'une structure conditionnelle :
<FOR KAV_LANGUAGE == "5.0">... </FOR>
Séquences d'échappement
Les séquences suivantes sont disponibles pour afficher des caractères spéciaux
dans le langage des modèles :
Pour afficher le symbole "\" dans le texte du modèle, tapez "\\".
Si une ligne se termine sur un caractère "\", elle sera interprétée
comme une chaîne qui se poursuit sur la ligne suivante. En outre, un
symbole d'échappement à la fin d'une ligne permet d'ignorer le
caractère de fin de ligne (EOL) qui autrement serait inséré dans le
message généré. Une telle ligne est concaténée avec la suivante
pendant le traitement avant que le parseur ne réalise d'autres actions.
Cette situation est gérée indépendamment, que la séquence
d'échappement figure à l'intérieur ou à l'extérieur d'une balise. Voir
l'élément 1 ci-dessus si vous souhaitez placer un caractère "\" à la fin
de la ligne.
Pour afficher le symbole "%" dans le texte du modèle, utilisez "\%".
Pour afficher le symbole "/" dans le texte du modèle, utilisez "\/".
Page 72
72 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Remarque :
Le langage des modèles est sensible à la casse. Le nombre d'espaces ou de
tabulations (qu'ils soient présents ou absents) n'est pas normalisé. Les mots-clés
réservés doivent être séparés par des caractères d'espacement ou par des
caractères spéciaux.
Pour afficher le symbole "<" dans le texte du modèle, utilisez "\<".
Pour afficher le symbole ">" dans le texte du modèle, utilisez "\>".
Pour afficher le symbole "#" dans le texte du modèle, utilisez "\#".
5.7.3.6. Macros de notifications pour
l'application
Il est possible d'utiliser des macros dans des modèles de notifications pour gérer
le message en entier ou par parties. Les macros permettent de personnaliser les
notifications pour inclure des informations complémentaires sur les propriétés du
message ou de l'objet d'origine, ou sur les actions qui vont leur être appliquées.
L'administrateur peut utiliser dans les notifications les macros suivantes,
associées aux messages en entier :
%VERSION% – numéro de version de l'instance de Kaspersky Anti-Virus
installé, utilisé pour analyser le message.
%PRODUCT% – nom complet du produit de Kaspersky Anti-Virus.
%CLIENT% – adresse IP distante du client de messagerie.
%SERVER% – adresse IP du serveur exécutant le service central de
l'application.
%SENDER% – adresse de l'expéditeur.
%RECIPIENTS% – adresse du destinataire.
%HEADERS% – en-tête du message.
%MSGID% – numéro d'identification du message.
%SUBJECT% – contenu du champ Sujet du message d'origine.
%DATE% – date de traitement du message.
%TIME% – heure de traitement du message.
%BK_ACTION% – actions appliquées au message ayant entraîné la
création d'une copie de sauvegarde (si l'application est configurée pour
sauvegarder les messages).
Page 73
Protection antivirus de la messagerie 73
%BK_LOCATION% – chemin complet du dossier de sauvegarde (si la zone
de stockage existe).
%ACTION_LIST% – liste contenant des informations sur le message et les
pièces jointes, ainsi qu'une liste d'actions appliquées. Les informations
en sorties ont la forme suivante :
<status> <action> <information>
pour chaque partie traitée du message.
Dans les notifications en rapport avec les objets supprimés d'un message, la
macro suivante est disponible :
%INFO% – information associées aux actions suivantes exécutées :
liste des virus (logiciels malveillant) détectés – dans le cas
d'objets infectés ;
Description du code d'erreur – dans le cas d'objets ayant
provoqué une erreur d'analyse ;
type MIME ou nom de pièce jointe – dans le cas d'objets filtrés.
Les macros doivent être spécifiées dans le texte des modèles de notification.
Page 74
Remarque :
Tous les paramètres du composant kav4lms-kavscanner figurent groupés dans
les options de la section [scanner.*] du fichier de configuration de l'application.
Attention !
Par défaut, uniquement les utilisateurs root et kluser peuvent lancer une
analyse à la demande.
CHAPITRE 6. PROTECTION
ANTIVIRUS DU SYSTEME
DE FICHIERS
La protection antivirus du système de fichiers est assurée par le composant
kav4lms-kavscanner qui analyse les fichiers de l'ordinateur et traite les objets
infectés ou suspects conformément à ses paramètres.
Vous pouvez analyser le système de fichiers complet ou seulement un répertoire
ou fichier individuels. Tous les paramètres de protection peuvent être divisés en
groupes qui définissent :
La couverture de l'analyse (section 6.1 à la p. 75).
Comment les objets vont être analysés et désinfectés (section 6.2 à la
p. 76).
Les actions à exécuter sur les objets (section 6.3 à la p. 77).
L'analyse du système de fichiers de votre ordinateur peut être lancée :
Comme une tâche exécutée une seule fois depuis la ligne de
commande (section 6.4 à la p. 78).
En fonction d'une planification programmée avec l'application cron
(section 6.5 à la p. 79).
Page 75
Protection antivirus du système de fichiers 75
Attention !
Une analyse antivirus de l'ordinateur tout entier est un processus qui mobilise
des ressources considérables. Il convient de noter qu'après avoir démarré la
tâche, le rendement de votre ordinateur se réduira : c'est pourquoi nous
conseillons de ne pas exécuter une autre application lourde pendant le même
temps. Pour contourner cet inconvénient, nous vous conseillons à la place de
lancer l'analyse sur des catalogues sélectionnés individuels.
Remarque :
Pour analyser l'ensemble du système de fichiers de l'ordinateur, remontez au
répertoire racine ou, sur la ligne de commande, spécifiez la couverture d'analyse
sous la forme "/".
Attention !
Si la ligne de commande utilise les deux méthodes (chemins à analyser
et fichier avec la liste d'objets), l'analyse s'effectuera uniquement sur la
liste des chemins indiqués dans le fichier. Les chemins saisis
directement sur la ligne de commande seront ignorés.
6.1. Couverture de l'analyse
La couverture de l'analyse se décompose grossièrement en deux parties :
chemin de l'analyse – la liste des répertoires et des objets dans
lesquels l'analyse exécute sa recherche antivirus ;
objets de l'analyse – types des objets sur lesquels s'exécute l'analyse
antivirus (comprimés, etc.).
Par défaut tous les objets de tous les systèmes de fichiers disponibles sont
analysés, en commençant par le répertoire courant.
Vous pouvez redéfinir le chemin de l'analyse avec l'une des méthodes
suivantes :
Indiquer sur la ligne de commande la liste (avec un espace séparateur)
de tous les répertoires et de tous les fichiers à analyser, avec des
chemins absolus ou relatifs (relatifs au répertoire courant).
Recenser dans un fichier texte tous les chemins d'analyse et spécifier ce
fichier avec le paramètre -@<filename> sur le ligne de commande.
Chaque objet dans ce fichier doit figurer sur une ligne séparée, avec un
chemin d'accès absolu.
Page 76
76 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Le chemin de l'objet à analyser ne doit pas dépasser 4096 octets. Les objets
situés à des niveaux d'imbrications plus profonds ne seront pas analysés.
Désactivez l'analyse récursive des catalogues (section
[scanner.options], option Recursion ou paramètre -r sur la ligne de
commande).
Créez un fichier de configuration alternatif et spécifiez ce fichier sur la
ligne de commande, avec le paramètre -c <filename> au lancement du
composant.
Les objets à vérifier par défaut sont définis dans le fichier de configuration
kav4lms.conf (section [scanner.options]) et peuvent être redéfinis :
directement dans ce fichier ;
par des paramètres de ligne de commande au démarrage du composant ;
en utilisant un fichier de configuration alternatif.
6.2. Mode d'analyse et de réparation
des objets
Les paramètres de ce mode sont très importants, car ils déterminent si
l'application devra réparer les fichiers infectés qui seront découverts.
Par défaut, la réparation est désactivée : le comportement par défaut est
d'analyser les objets et d'alerter de la présence de virus détectés et d'autres
fichiers suspects ou endommagés par l'écriture de messages à l'écran et dans le
rapport.
Suite à l'analyse antivirus, chaque objet se voit attribuer un indicateur d'état,
parmi la liste suivante :
Clean – aucun virus détecté (l'objet n'est pas infecté).
Infected – l'objet est infecté.
Warning – le code de l'objet ressemble à celui d'un virus connu.
Suspicious – l'objet est suspecté d'être infecté par un virus inconnu
(non attribué si l'option UseCodeAnalyzer=no).
Corrupted – l'objet est endommagé.
Protected – l'objet ne peut être analysé car il est chiffré (ou protégé par
mot de passe).
Page 77
Protection antivirus du système de fichiers 77
Error – une erreur est survenue pendant l'analyse de l'objet.
En activant le mode de réparation (section [scanner.options], paramètre
Cure=yes) seuls les fichiers avec l'état Infected sont envoyés pour réparation.
Après traitement, l'objet se voit attribuer un indicateur d'état, parmi la liste
suivante :
Cured – réparation réussie de l'objet.
CureFailed – l'objet n'a pas pu être réparé. Les fichiers avec cet état
seront traités conformément aux règles spécifiées pour les fichiers
infectés.
6.3. Actions à exécuter sur les
objets
Les actions à réaliser sur un objet dépendent de l'état de l'objet. L'action par
défaut est uniquement d'informer de la détection d'objets infectés ou d'objets
suspects. Cependant, dans le cas d'objets avec l'état Infected, Suspicious,
Warning, Error, Protected et Corrupted, il est possible de configurer des
réponses supplémentaires, y compris :
déplacement vers un répertoire – déplacement d'objets avec l'état
indiqué vers un répertoire (des déplacements simples et récursifs sont
pris en charge) ;
suppression de objet du système de fichiers ;
exécution d'une commande – les fichiers sont traités par des fichiers de
script au standard Unix ou similaire.
Il convient de noter que Kaspersky Anti-Virus fait la différence entre les objets
simples (un fichier) et les conteneurs (composés de plusieurs objets, un fichier
comprimé, par exemple). Les actions effectuées sur ces objets sont également
différenciées ; dans les fichiers de configuration ces actions sont placées dans
différentes sections, la section [scanner.object] pour les objets simples et la
section [scanner.container] pour les conteneurs.
Page 78
78 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Les actions exécutées sur des archives auto-extractibles peuvent être
différentes : si le fichier d'archive est lui-même infecté, il sera considéré comme
un objet simple, mais si ce sont les objets qui se trouvent à l'intérieur de l'archive
qui sont infectés, le fichier d'archive sera alors considéré comme un conteneur.
Par conséquent les actions à réaliser sur les archives seront déterminées, selon
le cas, par des paramètres spécifiés dans des sections différentes du fichier de
configuration.
Remarque :
Si au lancement du composant, aucun fichier de configuration n'est
spécifié sur la ligne de commande, alors les paramètres d'opération sont
lus dans le fichier kav4lms.conf. Il n'est pas nécessaire de préciser ce
fichier au lancement.
Pour sélectionner les actions à réaliser sur un objet, vous pouvez employer
plusieurs méthodes comme les suivantes :
Définir ces actions dans le fichier de configuration kav4lms.conf, si elles
seront utilisées comme actions par défaut (sections [scanner.object] et
[scanner.container]).
Spécifier les actions dans un fichier de configuration alternatif que vous
indiquez lors du lancement du composant.
Spécifier les actions applicables pendant la session courante en utilisant
des paramètres de ligne de commande lors du lancement du composant
kav4lms-kavscanner.
Les actions effectuées à la fois sur des objets simples et conteneurs utilisent la
même syntaxe (sections [scanner.object] et [scanner.container]).
6.4. Analyse à la demande d'un
répertoire individuel
L'une des tâches les plus communes implémentée par Kaspersky Anti-Virus est
l'analyse antivirus et réparation d'un répertoire individuel.
Exécuter une analyse antivirus avec les conditions suivantes :
1. Analyse antivirus du répertoire /tmp avec réparation automatique de
tous les objets infectés. Suppression de tous les objets qui ne peuvent
être réparés.
Page 79
Protection antivirus du système de fichiers 79
2. Création des fichiers infected.lst, suspicion.lst, corrupted.lst et
warning.lst pour enregistrer les noms de tous les objets infectés,
suspects ou endommagés, pendant l'analyse.
3. Le résultat du fonctionnement de l'opération du composant (date de
démarrage, informations sur tous les fichiers à l'exception des fichiers
sains) sera consigné dans le rapport kavscanner-date_courante-pid.log
créé dans le répertoire courant.
Pour mettre en œuvre cette tâche, tapez sur l'invite de commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-kavscanner -\
rlq -pi/tmp/infected.lst -ps/tmp/suspicion.lst -\
pc/tmp/corrupted.lst -pw/tmp/warning.lst -o /tmp/ \
kav4lms-kavscanner-`date "+%Y-%m-%d-$$"`.log -i3 \
6.5. Planification de l'analyse
Les tâches de Kaspersky Anti-Virus peuvent être programmées à l'aide de
l'application cron.
Exécuter une analyse antivirus du répertoire /home tous les jours à 0:00, avec
les paramètres d'analyse spécifiés dans le fichier de configuration
/etc/kav/scanhome.conf. Pour exécuter cette tâche, procédez comme ceci :
1. Créez le fichier de configuration /etc/kav/scanhome.conf et spécifiez les
paramètres d'analyse requis dans ce fichier.
2. Modifiez le fichier qui définit les règles de fonctionnement du processus
cron (crontab -e) en tapant la ligne suivante :
0 0 * * * /opt/kaspersky/kav4lms/bin/kav4lms-\
kavscanner -c /etc/kav/scanhome.conf /home
6.6. Notifications émises vers
l'administrateur
Les outils standard d'Unix vous permettent de spécifier que les notifications
doivent être envoyées à l'administrateur en cas de détection d'objets infectés,
suspects ou endommagés dans les systèmes de fichiers de l'ordinateur.
Page 80
80 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Cet exemple est pour un Linux !
Attention !
Avant de lancer cet exemple, assurez-vous que l'outil mail se trouve sur le
chemin d'installation standard dans le système d'exploitation.
Configurer la notification adressée à l'administrateur sur la détection de fichiers
ou d'archives infectés pendant l'analyse des systèmes de fichiers, avec les
paramètres spécifiés dans le fichier de configuration kav4lms.conf.
Pour exécuter cette tâche, procédez comme ceci :
Spécifiez les règles suivantes pour le traitement d'objets simples ou
d'objets conteneurs dans le fichier de configuration kav4lms.conf :
[scanner.object]
OnInfected=exec echo %FULLPATH%/%FILENAME% is \
infected by %VIRUSNAME% |
mail -s kav4lms-kavscanner admin@localhost
[scanner.container]
OnInfected=exec echo archive %FULLPATH%/%FILENAME% \
is infected, viruses list is in the attached file \
%LIST% | mail -s kav4lms-kavscanner -a %LIST% \
admin@localhost
Page 81
Remarque :
Des mises à jour des bases antivirus sont mises à disposition sur les serveurs
de Kaspersky Lab toutes les heures.
CHAPITRE 7. MISE A JOUR DES
BASES ANTIVIRUS
La mise à jour de la base antivirus, exécutée par le composant kav4lmskeepup2date, joue un rôle essentiel pour une protection antivirus complètement
efficace. Les serveurs de mises à jour de Kaspersky Lab sont la source par
défaut utilisée pour le téléchargement des bases antivirus. La liste de ces
serveurs comprend :
http://downloads1.kaspersky-labs.com/
http://downloads2.kaspersky-labs.com/
ftp://downloads1.kaspersky-labs.com/, etc.
La liste des liens URL sur lesquels vous pouvez télécharger les mises à jour
figure dans le fichier updcfg.xml, compris dans le kit de distribution de
l'application. Pour consulter cette liste de serveurs de mises à jour, tapez ce qui
suit sur l'invite de commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -s
Au cours de la mise à jour, le composant kav4lms-keepup2date sélectionne la
première adresse de cette liste et tente de télécharger les bases antivirus à partir
du serveur correspondant. L'emplacement courant de l'ordinateur (correspondant
au code du pays avec deux lettres, conformément à la norme ISO 3166-1) peut
être précisé avec le paramètre RegionSettings dans la section
[updater.options] du fichier de configuration de l'application. Dans ce cas, le
composant kav4lms-keepup2date choisit en premier les serveurs de mises à jour
appartenant à la région spécifiée. Si la mise à jour à partir de l'adresse
sélectionnée échoue, le composant essaie à nouveau à partir de l'adresse URL
suivante.
Après une mise à jour réussie, la commande indiquée par le paramètre
PostUpdateCmd dans la section [updater.options] du fichier de configuration
est exécutée. Par défaut, cette commande recharge automatiquement la base
antivirus. Si une modification invalide est faite sur ce paramètre, l'utilisation par
l'application de la base mise à jour peut échouer ou fonctionner incorrectement.
Page 82
82 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Remarque :
Tous les paramètres du composant kav4lms-keepup2date sont regroupés dans
les options de la section [updater.*] du fichier de configuration.
Si la structure de votre réseau local est plutôt complexe, nous vous
recommandons de télécharger d'heure en heure les mises à jour de la base
antivirus depuis les serveurs de mises à jour, de les placer dans un répertoire
partagé, puis de configurer les autres ordinateurs du réseau local pour qu'ils
utilisent ce répertoire comme leur source de mises à jour. Pour plus détails sur la
création d'un répertoire réseau, reportez-vous à la section 7.3 à la p. 84.
La mise à jour peut être programmée à l'aide de l'outil cron (section 7.1 à la p.
82) ou exécutée à la demande par l'administrateur, en lançant manuellement
cette tâche depuis la ligne de commande (section 7.2 à la p. 83).
7.1. Mise à jour automatique de la
base antivirus
Vous pouvez programmer la mise à jour automatique de la base antivirus en
modifiant le fichier de configuration.
Configurer la mise à jour automatique de la base antivirus toutes les heures.
Seules les erreurs de l'application doivent être consignées dans le journal
système. Gérer un journal général de toutes les tâches démarrées, sans
imprimer d'informations sur l'écran. Pour exécuter cette tâche, procédez comme
ceci :
1. Spécifiez ces valeurs dans le fichier de configuration de l'application, par
exemple :
[updater.options]
KeepSilent=yes
[updater.report]
Append=yes
ReportLevel=1
2. Modifiez le fichier de configuration du processus cron (crontab -e) en
tapant la ligne suivante :
0 0-23/1 * * * /opt/kaspersky/kav4lms/bin/kav4lms-\
keepup2date -e
Page 83
Mise à jour des bases antivirus 83
Configurer le composant kav4lms-keepup2date pour sélectionner
automatiquement dans la liste fournie par l'application l'adresse URL du serveur
de mises à jour. Pour exécuter cette tâche, procédez comme ceci :
Affectez la valeur No au paramètre UseUpdateServerUrl dans la section
[updater.options] du fichier de configuration de l'application.
Configurer le composant keepup2date pour télécharger les mises à jour depuis
l'adresse URL spécifiée par l'administrateur. Si le téléchargement ne peut pas se
faire à partir de cette adresse URL, interrompre le processus de téléchargement.
Pour exécuter cette tâche, procédez comme ceci :
Affectez la valeur Yes à la fois aux paramètres UseUpdateServerUrl et
UseUpdateServerUrlOnly de la section [updater.options]. En outre, le
paramètre UpdateServerUrl doit contenir l'adresse URL du serveur de
mises à jour.
Configurer le composant keepup2date pour télécharger les mises à jour depuis
une adresse URL spécifiée. Si le téléchargement ne peut pas se faire à partir de
cette adresse URL, mettre à jour la base antivirus depuis les adresses URL
spécifiée par la liste comprise dans le composant keepup2date. Pour exécuter
cette tâche, procédez comme ceci :
Affectez la valeur Yes au paramètre UseUpdateServerUrl de la section
[updater.options], et la valeur No au paramètre
UseUpdateServerUrlOnly. En outre, le paramètre UpdateServerUrl doit
contenir l'adresse URL du serveur de mises à jour.
7.2. Mise à jour à la demande de la
base antivirus
Vous pouvez démarrer la mise à jour de la base antivirus depuis la ligne de
commande à tout moment. Pour ce faire, tapez la commande suivante :
# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date
Lancer la mise à jour de la base antivirus et enregistrez les résultats dans le
fichier /tmp/updatesreport.log. Pour implémenter cette tâche, tapez sur l'invite de
commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \
/tmp/updatesreport.log
La manière la plus appropriée de mettre à jour la base antivirus sur plusieurs
ordinateurs est de télécharger une seule fois les mises à jour depuis les serveurs
de mises à jour, de les placer dans un répertoire du réseau, puis de configurer
les autres ordinateurs pour qu'ils utilisent ce répertoire comme leur source de
mises à jour.
Page 84
84 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Organiser la mise à jour de la base antivirus depuis un répertoire réseau
ftp://10.10.10.1/home/bases et uniquement si ce répertoire n'est pas disponible,
ou s'il est vide, faire la mise à jour de la base à partir des serveurs de mises à
jour de Kaspersky Lab. Consigner les résultats dans le fichier report.txt.
Pour exécuter cette tâche, procédez comme ceci :
1. Spécifiez les valeurs des paramètres correspondants dans le fichier de
configuration de l'application :
[updater.options]
UpdateServerUrl=ftp://10.10.10.1/home/bases
UseUpdateServerUrl=yes
UseUpdateServerUrlOnly=no
2. Tapez à la ligne de commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \
/tmp/report.txt
7.3. Création d'un répertoire réseau
pour entreposer les mises à
jour
Pour s'assurer que la base antivirus est correctement mise à jour depuis le
répertoire réseau, ce dernier doit reproduire à l'identique la structure de fichiers
des serveurs de mises à jour de Kaspersky Lab. Voici une description détaillée
de cette tâche.
Créer un répertoire réseau depuis lequel les ordinateurs du réseau local peuvent
recopier les mises à jour de la base antivirus. Pour exécuter cette tâche,
procédez comme ceci :
1. Créez un répertoire local.
2. Lancez le composant kav4lms-keepup2date comme ceci :
# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -u
<dir>
où <dir> est le chemin complet au répertoire local.
3. Autorisez l'accès en lecture seule des ordinateurs réseau à ce
catalogue.
Page 85
Mise à jour des bases antivirus 85
Configurer la mise à jour de la base antivirus pour qu'elle s'exécute via un
serveur proxy. Pour exécuter cette tâche, procédez comme ceci :
1. Affectez la valeur Yes au paramètre UseProxy de la section
[updater.options].
2. Vérifiez que le paramètre ProxyAddress de la section
[updater.options] du fichier de configuration contient l'adresse URL du
serveur proxy. L'adresse doit être indiquée sous la forme
http://nom_utilisateur:mot_de_passe@adresse_ip:port. Les valeurs
adresse_ip et port sont obligatoires, tandis que nom_utilisateur et
mot_de_passe ne sont nécessaires que lorsque le proxy requiert une
authentification.
ou :
1. Renseignez avec la valeur Yes le paramètre UseProxy de la section
[updater.options].
2. Spécifiez la variable d'environnement http_proxy sous la forme
http://nom_utilisateur:mot_de_passe@adresse_ip:port. Notez que
la variable d'environnement ne sera prise en compte que si le
paramètre UseProxy de la section [updater.options] est absent ou s'il
possède la valeur Yes.
Page 86
CHAPITRE 8. GESTION DES
CLES DE LICENCE
Le fichier-clé vous donne l'autorisation d'utiliser l'application, e contient toutes les
informations relatives à la licence que vous avez achetée, y compris le schéma
de licence, la date de péremption de la clé et les détails du distributeur.
Outre le droit d'utiliser l'application, pendant la période d'activité de la licence
vous bénéficiez de :
service d'assistance technique 24/7 ;
nouvelles mises à jour de la base antivirus heure toutes les heures ;
mises à jour de l'application (correctifs) ;
réception de nouvelles versions de l'application (mises à niveau) ;
dernières informations récentes sur les nouveaux virus.
L'expiration de la clé vous fait perdre automatiquement le bénéfice des services
précédents. Kaspersky Anti-Virus continue de réaliser les traitements antivirus
mais il n'utilise que la base antivirus dans l'état où elle se trouvait à la date
d'expiration de la clé. La fonction de mise à jour de la base antivirus ne sera plus
disponible. Si la base antivirus est mise à jour manuellement, sa date de
renouvellement sera sans doute postérieure à la date d'expiration de la clé. Dans
ce cas, l'application perdra ses fonctionnalités antivirus et une notification
correspondante est émise.
Par conséquent, il est extrêmement important d'examiner avec régularité les
fichiers de rapport contenant les détails de la licence et de surveiller la date de
péremption de la clé.
L'application prend en charge plusieurs schémas de licence :
par trafic.
Ce schéma de licence assure la protection d'un certain volume de trafic
journalier spécifié par la clé. Seul le trafic traité, dont l'état est clean ou
notchecked, est pris en compte. Si le trafic quotidien dépasse les
limites de licence, la notification pour l'administrateur est émise pour
tous les messages à compter du premier qui dépasse cette limite.
par adresses.
Ce schéma de licence assure la protection d'un certain nombre
d'adresses de messagerie. Ceci s'applique à la liste des domaines
Page 87
Gestion des clés de licence 87
Attention !
Les expressions régulières ne sont pas sensibles à la casse.
spécifiée par le paramètre LicensedUsersDomains dans la section
[kav4lms:server.settings] du fichier de configuration kav4lms.conf, et
aux adresses du serveur sur lequel l'application s'exécute.
Les noms de domaines sous licence peuvent être précisés :
o en tant que chaîne littérale
o par des expressions avec caractères génériques (syntaxe
UNIX)
o par des expressions régulières (syntaxe POSIX).
Si le nombre d'adresses de messagerie dans un domaine dépasse les
limites de licence, l'administrateur sera invité à acquérir une clé pour la
quantité de trafic supplémentaire.
8.1. Affichage des détails de la clé
En outre, Kaspersky Anti-Virus incorpore un composant spécial, le composant
kav4lms-licensemanager, qui permet non seulement d'afficher des informations
complètes sur les clés, mais de recevoir également des informations analytiques.
Toutes les informations seront imprimées à l'écran.
Pour afficher des informations sur toutes les clés, tapez sur l'invite de
commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager -s
Des informations similaires aux suivantes seront imprimées à l'écran :
Kaspersky license manager for Linux. Version
5.6/RELEASE #68
Copyright © Kaspersky Lab, 1997-2007.
Portions Copyright © Lan Crypto
License info:
Product name: Kaspersky Anti-Virus BO for SendMail /
Qmail / Postfix Milter API International Edition. 1014 MailAddress 1 month Beta Licence
Expiration date: 01-09-2007, expires in 28 days
Page 88
88 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Active key info:
Key file: 00BEA0DB.key
Install date: 02-08-2007
Product name: Kaspersky Anti-Virus BO for SendMail
/ Qmail / Postfix Milter API International Edition.
10-14 MailAddress 1 month Beta Licence
Creation date: 02-02-2007
Expiration date: 03-03-2008
Serial: 0038-000413-00BEA0DB
Type: Beta
Count: 10
Lifespan: 30
Objs: 7:10
Le paramètre Objs représente l'objet de licence. Sa valeur est
composée des parties
<type_of_objects>:<number_of_objects>. La partie
<type_of_objects> peut avoir les valeurs suivantes :
o 3 – représente le trafic journalier ;
o 7 – représente les adresses de courrier.
La partie <number_of_objects> possède la même valeur que le
paramètre Count.
Pour afficher des informations sur une clé en particulier, tapez sur l'invite de
commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\
-k <key filename>
où <key filename> est le nom du fichier-clé, par exemple,
0003D3EA.key.
Les informations suivantes seront imprimées à l'écran :
Kaspersky license manager for Linux. Version
5.6/RELEASE #68
Copyright © Kaspersky Lab, 1997-2007.
Portions Copyright © Lan Crypto
Product name: Kaspersky Anti-Virus BO for SendMail
/ Qmail / Postfix Milter API International Edition.
10-14 MailAddress 1 month Beta Licence
Creation date: 02-02-2007
Expiration date: 03-03-2008
Page 89
Gestion des clés de licence 89
Remarque :
Kaspersky Lab Ltd. réalise régulièrement des promotions qui vous permettent
d'obtenir des réductions considérables lors du renouvellement de la licence de
nos produits. Pour être informé sur nos offres, visitez le site de la société
Kaspersky Lab et suivez les liens Products Sales and special offers
(Produits, Ventes et offres spéciales).
Serial: 0038-000413-00BEA0DB
Type: Beta
Count: 10
Lifespan: 30
Objs: 7:10
8.2. Renouvellement de la clé
Le renouvellement de votre clé vous donne le droit de restaurer les
fonctionnalités complètes de l'application : c'est à dire. de mettre à jour la base
antivirus et de réactiver les services supplémentaires énumérés à la section 1.3
à la p. 10.
La durée de validité de la clé dépend du type de licence sélectionné lors de
l'achat de l'application.
Pour renouveler votre clé :
Contactez la société qui vous a vendu l'application et achetez un
renouvellement de la licence d'utilisation de Kaspersky Anti-Virus.
ou :
Renouvelez directement la clé sur le site de Kaspersky Labs, par une
commande directe à notre Département commercial
(sales@kaspersky.com), ou en remplissant un formulaire sur notre site Web
(http://www.kaspersky.com), section eStore -> Renewal. Après réception de
votre paiement, vous recevrez une nouvelle clé à l'adresse de messagerie
précisée sur votre commande.
Vous devez installer la clé que vous avez achetée.
Pour installer votre nouvelle clé, tapez sur l'invite de commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\
-a <key filename>
Après ceci, nous vous conseillons de mettre à jour votre base antivirus
(section Chapitre 7 à la p. 81).
Page 90
90 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Pour supprimer une clé, tapez sur l'invite de commande :
# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\
-da
pour supprimer la clé active,
ou
# /opt/kaspersky/kav4lms/bin/kav4lms-licensemanager\
-dr
pour supprimer la clé supplémentaire.
Page 91
Remarque :
L'application peut consigner des informations sur l'activité de ses deux
composants : le serveur et le filtre. Les options de consignation figurent
respectivement dans les sections [kav4lms:server.log] et [kav4lms:filter.log]
du fichier de configuration kav4lms.conf.
Attention !
N'utilisez pas le même fichier destination pour le journal du serveur et pour celui
du filtre – un seul processus peut accéder à la fois au fichier journal.
CHAPITRE 9. GENERATION DE
RAPPORTS ET DE
STATISTIQUES
9.1. Fichier-journal de l'application
Les résultats de l'activité des composants de l'application sont conservés soit
dans le journal du système, soit dans un fichier journal propre. La destination est
précisée par le paramètre Destination. La syntaxe de la destination est :
syslog:<name>@<facility> – s'inscrit en tant qu'application
<name>, dans la catégorie <facility>
file:<log_file_path> – les messages sont enregistrés dans le
fichier indiqué.
Le type et la précision des informations consignées sont spécifiées par le
paramètre Options. Le paramètre Options est la liste des options de
consignation. L'option de consignation est divisée en deux parties, séparées par
un point :
1. Module de journalisation. Cette partie représente le module des
fonctionnalités de l'application, dont l'activité est consignée. Les valeurs
acceptées sont :
all – inclut tous les groupes ;
config – messages en rapport à la configuration ;
app – événements liés à la logique commerciale du produit ;
Page 92
92 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Symbole de niveau
Nom du
niveau
Description
0, F
fatal
Erreurs critiques uniquement. Par
exemple, le composant est infecté ou
une erreur s'est produite pendant une
vérification ou lors du chargement de
la base de données ou des clés de
licence. Les informations liées aux
erreurs critiques sont signalées par un
caractère "F" dans le fichier journal.
1, E
error
Autres erreurs, y compris celles qui
provoquent la fermeture du
composant : par exemple, informations
sur l'erreur d'analyse d'un objet. Les
informations non critiques sont
signalées par un caractère "E" dans le
fichier journal.
2, W
warning
Erreur pouvant causer la fermeture de
l'application : par exemple, espace
disque insuffisant ou expiration de la
clé. Ces messages sont signalés par
un caractère "W" dans le fichier
journal.
scan – état de l'analyse, actions ;
cfilter – état du filtrage des contenus, actions ;
backup – message lié aux copies de sauvegarde ;
notif – messages provenant du système de notifications ;
admin – événements liés aux caractéristiques administratives (par
exemple : SNMP, commandes) ;
smtp – dialogue SMTP d'information entre le MTA et l'application.
2. Niveau d'information des rapports. Cette partie décrit l'importance des
informations consignées. Il peut être spécifié par nom, par un lettre ou
par un nombre. Voir le tableau des options disponibles avec leurs
descriptions.
Page 93
Génération de rapports et de statistiques 93
Symbole de niveau
Nom du
niveau
Description
3, I
info
Message important : par exemple,
pour indiquer si le composant est en
exécution, le chemin du fichier de
configuration, la couverture d'analyse,
des informations sur la base antivirus,
les clés de licence et des informations
statistiques sur les résultats. Les
messages d'information sont signalés
par un caractère "I" dans le fichier
journal.
4, A
activity
Messages sur l'activité courante des
applications (par exemple, le nom de
l'objet analysé). Ces messages sont
signalés par un caractère "A" dans le
fichier journal.
9, D
debug
Messages de débogage ou mise au
point. Ces messages sont signalés par
un caractère "D" dans le fichier
journal.
Attention !
Les niveaux de reporting ne contiennent pas les niveaux inférieurs. Pour
sélectionner plusieurs niveaux, tous doivent être recensés ou les niveaux non
souhaités doivent être exclus.
Les options de consignation peuvent être spécifiées des manières suivantes :
une combinaison du groupe et du niveau (par exemple, scan.info) ;
une combinaison niveau-groupe précédée par "-" détermine l'exclusion
de l'option spécifiée.
Exemple :
[kav4lms:server.log]
Options = backup.all, config.error, scan.all, -scan.debug
Options = backup.all, config.E, scan.all, -scan.9
Ceci active tous les messages de sauvegarde, tous les messages de
configuration et tous les messages d'analyse, à l'exception des messages de
mise au point. Le second exemple est identique au premier et montre comment
utiliser les options de sélection du niveau.
Page 94
94 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Remarque :
Les options de collecte des statistiques d'application figurent dans la section
[kav4lms:server.statistics] du fichier de configuration principal.
Catégorie statistique
Valeur des
options
Informations collectées
Messages
messages
Nombre de messages entrants,
nombre de messages analysés,
nombre de messages protégés,
nombre de messages infectés,
nombre de messages erronés
(endommagés), moyenne des
tailles de tous les message (en
octets), durée moyenne investie
dans la vérification d'un (en
millisecondes)
Les fichiers journaux peuvent grandir très rapidement, mais il est possible de
limiter leur taille en activant la rotation des journaux. Cette caractéristique est
activée en renseignant les paramètres RotateSize et RotateRounds avec des
valeurs non-nulles.
Si la rotation des journaux est activée, un fichier journal grandit jusqu'à ce qu'il
atteigne la taille spécifiée par RotateSize. Il est alors renommé en lui ajoutant le
suffixe ".1". Si un fichier avec ce suffixe existe déjà, des fichiers avec suffixes
".2", ".3", etc. sont créés, jusqu'à ce que leur nombre (en suffixe) atteigne la
valeur RotateRounds. Si cette valeur est atteinte, un fichier avec suffixe ".1" est
utilisé de nouveau.
9.2. Statistiques d'application
Pendant l'exécution de l'application, des statistiques de deux sortes sont
collectées :
Statistiques générales collectées de temps en temps, qui reflètent
l'activité d'ensemble de l'application.
Statistiques détaillées collectées à partir chaque message traité.
Le type des statistiques conservées est précisé par le paramètre Options. La
liste des valeurs disponibles est donnée par le tableau ci-après.
Page 95
Génération de rapports et de statistiques 95
Catégorie statistique
Valeur des
options
Informations collectées
Ressources système
resources
Durée en secondes depuis la
dernière requête de statistiques, la
taille totale du trafic (en kilo-octets),
usage total de l'UC par utilisateur,
usage total de l'UC par le système
Menaces détectées
virus
10 derniers virus détectés, 10
premières adresses IP qui envoient
le plus grand nombre de virus
Filtrage du contenu
filters
Nombre de messages filtrés par
type MIME, nombre de messages
filtrés par pièce jointe, nombre de
messages filtrés par taille, nombre
de messages filtrés par nom de
virus
Tout
all
Toutes les options ci-dessus
Statistiques par
message
raw
Statistiques complètes (brutes) par
message
Sans statistiques
none
Sans de collecte statistique
La valeur du paramètre Options est la liste des valeurs mentionnées, séparées
par des virgules.
Exemples :
Options = all
Collecte uniquement des données récapitulatives (messages, ressources, virus,
filtres)
Options = all, raw
Collecte également les statistiques par message.
Options = none, raw
Collecte uniquement des données par message, sans récapitulatifs.
Pour activer la collecte de statistiques, renseignez le paramètre Options avec
unevaleur différente de none.
Page 96
96 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Renseigner le paramètre Options avec la valeur all ne permet pas d'activer les
statistiques brutes (raw) ! Ce type de statistiques doit être explicitement défini.
Remarque :
Le fichier de statistiques doit être écrasé pour refléter les modifications après la
réinitialisation des compteurs.
Échantillon d'enregistrement du fichier de statistiques brutes :
1210247100 1208 from@exmaple.com
rcpt@example.com infected EICAR-Test-File 127.0.0.1
1Ju4YW-000Du9-0U Default
où :
1210247100 – heure de traitement du message (au format UNIX) ;
1208 – taille du message ;
from@example.com – adresse de l'expéditeur du message ;
rcpt@example.com – adresse du destinataire du message ;
infected – état attribué au message après analyse ;
EICAR-Test-File – nom de la menace détectée dans le message ;
127.0.0.1 – adresse IP utilisée pour l'envoi du message ;
1Ju4YW-000Du9-0U – Id. du message dans la file d'attente du système
de messagerie ;
Default – nom du groupe associé aux paramètres utilisés pour le
traitement du message.
Pour écrire des statistiques dans un fichier, exécutez la commande suivante :
# /opt/kaspersky/kav4lms/bin/kav4lms-cmd -m statistics -x \
write
Cette commande écrase également le fichier de statistiques existantes avec de
nouvelles informations.
Pour réinitialiser les compteurs statistiques internes, exécutez la commande
suivante :
# /opt/kaspersky/kav4lms/bin/kav4lms-cmd -m statistics -x \
reset
Les paramètres de fonctionnement des statistiques sont regroupés dans la
section [kav4lms:server.statistics] du fichier de configuration kav4lms.conf.
Page 97
Génération de rapports et de statistiques 97
Attention !
Quand un message contient plusieurs types d'objets avec différents verdicts
d'analyse, le même message est comptabilisé par chacun des compteurs
correspondants. Par conséquent, les compteurs ne sont pas cumulatifs, c'est à
dire que leur somme ne correspond pas forcément au total des messages
analysés.
Prenons par exemple un même message avec trois pièces jointes : l'une est
infectée, une autre est protégée par un mot de passe et la dernière est du type
application/msword. Il peut être comptabilisé (selon la configuration) par :
total_messages – il fait partie des messages transférés ;
scanned_messages – il a été analysé ;
protected_messages – une partie est protégée ;
infected_messages – une partie est infectée ;
filtered_mime – il possède un type MIME énuméré.
Il existe deux types de statistiques :
récapitulatives – accumulées dans le temps, pour refléter l'activité
générale du produit ;
par message – écrites pour chaque message traité, affichant des
informations détaillées sur son traitement ; elles sont également
désignées statistiques brutes (raw).
Les statistiques récapitulatives sont conservées dans un fichier spécifié par le
paramètre Destination. Les statistiques brutes sont conservées dans le fichier
spécifié par le paramètre RawDestination.
Les statistiques peuvent être collectées en 2 formats :
fichier txt
fichier xml.
Le format du fichier de statistiques est précisé par le paramètre Format.
Page 98
Remarque :
L'application fonctionne avec des agent qui prennent en charge le protocole
SNMP, v1, v2 et v3. Il convient de noter que le produit envoie des pièges v2, il
faut donc configurer en conséquence le récepteur de pièges (“trap sink”).
CHAPITRE 10. CONFIGURATION
AVANCEE
10.1. Surveillance de l'état de la
protection via SNMP
À partir de la version 5.6, l'application offre un accès en lecture seule aux
informations suivantes via le protocole SNMP :
configuration du produit – paramètres de toutes les sections des fichiers
de configuration de l'application, y compris les fichiers de configuration de
groupes ;
statistiques de fonctionnement – statistiques complètes sur le
fonctionnement de l'application.
Les information accessible par SNMP sont déterminées par le paramètre
SNMPServices, placé dans la section [kav4lms:server.snmp] du fichier de
configuration kav4lms.conf. Ce paramètre peut prendre les valeurs suivantes :
config – informations configuration de l'application ;
statistics – statistiques de fonctionnement (section 9.2 à la p. 94 pour
plus de détails sur les statistiques publiées) ;
admin – informations administratives contenant :
Status.StartedOn – la date de lancement de l'application, au
format ISO 8601 ;
Status.UpTime – temps (en secondes) écoulé depuis le
démarrage de l'application ;
update – informations de mise à jour de l'application, comprenant :
Last.Checked – date de la dernière recherche de mise à jour, au
format ISO 8601 ;
Page 99
Configuration avancée 99
Attention !
Si vous utilisez un socket Unix local, assurez-vous que le sous-agent et l'agent
principal y ont accès. Ceci peut impliquer la modification des paramètres
RunAsUser et RunAsGroup, ainsi que des droits d'accès du socket et des
fichiers de donnée utilisés par le service (et pas le service central, si tous deux
se trouvent sur la même machine).
Last.Result – état de la dernière mise à jour, qui peut être :
o updated – mise à jour réussie, de nouvelles bases antivirus
ont été installées ;
o not-needed – mise à jour terminée correctement, mais aucun
fichier n'était nécessaire ;
o error – échec du processus de mise à jour ;
o rolled-back – mise à jour réussie mais la base antivirus était
endommagée, et un retour à l'état antérieur a donc été
effectué ;
o unknown – l'état de la dernière mise à jour n'a pas pu être
déterminé.
Current.Loaded – date de la dernière mise à jour réussie, au
format ISO 8601 ;
Current.Records – nombre de signatures actuellement en cours
dans la base antivirus ;
Current.Released – date au format ISO 8601 de publication de la
dernière mise à jour.
all – toutes les information décrites ci-dessus ;
none – pas de publication d'informations par SNMP.
Kaspersky Anti-Virus fait appel à un sous-agent SNMP pour interagir avec
l'agent principal SNMP via le protocole AgentX. Les paramètres du protocole
AgentX sont les suivants :
Socket – socket de communication ; vous pouvez utiliser un fichier local
ou un socket réseau comme dans l'exemple :
Socket=local:/var/agentx/master
ou
Socket=inet:705@127.0.0.1
Timeout – délai (en secondes) d'une requête AgentX. La valeur par
défaut est 5.
Page 100
100 Kaspersky Anti-Virus 5.6 for Linux Mail Server
Attention !
Le nombre réel de tentatives peut être différent de la valeur spécifiée pour
Retries. Ceci s'explique en raison de l'action de l'horloge de surveillance
(“watchdog”) et ne pose pas de problème.
Attention !
Il est conseillé d'utiliser NET-SNMP version 5.1.2 ou supérieur, qui implémente
correctement le protocole AgentX.
Retries – nombre de tentatives de requête AgentX. La valeur par défaut
est 10. Si ce paramètre n'est pas défini, l'application utilise la valeur 5.
PingInterval – intervalle de temps (en secondes) entre deux tentatives
du sous-agent pour se connecter à l'agent principal, en cas de
déconnexion.
Vous pouvez utiliser n'importe quel agent SNMP prenant en charge le protocole
AgentX en tant qu'agent principal. La section suivante présente un exemple de
configuration d'un agent NET-SNMP, dans lequel l'application sous-agent utilise
un socket local pour se connecter au NET-SNMP.
Pour configurer l'agent principal, suivez ces étapes :
1. Ajoutez les lignes suivantes au fichier de configuration snmpd.conf :
master agentx
AgentXSocket /var/agentx/master
AgentXPerms 770 770 root klusers
rocommunity public localhost
trapsink localhost
ou, si un a socket réseau est employé, modifiez la seconde ligne par :
AgentXSocket tcp:127.0.0.1:705
2. Ajoutez les lignes suivantes au fichier de configuration snmp.conf :
Sous Linux:
mibdirs +/opt/kaspersky/kav4lms/share/snmp-mibs
mibs all
Sous FreeBSD:
mibdirs +/usr/local/share/kav4lms/snmp-mibs/
mibs all
où le chemin /opt/kaspersky/kav4lms/share/snmp-mibs spécifie le
répertoire par défaut de l'emplacement des fichiers MIB pour Kaspersky
Loading...