How it Works
Kaspersky lab
Loading...
A
Loading...
Loading...
ANTI-VIRUS 5.0 FOR LINUX
User Manual
148 pgs3.14 Mb0
User Manual [de]
150 pgs2.58 Mb0
User Manual [it]
131 pgs3.15 Mb0
User Manual [ru]
90 pgs2.69 Mb0
User Manual [tr]
89 pgs2.83 Mb0

Kaspersky lab ANTI-VIRUS 5.0 FOR LINUX, ANTI-VIRUS 5.0 FOR FREEBSD, ANTI-VIRUS 5.0 FOR OPENBSD FILE SERVER User Manual [de]

Download
KASPERSKY LABS
Kaspersky Anti-Virus® 5.0 Für Linux, FreeBSD
und OpenBSD Mail Server
HANDBUCH FÜR ADMINISTRATOREN
KASPERSKY ANTI-VIRUS® 5.0 FÜR
LINUX, FREEBSD UND OPENBSD MAIL SERVER
Handbuch für
Administratoren
Kaspersky Labs Ltd.
http://www.kaspersky.com/de/
Redaktion: September 2003
Inhalt
KAPITEL 1. KASPERSKY ANTI-VIRUS
OPENBSD MAIL SERVER.......................................................................................... 6
1.1. Was ist neu in Version 5.0..................................................................................... 7
1.2. Lizenzierungspolitik ............................................................................................... 8
1.3. Hardware- und Softwarevoraussetzungen........................................................... 9
1.4. Lieferumfang.......................................................................................................... 9
1.5. Service für registrierte Benutzer.......................................................................... 10
1.6. Textgestaltung .....................................................................................................11
KAPITEL 2. TYPISCHE EINSATZMÖGLICHKEITEN DES PRODUKTS.................. 13
2.1. Interne Architektur von Kaspersky Anti-Virus®................................................... 13
2.2. Arbeit auf einem Server mit Mailsystem.............................................................15
2.3. Arbeit als sekundärer Filter ................................................................................. 17
2.4. Arbeit auf einem separaten Server..................................................................... 18
2.5. Filterung der Mail aus externen Mailboxen......................................................... 20
KAPITEL 3. INSTALLATION VON KASPERSKY ANTI-VIRUS®................................ 22
3.1. Universale Installation ......................................................................................... 22
3.1.1. Start der Installationsprozedur ..................................................................... 23
3.1.2. Suche nach einer älteren Version................................................................23
3.1.2.1. Archivierung (Backup) der vorhergehenden Distribution ..................... 24
3.1.2.2. Upgrade auf Version 5.0........................................................................ 25
3.1.2.3. Installation parallel mit einer früheren Version...................................... 25
3.1.3. Kopieren der Distributionsdateien................................................................ 26
3.1.4. Integration in das Mailsystem....................................................................... 27
3.1.5. Installation des Lizenzschlüssels ................................................................. 27
3.1.6. Abschluss der Installation............................................................................. 28
3.1.7. Protokoll über den Installationsprozess ....................................................... 28
3.2. Installation des Programms auf einem Server mit Linux ................................... 29
3.3. Installation des Programms auf einem Server mit FreeBSD oder OpenBSD .. 30
®TM
FÜR LINUX, FREEBSD UND
KAPITEL 4. KONFIGURATION NACH DER INSTALLATION.................................... 31
3 Kaspersky Anti-Virus für Unix Mail Server
4.1. Standardeinstellungen des Produkts..................................................................31
4.2. Installation / Aktualisierung der Antiviren-Datenbanken..................................... 33
4.3. Konfiguration der gemeinsamen Arbeit mit Webmin ......................................... 33
4.4. Manuelle Integration des Produkts in Mailsysteme............................................ 35
4.4.1. Integration in das Mailsystem sendmail.......................................................35
4.4.2. Integration in das Mailsystem qmail.............................................................36
4.4.3. Integration in das Mailsystem Postfix........................................................... 37
4.4.4. Integration in das Mailsystem Exim ............................................................. 38
4.4.5. Konfiguration von Kaspersky Anti-Virus® zur Integration in das
Mailsystem ....................................................................................................38
4.5. Erstellen einer Liste der zu schützenden Benutzer............................................ 42
KAPITEL 5. ARBEIT MIT KASPERSKY ANTI-VIRUS®............................................... 46
5.1. Aktualisierung der Antiviren-Datenbanken ......................................................... 46
5.1.1. Planung von Updates der Antiviren-Datenbanken mit Hilfe von cron ........ 48
5.1.2. Einmalige Aktualisierung der Antiviren-Datenbanken................................. 49
5.2. Antivirenschutz des Mailverkehrs des Servers .................................................. 51
5.2.1. Zustellung von ausschließlich virusfreien und desinfizierten Mail-
Nachrichten ................................................................................................... 52
5.2.2. Zustellung von infizierten Nachrichten......................................................... 56
5.2.3. Blockieren der Zustellung von Nachrichten an Adressaten........................ 59
5.2.4. Zusätzliche Filterung von Mail nach dem Typ der Anlagen........................ 61
5.2.5. Konfiguration der Benachrichtigungen über den Ablauf der Traffic-
Lizenz ............................................................................................................66
5.3. Antivirenschutz von Dateisystemen.................................................................... 68
5.3.1. Scannen eines Verzeichnisses aus der Befehlszeile.................................. 69
5.3.2. Tägliche Untersuchung eines Verzeichnisses nach Taskplan ................... 70
5.3.3. Verschieben von Objekten in ein separates Verzeichnis (Quarantäne)..... 70
5.3.4. Zusätzliche Optionen: Verwendung von Skriptdateien ............................... 72
5.3.4.1. Desinfektion infizierter Archiv-Objekte ..................................................72
5.3.4.2. Senden einer Benachrichtigung an den Administrator.........................75
5.4. Verwaltung von Lizenzschlüsseln....................................................................... 76
5.4.1. Anzeige von Informationen über den Lizenzschlüssel................................ 77
5.4.2. Lizenzverlängerung ......................................................................................81
KAPITEL 6. ZUSÄTZLICHE EINSTELLUNGEN.......................................................... 82
6.1. Konfiguration des Antivirenschutzes für den Mailverkehr..................................82
6.1.1. Erstellen von Benutzergruppen.................................................................... 84
Inhalt 4
6.1.2. Modus zur Untersuchung und Desinfektion von Nachrichten..................... 86
6.1.3. Aktionen für Mail-Nachrichten ...................................................................... 86
6.1.4. Benachrichtigung an Absender, Empfänger und Administratoren .............89
6.2. Konfiguration des Antivirenschutzes für Serverdateisysteme ........................... 92
6.2.1. Scanbereich.................................................................................................. 93
6.2.2. Modus zur Untersuchung und Desinfektion von Dateien............................ 94
6.2.3. Aktionen für Dateien ..................................................................................... 95
6.3. Konfiguration der Arbeit des Prozesses aveserver............................................ 96
6.3.1. Neustart von aveserver ................................................................................97
6.3.2. Zwangsläufiges Beenden der Arbeit von aveserver ................................... 98
6.4. Lokalisierung des Formats für Datums- und Uhrzeitanzeige............................. 98
6.5. Parameter für die Protokollerstellung von Kaspersky Anti-Virus®..................... 99
6.5.1. Format von Meldungen über das Scannen ............................................... 101
6.5.2. Format von sonstigen Meldungen ............................................................. 102
6.5.3. Format von Meldungen, die auf der Konsole angezeigt werden..............103
KAPITEL 7. HÄUFIGE FRAGEN ÜBER DIE ARBEIT MIT DEM PRODUKT........... 105
KAPITEL 8. DEINSTALLATION VON KASPERSKY ANTI-VIRUS®......................... 110
ANHANG A. ZUSATZINFORMATIONEN ÜBER DAS PRODUKT ..........................111
A.1. Anordnungsschema der Dateien nach Verzeichnissen .................................. 111
A.2. Konfigurationsdatei von Kaspersky Anti-Virus®............................................... 112
A.3. Befehlszeilenparameter der Komponente kavscanner ...................................122
A.4. Rückgabewerte der Komponente kavscanner ................................................125
A.5. Befehlszeilenparameter der Komponente aveserver...................................... 126
A.6. Rückgabewerte der Komponente aveserver ................................................... 126
A.7. Befehlszeilenparameter der Komponente smtpscanner.................................127
A.8. Rückgabewerte der Komponente smtpscanner.............................................. 128
A.9. Befehlszeilenparameter der Komponente licenseviewer ................................ 128
A.10. Befehlszeilenparameter der Komponente kavupdater..................................129
A.11. Rückgabewerte der Komponente kavupdater...............................................130
A.12. Beispiel der Skriptdatei (vox.sh) zur Desinfektion von tar- und zip-Archiven 131
A.13. Beispiel der Konfigurationsdatei des Mailprogramms Postfix master.cf.......133
ANHANG B. SCHÄDLICHE PROGRAMME IN UNIX-UMGEBUNG........................ 135
B.1. Viren ..................................................................................................................135
B.2. Trojanische Programme ...................................................................................137
5 Kaspersky Anti-Virus für Unix Mail Server
B.3. Netzwürmer....................................................................................................... 138
ANHANG C. KASPERSKY LABS LTD... ОШИБКА! ЗАКЛА ДКА НЕ ОПРЕДЕЛЕНА.
C.1. Weitere Antiviren-Produkte von Kaspersky LabОшибка! Закладка не определена .
C.2. Kontaktinformationen...............................Ошибка! Закладка не определена.
ANHANG D. INDEX.....................................................................................................146
ANHANG E. ENDBENUTZER-LIZENZVERTRAG FÜR KASPERSKY ANTI-
VIRUS
®
..................................................................................................................... 147
KAPITEL 1. KASPERSKY ANTI-
VIRUS® FÜR LINUX, FREEBSD UND OPENBSD MAIL SERVER
Kaspersky Anti-Virus® für Linux, FreeBSD und OpenBSD Mail Server (im Folgenden auch Kaspersky Anti-Virus Server genannt) dient der Antivirenbearbeitung des Mailverkehrs und der Dateisysteme von Servern, die mit den Betriebssystemen Linux, FreeBSD oder OpenBSD arbeiten und eines der folgenden Mailprogramme verwenden: sendmail, postfix, qmail, exim.
Das Softwareprodukt erlaubt:
Virus-Untersuchung aller gemounteten Dateisysteme, sowie von
eingehenden und ausgehenden E-Mail-Nachrichten als Teil des SMTP­Verkehrs eines Servers.
Erkennen infizierter, verdächtiger, beschädigter und durch Kennwort
geschützter Dateien, sowie von Dateien, durch deren Untersuchung ein Fehler auftrat.
Ausführen der Antivirenbearbeitung (Desinfektion) infizierter Objekte von
Dateisystemen und E-Mail-Nachrichten.
Verschieben von infizierten, verdächtigen und beschädigten Objekten der
Serverdateisysteme und dessen Mailverkehrs in ein Quarantäne- verzeichnis. Für den Mailverkehr können zusätzlich desinfizierte und durch Kennwort geschützte Dateien, sowie Dateien, durch deren Unter­suchung ein Fehler auftrat, in die Quarantäne verschoben werden.
Bearbeitung des Mailverkehrs in Übereinstimmung mit den Regeln, die für
Absender-Empfängergruppen festgelegt wurden.
Organisation der zusätzlichen Filterung des Mailverkehrs nach Namen
und Typen der angehängten Dateien, und Anwendung separater Bearbeitungsregeln auf ausgefilterte Objekte.
Benachrichtigung von Absender, Empfänger und Gruppenadministrator
über eine Mail-Nachricht, die ein infiziertes, verdächtiges u.a. Objekt enthält.
Aktualisierung der Antiviren-Datenbanken. Als Updatequelle für die
Datenbanken dienen die Updateserver von Kaspersky Lab.
®
, Kaspersky Anti-Virus® für Unix Mail
7 Kaspersky Anti-Virus für Unix Mail Server
Die Antiviren-Datenbanken werden während des Such- und Desinfek­tionsprozesses infizierter Dateien verwendet. Auf Basis der in den Daten­banken enthaltenen Einträge wird während der Untersuchung jede Datei auf das Vorhandensein von Viren analysiert: Der Code der Datei wird mit einem Code verglichen, der für einen bestimmten Virus charakteristisch ist. Wenn eine Datei infiziert ist, führt das Programm seine Desinfektion durch.
Es wird darauf hingewiesen, dass jeden Tag neue Viren auftau­chen. Deshalb empfehlen wir, die Antiviren-Datenbanken täglich zu aktualisieren, um den aktuellen Status des Produkts zu gewährleisten.
Konfiguration von Kaspersky Anti-Virus
Programms Webmin und über die Konfigurationsdatei des Produkts.
®
über die Web-Oberfläche des
1.1. Was ist neu in Version 5.0
In der Version Kaspersky Anti-Virus® 5.0 wurden im Vergleich zu Version 4.0 folgende Änderungen vorgenommen:
Alle Produktkomponenten wurden auf einen neuen Antiviren-Kern umge-
stellt, der die Belastung auf Workstation oder Server vermindert, ohne dabei die Funktionalität des Produkts einzuschränken.
Eine Reihe von Mängeln, die mit Besonderheiten der Architektur von
Kaspersky Anti-Virus behoben.
Die ausführbare Datei der Komponente kavdaemon wurde in aveserver
umbenannt und optimiert.
Die Komponente kavkeeper wurde in smtpscanner umbenannt und
verbessert.
Die Komponente zur Web-Konfiguration WebTuner wurde durch ein
Modul (plug-in) zu dem verbreiteten Programm Webmin ersetzt. Dabei wurde die Funktionalität des Produkts erweitert.
Die Kontrolle des lizenzierten Mailverkehrs wurde modifiziert: Nun können
Benachrichtigungen an Administratoren gesendet werden, wenn ein kritisches Volumen des lizenzierten Verkehrs erreicht wird.
Die Konfigurationsdateien aller Komponenten wurden in einer Datei
zusammengefasst (kav4mailservers.conf), wodurch das gesamte Produkt verwaltet werden kann. In diesem Zusammenhang wurde die Konfigura­tion des Gesamtprodukts von binärer Basis auf Textbasis umgestellt.
Hinzugefügt wurden die Möglichkeiten zur Konfiguration der Anzeigefor-
mate für Zeit und Datum in Arbeitsprotokollen der Programmkomponen-
®
für Unix Version 4.0 zusammenhingen, wurde
Basisinformationen über das Programm 8
ten und in Benachrichtigungen sowie zur Lokalisierung der Benachrich­tigungen über die Ergebnisse der Untersuchung von Mail-Nachrichten.
Die Auswahl der Makros, die in Benachrichtigungen über die Unter-
suchung von Mail-Nachrichten Verwendung finden, wurde erweitert.
Es besteht die Möglichkeit der Verwendung von Skriptdateien zur Bear-
beitung von Objekten mit unterschiedlichem Status (infiziert, beschädigt usw.).
Die Möglichkeit zum automatischen Neustart der residenten Programm-
komponenten sofort nach der erfolgreichen Aktualisierung der Antiviren­Datenbanken wurde hinzugefügt.
Das Produkt wird in Standardpaketen für die unterstützten Distributionen
der Betriebssysteme geliefert (rpm, deb).
Die Lizenzierungspolitik für das Produkt wurde verändert:
®
Nach Ablauf der Lizenzgültigkeit behält Kaspersky Anti-Virus
seine
Funktionalität bei, mit Ausnahme der Aktualisierung der Antiviren-Datenbanken.
®
Ohne Lizenzschlüssel funktioniert Kaspersky Anti-Virus
nicht.
Die Komponente kavucc (Control Centre) wurde in Verbindung mit der
Vereinfachung der Produktarchitektur entfernt.
Die Komponenten kavinspector (Inspector), kavtuner (Tuner) und
kavmonitor (Monitor) wurden aus dem Produkt entfernt.
1.2. Lizenzierungspolitik
Die Lizenzierungspolitik für Kaspersky Anti-Virus® bietet ein System von Begrenzungen für die Nutzung des Produkts hinsichtlich:
Nutzungszeit des Produkts (in der Regel beträgt dieser Zeitraum ein
Jahr ab dem Erwerb des Produkts).
Anzahl der Benutzer (E-Mail-Adressen).
Volumen des täglichen Mailverkehrs (MB/Tag).
Sie können eine Lizenz für einen Begrenzungstyp (z.B. für Volumen des täglichen Mailverkehrs) oder als Verbindung der Typen (z.B. nach Anzahl der Mailboxen für ein Jahr) erwerben.
Abhängig vom Typ der erworbenen Lizenz für die Produktnutzung gelten Beson­derheiten für die Konfiguration des Produkts. Bei der Begrenzung NACH BENUTZERANZAHL (E-Mail-Adressen) ist es erforderlich, eine Liste der Benutzer zu erstellen, auf die sich der Antivirenschutz erstrecken soll (s. Pkt. 4.5 auf S. 42). Bei der Beschränkung NACH VOLUMEN DES MAILVERKEHRS besteht die Möglichkeit zur Konfiguration einer Benachrichtigung an den Admini­strator. Diese Benachrichtigungen informiert über den Ablauf der Lizenzgültigkeit
9 Kaspersky Anti-Virus für Unix Mail Server
im Zusammenhang mit dem Erreichen eines kritischen Werts für den lizenzierten Mailverkehr (s. Pkt. 5.2.5 auf S. 66).
1.3. Hardware- und Softwarevoraussetzungen
Für die Arbeit von Kaspersky Anti-Virus® sind folgende Systemvoraussetzungen erforderlich:
Hardwarevoraussetzungen:
Prozessor der Pentium-Klasse. Mindestens 32 MB Arbeitsspeicher. Mindestens 100 MB verfügbarer Festplattenspeicher.
Softwarevoraussetzungen:
Eines der folgenden Betriebssysteme:
! Linux RedHat (Version 7.3, 8.0 und 9.0), Linux SuSE
(Version 8.1 und 8.2) oder Linux Debian (Version
3.0);
! FreeBSD Version 4.7 und 5.0; ! OpenBSD Version 3.3.
Eines der folgenden Mailsysteme: sendmail Version 8.x, qmail Version 1.03, Postfix Version nicht unter snapshot_20000529, Exim Version 4.0.
Programm wget (http://gnu.org/software/wget/wget.html Antiviren-Datenbanken mit Hilfe von kavupdater.
Programm Webmin (www.webmin.com Kaspersky Anti-Virus
Perl Version 5.0 und höher (www.perl.org) – zur Installation von Kaspersky Anti-
®
Virus
mit Hilfe von install.pl.
®
.
) – zur Remote-Administration von
) – zur Aktualisierung der
1.4. Lieferumfang
Das Softwareprodukt kann bei unseren Vertriebspartnern (als Hardcopy) oder in einem Online-Shop (z.B. www.kaspersky.com/de, Abschnitt BUY ON-LINE) erworben werden.
Wenn Sie das Produkt als Hardcopy erwerben, umfasst der Lieferumfang des Softwareprodukts folgende Komponenten:
versiegelter Umschlag mit Installations-CD (oder Disketten), welche die
Dateien des Softwareprodukts enthält.
Basisinformationen über das Programm 10
Handbuch für Administratoren.
Lizenzschlüssel.
Lizenzvertrag.
Bitte lesen Sie vor dem Öffnen des versiegelten Umschlags mit der CD (oder mit den Disketten) sorgfältig den Lizenzvertrag.
®
Beim Erwerb von Kaspersky Anti-Virus
in einem Online-Shop laden Sie das Produkt von der Kaspersky-Lab-Internetseite herunter. Die Distribution enthält neben dem eigentlichen Produkt auch einen Lizenzschlüssel.
Der Lizenzvertrag ist eine rechtsgültige Vereinbarung zwischen Ihnen und Kaspersky Labs Ltd., in der festgelegt wird, zu welchen Bedingungen Sie das von Ihnen erworbene Softwareprodukt verwenden dürfen.
Bitte lesen Sie den Lizenzvertrag sorgfältig!
Wenn Sie den Bedingungen des Lizenzvertrags nicht zustimmen, können Sie die Packung mit Kaspersky Anti-Virus
®
an den Händler zurückgeben, bei dem Sie diese erworben haben, und der Kaufbetrag des Abonnements wird an Sie zurückerstattet. Voraussetzung dafür ist, dass der versiegelte Umschlag mit der Installations-CD (oder mit den Disketten) nicht geöffnet wurde.
Durch das Öffnen der versiegelten Packung mit der Installations-CD (oder mit den Disketten) oder die Installation des Programms auf einem Computer stimmen Sie allen Bedingungen des Lizenzvertrags zu.
1.5. Service für registrierte Benutzer
Kaspersky Labs Ltd. bietet seinen registrierten Kunden ein breites Spektrum an Serviceleistungen, die eine gesteigerte Effektivität von Kaspersky Anti-Virus ermöglichen.
Durch den Erwerb eines Abonnements werden Sie zum registrierten Programm­benutzer und können während der Gültigkeitsdauer Ihres Abonnements folgende Leistungen in Anspruch nehmen:
Möglichkeit zum Empfang täglicher Updates der Antiviren-Datenbanken
per E-Mail;
Nutzung neuer Versionen des betreffenden Softwareprodukts;
Beratung bei Fragen zu Installation, Konfiguration und Benutzung des
betreffenden Produkts (per Telefon und E-Mail);
Nachrichten über das Erscheinen neuer Softwareprodukte von Kaspersky
Labs und über das Auftauchen neuer Viren (Dieser Service gilt für Benutzer, die den Newsletter von Kaspersky Labs Ltd. abonniert haben).
®
11 Kaspersky Anti-Virus für Unix Mail Server
Die Beratung erstreckt sich nicht auf Fragen über Funktion und Benutzung von Betriebssystemen und anderen Technologien.
1.6. Textgestaltung
Bestimmte Textteile dieser Dokumentation sind in Abhängigkeit von ihrer Bedeutung durch unterschiedliche Formatierungselemente hervorgehoben. Die Textgestaltung wird in folgender Tabelle erläutert.
Formatierung Bedeutung
Fette Schrift
Hinweis.
Achtung
Um diese Aktion durch­zuführen,
1. Schritt 1.
2. …
Aufgabe, Beispiel
Lösung
Name eines Bedienungselements – Funktion des Bedienungselements
.
Namen von Menüs, Menüelementen, Dialogfenstern, Elementen von Dialog­fenstern, usw.
Zusatzinformationen, Hinweise.
Sehr wichtige Informationen.
Beschreibung einer Folge von Schritten und möglichen Aktionen, die vom Benutzer durchgeführt werden.
Aufgabenstellung, Beispiel für die Reali­sierung der Optionen des Software­produkts.
Lösung der vorhergehenden Aufgabe.
Beschreibung des Konfigurationsbaums.
[Parameter] – Funktion des
Parameters.
Befehlszeilenparameter.
Basisinformationen über das Programm 12
Formatierung Bedeutung
Befehlszeilentext
Text von Meldungen
Text von Benutzereingaben in der Befehlszeile.
Text von Konfigurationsdateien, Infor­mationsmeldungen des Programms.
KAPITEL 2. TYPISCHE
EINSATZMÖGLICHKEITEN DES PRODUKTS
Abhängig von der Basisarchitektur des Mailservers bieten wir mehrere Bereitstellungsvarianten von Kaspersky Anti-Virus
für einen Server mit Mailsystem: Diese Variante wird verwendet, wenn auf
dem Server bereits eines der Mailsysteme sendmail, qmail, postfix oder exim installiert und konfiguriert ist (s. Pkt. 2.2 auf S. 15).
für einen separaten Server als sekundärer Filter: Die Verwendung dieser
Variante wird empfohlen, wenn der primäre Mailserver mit einem nicht unterstützten Betriebs- und Mailsystem arbeitet (s. Pkt. 2.4 auf S. 18).
für einen Server mit Mailsystem als sekundärer Filter: Diese
Organisationsvariante wird empfohlen, wenn auf dem Mailserver bereits ein Mailfilter installiert ist, z.B. Kaspersky Anti-Spam (s. Pkt. 2.3 auf S. 17).
als Filter für externe Mailboxen: Diese Organisationsmethode eignet sich,
wenn die Benutzer des Mailservers über Mailboxen auf externen Servern verfügen und der Antivirenschutz von heruntergeladenen Mail-Nach­richten erforderlich ist (s. Pkt. 2.5 auf S. 19).
In allen oben erwähnten Fällen kann Kaspersky Anti-Virus des Mailverkehrs auch das Scannen aller gemounteten Dateisysteme durch­führen.
Vor der ausführlichen Beschreibung der oben genannten Einsatzmöglichkeiten betrachten wir mit dem Ziel der vollständigen Darstellung des Funktions­algorithmus die interne Architektur von Kaspersky Anti-Virus®.
®
für Unix Mail Server an:
®
neben der Filterung
2.1. Interne Architektur von
Kaspersky Anti-Virus
®
Bei der Arbeit mit Kaspersky Anti-Virus® stellt das präzise Verständnis des Funktionsalgorithmus einen wichtigen Aspekt dar.
In diesem Abschnitt betrachten wir die interne Architektur des Produkts im Kontext der Untersuchung des Mailverkehrs. Der Prozess zum Scannen von
Typische Einsatzmöglichkeiten des Produkts 14
Serverdateisystemen ist relativ unkompliziert und bedarf keiner getrennten Erklärung.
®
Es ist zu erwähnen, dass Kaspersky Anti-Virus
nur der Filterung der Mail auf Viren dient und keinen Mailagenten darstellt, der zum Empfang und Routing des Mailverkehrs fähig ist. Dafür wird ein auf dem Server installiertes Mailsystem verwendet, in das Anti-Virus nach der Installation integriert wird.
Am Beispiel des Mailsystems sendmail betrachten wir den Algorithmus der internen Arbeit von Kaspersky Anti-Virus
®
für Unix Mail Server nach dessen
Integration in das Mailsystem genauer (s. Abb. 1).
Es wird daran erinnert, dass während des Integrationsprozesses von Anti-Virus in das Mailsystem sendmail die zusätzliche Konfigurations­datei sendmail.cf.listen angelegt wird. Beim Start von sendmail unter Verwendung dieser Konfigurationsdatei nimmt das Mailsystem den Empfang des Servermailverkehrs vor und leitet diesen zur Bearbeitung an Kaspersky Anti-Virus® weiter. Beim Start mit der Originalkonfigurationsdatei (sendmail.cf) stellt es die Mail­Nachrichten zu, die von Anti-Virus weitergeleitet wurden.
Der Funktionsalgorithmus lässt sich wie folgt beschreiben:
1. Der Mailverkehr wird vom Mailsystem sendmail (Konfigurationsdatei sendmail.cf.listen) nach SMTP-Protokoll empfangen. sendmail erstellt eine Warteschlange, in der die eingehende Mail gespeichert wird, und übergibt sie nach Protokoll LMTP zur Bearbeitung an die Komponente smtpscanner.
2. Die Komponente smtpscanner bearbeitet den Mailverkehr in Überein- stimmung mit den Einstellungen. Der Scan- und Desinfektionsprozess besitzt folgenden Ablauf:
smtpscanner übergibt unter Verwendung des lokalen Sockets den Dateinamen der Mail-Nachricht an die Komponente aveserver.
aveserver führt mit Hilfe der Antiviren-Datenbanken die Untersuchung und Desinfektion des Objekts durch.
smtpscanner erhält von aveserver einen Rückgabewert, der den Dateistatus festlegt.
Abhängig vom Status des Objekts führt smtpscanner auf Basis der Einstellungen der Konfigurationsdatei Aktionen damit durch.
3. Der bearbeitete Mailverkehr wird zusammen mit Benachrichtigungen über die Ergebnisse der Untersuchung und Desinfektion nach SMTP­Protokoll an das Mailsystem sendmail (Konfigurationsdatei sendmail.cf) übergeben, das die Zustellung des Mailverkehrs an die lokalen Benutzer oder das Routing auf andere Mailserver vornimmt.
15 Kaspersky Anti-Virus für Unix Mail Server
Abb. 1. Interne Architektur von Kaspersky Anti-Virus® für Unix Mail Server
2.2. Arbeit auf einem Server mit Mailsystem
Im Folgenden wird bei der Beschreibung der Arbeit und Konfiguration von Kaspersky Anti-Virus® die Variante "Betrieb auf einem Server mit Mailsystem" beschrieben!
®
Installation und Betrieb von Kaspersky Anti-Virus Mailprogramm sind nur auf den unterstützten Betriebssystemen (Linux, FreeBSD oder OpenBSD) möglich.
Als Mailsystem können folgende Programme verwendet werden: sendmail, qmail, postfix oder exim.
auf einem Server mit
Typische Einsatzmöglichkeiten des Produkts 16
Diese Variante wird für Mailserver empfohlen, die unter durchschnittlicher Last arbeiten.
Werfen wir einen ausführlichen Blick auf das Funktionsschema von Kaspersky Anti-Virus
®
mit einem der genannten Mailsysteme auf einem Server (s. Abb. 2). Die Reihenfolge der Arbeit ist für eingehende und ausgehende Mail identisch und umfasst folgende Etappen:
1. Der Mailverkehr geht entweder von anderen Servern oder aus dem lokalen Netzwerk nach SMTP-Protokoll ein.
2. Das Mailsystem empfängt den Mailverkehr und übergibt ihn zur Bear­beitung an Kaspersky Anti-Virus
®
.
3. Kaspersky Anti-Virus® bearbeitet den Mailverkehr entsprechend der Einstellungen und leitet ihn zusammen mit einer zusätzlichen Auswahl von Benachrichtigungen an das Mailsystem zurück.
4. Das Mailsystem führt das Routing des Mailverkehrs auf einen externen Server oder in die Mailboxen des lokalen Netzwerks durch.
Abb. 2. Schema der Arbeit von Kaspersky Anti-Virus® auf einem Server mit Mailsystem
Von obigem Funktionsschema ausgehend, sind bei der Installation von Kaspersky Anti-Virus
®
folgende Einstellungen vorzunehmen (entweder während
des Installationsprozesses oder direkt danach):
Festlegen des Ports des Mailservers, auf dem Kaspersky Anti-Virus
®
arbeiten soll.
Festlegen des Ports des Mailsystems, auf dem es nach der Filterung die
Mail von Kaspersky Anti-Virus
®
empfängt.
17 Kaspersky Anti-Virus für Unix Mail Server
2.3. Arbeit als sekundärer Filter
Kaspersky Anti-Virus® kann sowohl als primärer wie auch als sekundärer Filter verwendet werden. Wenn im Moment der Installation des Produkts auf Ihrem Mailserver bereits ein Mail-Filter installiert war, dann muss festgelegt werden, welcher Mail-Filter (Kaspersky Anti-Virus installierte) der primäre und welcher der sekundäre Filter sein soll. Als Auswahl­kriterium dient die Art der Filterung.
Der primäre Filter (wir nennen ihn hier MX1) ist jener, der den Mailverkehr auf Basis der IP-Adresse des Absenders filtert. Ein solcher Filter wird als Primärfilter auf Port 25 des Servers installiert. Er empfängt die auf dem Server eingehende Mail, filtert sie und übergibt sie danach zur Bearbeitung an den sekundären Filter. Der sekundäre Filter (wir nennen ihn hier MX2) wird auf dem gleichen Host installiert wie der primäre, ihm wird aber eine andere IP-Adresse und ein anderer Port zugewiesen.
Ist auf Ihrem Server kein Filter installiert, der auf der Absender-IP-Adresse basiert, dann können Sie Kaspersky Anti-Virus Wenn bereits in IP-Filter auf dem Server installiert ist, installieren Sie Anti-Virus als sekundären Filter. Dieses Vorgehen ist dadurch begründet, dass nach der Untersuchung durch Kaspersky Anti-Virus IP-Adresse ausgeht. Folglich wäre eine IP-Filterung nach der Antivirenbearbeitung sinnlos.
®
oder der bereits auf dem Server
®
als primären Filter installieren.
®
der gesamte Mailverkehr von einer
Abb. 3. Schema der Arbeit von Kaspersky Anti-Virus® als sekundärer Filter auf einem
Server mit Mailsystem
Nehmen Sie folgende Einstellungen für den primären und sekundären Filter vor:
Konfiguration des primären Filters (MX1):
Name des Hosts, auf dem der Filter installiert ist: mx1.yourhost.domain; IP-Adresse des Filters: alle verfügbaren;
Typische Einsatzmöglichkeiten des Produkts 18
Nummer des Ports, auf dem der Filter arbeitet: 25; Name des Hosts zum Senden der Mail: mx2.yourhost.domain:10026.
Konfiguration des sekundären Filters (MX2):
Name des Hosts, auf dem der Filter installiert ist: mx2.yourhost.domain; IP-Adresse des Filters: 127.0.0.1; Nummer des Ports, auf dem der Filter arbeitet: 10026; Name des Hosts, von dem Mail empfangen wird: mx1.yourhost.domain.
Die Namen der Hosts für Filter MX1 und MX2 müssen unterschiedlich sein, da der Server eine Nachricht nicht annimmt, wenn die Hosts im Dialog helo/ehlo identische Namen besitzen. MX2 muss für MX1 vertrauenswürdig sein und umgekehrt, andernfalls wird die Zustellung unmöglich sein.
2.4. Arbeit auf einem separaten Server
Kaspersky Anti-Virus® für Unix Mail Server kann die Filterung und Antiviren­bearbeitung des Mailverkehrs auch dann vornehmen, wenn Ihr Mailserver mit einem anderen Betriebssystem (z.B. Windows) arbeitet.
In diesem Fall wird Kaspersky Anti-Virus der mit dem Betriebssystem Linux, FreeBSD oder OpenBSD arbeitet.
Um Empfang des Mailverkehrs und Senden des Mailverkehrs an den Windows­Mailserver zu gewährleisten, wird auf dem separaten Server neben Anti-Virus auch ein Mailsystem (sendmail, qmail, postfix oder exim) installiert und dessen Integration mit Kaspersky Anti-Virus
In diesem Fall gilt folgender Arbeitsablauf (s. Abb. 4):
Der Mailverkehr geht auf dem Server ein, der mit einem Betriebssystem
der Unix-Familie arbeitet.
Das Mailsystem (z.B. qmail) sendet ihn nach Protokoll LMTP zur
Bearbeitung an Kaspersky Anti-Virus
Die untersuchte Mail wird zusammen mit von Anti-Virus erstellten
Benachrichtigungen an das Mailsystem zurückgegeben, das diese zur Zustellung oder weiterem Routing auf den Hauptmailserver weiterleitet.
®
auf einem separaten Server installiert,
®
vorgenommen (s. Pkt. 4.4 auf S. 35).
®
.
19 Kaspersky Anti-Virus für Unix Mail Server
Abb. 4. Schema der Arbeit von Kaspersky Anti-Virus®
auf einem separaten Server
Im obigen Schema ist der Server mit Kaspersky Anti-Virus® der Hauptserver, da er den Empfang des Mailverkehrs und dessen Weiterleitung vornimmt. Der Server mit MS Exchange ist der sekundäre Server und führt lediglich die Zustellung aus.
Wenn Ihr Mailserver vor der Installation von Kaspersky Anti-Virus
®
die Filterung von Briefen nach der Absender-IP-Adresse ausgeführt hat, dann muss der Server mit Kaspersky Anti-Virus® als sekundärer verwendet werden. Der Grund besteht darin: Wenn der Server mit Anti-Virus als Hauptserver verwendet wird, gehen auf den sekundären Server (mit IP-Filterung) alle Mail-Nachrichten von einer IP-Adresse ein, was eine Filterung unmöglich macht.
Wenn innerhalb Ihres lokalen Netzwerks Mailserver vorhanden sind, dann müssen die MX-Einträge oder Parameter für die Weiterleitung auf den Hauptserver verweisen, nicht auf den sekundären Server.
Konfiguration des primären Filters (MX1):
Name des Hosts, auf dem der Filter installiert ist: mx1.yourhost.domain; Name des Hosts zum Senden der Mail: mx2.yourhost.domain:25.
Konfiguration des sekundären Filters (MX2):
Name des Hosts, auf dem der Filter installiert ist: mx2.yourhost.domain; Name des Hosts, von dem Mail empfangen wird: mx1.yourhost.domain.
Typische Einsatzmöglichkeiten des Produkts 20
2.5. Filterung der Mail aus externen
Mailboxen
Heutzutage sind externe Mailboxen auf Servern wie www.mail.ru, www.aport.ru, www.hotmail.com u.a. weit verbreitet.
Wie kann beim Herunterladen infizierter Mail-Nachrichten aus solchen Mailboxen eine Infektion verhindert werden? Tatsächlich wird solche Mail über das POP3­Protokoll zugestellt, aber Kaspersky Anti-Virus SMTP-Protokoll.
Zur Gewährleistung des Antivirenschutzes von externer Mail sind folgende Maßnahmen erforderlich:
1. Schließen von Port 110. Den Benutzern wird einfacher Zugriff auf die externe Mail gegeben, und die Arbeit des Gateway wird mit Hilfe des Pakets fetchmail als Proxyserver für POP3 organisiert. Dieses Paket lädt Mail-Nachrichten von externen Servern herunter und sendet sie an den lokalen SMTP-Port weiter. Nach dem Eingang auf dem SMTP-Port werden sie von Kaspersky Anti-Virus® bearbeitet.
Für die Filterung der Mails von externen Mailboxen sind ein lokaler SMTP-Server und ein lokales Benutzerkonto auf dem Computer erforderlich, auf dem das Paket fetchmail installiert ist!
Die Konfiguration von fetchmail ist sehr einfach: Im Verzeichnis $HOME jedes Benutzers existiert die Datei .fetcmailrc, die mindestens folgende Zeilen enthält:
set postmaster "user" set bouncemail set no spambounce set properties "" poll mail.that.is.free.ru with proto POP3 user 'remote_user' there with password
'pass12345' is 'user' here poll mail2.that.is.free.ru with proto POP3 user 'remote_user2' there with password
'pass123452' is 'user' here
wobei:
user – Benutzername im lokalen Netzwerk; mail.that.is.free.ru und mail2.that.is.free.ru – Name der Hosts, von denen Mail
abgeholt werden soll;
®
untersucht nur Mailverkehr nach
21 Kaspersky Anti-Virus für Unix Mail Server
remote_user und remote_user2 – Benutzernamen auf den Hosts mail.that.is.free.ru und mail2.that.is.free.ru;
pass12345 und pass123452 – Kennwörter für die Benutzernamen remote_user
und remote_user2.
Mit diesen Einstellungen holt das Programm fetchmail von den Hosts mail.that.is.free.ru und mail2.that.is.free.ru Mail-Nachrichten ab und sendet sie für den Benutzer user an das lokale SMTP. Dabei bleiben die Felder der Mail-Nachricht (von, an usw.) unverändert. Von fetchmail wird lediglich ein zusätzlicher Header received hinzugefügt. Der Benutzer erhält die Briefe in der gleichen Form wie beim Empfang auf herkömmliche Weise.
2. Angabe des Befehls fetchamail im crontab des Benutzers zum Start z.B. alle 10-15 Minuten.
Zur Automatisierung des Konfigurationsprozesses des Programms fetchmail für andere Benutzer, die externe Mailboxen verwenden, werden folgende Daten benötigt:
Name des externen Hosts, von dem fetchmail Mails abholen soll;
Benutzername auf dem externen Host;
Kennwort für den Benutzernamen.
Außerdem muss im Home-Verzeichnis jedes Benutzers die Datei .fetchmailrc mit folgendem Inhalt vorhanden sein:
set postmaster "user" set bouncemail set no spambounce set properties ""
Folgende Skriptdatei dient dem Hinzufügen von Einträgen über Mailboxen:
#!/bin/bash echo "poll $1 with proto POP3 " >>$HOME/.fetchmailrc echo "user '$2' with password '$3' is '$4'
here">>$HOME/.fetchmailrc
Wenn diese Skriptdatei mit folgenden Parametern gestartet wird: pop.mail.ru, dan, secret, admin, dann werden Briefe für den Empfänger dan@mail.ru an die Adresse admin@your_host.your_domain weitergeleitet.
KAPITEL 3. INSTALLATION VON
KASPERSKY ANTI-VIRUS®
Wir empfehlen Ihnen, vor dem Beginn der Installation von Kaspersky Anti-Virus® für Unix Mail Server Ihr System folgendermaßen vorzubereiten:
Stellen Sie sicher, dass das System den Hardware- und Software-
voraussetzungen für die Installation von Kaspersky Anti-Virus (s. Pkt. 1.2 auf S. 8). Sollten bestimmte Anwendungen (z.B. wget) nicht installiert sein, dann wird deren Installation empfohlen. Andernfalls ergeben sich Einschränkungen der Funktionalität des Produkts.
Anfertigen von Backup-Kopien der Konfigurationsdateien des
Mailsystems, das auf Ihrem Server installiert ist.
Konfiguration der Internetverbindung.
Anmeldung beim System als Benutzer root oder als anderer Benutzer,
der über UID gleich null verfügt (unikale Identifikationsnummer).
Es wird empfohlen, die Installation des Produkts außerhalb der Arbeitszeiten oder dann durchzuführen, wenn der Mailverkehr möglichst gering ist!
®
entspricht
3.1. Universale Installation
Diese Variante der Installation ist für alle Distributionen des Betriebssystems Linux einheitlich.
Die Universaldistribution von Kaspersky Anti-Virus Form eines Archivs geliefert. Das Archiv enthält einen Verzeichnisbaum der Distributionsdateien und das Installationsskript install.pl (im Folgenden auch Installer genannt), das die Installation vornimmt.
Für das Betriebssystem Linux umfasst die Distribution außerdem rpm- und deb­Pakete (s. Pkt. 3.2 auf S. 29), für das Betriebssystem FreeBSD und OpenBSD – tgz-Pakete (s. Pkt. 3.3 auf S. 30).
Die Installation des Produkts auf einem Server umfasst folgende Etappen:
1. Inspektion des Servers zur Suche nach einem installierten Kaspersky Anti-Virus folgende Szenarien für das Vorgehen des Installers möglich:
®
Version 4.0. Abhängig vom Ergebnis der Suche sind
®
für Unix Mail Server wird in
23 Kaspersky Anti-Virus für Unix Mail Server
Es ist keine ältere Version vorhanden – Übergang zur Installation des Produkts auf dem Server.
Eine installierte ältere Version von Kaspersky Anti-Virus
! Archivierung (Backup) der gefundenen Distribution
und Installation der neuen;
! Upgrade auf Version 5.0; ! Installation von Version 5.0 des Produkts parallel mit
der älteren Version.
Die Etappen der Archivierung, des Upgrades auf Version 5.0 und der Parallelinstallation sind voneinander unabhängig.
2. Kopieren der Distributionsdateien auf den Server.
3. Integration in das Mailsystem.
4. Installation eines Lizenzschlüssels (nur wenn dieser nicht im Bestand der Distribution enthalten ist).
Betrachten wir die Schritte der Produktinstallation auf dem Server ausführlicher.
®
wird gefunden:
3.1.1. Start der Installationsprozedur
Gehen Sie zum Start der Installation von Kaspersky Anti-Virus® auf dem Server folgendermaßen vor:
1. Kopieren Sie das Distributionsarchiv in ein Verzeichnis des Serverdateisystems.
2. Entpacken Sie das Archiv durch den Befehl Dadurch werden mehrere Dateien aus dem Archiv extrahiert: Installer und Dateibaum der Produktdistribution.
3. Starten Sie das Installationsskript: install.pl.
tar zxvf <Archivname>.
3.1.2. Suche nach einer älteren Version
Direkt nach dem Start der Installation erfolgt die Inspektion des Systems zur Suche nach einem früher installierten Kaspersky Anti-Virus
Wenn keinen ältere Version des Produkts auf dem Server installiert ist, wird der Prozess zum Kopieren der Distributionsdateien auf den Server gestartet (s. Pkt. 3.1.3 auf S. 26).
®
für Unix Version 4.0.
Installation von Kaspersky Anti-Virus 24
Wenn einen Vorgängerversion des Produkts gefunden wird, erscheint eine Meldung auf der Konsole:
Previously installed components of Kaspersky AV found. Do you want to back them up now?
und dem Administrator wird angeboten, die Archivierung der vorhergehenden Produktversion vorzunehmen (s. Pkt. 3.1.2.1 auf S. 24).
Sie können die Archivierung ablehnen und zum Upgrade des bereits installierten Produkts übergehen (s. Pkt. 3.1.2.2 auf S. 25). Wollen Sie jedoch parallel mit der alten und neuen Version des Produkts arbeiten, lehnen Sie das Upgrade ab und gehen Sie direkt zum Kopieren der Distributionsdateien des Produkts auf den Server über (s. Pkt. 3.1.2.3 auf S. 25).
3.1.2.1. Archivierung (Backup) der vorhergehenden Distribution
Beim Fund einer älteren Produktversion wird dem Administrator vorgeschlagen, den früher installierten Kaspersky Anti-Virus kopie anzufertigen) und seine Distribution danach zu entfernen. Das Archiv der früher installierten Version von Kaspersky Anti-Virus® kann zur späteren Wieder­herstellung nützlich sein, wenn Sie z.B. zu dessen Verwendung zurückkehren möchten.
Die Aufgabe der Wiederherstellung einer vorhergehenden Version von Kaspersky Anti-Virus® wird dem Administrator überlassen.
Zur Archivierung der Distribution ist die Pfadangabe der Archivdatei erforderlich:
Where do you want to save backup file? Enter absolute path to file without .tgz extension
[/tmp/oldkav].
Ist die standardmäßig vorgeschlagene Datei bereits vorhanden, dann erscheint auf der Konsole eine Meldung mit dem Vorschlag zum Überschreiben.
Wenn Sie den Standardwert nicht verwenden möchten, ist die vollständige Pfad­angabe der Archivdatei ohne Erweiterung erforderlich.
Nach der erfolgreichen Archivierung des Produkts wird dem Administrator vorge­schlagen, die vorherige Version zu entfernen und zum Upgrade auf Version 5.0 überzugehen.
®
zu archivieren (eine Sicherheits-
25 Kaspersky Anti-Virus für Unix Mail Server
3.1.2.2. Upgrade auf Version 5.0
Die Prozedur zur Aktualisierung der Version (Upgrade) umfasst die Konver­tierung der früheren Einstellungen von Anti-Virus (Datei defUnix.prf) in die Konfigurationsdatei der Version 5.0:
Do you want to convert old settings to new config file? [yes]
Antworten Sie 'Ja', um die Konvertierung zu starten. Der Prozess zum Erstellen der Konfigurationsdatei für Version 5.0 mit den für die Vorgängerversion gültigen Parametern wird gestartet.
Sie können die erstellte Datei als standardmäßig zu verwendende Konfigu­rationsdatei wählen. Beantworten Sie dazu die folgende Frage des Installers mit Ja:
Do you want to make generated file as a default config file?
Die im Lieferumfang des Produkts enthaltene Konfigurationsdatei wird umbe­nannt (/etc/kav/5.0/kav4mailservers.conf.copy) und im gleichen Verzeichnis gespeichert. Die neue konvertierte Datei erhält den Namen der Konfigurations­datei von Kaspersky Anti-Virus
Wenn Sie die im Lieferumfang enthaltene Konfigurationsdatei nicht ändern wollen, antworten Sie mit Nein. In diesem Fall wird die neue Datei im gleichen Verzeichnis gespeichert wie die Basisdatei (/etc/kav/5.0/kav4mailservers.conf.4.0) und kann bei Bedarf zur Arbeit mit Kaspersky Anti-Virus
®
verwendet werden.
®
Version 5.0 (/etc/kav/5.0/kav4mailservers.conf.).
3.1.2.3. Installation parallel mit einer früheren Version
Der Betrieb von zwei Versionen von Kaspersky Anti-Virus® für Unix Mail Server ist ebenfalls möglich. Allerdings ist zu erwähnen, dass nur einer von ihnen die Antivirenbearbeitung des Mailverkehrs ausführen wird.
Was die Komponenten betrifft, die das Scannen des Dateisystems übernehmen, so können diese voneinander unabhängig funktionieren. Allerdings wird die Komponente, die für das Scannen des Mailverkehrs zuständig ist (smtpscanner), in das Mailsystem integriert. Die Integration ist für die neue und ältere Version identisch, kann aber nur für eine der beiden ausgeführt werden.
®
Gehen Sie zur Installation von Kaspersky Anti-Virus einer früheren Version folgendermaßen vor:
1. Lehnen Sie die Archivierung ab (s. Pkt. 3.1.2.1 auf S. 24).
Version 5.0 parallel zu
Installation von Kaspersky Anti-Virus 26
2. Lehnen Sie das Upgrade ab (s. Pkt. 3.1.2.2 auf S. 25).
3. Stimmen Sie dem Kopieren der Distributionsdateien von Kaspersky Anti-Virus
®
Version 5.0 auf den Server zu.
3.1.3. Kopieren der Distributionsdateien
Auf dieser Etappe wird ein interaktiver Installationsprozess gestartet, bei dem die Distributionsdateien von Kaspersky Anti-Virus
®
auf Ihren Server kopiert werden.
Die Dateien des Pakets sind entsprechend ihres Verwendungszwecks in mehrere Kategorien unterteilt: z.B. binäre Dateien, Konfigurationsdateien, Initiali­sierungsskripts, usw. Der Installer schlägt vor, jede Kategorie in ein entspre­chendes Verzeichnis zu kopieren. Für binäre Dateien gilt z.B. das Verzeichnis /opt/kav/bin:
Installing the content of the package. In which directory do you want to install the binary
files? [/opt/kav/bin]:
Die vollständigen Verzeichnispfade sind für die einzelnen Distributionen unter­schiedlich. Binäre Dateien der Distribution für das Betriebssystem FreeBSD werden z.B. in das Verzeichnis /usr/local/kav/bin kopiert.
Sie können Verzeichnisse Ihrer Wahl festlegen. Bedenken Sie dann aber, nach der Installation entsprechende Änderungen in der Konfiguration des Produkts vorzunehmen!
Abhängig von Ihren Antworten werden die erforderlichen Verzeichnisse erstellt und Dateien kopiert.
Da die Distribution von Kaspersky Anti-Virus
®
ein Modul zur Remote-Admini­stration zu dem Paket Webmin enthält, erfolgt während des Kopierprozesses der Dateien die Suche nach einem auf dem Server installierten Webmin.
Wenn der Installer diesen nicht unter dem Standardpfad (z.B. /etc/Webmin) findet, wird eine entsprechende Meldung auf der Konsole angezeigt, welche eine Anfrage nach dem Pfad der Konfigurationsdatei von Webmin enthält. Ist das Paket nicht auf Ihrem Server installiert, dann wird das Modul zur Remote­Administration nicht installiert. Die zu seiner Installation erforderlichen Dateien sind allerdings im Distributionsarchiv von Kaspersky Anti-Virus
®
enthalten und Sie können das Modul zu Webmin zu einem späteren Zeitpunkt selbständig mit den Werkzeugen dieses Pakets installieren (Details s. Dokumentation des Programms Webmin).
27 Kaspersky Anti-Virus für Unix Mail Server
3.1.4. Integration in das Mailsystem
Während der Installation des Produkts erfolgt dessen automatische Integration in das Mailsystem.
Auf dieser Stufe der Produktinstallation ist aus einer vom Installer angezeigten Liste der Name des Mailsystems auszuwählen, das auf dem Server installiert ist: sendmail, qmail, Postfix oder Exim. Danach erfolgt die automatische Integration in das Mailsystem.
Wenn zum Zeitpunkt der Produktinstallation keines der genannten Mail­systeme auf dem Server installiert ist, wird die Installation von Kaspersky Anti-Virus
®
abgebrochen.
Wenn Sie Einstellungsänderungen für die gemeinsame Arbeit von Anti­Virus und Mailsystem wünschen, nehmen Sie diese manuell vor (s. Pkt. 4.4 auf S. 35).
Nach der Installation von Kaspersky Anti-Virus
®
für die Mailsysteme sendmail und Exim ist es erforderlich, in den Start-up-Skripten festzulegen, dass diese Mailsysteme mit der zweiten Konfigurationsdatei gestartet werden, die bei der Installation von Kaspersky Anti-Virus
®
erstellt wurde (sendmail.cf.listen und
exim.conf.listen).
3.1.5. Installation des Lizenzschlüssels
Auf dieser Etappe der Installation erfolgt im aktuellen Verzeichnis die Suche nach einem Lizenzschlüssel – einer Datei (mit der Erweiterung key), die für den Betrieb von Kaspersky Anti-Virus® erforderlich ist. Diese Datei legt den Lizenztyp fest und erlaubt den Beginn der Produktnutzung. Vor der Installation des Lizenz­schlüssels ist die Nutzung von Kaspersky Anti-Virus® nicht möglich.
Wenn ein Lizenzschlüssel gefunden wird
, dann gibt Installer entsprechende Informationen auf der Konsole aus und geht zur folgenden Etappe über, die in der Installation der Antiviren-Datenbanken besteht (s. Pkt. 4.2 auf S. 33).
Wenn kein Lizenzschlüssel gefunden wird, fragt der Installer nach dessen vollständigem Pfad. Sollte der Administrator nicht über einen Schlüssel verfügen (z.B. wenn das Produkt über das Internet erworben wurde und der Lizenz­schlüssel noch nicht per E-Mail eingetroffen ist), überspringen Sie den Schritt zur Pfadangabe des Lizenzschlüssels (wählen Sie [cancel]) und setzen Sie den Installationsprozess fort.
Sobald Sie einen Lizenzschlüssel erhalten, muss dieser in das Verzeichnis zum Speichern der Schlüssel kopiert werden, dessen Pfad durch die Parameter LicensePath der Konfigurationsdatei von Kaspersky Anti-Virus
®
festgelegt wird
(s. Anhang A.2 auf S. 112).
Installation von Kaspersky Anti-Virus 28
Wenn ein Lizenzschlüssel gefunden wird, der dem vorliegenden Produkt nicht entspricht (z.B. ein Schlüssel für Kaspersky Anti-Virus® für Unix File Server), wird das Programm nach der Installation nur das Scannen des Serverdateisystems durchführen.
3.1.6. Abschluss der Installation
Wenn alle oben genannten Installationsschritte erfolgreich abgeschlossen wurden, erscheint eine entsprechende Meldung auf der Konsole. Die Konfigu­rationsdatei, die zum Lieferumfang des Produkts gehört, enthält alle erforder­lichen Einstellungen für den Beginn der Arbeit. Eine Reihe von Parametern wird während des Installationsprozesses angegeben:
Name des Hosts, auf dem Kaspersky Anti-Virus
Lizenztyp (nach Benutzeranzahl oder nach Traffic).
Für die übrigen Parameter sind Standardwerte festgelegt (s. Pkt. 4.1 auf S. 31). Trotzdem muss der Administrator einige Einstellungen vornehmen, um mit der Arbeit von Kaspersky Anti-Virus Einstellungen ist die Integration des Produkts in das Mailsystem. Ohne die Integration wird der Mailverkehr nicht untersucht. Details über alle Einstellungen, die vor der Nutzung des Programms vorzunehmen sind, s. Kapitel 4 auf S. 31.
Wenn eine bestimmte Installationsetappe übersprungen wurde (z.B. wenn zum Zeitpunkt der Installation der Antiviren-Datenbanken kein Zugriff auf diese bestand), kann der Schritt zu einem späteren Zeitpunkt wiederholt werden.
®
zu beginnen. Eine der wichtigsten
®
arbeiten wird;
3.1.7. Protokoll über den
Installationsprozess
Informationen über alle Aktionen während des Installationsprozesses werden in der Textdatei /etc/kav/5.0/locations aufgezeichnet.
Diese Datei ist für die Aktualisierung des Produkts (Patch), für die zusätzliche Installation bestimmter Komponenten, die bisher nicht installiert waren, sowie für die Deinstallation des Produkts erforderlich.
Das Format der Protokollzeilen unterscheidet sich in Abhängigkeit der aufge­zeichneten Ereignisse:
Erstellen eines Verzeichnisses im System oder Kopieren einer Distribu-
tionsdatei werden durch folgende Zeile festgehalten:
<file | dir> <path> [size]
wobei:
29 Kaspersky Anti-Virus für Unix Mail Server
file oder dir – ID der Datei oder des Verzeichnisses; path – vollständiger Name der Datei oder des Verzeichnisses; size – Größe der Datei (für Verzeichnisse ist dieser Parameter der Zeichenkette
nicht vorhanden).
Aktionen, die mit Antworten des Benutzers auf Fragen des Installers
zusammenhängen, werden durch folgende Zeile festgehalten:
<answer> <var> <reply>
wobei:
answer – ID der Installeranfrage während des Installationsprozesses; var – Name der Variablen, die der gestellten Anfrage entspricht; reply – Variablenwert, der als Antwort auf die Anfrage eingegeben wurde.
3.2. Installation des Programms auf
einem Server mit Linux
Für Distributionen des Betriebssystems Linux RedHat und Linux SuSE ist ein rpm-Paket von Kaspersky Anti-Virus
Geben Sie zum Start der Installation von Kaspersky Anti-Virus dem rpm-Paket in der Befehlszeile ein:
®
für Unix Mail Server vorgesehen.
®
aus
rpm –i <Name_der_Distributionsdatei>
Die Installation von Kaspersky Anti-Virus
®
erfolgt automatisch in
Übereinstimmung mit den Standardeinstellungen für das Betriebssystem.
Es erfolgt keine Suche nach einer vorhergehenden Version von Kaspersky Anti-
®
Virus
. Wenn Kaspersky Anti-Virus® 4.0 auf Ihrem Server installiert ist, wird dessen Vorhandensein auf dem Server während der Installation von Produktversion 5.0 ignoriert. Demzufolge wird nach der Installation von Kaspersky Anti-Virus
®
Version 5.0 die Filterung des Mailverkehrs von dieser
Version der Komponente ausgeführt.
Während der Installation des Produkts muss der Administrator ein Mailsystem angeben (sendmail, qmail, Postfix oder Exim) und danach das Skript /opt/kav/contrib/config.pl starten. Bei dessen Ausführung erfolgen die Installation des Lizenzschlüssels (wenn er im Lieferumfang enthalten ist) und die Integration in das Mailsystem.
Wenn Sie Einstellungsänderungen für die gemeinsame Arbeit von Anti­Virus und Mailsystem wünschen, nehmen Sie diese nach der Installation des Produkts manuell vor (s. Pkt. 4.4 auf S. 35).
Installation von Kaspersky Anti-Virus 30
Wenn eine bestimmte Datei von Installer nicht an ihrem Standardpfad gefunden wird (z.B. Lizenzschlüssel oder Webmin-Konfigurationsdatei), dann erscheint auf der Konsole eine Anfrage an den Administrator, die sich auf die Pfadangabe der Datei bezieht.
Für Distributionen von Linux Debian ist außerdem ein spezielles deb-Paket vorgesehen.
®
Zum Start der Installation von Kaspersky Anti-Virus Paket geben Sie in der Befehlszeile ein:
dpkg –i <Name_der_Distributionsdatei>
Das Vorgehen zur Installation entspricht der Installation aus dem rpm-Paket. Die einzige Ausnahme besteht im automatischen Start des Skripts
/opt/kav/contrib/config.pl.
aus dem deb-
3.3. Installation des Programms auf
einem Server mit FreeBSD oder OpenBSD
Für Server, die mit den Betriebssystemen FreeBSD oder OpenBSD arbeiten, wird die Distribution von Kaspersky Anti-Virus
Zum Start der Installation von Kaspersky Anti-Virus geben Sie in der Befehlszeile ein:
pkg_add <Paketname>
Das Vorgehen zur Installation entspricht der Installation aus dem rpm-Paket. Die einzige Ausnahme besteht darin, dass das Skript zur automatischen Integration in das Mailsystem und zur Installation des Lizenzschlüssels /usr/local/share/kav/contrib/config.pl automatisch gestartet wird.
®
in einem tgz-Paket geliefert.
®
aus dem tgz-Paket
KAPITEL 4. KONFIGURATION
NACH DER INSTALLATION
Während des Installationsprozesses erfolgt eine Analyse des Systems, auf dem Kaspersky Anti-Virus werden automatisch festgelegt. Für eine Reihe von Parametern der Konfigu­rationsdatei des Produkts wurden Standardwerte gewählt, welche die Arbeit mit Anti-Virus möglichst komfortabel gestalten (s. Pkt. 4.1 auf S. 31).
Es wird empfohlen, vor Beginn der Arbeit mit dem Produkt die Antiviren­Datenbanken zu installieren oder zu aktualisieren, falls dies nicht bereits während der Installation erfolgte, und die Serverdateisysteme auf das Vorhandensein von Viren zu scannen!
Vor Beginn der Arbeit mit dem Produkt sind allerdings noch folgende Aktionen erforderlich:
Integration von Kaspersky Anti-Virus
Server installiert ist.
Erstellen einer Liste der lizenzierten Benutzer, deren eingehende und
ausgehende Mail auf Viren analysiert und desinfiziert wird.
Außerdem wird empfohlen, die gemeinsame Arbeit von Kaspersky Anti-Virus mit dem Paket Webmin zu konfigurieren.
In diesem Kapitel beschreiben wir, welche Einstellungen für Kaspersky Anti-
®
Virus
als Standard gelten, und erläutern die für die Arbeit mit dem Produkt erfor­derliche Konfiguration.
®
installiert wird, und bestimmte Konfigurationsparameter
®
in das Mailsystem, das auf Ihrem
®
4.1. Standardeinstellungen des
Produkts
Alle Funktionsparameter von Kaspersky Anti-Virus® für Unix Mail Server sind in der Datei kav4mailservers.conf gespeichert. Dies ist die standardmäßig verwen­dete Konfigurationsdatei.
Sie können eigene Konfigurationsdateien anlegen und diese sowohl beim Ausführen einer aktuellen Aufgabe wie auch als Standard­Konfigurationsdatei verwenden.
Konfiguration nach der Installation 32
Betrachten wir genauer, welche Parameter in dieser Datei als Standard gelten. Ausgehend von den Angaben dieses Abschnitts können Sie feststellen, ob zur optimalen Anpassung an die Anforderungen Ihres Unternehmens eine zusätzliche Konfiguration von Kaspersky Anti-Virus
®
erforderlich ist (s. Kapitel 6
auf S. 82).
ANTIVIRENSCHUTZ VON SERVERDATEISYSTEMEN
®
In der Grundeinstellung ist Kaspersky Anti-Virus
so konfiguriert, dass beim Start der entsprechenden Komponente (kavscanner) ohne zusätzliche Befehlszeilenparameter die Antivirenuntersuchung der Verzeichnisse und Dateisysteme des Servers erfolgt, wobei mit dem aktuellen Verzeichnis begonnen wird.
Beim Fund von infizierten, verdächtigen oder beschädigten Dateien werden entsprechende Meldungen auf der Konsole und in der Protokolldatei angezeigt.
Beachten Sie, dass IN DER GRUNDEINSTELLUNG DIE DESINFEKTION von gefundenen infizierten Dateien NICHT durchgeführt wird!
ANTIVIRENSCHUTZ DES SERVERMAILVERKEHRS
Der Antivirenschutz des Mailverkehrs ist vor der Integration von Kaspersky Anti-Virus erörtern hier die nach der Integration für die Funktion des
®
in das Mailsystem NICHT MÖGLICH. Wir
Produkts als Standard gültigen Einstellungen.
Der Abschnitt [smtpscan.group:default] der Konfigurationsdatei kav4mailservers.conf definiert das Vorhandensein der Gruppe default, die für alle zu schützenden Benutzer des Mailservers gilt. In dieser Gruppe werden folgende Regeln für die Antivirenuntersuchung des Mailverkehrs festgelegt:
Untersuchung von eingehenden und ausgehenden Mail-Nachrichten. Beim Fund von infizierten Mail-Nachrichten erfolgt deren Desinfektion.
Desinfizierte Mail-Nachrichten werden den Adressaten und dem Gruppenadministrator (postmaster@localhost) zugestellt, wobei sie zusätzliche Benachrichtigungen darüber enthalten, dass die Nachrichten durch Viren infiziert waren und erfolgreich desinfiziert wurden. Entsprechende Benachrichtigungen werden auch an die Absender der Nachrichten gesandt.
Wenn die Desinfektion einer Nachricht unmöglich ist, wird diese gelöscht und an Absender, Gruppenadministrator und Empfän­ger wird eine entsprechende Benachrichtigung geschickt.
33 Kaspersky Anti-Virus für Unix Mail Server
Alle Benachrichtigungen, welche die Untersuchung von Mail-Nachrichten, deren Desinfektion und sonstige die Mail betreffende Aktionen (Löschen, Verschieben nach Quarantäne usw.) betreffen, werden in der Grundeinstellung von der Adresse MAILER-DAEMON@localhost abgesandt.
Wenn während der Antivirenanalyse des Mailverkehrs verdächtige, beschädigte oder durch Kennwort geschützte Dateien, sowie Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat, gefunden werden, dann werden diese gelöscht. An Absender, Gruppenadministrator und Empfänger werden entsprechende Benachrichtigungen geschickt.
Alle Aktionen des Programms werden in einer Protokolldatei aufgezeichnet.
4.2. Installation / Aktualisierung der Antiviren-Datenbanken
Wir empfehlen, unmittelbar nach der Installation des Produkts auf dem Server die Antiviren-Datenbanken zu installieren/aktualisieren.
Starten Sie dazu die Komponente kavupdater. Geben Sie in der Befehlszeile ein:
/Pfad/von/kavupdater
Die Antiviren-Datenbanken werden von den Updateservern von Kaspersky Labs kopiert und in einem speziellen Verzeichnis gespeichert, das in der Konfigu­rationsdatei festgelegt ist.
Wir empfehlen Ihnen, die Antiviren-Datenbanken TÄGLICH zu aktuali­sieren, weil jeden Tag neue Viren auftauchen und die Gewährleistung der Aktualität des Produkts erforderlich ist. Zu Details über die Vari­anten zur Organisation von Updates s. Pkt. 5.1.1 - 5.1.2 auf S. 46 - 49.
4.3. Konfiguration der gemeinsamen Arbeit mit Webmin
Wird die Remote-Administration von Kaspersky Anti-Virus® beabsichtigt, dann ist die Konfiguration der Zusammenarbeit mit dem Paket Webmin zu empfehlen.
Mit den Werkzeugen von Webmin kann beispielsweise die Kontrolle der Zugriffs­rechte auf das Programm und die Organisation des Systems der Benutzer­kennwörter vorgenommen werden (Details über die Konfiguration des Programms Webmin s. Dokumentation des betreffenden Produkts).
Konfiguration nach der Installation 34
Im Folgenden wird bei Beschreibungen von Webmin-Registerkarten, die Funktionsparameter von Kaspersky Anti-Virus® enthalten, der Pfad jeder Registerkarte genannt. Der Pfad wird in folgendem Format vor der Abbildung der Registerkarte angegeben:
#
Other (Menüpunkt von Webmin) Fensters oder der Registerkarte
KAV for Mail Servers # Name des
#
usw.
In der Grundeinstellung werden alle Einstellungen, die mit Hilfe des Programms Webmin vorgenommen wurden, in der Datei kav4mailservers.conf gespeichert, die als Standard verwendet wird.
Wenn Sie mit Hilfe des Programms Webmin eine alternative Konfigurationsdatei anlegen wollen:
1. Geben Sie den Namen der alternativen Konfigurationsdatei auf der
Registerkarte Configuration (s. Abb. 5) im Eingabefeld des Parameters Full path to KAV config an.
2. Geben Sie auf den entsprechenden Registerkarten die erforder­lichen Parameter für den Antivirenschutz der Dateisysteme an.
#
Other
KAV for Mail Servers # Registerkarte "Module configure"
Abb. 5. Generelle Parameter für die Konfiguration von Kaspersky Anti-Virus® für Unix Mail
Server
35 Kaspersky Anti-Virus für Unix Mail Server
4.4. Manuelle Integration des Produkts in Mailsysteme
Der manuelle Integrationsprozess umfasst drei Etappen:
1. Ändern der Konfiguration des Mailsystems für die gemeinsame Arbeit mit Anti-Virus.
2. Eintragen von Änderungen, welche die Arbeit mit dem Mailsystem betreffen, in der Konfiguration von Kaspersky Anti-Virus
3. Start des Mailsystems mit der neuen Konfiguration.
Die Benutzerkonten, die für Start und Arbeit des Mailsystems verwendet werden, müssen über die Berechtigung zum Lesen der Konfigurationsdateien des entsprechenden Mailsystems verfügen.
Betrachten wir die manuelle Integration von Kaspersky Anti-Virus® mit den Mailsystemen genauer.
4.4.1. Integration in das Mailsystem sendmail
®
.
Um Kaspersky Anti-Virus
1. Korrigieren Sie Regel 98 in der bei der Installation erstellten Datei sendmail.cf.listen auf folgende Weise:
SParseLocal=98 R$* $#smtpscanner[Tabulatorsymbol]$@ $1 $: $1
2. Geben Sie in dieser Datei die Beschreibung von smtpscanner an.
Msmtpscan, P=/opt/kav/bin/smtpscanner, F=PCXmnz9, S=EnvFromSMTP, R=EnvToSMTP, E=\r\n, L=2040,
T=SMTP, A=smtpscanner
3. Konfigurieren Sie Kaspersky Anti-Virus (s. Pkt. 4.4.5 auf S. 38).
4. Fügen Sie den Start-up-Skripts für Prozesse der zwei folgenden Prozesse hinzu:
®
in das Mailsystem sendmail zu integrieren,
®
auf die erforderliche Weise
Konfiguration nach der Installation 36
/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen
/usr/sbin/sendmail –q10m –C /etc/mail/sendmail.cf
Wenn Sie das Mailsystem sendmail Version 8.12 oder höher in der Konfiguration submit.cf verwenden, fügen Sie den Start-up-Skripts die drei folgenden Prozesse hinzu:
/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen
/usr/sbin/sendmail -q10m
-C /etc/mail/sendmail.cf
/usr/sbin/sendmail –q10m –C /etc/mail/submit.cf
4.4.2. Integration in das Mailsystem qmail
Bei der Integration in das Mailsystem qmail wird das Programm qmail-queue durch die Komponente smtpscanner von Kaspersky Anti-Virus
®
ersetzt. Um Nachrichten zu versenden und in die Warteschlange einzuordnen, ruft smtpscanner das Originalprogramm qmail-queue auf.
Um Kaspersky Anti-Virus
1. Benennen Sie im Verzeichnis /var/qmail/bin/ die Datei
®
in das Mailsystem qmail zu integrieren,
qmail-
queue in qmail-que um.
2. Kopieren Sie die Datei qmail-queue aus dem Verzeichnis
/opt/kav/bin/smtpscanner/ in das Verzeichnis /var/qmail/bin oder
erstellen Sie eine symbolische Verknüpfung mit dieser Datei.
3. Legen Sie folgende Zugriffsrechte für die Dateien qmail-queue und qmail-que fest:
16 -rws—x—x 1 qmailq qmail 12688 Mar 24 13:56 qmail-que 316 –rwx—x—x 1 qmailq qmail 315612 Apr 14 11:29 qmail-queue
4. Konfigurieren Sie Kaspersky Anti-Virus (s. Pkt. 4.4.5 auf S. 38).
5. Starten Sie das Mailsystem neu.
®
auf die erforderliche Weise
37 Kaspersky Anti-Virus für Unix Mail Server
4.4.3. Integration in das Mailsystem Postfix
Um Kaspersky Anti-Virus
1. Überprüfen Sie die Versionsnummer Ihres Postfix-Mailsystems. Die Version muss neuer sein als andernfalls eine neue Version von der Web-Seite des Programms
Postfix herunter (www.postfix.org
2. Fügen Sie der Konfigurationsdatei main.cf des Mailsystem Postfix folgende Zeile hinzu:
content_filter = lmtp:localhost:10025
3. Fügen Sie der Konfigurationsdatei master.cf des Mailsystem
Postfix folgende Zeilen hinzu:
localhost:10025 inet n n n ­ 10 spawn user=filter
argv=/opt/kav/bin/smtpscanner
localhost:10026 inet n - n -
®
in das Mailsystem Postfix zu integrieren,
snapshot_20000529. Laden Sie
).
10 smtpd -o content_filter= -o
myhostname=localhost
4. Legen Sie den Benutzer filter filter auf und legen Sie ein Home-Verzeichnis für ihn an
mkdir /var/spool/filter groupadd filter useradd filter –s /bin/false –d /var/spool/filter
–g filter chown filter.filter /var/spool/filter
Ein Beispiel für die Konfigurationsdatei des Programms Postfix wird in Anhang A.13 auf S. 133 gegeben.
5. Konfigurieren Sie Kaspersky Anti-Virus (s. Pkt. 4.4.5 auf S. 38).
6. Starten Sie das Mailsystem neu.
an, nehmen Sie ihn in die Gruppe
:
®
auf die erforderliche Weise
Konfiguration nach der Installation 38
4.4.4. Integration in das Mailsystem Exim
Um Kaspersky Anti-Virus
1. Kopieren Sie die Konfigurationsdatei (z.B. exim.conf) in die Datei exim.conf.listen.
2. Korrigieren Sie die Datei exim.conf:
Fügen Sie dem Abschnitt TRANSPORT CONFIGURATION folgende Zeilen hinzu:
kav_lmtp_transport: driver = lmtp command = /opt/kav/bin/smtpscanner
Legen Sie im Abschnitt ROUTERS CONFIGURATION die Parameter für die lokale Mailzustellung fest:
localuser: driver=accept transport=kav_lmtp_transport
Geben Sie die Parameter für die Remote-Mailzustellung an:
lookuphost: driver=dnslookup transport=kav_lmtp_transport
3. Konfigurieren Sie Kaspersky Anti-Virus
4. Fügen Sie den Start-up-Skripts für Prozesse die zwei folgenden
Weise (s. Pkt. 4.4.5 auf S. 38).
Prozesse hinzu:
exim -q10m -bd –C /etc/exim/exim.conf.listen exim -q10m –C /etc/exim/exim.conf
®
in das Mailsystem Exim zu integrieren,
®
auf die erforderliche
Wenn Sie die Komponente smtpscanner von einem anderen Benutzerkonto aus starten wollen, kompilieren Sie das Mailsystem Exim mit den definierten Variablen EXIM_GID und EXIM_UID (Details s. Dokumentation des Mailsystems Exim).
4.4.5. Konfiguration von Kaspersky Anti­Virus
®
zur Integration in das
Mailsystem
Ein wesentlicher Bestandteil der Integration von Kaspersky Anti-Virus® in das Mailsystem besteht in der Konfiguration des Antivirenprogramms.
39 Kaspersky Anti-Virus für Unix Mail Server
Die Konfiguration kann direkt in der Konfigurationsdatei des Programms oder im Remote-Modus mit Hilfe des Pakets Webmin erfolgen.
®
Um Kaspersky Anti-Virus konfigurieren:
Nehmen Sie in der Konfigurationsdatei von Kaspersky Anti-Virus® folgende Einstellungen vor:
Geben Sie die Adresse an, von der aus Benachrichtigungen versandt werden:
NotifyFromAddress=admin@yourhostname.ru
Legen Sie im Abschnitt [smtpscan.general] einen ID für das Mailsystem fest. Der ID des Mailsystems hat folgende Struktur: Protokoll:Host:Port
für die Arbeit mit dem Mailsystem zu
, wobei:
Protokoll – Name des Protokolls, nach dem der Mailtransfer
erfolgt (
smtp oder lmtp);
Host – Name oder IP-Adresse des Hosts, von dem aus die Mail
versandt wird, oder Name des Mailprogramms;
Der Name des Mailprogramms wird in runden Klammern angegeben und kann beliebige Parameter enthalten.
Port – Portnummer (Standardwert: Port 25).
Die Zeile kann z.B. folgendes Aussehen besitzen:
smtp:localhost.tu:1100 oder lmtp:(local.mail –l)
Für sendmail
Für qmail:
Für postfix
Für exim
Geben Sie für die Benutzergruppe im Abschnitt [smtpscan.group:default] der Konfigurationsdatei an:
:
ForwardMailer=smtp:(/usr/sbin/sendmail –bs –C /etc/mail/sendmail.cf
ForwardMailer=qmail:(/var/qmail/bin/qmail­que)
:
ForwardMailer=smtp:localhost:10026
:
ForwardMailer=smtp:(exim –bs
-C/etc/exim/exim.conf)
AdminAddress=admin@yourhostname.ru AdminNotify=yes
)
Konfiguration nach der Installation 40
Legen Sie im Abschnitt [smtpscan.limits] die maximale Wartezeit (in Sekunden) für eine Antwort des Prozesses aveserver zum Ausführen einer Operation fest. Zum Beispiel:
MaxCheckTime=60
oder:
Nehmen Sie die entsprechenden Einstellungen auf der Registerkarte Config edit des Programms Webmin (s. Abb. 6) vor.
Other
#
KAV for Mail Servers # Config edit
Abb. 6. Registerkarte Config edit
oder:
1. Legen Sie auf der Registerkarte Core settings (s. Abb. 7) des
Programms Webmin Werte für folgende Parameter fest:
Forward mailer – ID der Mailsysteme, die zum Versenden von Nachrichten an Absender, Empfänger und Gruppenadministrator verwendet werden:
Für sendmail
–C /etc/mail/sendmail.cf
: smtp:(/usr/sbin/sendmail –bs
)
Für qmail: qmail:(/var/qmail/bin/qmail-que) Für postfix Für exim
: smtp:localhost:10026
: smtp:(exim -C/etc/exim/exim.conf)
41 Kaspersky Anti-Virus für Unix Mail Server
AV engine timeout – Maximale Zeit (in Sekunden), während der aveserver eine Mail-Nachricht nach Viren untersucht und desinfiziert. Zum Beispiel: 60. Der Wert 0 bedeutet, dass keine Zeitbegrenzung besteht.
#
Other
KAV for Mail Servers # AV Mail Check #Core settings
Abb. 7. Registerkarte Core settings
2. Geben Sie auf der Registerkarte Main settings (s. Abb. 8) im Feld Group administrator address die E-Mail-Adresse des Gruppen­administrators für die Benutzergruppe default an.
Konfiguration nach der Installation 42
Other # KAV for Mail Servers # AV Mail Check # Groups # Gruppe
#
+Properties
Main settings
Abb. 8. Registerkarte Main settings
4.5. Erstellen einer Liste der zu schützenden Benutzer
Die Liste der zu schützenden Benutzer legt die Benutzer von Kaspersky Anti-
®
Virus
fest und ist eng mit dem Lizenztyp des erworbenen Produkts verbunden.
Wenn Sie Kaspersky Anti-Virus ANZAHL erworben haben, dann darf die Anzahl der in diese Liste eingetragenen Benutzer die lizenzierte Anzahl nicht übersteigen. Ohne diese Liste funktioniert das Programm nicht.
Wenn die Anzahl der von Ihnen angegebenen Benutzer die lizenzierte Anzahl übersteigt, dann wird für die überzähligen Benutzer keine Virenuntersuchung des Mailverkehrs vorgenommen. Die Anzahl der geschützten Benutzer wird ab dem Beginn der Liste gezählt.
®
mit dem Lizenzierungstyp NACH BENUTZER-
43 Kaspersky Anti-Virus für Unix Mail Server
Die Anzahl der Benutzer, auf die sich die Lizenz erstreckt, können Sie mit Hilfe der Komponente licenseviewer oder im Remote-Modus mit Hilfe des Programms Webmin in der Schlüsseldatei ermitteln (s. Pkt. 5.4.1 auf S. 77)!
Wenn das von Ihnen erworbene Produkt den Lizenzierungstyp NACH MAILVERKEHR besitzt, dann wird die Liste der geschützten Benutzer ignoriert.
®
Die Liste der durch Kaspersky Anti-Virus
geschützten Benutzer kann in einer
beliebigen Textdatei erstellt werden. Danach wird der vollständige Dateiname in der Konfigurationsdatei im Abschnitt [path] als Wert des Parameters UserFile angegeben. Für das Erstellen der Benutzerliste gelten folgende Regeln:
Als ID des Benutzers wird dessen E-Mail-Adresse angegeben.
Jeder Benutzer wird in einer getrennten Zeile der Datei angegeben. Wenn
ein Benutzer über mehrere E-Mail-Adressen verfügt, geben Sie alle Adressen durch Leerschritt getrennt in einer Zeile an.
Verwenden Sie zum Erstellen und Ändern der Liste im Remote-Modus das Programm Webmin.
Der Name der Datei mit der Liste der lizenzierten Benutzer wird auf der Register­karte Kaspersky Anti-Virus
®
im Eingabefeld des Parameters File with users
list festgelegt (s. Abb. 9).
Konfiguration nach der Installation 44
Other # KAV for Mail Servers # General
Abb. 9. Registerkarte Kaspersky Anti-Virus®
Im Remote-Modus wird die Liste der für Kaspersky Anti-Virus® für Unix Mail Ser­ver lizenzierten Benutzer auf der Registerkarte User list (s. Abb. 10) ausgefüllt.
45 Kaspersky Anti-Virus für Unix Mail Server
Other # KAV for Mail Servers # AV Mail Check #Userst
Abb. 10. Registerkarte Group list
KAPITEL 5. ARBEIT MIT
KASPERSKY ANTI-VIRUS®
Mit Kaspersky Anti-Virus® können Sie den vollständigen Antivirenschutz Ihres Servers organisieren: von einer einzelnen Datei, die auf dem Server gespeichert ist, bis zum eingehenden und ausgehenden Mailverkehr, einschließlich der Mails von externen Mailboxen.
Die Funktionalität des Produkts unterstützt den Administrator bei unter­schiedlichen Aufgaben. Alle mit Hilfe von Kaspersky Anti-Virus Aufgaben können in drei Gruppen unterteilt werden:
1. Aktualisierung der Antiviren-Datenbanken, die zur Suche von Viren und Desinfektion infizierter Objekte verwendet werden.
2. Antivirenschutz des Servermailverkehrs.
3. Antivirenschutz der Serverdateisysteme.
Jede Gruppe umfasst konkrete Aufgaben, die eine bestimmte Funktionalität des Produkts realisieren. In diesem Kapitel betrachten wir die interessantesten Aufgaben. Im Rahmen eines konkreten Unternehmens kann der Administrator diese kombinieren und komplexer gestalten.
Wo dies möglich ist, werden Konfiguration und Start einer Aufgabe sowohl lokal aus der Befehlszeile als auch im Remote-Modus über das Programm Webmin beschrieben.
®
realisierbaren
In allen unten angeführten Aufgaben wird davon ausgegangen, dass der Administrator die nach der Installation erforderliche Konfiguration vorgenommen hat (s. Kapitel 4 auf S. 31).
Vor dem Start von Aufgaben, die mit der Antivirenuntersuchung von Mail verbunden sind, ist der Start des Prozesses aveserver erforderlich, falls dieser nicht beim Start des Betriebssystems geladen wurde.
5.1. Aktualisierung der Antiviren­Datenbanken
Ein obligatorischer Faktor des umfassenden Antivirenschutzes ist die Aktualisierung der Antiviren-Datenbanken. Als Quelle für die Updates der Antiviren-Datenbanken, die von Kaspersky Anti-Virus® während des Such- und
47 Kaspersky Anti-Virus für Unix Mail Server
Desinfektionsprozesses infizierter Dateien verwendet werden, dienen die Updateserver von Kaspersky Lab. Zum Beispiel:
http://downloads1.kaspersky-labs.com/updates/ http://downloads2.kaspersky-labs.com/updates/ ftp://downloads1.kaspersky-labs.com/updates/
und andere.
Eine Liste der Adressen, von denen Updates kopiert werden können, befindet sich in der Datei servers.lst, die zum Lieferumfang des Produkts gehört. Diese Datei besitzt ein einfaches Format: Jeder Updateserver wird in einer einzelnen Zeile angegeben, die durch Zeilenumbruch abgeschlossen wird. Ein Updateserver kann entweder http://, oder ftp:// oder ein vollständiger Unix-Pfad sein (wenn die Aktualisierung aus einem Verzeichnis erfolgt).
Die Aktualisierung der Antiviren-Datenbanken wird mit Hilfe der Komponente kavupdater durchgeführt. Bei der Aktualisierung wendet sich die Komponente an die genannte Liste, wählt eine Adresse (der Reihe nach oder nach dem Zufallsprinzip) und versucht, die Antiviren-Datenbanken vom Server herunter­zuladen. Wenn die Aktualisierung von der gewählten Adresse erfolglos ist, wendet sich das Programm an die folgende Adresse und versucht erneut, die Datenbanken zu aktualisieren.
Sie können die Liste der Updateserver ändern. Zum Beispiel kann als erste Adresse der am häufigsten verwendete Server festgelegt werden oder Serveradressen, die aus gewissen Gründen nicht verwendet werden, können entfernt werden.
Alle Einstellungen der Komponente kavupdater befinden sich in den Optionen [updater.*] der Konfigurationsdatei kav4mailservers.conf (s. Anhang A.2 auf S. 112).
Wenn die Struktur Ihres lokalen Netzwerks eine gewisse Komplexität aufweist, empfehlen wir, das Update der Antiviren-Datenbanken einmal täglich von den Updateservern herunterzuladen, es in einem bestimmten Netzwerkordner zu speichern und für die lokalen Computer den Download der Datenbanken aus diesem Ordner festzulegen.
Es wird nachdrücklich empfohlen, die Antiviren-Datenbanken täglich zu aktualisieren und die Komponente kavupdater so zu konfigurieren, dass sofort nach dem Update der automatische Neustart des Prozesses aveserver erfolgt.
Die Aktualisierung lässt sich mit Hilfe von cron (s. Pkt. 5.1.1 auf S. 48) oder aus einer Befehlszeile (s. Pkt. 5.1.2 auf S. 49) organisieren.
Arbeit mit Kaspersky Anti-Virus 48
5.1.1. Planung von Updates der Antiviren-
Datenbanken mit Hilfe von cron
Sie können die regelmäßige automatische Aktualisierung der Antiviren-Daten­banken mit Hilfe des Programms cron planen.
Aufgabe: Festlegen der automatischen Aktualisierung der Antiviren­Datenbanken täglich um 07.00. Festlegen der zufälligen Auswahl des Updateservers. Aktivieren des Modus für den automatischen Neustart des Prozesses aveserver sofort nach der Aktualisierung der Daten­banken. Im Systemprotokoll sollen nur Programmfehler aufgezeichnet werden. In einem allgemeinen Protokoll werden alle Taskstarts aufge­zeichnet. Auf der Konsole werden keine Informationen angezeigt.
Lösung
1. Nehmen Sie auf der Registerkarte Kaspersky Anti-Virus
oder:
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
KeepUp2Date (s. Abb. 11) des Programms folgende Einstellungen vor:
Keep silent – keine Informationen über die Arbeit des
Programms auf dem Bildschirm anzeigen.
Random server order – Updateserver nach dem Zufallsprinzip
aus der Liste wählen.
Reload application – Neustart des Prozesses aveserver sofort
nach der Aktualisierung der Antiviren-Datenbanken.
Report level – Stufe der Protokollgenauigkeit für die
Arbeitsergebnisse der Komponente. Wählen Sie den Wert Errors aus der Dropdown-Liste.
Append – Anhängen der Ergebnisse der Programmarbeit am
Ende der bereits bestehenden Protokolldatei (in diesem Fall des Systemprotokolls).
Das Fehlen eines Werts im Eingabefeld des Parameters Report file name bedeutet die Aufzeichnung der Ergebnisse über die Programmarbeit im Systemprotokoll.
Legen Sie in der Konfigurationsdatei kav4mailservers.conf im Abschnitt [updater.options] die entsprechenden Werte fest, z.B.:
[updater.options] KeepSilent=yes
49 Kaspersky Anti-Virus für Unix Mail Server
RandomServerOrder=yes ReloadApplication=yes Append=yes ReportLevel=1
#
Other
KAV for Mail Servers # KeepUp2Date
Abb. 11. Registerkarte Kaspersky Anti-Virus KeepUp2Date
2. Ändern Sie die Datei, welche die Regeln für die Arbeit des Prozesses cron (crontab –e) festlegt.
3. Geben Sie folgende Zeile ein:
0 7 * * * /opt/kav/bin/kavupdater
5.1.2. Einmalige Aktualisierung der Antiviren-Datenbanken
Die Aktualisierung der Antiviren-Datenbanken kann jederzeit aus dem Befehlszeile gestartet werden.
Aufgabe: Start der Aktualisierung der Antiviren-Datenbanken, Speichern der Arbeitsergebnisse in der Datei /tmp/updatesreport.log.
Lösung
kavupdater –l /tmp/updatesreport.log
: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:
Arbeit mit Kaspersky Anti-Virus 50
Ist es erforderlich, die Antiviren-Datenbanken auf mehreren Computern zu aktualisieren, dann bietet sich an, anstelle des mehrmaligen Downloads der Datenbanken aus dem Internet, die Datenbanken einmal von den Updateservern herunterzuladen, sie in einem bestimmten Verzeichnis zu speichern und die Datenbanken danach aus diesem Verzeichnis zu aktualisieren.
Aufgabe: Organisation der Aktualisierung der Antiviren-Datenbanken aus dem Netzwerkverzeichnis
/home/bases, und wenn dieses
Verzeichnis nicht verfügbar oder leer ist, Aktualisierung von den Kaspersky-Lab-Servern. Die Arbeitsergebnisse werden in einer Protokolldatei aufgezeichnet.
Lösung
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Nehmen Sie folgende Änderung in der Datei /etc/kav/5.0/servers.lst vor, die eine Liste der Updateserver enthält: Geben Sie an erster Stelle der Liste den vollständigen Pfad des Netzwerkverzeichnisses /home/bases an, in dem die Datenbanken gespeichert sind.
2. Deaktivieren Sie die zufällige Auswahl der Updateserver: Deaktivieren Sie auf der Registerkarte Kaspersky Anti-Virus
®
KeepUp2Date des Programms Webmin (s. Abb. 11) das Kontrollkästchen Random server order, falls dieses aktiviert war.
3. Geben Sie die erforderlichen Parameter für die Protokollaufzeichnung an (s. Abb. 11):
Report file name – vollständiger Pfad der Protokolldatei über die
Programmarbeit. Geben Sie im Eingabefeld des Parameters
/tmp/report.txt ein.
Report level – Stufe der Protokollgenauigkeit über die
Arbeitsergebnisse der Komponente. Wählen Sie den Wert Errors aus der Dropdown-Liste.
Append – Anhängen der Ergebnisse der Programmarbeit am
Ende der bereits bestehenden Protokolldatei.
Alle mit Hilfe des Programms Webmin vorgenommenen Konfigurations­änderungen, werden in der Konfigurationsdatei kav4mailservers.conf gespeichert, die als Standard verwendet wird. Das Erstellen einer alternativen Datei wird in Pkt. 4.2 auf S. 33 beschrieben.
4. Starten Sie die Aktualisierung der Antiviren-Datenbanken, indem Sie auf der Registerkarte Run Kaspersky Anti-Virus® component (s. Abb. 12) auf die Schaltfläche Start für die Komponente Kaspersky Anti-Virus® KeepUp2Date klicken.
51 Kaspersky Anti-Virus für Unix Mail Server
Other # KAV for Mail Servers # AV Run
Abb. 12. Registerkarte Run Kaspersky Anti-Virus® component
oder:
1. Nehmen Sie folgende Änderung in der Datei /etc/kav/5.0/servers.lst vor, die eine Liste der Updateserver enthält: Geben Sie an erster Stelle der Liste den vollständigen Pfad des Netzwerkverzeichnisses /home/bases an, in dem die Datenbanken gespeichert sind.
2. Deaktivieren Sie die zufällige Auswahl der Updateserver, indem Sie in der Konfigurationsdatei RandomServerOrder=no festlegen.
3. Geben Sie in der Befehlszeile ein:
kavupdater –s /etc/kav/5.0/server2.lst –o /tmp/report.txt
5.2. Antivirenschutz des Mailverkehrs des Servers
Die Antivirenfilterung des Mailverkehrs (eingehender und ausgehender Traffic, sowie Transit) ist eine der Hauptaufgaben von Kaspersky Anti-Virus Mail Server, die mit Hilfe der Komponente smtpscanner realisiert wird.
Mit Hilfe von smtpscanner können Sie den Schutz Ihrer Benutzer vor infizierten Briefen gewährleisten und die Zustellung von virusfreien und desinfizierten Nachrichten mit Benachrichtigungen über die Untersuchungsergebnisse jedes Briefes organisieren.
Die Realisierung der sekundären Filterung nach den Typen angehängter Dateien erlaubt es, die Serverbelastung während der Antivirenbearbeitung des Mail­verkehrs zu verringern. Und dies ist nur ein Teil der Funktionalität des Produkts.
®
für Unix
Arbeit mit Kaspersky Anti-Virus 52
Weitere Möglichkeiten von Kaspersky Anti-Virus® werden in den unten beschrie­benen Aufgaben zum Schutz des Mailverkehrs gezeigt.
Alle Einstellungen der Komponente smtpscanner befinden sich in den Optionen [smtpscan.*] der Konfigurationsdatei kav4mailservers.conf (s. Anhang A.2 auf S. 112).
Im Folgenden betrachten wir typische Aufgaben, die den Antivirenschutz des Mailverkehrs realisieren.
5.2.1. Zustellung von ausschließlich
virusfreien und desinfizierten Mail­Nachrichten
Diese Art der Konfiguration von Kaspersky Anti-Virus® wird verwendet, wenn keine Unterteilung der Benutzer in Absender-Empfängergruppen vorgesehen ist. Von Nutzen ist dies z.B., wenn die Zustellung von ausschließlich virusfreien und desinfizierten Mail-Nachrichten an alle Adressaten des Servers konfiguriert werden soll.
Aufgabe:
Untersuchung des gesamten Mailverkehrs auf das Vorhan-
densein von Viren und Desinfektion aller infizierten Mail­Nachrichten;
Löschen von infizierten Mail-Nachrichten, die nicht desinfiziert
werden konnten;
Zustellung von desinfizierten Nachrichten an die Adressaten;
Benachrichtigung von Absendern, Empfängern und Admini-
stratoren über desinfizierte, gelöschte, verdächtige und beschädigte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unveränderter Form angehängt;
Aufzeichnung der Arbeitsergebnisse in der Datei /tmp/report.log.
Lösung
1. Wählen Sie auf der Registerkarte Groups list des Programms
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
Webmin (s. Abb. 13) die Gruppe default und klicken Sie auf die Schaltfläche Properties.
53 Kaspersky Anti-Virus für Unix Mail Server
Other # KAV for Mail Servers # AV Mail Check # Groups
Abb. 13. Registerkarte Groups list
2. Konfigurieren Sie die Gruppe und legen Sie den Desinfektions­modus für ihre Nachrichten fest. Wählen Sie dazu die Options­gruppe Main settings im folgenden Fenster (s. Abb. 14) und nehmen Sie auf der entsprechenden Registerkarte (s. Abb. 8) die unten beschriebenen Einstellungen vor:
Check this group – Untersuchung der Mail-Nachrichten für
Empfänger dieser Gruppe.
Group administrator address – Adresse (Alias) des Gruppenadministrators. Geben Sie in den Abschnitten Sender mask und Recipient mask die E-Mail-
Adressen oder Adressmasken der Absender und Empfänger an, deren Mail­Nachrichten nach den Regeln der Gruppe default bearbeitet werden.
Wenn in den Abschnitten Sender mask und Recipient mask keine Adressen (Adressmasken) für Absender und Empfänger angegeben werden, dann gelten die Regeln dieser Gruppe für alle Mail-Nachrichten des Servers.
Arbeit mit Kaspersky Anti-Virus 54
Other # KAV for Mail Servers # AV Mail Check # Groups # Gruppe+Properties
Abb. 14. Optionen der Gruppe
3. Konfigurieren Sie die Aktionen für Objekte und die Regeln für Benachrichtigungen. Wählen Sie dazu die Optionsgruppe Notify rules auf der Registerkarte der Optionen für die Gruppe (s. Abb.
14) und nehmen Sie auf der entsprechenden Registerkarte (s. Abb.
15) die unten beschriebenen Einstellungen vor:
Deaktivieren Sie in der Spalte Quarantine die Kontrollkästchen für alle Objekttypen.
Legen Sie in der Spalte Administrator rules folgende Regeln für die Benachrichtigungen an den Gruppenadministrator fest:
! Aktivieren Sie in der Spalte Notify für alle Objekte
das Kontrollkästchen.
! Wählen Sie in der Spalte Actions für alle Objekttypen
aus der Dropdown-Liste den Wert Unchanged.
Aktivieren Sie in der Spalte Sender rules / Notify für alle Objekttypen das Kontrollkästchen.
Legen Sie in der Spalte User rules folgende Regeln für die Benachrichtigungen an die Empfänger fest:
! Aktivieren Sie in der Spalte Notify für alle Objekte
das Kontrollkästchen.
! Aktivieren Sie in der Spalte Attach report das
Kontrollkästchen für den Objekttyp Cured. Deaktivieren Sie für alle übrigen Typen die Kontrollkästchen.
! Wählen in der Spalte Actions für den Objekttyp
Cured aus der Dropdown-Liste den entsprechenden
Wert. Wählen Sie für alle übrigen Objekttypen den Wert Remove.
55 Kaspersky Anti-Virus für Unix Mail Server
Other # KAV for Mail Servers # AV Mail Check # Groups # Gruppe
#
+Properties
Notify rules
Abb. 15. Registerkarte Notify rules
4. Legen Sie auf der Registerkarte Core settings (s. Abb. 7) im Abschnitt Report settings die Parameter für die Protokoll­aufzeichnung fest:
Report file name – vollständiger Name der Protokolldatei. Geben Sie im Eingabefeld des Parameters /tmp/report.log ein.
Wenn das Eingabefeld des Parameters Report file name leer ist, werden die Arbeitsergebnisse des Produkts im Systemprotokoll aufgezeichnet.
Report file permission – Rechte für den Zugriff auf die Protokolldatei. Geben Sie im Eingabefeld des Parameters z.B. den Wert 060 ein.
ReportOK – Anzeige von Informationen über virusfreie
Objekte im Protokoll.
oder:
1. Nehmen Sie folgende Einstellungen für die Gruppe [smtpscan.group:default] vor:
[smtpscan.group:default] Check=yes
Arbeit mit Kaspersky Anti-Virus 56
AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove
CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured
Die Parameter Sender*, Recipient* und Admin* bestimmen die Bearbeitungsregeln für alle Objekttypen außer Clear. Jede Regel, die für ein konkretes Objekt festgelegt wird, besitzt höhere Priorität. Im vorliegenden Beispiel werden alle Objekttypen aus der Mail eines Empfängers entfernt (RecipientAction=remove), außer dem Objekt Cured (CuredRecipientAction=cured).
2. Konfigurieren Sie in der Datei /tmp/report.log die Protokoll­aufzeichnung für die Arbeitsergebnisse der Komponente:
[smtpscan.report] ReportOk=yes ReportFileName=/tmp/report.log ReportFilePermission=060
5.2.2. Zustellung von infizierten Nachrichten
In bestimmten Situationen kann die Zustellung beliebiger Nachrichten, ein­schließlich infizierter, an eine ausgewählte Empfängergruppe erforderlich sein.
Aufgabe
Untersuchung des gesamten Mailverkehrs auf das Vorhandensein von Viren;
:
57 Kaspersky Anti-Virus für Unix Mail Server
Desinfektion aller infizierten Nachrichten für alle Empfänger, außer jenen der Gruppe urgent;
Verschieben von Mail-Nachrichten, die nicht desinfiziert werden konnten, sowie von verdächtigen und beschädigten Briefen in das Quarantäneverzeichnis für alle Empfänger, außer jenen der Gruppe urgent;
Benachrichtigung von Absendern, Empfängern und Administratoren über gesperrte, desinfizierte, gelöschte, verdächtige und beschädigte Mail­Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unveränderter Form angehängt;
Zustellung aller Briefe, einschließlich infizierter, an die Benutzer der Gruppe urgent zusammen mit einem obligatorischen Hinweis auf die Möglichkeit einer Virusinfektion.
Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Wählen Sie auf der Registerkarte Groups list (s. Abb. 13) des Programms Webmin die Gruppe default und nehmen Sie für diese die Einstellungen vor, die in Pkt. 5.2.1 auf S. 52 beschrieben werden.
2. Aktivieren Sie für die Gruppe zusätzlich den Modus zum Sperren von Objekten im Quarantäneverzeichnis. Dazu:
Erstellen Sie ein Quarantäneverzeichnis, indem Sie dessen vollständigen Pfad im Eingabefeld des Parameters Quarantine path auf der Registerkarte Main settings (s. Abb. 8) angeben.
Legen Sie fest, dass alle Objekte, außer Cured dorthin verschoben werden, indem Sie in der Spalte Quarantine auf der Registerkarte Notify rules (s. Abb.
15) die entsprechenden Kontrollkästchen aktivieren.
3. Erstellen Sie die neue Gruppe urgent auf der Registerkarte Groups list (s. Abb. 13).
4. Wählen Sie in der Liste der Benutzergruppen die Gruppe urgent und klicken Sie auf die Schaltfläche Properties.
5. Konfigurieren Sie die Gruppe und legen Sie den Desinfektions­modus für Nachrichten fest. Wählen Sie dazu die Optionsgruppe Main settings auf der Registerkarte der Optionen für die Gruppe (s. Abb. 14) und nehmen Sie auf der entsprechenden Registerkarte die unten beschriebenen Einstellungen vor (s. Abb. 8):
Check this group – Untersuchung der Mail-Nachrichten für
Absender-Empfänger dieser Gruppe.
Group administrator address – Adresse (Alias) des Gruppenadministrators.
Arbeit mit Kaspersky Anti-Virus 58
Geben Sie in den Abschnitten Sender mask und Recipient mask die E-Mail- Adressen oder Adressmasken der Absender und Empfänger an, deren Mail­Nachrichten nach den Regeln der Gruppe urgent bearbeitet werden.
6. Konfigurieren Sie die Aktionen für Objekte und die Regeln für Benachrichtigungen. Wählen Sie dazu die Optionsgruppe Notify rules auf der Registerkarte der Optionen für die Gruppe (s. Abb.
14) und nehmen Sie auf der entsprechenden Registerkarte (s. Abb.
15) die unten beschriebenen Einstellungen vor:
Deaktivieren Sie in der Spalte Quarantine die Kontrollkästchen für alle Objekttypen.
Legen Sie in der Spalte Administrator rules folgende Regeln für die Benachrichtigungen an den Gruppenadministrator fest:
! Aktivieren Sie in der Spalte Notify für alle Objekte
außer für Cured das Kontrollkästchen.
! Wählen Sie in der Spalte Actions für alle Objekttypen
aus der Dropdown-Liste den Wert Unchanged.
Aktivieren Sie in der Spalte Sender rules / Notify für alle Objekttypen, außer Cured das Kontrollkästchen.
Legen Sie in der Spalte User rules folgende Regeln für die Benachrichtigungen an die Empfänger der Gruppe fest:
! Aktivieren Sie in der Spalte Notify für alle Objekte
außer für Cured das Kontrollkästchen.
! Aktivieren Sie in der Spalte Attach report für alle
Objekttypen außer für Cured die Kontrollkästchen.
! Wählen in der Spalte Actions für alle Objekttypen
aus der Dropdown-Liste den Wert Unchanged.
oder:
1. Nehmen Sie folgende Einstellungen für die Gruppe [smtpscan.group:default] vor:
[smtpscan.group:default] Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes ProtectedQuarantine=yes
59 Kaspersky Anti-Virus für Unix Mail Server
AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove
CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured
2. Nehmen Sie folgende Einstellungen für die Gruppe [smtpscan.group:urgent] vor:
[smtpscan.group:urgent] Check=yes AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes RecipientAttachReport=yes RecipientAction=unchanged
5.2.3. Blockieren der Zustellung von Nachrichten an Adressaten
Gewöhnlich besteht für den Administrator die Notwendigkeit, den Empfang bestimmter Nachrichten für Empfänger zu blockieren.
Betrachten wir folgendes Beispiel: Eine Mail-Nachricht ist virusverdächtig, enthält aber wichtige Daten, die unbedingt gespeichert werden müssen. Bei der Desin­fektion könnten die Daten verloren gehen. In dieser Situation ist es besser, die
Arbeit mit Kaspersky Anti-Virus 60
Mail-Nachricht zu isolieren und z.B. zur Untersuchung durch Spezialisten an Kaspersky Labs zu senden.
Aufgabe
:
Untersuchung des gesamten Mailverkehrs auf das Vorhandensein von Viren und Desinfektion aller infizierten Mail-Nachrichten;
Blockieren der Zustellung von infizierten, verdächtigen, beschädigten und durch Kennwort geschützten Mail-Nachrichten, sowie Nachrichten, durch deren Untersuchung ein Fehler auftrat;
Zustellung von ausschließlich desinfizierten Nachrichten an die Adressaten; Benachrichtigung von Absendern, Empfängern und Administratoren über
blockierte, desinfizierte, gelöschte, verdächtige und beschädigte Mail­Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unveränderter Form angehängt.
Lösung
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Wählen Sie auf der Registerkarte Groups list (s. Abb. 13) des Pro­gramms Webmin die Gruppe default und nehmen Sie für diese die Einstellungen vor, die in Pkt. 5.2.1 auf S. 52 beschrieben werden.
2. Aktivieren Sie für die Gruppe zusätzlich den Modus zum Sperren von Objekten im Quarantäneverzeichnis. Dazu:
Erstellen Sie ein Quarantäneverzeichnis, indem Sie dessen vollständigen Pfad im Eingabefeld des Parameters Quarantine path auf der Registerkarte Main settings (s. Abb. 8) angeben.
Legen Sie fest, dass alle Objekte außer Cured dorthin verschoben werden, indem Sie in der Spalte Quarantine auf der Registerkarte Notify rules (s. Abb.
15) die entsprechenden Kontrollkästchen aktivieren.
oder:
Nehmen Sie in der Konfigurationsdatei kav4mailservers.conf folgende Einstellungen vor:
[smtpscan.group:default] Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes
61 Kaspersky Anti-Virus für Unix Mail Server
ErrorQuarantine=yes ProtectedQuarantine=yes
AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove
CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured
5.2.4. Zusätzliche Filterung von Mail nach dem Typ der Anlagen
Häufig enthalten Mail-Nachrichten Dateien, die mit hoher Wahrscheinlichkeit einen Virus (z.B. eine exe-Datei) enthalten. Zur Verhinderung einer Infektion empfehlen wir, die Filterung des Mailverkehrs nach Name und/oder Typ solcher Objekte zu organisieren und sie zur weiteren Bearbeitung in einem separaten Verzeichnis zu blockieren.
Es existieren auch solche Objekte, die nicht infiziert sein können. Zur Verringerung der Serverbelastung bei der Antivirenbearbeitung von Mail­Nachrichten empfehlen wir, die Typen und/oder Namen solcher angehängter Dateien vorher zu bestimmen und sie bei der Mailuntersuchung auszufiltern.
Aufgabe
für Benutzergruppe users:
:
! Untersuchung von Mail-Nachrichten der Gruppe auf
das Vorhandensein von Viren;
! Filterung der Mail nach angehängten exe-Dateien;
Blockieren der ausgefilterten Nachrichten in einem Quarantäneverzeichnis;
Arbeit mit Kaspersky Anti-Virus 62
! Desinfektion von infizierten Mail-Nachrichten; wenn
der Desinfektionsversuch eines Objekts erfolglos war, dann soll es aus dem Brief an den Empfänger entfernt werden, jedoch in unveränderter Form an den Gruppenadministrator zugestellt werden;
! Benachrichtigung über blockierte Objekte nur an den
Gruppenadministrator und die Empfänger;
! Benachrichtigung von Absendern, Empfängern und
Administrator über gelöschte, infizierte, beschädigte und durch Kennwort geschützte Objekte, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat.
für alle übrigen Empfänger:
! Untersuchung des gesamten Mailverkehrs des
Servers auf das Vorhandensein von Viren und Desinfektion aller infizierten Mail-Nachrichten;
! Blockieren von infizierten Objekten, deren
Desinfektion erfolglos war, sowie von verdächtigen, beschädigten Briefen, und Objekten, durch deren Untersuchung ein Fehler auftrat, in einem Quarantäneverzeichnis;
! Zustellung von desinfizierten Nachrichten an die
Adressaten;
! Zustellung von durch Kennwort geschützten Dateien
mit einem Hinweis über die Möglichkeit einer Virusinfektion;
! Benachrichtigung von Absendern, Empfängern und
Administrator über gelöschte, infizierte, beschädigte, blockierte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden alle Objekttypen in unveränderter Form angehängt.
Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Erstellen Sie die neue Gruppe users auf der Registerkarte Groups list (s. AAbb. 13).
2. Wählen Sie die Gruppe users in der Liste der Benutzergruppen und klicken Sie auf die Schaltfläche Properties.
3. Konfigurieren Sie die Gruppe. Legen Sie den Desinfektionsmodus für ihre Nachrichten fest und aktivieren Sie den Modus zum Blockieren von ausgefilterten Objekten. Wählen Sie dazu die Optionsgruppe Main settings im folgenden Fenster (s. Abb. 14)
63 Kaspersky Anti-Virus für Unix Mail Server
und nehmen Sie auf der entsprechenden Registerkarte (s. Abb. 8) die unten beschriebenen Einstellungen vor:
Check this group – Untersuchung der Mail-Nachrichten für
Absender-Empfänger dieser Gruppe.
Group administrator address – Adresse (Alias) des Gruppenadministrators. Quarantine path – vollständiger Pfad des Quarantäneverzeichnisses.
Geben Sie in den Abschnitten Sender mask und Recipient mask die E-Mail- Adressen oder Adressmasken der Absender und Empfänger an, deren Mail­Nachrichten nach den Regeln der Gruppe urgent bearbeitet werden.
4. Bestimmen Sie die zu filternden Objekte. Wählen Sie dazu die Optionsgruppe Filter rules auf der Registerkarte der Optionen für die Gruppe (s. Abb. 14) und geben Sie im Abschnitt Filter rules auf der entsprechenden Registerkarte (s. Abb. 16) die Maske .*.exe als Wert des Parameters By file an.
Wenn Sie mehrere Masken festlegen wollen, zählen Sie diese mit Komma auf.
#
Other +Properties
KAV for Mail Servers # AV Mail Check # Groups # Gruppe
#
Filter rules
Abb. 16. Registerkarte Filter settings
5. Konfigurieren Sie die Aktionen für Objekte und die Regeln für Benachrichtigungen. Wählen Sie dazu die Optionsgruppe Notify
Arbeit mit Kaspersky Anti-Virus 64
rules auf der Registerkarte der Optionen für die Gruppe (s. Abb.
14) und nehmen Sie auf der entsprechenden Registerkarte (s. Abb.
15) die unten beschriebenen Einstellungen vor:
Aktivieren Sie in der Spalte Quarantine nur das Kontrollkästchen für den Objekttyp Filtered.
Legen Sie in der Spalte Administrator rules folgende Regeln für die Benachrichtigungen an den Gruppenadministrator fest:
Aktivieren Sie in der Spalte Notify für alle Objekte das Kontrollkästchen. Wählen Sie in der Spalte Actions für alle Objekttypen aus der Dropdown-Liste den Wert Unchanged.
Aktivieren Sie in der Spalte Sender rules / Notify für alle Objekttypen außer für Filtered das Kontrollkästchen.
Legen Sie in der Spalte User rules folgende Regeln für die Benachrichtigungen an die Empfänger der Gruppe fest:
! Aktivieren Sie in der Spalte Notify für alle Objekte
außer für Cured das Kontrollkästchen.
! Deaktivieren Sie in der Spalte Attach report die
Kontrollkästchen für alle Objekttypen außer für Cured.
! Wählen in der Spalte Actions für alle Objekttypen
außer für Cured aus der Dropdown-Liste den Wert Unchanged; wählen Sie für das Objekt Cured den gleichnamigen Wert aus der Liste.
6. Wählen Sie auf der Registerkarte Groups list (s. Abb. 13) die Gruppe default und nehmen Sie für diese die Einstellungen vor, die in Pkt. 5.2.1 auf S. 52 beschrieben werden.
7. Aktivieren Sie auf der Registerkarte Notify rules (s. Abb. 15) in der Spalte Quarantine zusätzlich die Kontrollkästchen für die Objekttypen Infected, Suspicious, Corrupted und Errors.
8. Aktivieren Sie für den Objekttyp Protected in der Spalte User rules folgende Kontrollkästchen:
Notify; Attach report;
Wählen Sie in der Dropdown-Liste den Wert Unchanged.
oder:
1. Nehmen Sie folgende Einstellungen für die Gruppe [smtpscan.group:users] vor:
[smtpscan.group:default]
65 Kaspersky Anti-Virus für Unix Mail Server
Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes
AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove
FilterName="*.exe"
FilteredQuarantine=yes
FilteredRecipientNotify=yes
CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured
2. Nehmen Sie folgende Einstellungen für die Gruppe [smtpscan.group:default] vor:
Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes
AdminAddress=admin2@localhost.ru AdminNotify=yes AdminAction=unchanged
SenderNotify=yes
Arbeit mit Kaspersky Anti-Virus 66
RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove
ProtectedRecipientNotify=yes ProtectedRecipientAttachReport=yes ProtectedRecipientAction=unchanged
CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured
5.2.5. Konfiguration der Benachrichtigungen über den Ablauf der Traffic-Lizenz
Wir empfehlen Ihnen außerdem, die Konfiguration einer Benachrichtigung über den Ablauf der Lizenzgültigkeit für die Nutzung von Kaspersky Anti-Virus nehmen. Eine solche Benachrichtigung wird an den Administrator des Servers geschickt (in der Grundeinstellung lautet die Adresse des Administrators: postmaster@localhost).
Die Konfiguration der Benachrichtigung umfasst die Definition folgender Parameter:
Lizenzierungstyp des Produkts: NACH VOLUMEN DES MAIL-
VERKEHRS.
Adresse, an welche die Benachrichtigung geschickt wird. Es ist
zweckmäßig, diese Benachrichtigung an den Administrator des Servers zu senden.
Kritisches Volumen des Mailverkehrs, bei dessen Erreichen eine Benach-
richtigung geschickt wird. Dieser Wert entspricht dem verbleibenden Volumen des Mailverkehrs bis zum Erreichen der Traffic-Grenze.
Die Konfiguration kann direkt in der Konfigurationsdatei des Programms oder im Remote-Modus mit Hilfe des Pakets Webmin erfolgen.
Zur Konfiguration der Benachrichtigung an den Administrator über den Ablauf der Gültigkeitsdauer der Lizenz für die Nutzung von Kaspersky Anti-Virus
®
®
vorzu-
67 Kaspersky Anti-Virus für Unix Mail Server
Geben Sie in der Konfigurationsdatei kav4mailservers.conf für die Para­meter des Abschnitts [smtpscan.license] die entsprechenden Werte an. Zum Beispiel:
[smtpscan.license] LicenseType=traffic LicenseWarningNotifyAddress=admin@localhost.ru LicenseWarningNotifySize=900
oder:
Geben Sie auf der Registerkarte Core settings (s. Abb. 7) des Programms Webmin die Werte für folgende Parameter an:
Type – Lizenzierungstyp für das erworbene Produkt. Wählen Sie aus der Dropdown-Liste den Wert traffic.
Notify size – Volumen des verbleibenden Mailverkehrs in MB (welches Volumen verbliebt bis zum Erreichen des Grenzwerts), bei dessen Erreichen eine Benachrichtigung geschickt wird. Legen Sie im Eingabefeld des Parameters einen entsprechenden Wert fest.
Notify to address – Adresse, an die sofort nach Erreichen des Parameterwerts Notify size eine Benachrichtigung geschickt wird.
Dadurch wird der Administrator eine Benachrichtigung mit folgendem Inhalt erhalten (s. Abb. 17):
Arbeit mit Kaspersky Anti-Virus 68
Abb. 17. Benachrichtigung an den Administrator über den Ablauf der Gültigkeitsdauer der
Lizenz
5.3. Antivirenschutz von
Dateisystemen
Der Antivirenschutz der Dateisysteme eines Servers erfolgt mit Hilfe der Komponente kavscanner, die Serverdateien auf das Vorhandensein von Viren scannt und entsprechend den Einstellungen die Bearbeitung infizierter und verdächtiger Objekte vornimmt. Die Bearbeitung der Objekte kann entweder rein informativen Charakter besitzen (Anzeige von Informationen im Protokoll und auf der Serverkonsole, Benachrichtigung des Administrators) oder auch zur Veränderung des Objekts führen (Desinfektion, Verschieben in ein Quarantäne­verzeichnis, Löschen).
Alle Einstellungen der Komponente kavscanner befinden sich in den Optionen [scanner.*] der Konfigurationsdatei kav4mailservers.conf (s. Anhang A.2 auf S. 112).
69 Kaspersky Anti-Virus für Unix Mail Server
Das Scannen des Dateisystems Ihres Servers kann einmalig aus der Befehlszeile ausgeführt werden oder nach Taskplan mit Hilfe des Standard­dienstprogramms cron. Sie können entweder die Untersuchung aller Datei­systeme des Servers oder eines bestimmten Verzeichnisses festlegen.
Im Folgenden betrachten wir typische Aufgaben für den Antivirenschutz eines Serverdateisystems.
Der Prozess einer Virus-Untersuchung des gesamten Servers ist eine Prozedur mit relativ hohem Ressourcenbedarf. Es ist zu beachten, dass sich bei ihrem Start die Funktionsgeschwindigkeit verlangsamt. Deshalb wird empfohlen, parallel keine anderen Prozesse zu starten. Zur Vermeidung solcher Probleme empfehlen wir das Scannen einzelner Verzeichnisse.
5.3.1. Scannen eines Verzeichnisses aus der Befehlszeile
Eine der Aufgaben, die mit Kaspersky Anti-Virus® gelöst werden können, ist die Virus-Untersuchung und Desinfektion eines bestimmten Serververzeichnisses.
Aufgabe mit automatischer Desinfektion aller gefundenen infizierten Objekte. Der Heuristische Code-Analyzer soll nicht verwendet werden. Alle Objekte, deren Desinfektion nicht möglich war, sollen gelöscht werden. Im gleichen Verzeichnis sollen die Dateien infected.lst, suspicion.lst, corrupted.lst und warning.lst erstellt werden, in denen in dieser Reihen­folge die Namen aller bei der Untersuchung gefundenen infizierten, verdächtigen oder beschädigten Objekte gespeichert werden. Die Arbeitsergebnisse der Komponente (Startdatum, Informationen über alle Dateien außer virusfreien Objekten, mit Detailinfos) sollen nur in der Protokolldatei kavscanner-aktuelles_Datum-pid.log erscheinen, die im gleichen Verzeichnis gespeichert wird.
Lösung: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:
#kavscanner -rlq -pi /tmp/infected.lst
-ps /tmp/suspicion.lst –pc /tmp/corrupted.lst
-pw /tmp/warning.lst -o /tmp/kavscanner-`date "%Y-%m-%d-$$"`.log -i3 -ePASBMe –j3 -mCn /tmp
: Start der Rekursiven Untersuchung des Verzeichnisses /tmp
Arbeit mit Kaspersky Anti-Virus 70
5.3.2. Tägliche Untersuchung eines Verzeichnisses nach Taskplan
In den Betriebssystemen der Unix-Familie wird der zeitgesteuerte Start von Programmen, wozu auch die Tasks von Kaspersky Anti-Virus des Dienstprogramm cron durchgeführt.
Aufgabe: Jeden Tag um 0 Uhr 00 Minuten soll die Virus-Untersuchung des Verzeichnisses /home gestartet werden. Dabei sollen die Scan­Parameter verwendet werden, die in der Konfigurationsdatei /etc/kav/scanhome.conf festgelegt sind.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Erstellen Sie die Konfigurationsdatei /etc/kav/scanhome.conf und geben Sie dort alle erforderlichen Scan-Parameter an (Details s. Pkt. 6.2 auf S. 92).
2. Ändern Sie die Datei, welche die Regeln für die Arbeit des Prozesses cron (
* 0 * * * /path/to/kavscanner -c /etc/kav/scanhome.conf /home
crontab –e) festlegt: Geben Sie folgende Zeile ein:
®
zählen, mit Hilfe
5.3.3. Verschieben von Objekten in ein separates Verzeichnis (Quarantäne)
Sie können die Arbeit von Kaspersky Anti-Virus® so organisieren, dass alle infizierten Objekte des Serverdateisystems in ein separates Verzeichnis verschoben werden.
Diese Möglichkeit kann z.B. verwendet werden, wenn während der Antiviren­untersuchung eines Verzeichnisses eine infizierte Datei gefunden wurde, die wichtige Daten enthält. Bei der Desinfektion könnten die Daten teilweise verloren gehen. In dieser Situation ist es ratsam, das infizierte Objekt in einem separaten Verzeichnis zu isolieren, um es z.B. später zur Untersuchung an Kaspersky Labs zu schicken. Möglicherweise gelingt den Experten die Reparatur der Datei und die darin enthaltenen Daten können vollständig erhalten bleiben.
Wenn das Verzeichnis für isolierte Objekte in der Struktur des Server­dateisystems gespeichert werden soll, empfehlen wir, es für folgende Unter­suchungen aus dem Scanbereich auszuschließen, indem sein vollständiger Pfad als Wert des Parameters ExcludeDir der Konfigurationsdatei angegeben wird.
71 Kaspersky Anti-Virus für Unix Mail Server
Aufgabe: Untersuchung aller Objekte, die in der Datei /tmp/download.lst aufgezählt werden, auf das Vorhandensein von Viren und Verschieben von gefundenen infizierten Objekten mit vollständigem Pfad in das Ver­zeichnis /tmp/infected. Verwendung des Heuristischen Code-Analyzers; Rekursion deaktivieren. Informationen über infizierte, verdächtige und beschädigte Objekte werden in einer Protokolldatei aufgezeichnet.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Legen Sie das Verschieben von Objekten in das Quarantäne­verzeichnis fest, indem Sie die unten angegebene Zeile im Ein­gabefeld des Parameters On infected der Abschnitte Object
action und Container action auf der Registerkarte Kaspersky Anti-Virus Scanner des Programms Webmin angeben (s. Abb.
18):
movePath /tmp/infected
2. Aktivieren Sie den Heuristischen Code-Analyzer und deaktivieren Sie die Rekursive Untersuchung und Desinfektion von Objekten. Nehmen Sie dazu im Abschnitt Scan settings die unten genannten Einstellungen vor:
Cure – Deaktivieren der Desinfektion von infizierten Objekten. Use heuristic – Aktivieren des Heuristischen Code-Analyzers. Recursion – Deaktivieren des Rekursiven Scannens von
Verzeichnissen.
3. Geben Sie in der Befehlszeile ein:
#kavscanner –@/tmp/download.lst
oder:
1. Geben Sie als Aktion für infizierte Objekte in den Abschnitten [object] und [container] der Konfigurationsdatei folgende Zeile an:
OnInfected=movePath /tmp/infected
2. Deaktivieren Sie den Desinfektionsmodus (Cure=no), falls dieser aktiviert war.
3. Geben Sie in der Befehlszeile ein:
#kavscanner –@/tmp/download.lst –ePASBME –rq –i0 -o /tmp/report.log –j3 –mCn
Dieser Task lässt sich auch komplexer gestalten, indem die Forderung aufgestellt wird, den Zugriff auf Dateien des Verzeichnisses /tmp/infected auf
Arbeit mit Kaspersky Anti-Virus 72
Lesen und Schreiben zu beschränken. Dies kann mit Hilfe von Unix-Standard­werkzeugen (Befehl chmod) erreicht werden. Zur Lösung der Aufgabe sind folgende Änderungen erforderlich:
®
1. Geben Sie auf der Registerkarte Kaspersky Anti-Virus
des Programms Webmin (s. Abb. 18) in den Abschnitten Object
action und Container action im Eingabefeld des Parameters On infected folgende Zeile ein:
exec mv %FULLPATH%/%FILENAME% /tmp/infected/%FILENAME%; chmod –x /tmp/infected/%FILENAME%
oder:
1. Geben Sie in den Abschnitten [object] und [container] der Konfigurationsdatei /etc/kav/kavscanner.conf als Bearbeitungsregeln für infizierte Objekte folgende Zeile an:
OnInfected=exec mv %FULLPATH%/%FILENAME% /tmp/infected/%FILENAME%; chmod –x /tmp/infected/%FILENAME%
Scanner
5.3.4. Zusätzliche Optionen: Verwendung von Skriptdateien
Kaspersky Anti-Virus® bietet die Möglichkeit zur zusätzlichen Bearbeitung von Objekten, die der Antiviren-Analyse unterzogen wurden. Hierzu werden unterschiedliche Unix-Standardbefehle sowie Skriptdateien verwendet. Mit Hilfe solcher Werkzeuge können erfahrene Administratoren die Aktionen für Objekte mit unterschiedlichem Status selbständig festlegen und so die Funktionalität von Kaspersky Anti-Virus
®
erweitern.
5.3.4.1. Desinfektion infizierter Archiv-Objekte
Kaspersky Anti-Virus® führt keine Desinfektion infizierter Dateien durch, die in Archive gepackt sind, findet aber in diesen enthaltene verdächtige und infizierte Objekte. Allerdings kann die Desinfektion durch eine zusätzliche Skriptdatei realisiert werden. In der vorliegenden Dokumentation wird ein Beispiel für die Desinfektion von Archiven des Typs tar und zip mit Hilfe der Skriptdatei vox.sh besprochen (s. Anhang A.5 auf S. 126). Dieses Skript gehört zum Lieferumfang von Kaspersky Anti-Virus®.
73 Kaspersky Anti-Virus für Unix Mail Server
Aufgabe Typen tar und zip, und Desinfektionsversuch aller in Archiven gefundenen infizierten Objekte mit Hilfe des Skripts vox.sh. Als
: Untersuchung aller auf dem Server vorhandenen Archive der
Konfigurationsdatei soll /etc/kav/kavscanner.conf.in verwendet werden, in der vorher die Verwendung der Skriptdatei für die Archivdesinfektion festgelegt wird. Verwendung des Heuristischen Code-Analyzers. Aufzeichnung einer Liste aller infizierten Objekte mit vollständigem Pfad in der Datei /tmp/infected_archive.lst. Das Arbeitsprotokoll der Kompo­nente soll nur in der Datei /tmp/logfile.log erscheinen.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Geben Sie die Aktion für infizierte Archiv-Objekte an, indem Sie die
unten genannte Zeile im Eingabefeld des Parameters On infected des Abschnitts Container action auf der Registerkarte Kaspersky
Anti-Virus
®
Scanner des Programms Webmin (s. Abb. 18)
eingeben:
exec /tmp/kavscanner/test/vox.sh \ %FULLPATH%/%FILENAME%
2. Starten Sie das Scannen des Serverdateisystems mit zusätzlichen
Einstellungen, indem Sie auf der Registerkarte Run Kaspersky
Anti-Virus
die Komponente Kaspersky Anti-Virus
®
component (s. Abb. 12) auf die Schaltfläche Start für
®
On-Demand Scanner
klicken.
3. Beschränken Sie bei Bedarf den Scanbereich: Geben Sie im
Eingabefeld des Parameters Scan path im Fenster Startup options (s. Abb. 19) den Pfad des Verzeichnisses an, mit dem die Untersuchung begonnen wird. Klicken Sie danach auf die Schaltfläche Start.
Arbeit mit Kaspersky Anti-Virus 74
Other # KAV for Mail Servers # AV File Check
Abb. 18. Registerkarte Kaspersky Anti-Virus® On-Demand Scanner
Other # KAV for Mail Servers # AV Run+Start
Abb. 19. Registerkarte zur Definition des Scanbereichs
oder:
1. Erstellen Sie die alternative Datei kavscanner.conf.in.
75 Kaspersky Anti-Virus für Unix Mail Server
2. Legen Sie als Bearbeitungsregeln für infizierte Objekte im Abschnitt
[container] dieser Datei folgende Zeile fest:
OnInfected=exec /tmp/kavscanner/test/vox.sh %FULLPATH%/%FILENAME%
3. Geben Sie in der Befehlszeile ein:
# kavscanner –c kavscanner.conf.in –ePASE –qR –o /tmp/logfile.log –j3 –pi /tmp/infected_archive.lst /
5.3.4.2. Senden einer Benachrichtigung an den
Administrator
Durch die Verwendung von Unix-Standardwerkzeugen können Sie mit Kaspersky Anti-Virus konfigurieren, die über den Fund von infizierten, verdächtigen und beschädigten Dateien in den gemounteten Dateisystemen informiert.
Aufgabe: Konfiguration einer Benachrichtigung des Administrators beim Fund infizierter Dateien und Archive in den Dateisystemen des Servers bei jeder Untersuchung des Servers, die entsprechend den Parametern der Konfigurationsdatei kav4mailservers.conf ausgeführt wird.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
Geben Sie in der Konfigurationsdatei kav4mailservers.conf die Bearbei­tungsregeln für gewöhnliche Objekte und Archiv-Objekte an:
[scanner.object] OnInfected=exec echo %FULLPATH%/%FILENAME% is
infected by %VIRUSNAME% | mail -s kavscanner admin@localhost.ru
[scanner.container] OnInfected=exec echo archive %FULLPATH%/%FILENAME% is
infected, viruses list is in the attached file %LIST% | mail -s kavscanner -a %LIST% admin@localhost.ru
oder:
1. Legen Sie eine Aktion für infizierte gewöhnliche Dateien fest, indem Sie die unten angegebene Zeile im Eingabefeld des Parameters On infected des Abschnitts Object action auf der Registerkarte
®
eine Benachrichtigung an den Serveradministrator
Arbeit mit Kaspersky Anti-Virus 76
Kaspersky Anti-Virus® Scanner des Programms Webmin (s. Abb.
18) eingeben:
exec echo %FULLPATH%/%FILENAME% is infected by %VIRUSNAME% | mail -s kavscanner admin@localhost.ru
2. Legen Sie eine Aktion für infizierte Archiv-Objekte fest, indem Sie die unten angegebene Zeile im Eingabefeld des Parameters On
infected des Abschnitts Container action auf der Registerkarte Kaspersky Anti-Virus
18) eingeben:
exec echo archive %FULLPATH%/%FILENAME% is infected, viruses list is in the attached file %LIST% | mail -s kavscanner -a %LIST% admin@localhost.ru
®
Scanner des Programms Webmin (s. Abb.
5.4. Verwaltung von Lizenzschlüsseln
Der Lizenzschlüssel verleiht Ihnen das Recht zur Nutzung des Produkts und enthält alle erforderlichen Informationen, die mit der von Ihnen erworbenen Lizenz verbunden sind. Dazu zählen: Typ der Lizenz, Ende der Gültigkeitsdauer der Lizenz, Anzahl der geschützten Benutzer oder Volumen des lizenzierten Traffic (abhängig vom Typ der Lizenz), Händlerinformationen, usw.
Neben dem Recht zur Nutzung des Produkts während der Gültigkeitsdauer der Lizenz stehen Ihnen folgende Möglichkeiten zur Verfügung:
Technische Unterstützung (rund um die Uhr);
tägliches Update der Antiviren-Datenbanken;
Produktaktualisierung (Patch);
Download neuer Produktversionen (Upgrade);
frühzeitige Benachrichtigung über neue Viren.
Bei Ablauf der Gültigkeitsdauer der Lizenz verlieren Sie automatisch das Recht auf die oben genannten Leistungen. Kaspersky Anti-Virus Antivirenbearbeitung der Serverdateisysteme und des Mailverkehrs durchführen, dabei aber nur die Antiviren-Datenbanken verwenden, die am Datum des Ablaufs der Lizenzgültigkeit aktuell waren. Der Serveradministrator erhält eine Benachrichtigung über den Ablauf der Lizenzgültigkeit. Die automatische Updatefunktion für die Antiviren-Datenbanken steht nicht mehr zur Verfügung.
®
wird weiterhin die
77 Kaspersky Anti-Virus für Unix Mail Server
Aus diesem Grund ist es sehr wichtig, regelmäßig die im Lizenzschlüssel angegebenen Informationen zu überprüfen und das Ablaufdatum der Lizenz­gültigkeit zu verfolgen.
5.4.1. Anzeige von Informationen über den
Lizenzschlüssel
Sie können Informationen über die installierten Lizenzschlüssel in den Arbeitsprotokollen der Komponenten kavscanner, kavupdater und aveserver kontrollieren. Beim Start jeder dieser Komponenten werden Informationen über die Schlüssel geladen.
Daneben ist in Kaspersky Anti-Virus® eine spezielle Komponente licenseviewer vorgesehen, die es ermöglicht, nicht nur ausführliche Informationen über die Schlüssel, sondern auch bestimmte analytische Daten zu erhalten.
Wenn Sie Kaspersky Anti-Virus® mit dem Lizenztyp NACH VOLUMEN DES MAILVERKEHRS erworben haben, erlaubt Ihnen die Komponente licenseviewer, zu überprüfen, welches Traffic-Volumen bereits verbraucht wurde und welches Volumen (in MB) des lizenzierten Mailverkehrs im Moment noch verbleibt.
Außerdem können Sie Informationen über das Volumen des innerhalb eines Tages (nach Stunden) bearbeiteten Traffic erhalten und auf diese Weise Zeiten mit hoher Belastung ermitteln. Diese Informationen können z.B. dann nützlich sein, wenn Probleme mit dem Produkt auftreten und Sie den Service für Technische Unterstützung in Anspruch nehmen möchten.
Beim Erwerb von Kaspersky Anti-Virus® mit dem Lizenztyp NACH BENUTZERANZAHL können Sie die Gesamtzahl der lizenzierten Benutzer ermitteln, die der erworbenen Lizenz entspricht.
Alle oben genannten Informationen können auf der Serverkonsole angezeigt werden oder im Remote-Modus mit Hilfe des Programms Webmin von jedem Computer Ihres Netzwerks gelesen werden.
Um Informationen über alle installierten Lizenzschlüssel anzuzeigen,
wählen Sie Key Info auf der Registerkarte Kaspersky Anti-Virus® for Mail Servers des Programms Webmin. Wählen Sie im folgenden
Fenster (s. Abb. 20) aus der Dropdown-Liste Display keys information und klicken Sie auf die Schaltfläche Show.
Arbeit mit Kaspersky Anti-Virus 78
Other # KAV for Mail Servers # Key Info
Abb. 20. Informationen über die Lizenz
oder:
Geben Sie in der Befehlszeile ein:
licenseviewer –s
Auf der Serverkonsole oder auf der Registerkarte Kaspersky Anti-Virus license info werden folgende Informationen angezeigt:
Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. License file 0003D3EA.key, serial 0038-000419-
0003D3EA, "Kaspersky Anti-Virus for Personal Linux", expires 04-07-2003 in 28 days
License file 0003E3E8.key, serial 011E-000413­0003E3E8, "Kaspersky Anti-Virus for Linux Mail Srv (licence per e-mail address)", expires 25-01-2004 in 234 days
®
Um Informationen über eine bestimmte Lizenzdatei anzuzeigen,
Geben Sie in der Befehlszeile z.B. folgende Zeile ein:
79 Kaspersky Anti-Virus für Unix Mail Server
licenseviewer –k 0003D3EA.key
Auf der Konsole werden folgende Informationen angezeigt:
Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. Serial 0038-000419-0003D3EA, "Kaspersky Anti-Virus
for Personal Linux", expires 04-07-2003 in 28 days
Um Informationen über den lizenzierten Mailverkehr oder die Anzahl der geschützten Benutzer zu erhalten,
wählen Sie Key Info auf der Registerkarte Kaspersky Anti-Virus® for Mail Servers des Programms Webmin. Wählen Sie im folgenden
Fenster (s. Abb. 21) aus der Dropdown-Liste Display license inforrmation und klicken Sie auf die Schaltfläche Show.
oder:
Geben Sie in der Befehlszeile ein:
licenseviewer –i
Auf der Serverkonsole oder auf der Registerkarte Kaspersky Anti-Virus
®
license info werden folgende Informationen angezeigt:
für den Lizenztyp NACH BENUTZERANZAHL:
Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. License email address units: 1500
für den Lizenztyp NACH VOLUMEN DES MAILVERKEHRS:
Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. Daily traffic statistic(Bytes): 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0 License traffic units: 10 (MB) Traffic units used: 0 (MB) Traffic units left: 10 (MB)
Arbeit mit Kaspersky Anti-Virus 80
Other # KAV for Mail Servers # Key Info
Abb. 21. Informationen über den Schlüssel
Für Kaspersky Anti-Virus® mit dem Lizenztyp NACH BENUTZERANZAHL besteht die zusätzliche Möglichkeit, während der Arbeit mit dem Programm jederzeit zu überprüfen, ob ein bestimmter Benutzer geschützt ist, d.h. ob eingehende und ausgehende Mail-Nachrichten des Benutzers der Antivirenbearbeitung unterzogen werden.
Diese Option kann z.B. dann benutzt werden, wenn sich die erworbene Lizenz auf eine große Benutzerzahl erstreckt und vor der Aufnahme eines bestimmten Benutzers in die Liste der lizenzierten Benutzer kontrolliert werden muss, ob dieser bereits in die Lizenzliste aufgenommen wurde.
Um zu kontrollieren, ob der Benutzer sergey@localhost.ru lizenziert ist,
Geben Sie in der Befehlszeile ein
licenseviewer–u sergey@localhost.ru
Auf der Konsole werden z.B. folgende Informationen angezeigt:
Kaspersky license viewer for smtpscanner, Copyright(C) Kaspersky Lab. 1998-2003.
Version 5.0
81 Kaspersky Anti-Virus für Unix Mail Server
User sergey@localhost.ru is licensed
5.4.2. Lizenzverlängerung
Die Verlängerung der Lizenz für die Benutzung von Kaspersky Anti-Virus® verleiht Ihnen das Recht auf die Wiederherstellung der vollen Funktionalität des Produkts, einschließlich der Aktualisierung der Antiviren-Datenbanken. Außerdem werden die Zusatzleistungen, die in Pkt. 5.3.4 auf S. 72 genannt sind, erneuert.
Die Gültigkeitsdauer der Lizenz hängt vom Typ der Lizenzierung ab, den Sie beim Erwerb des Produkts gewählt haben.
®
Um die Lizenz für die Benutzung von Kaspersky Anti-Virus Mail Server zu verlängern:
Setzen Sie sich mit der Firma in Verbindung, bei der Sie das Produkt gekauft haben, und erwerben Sie eine Lizenzverlängerung für die Nutzung von Kaspersky Anti-Virus®.
oder:
Verlängern Sie die Lizenz direkt bei Kaspersky Lab, indem Sie an die Verkaufsabteilung (sales@kaspersky.com Internetseite (www.kaspersky.com/de) im Abschnitt BUY ON-LINE # FÜR LINUX-SYSTEME das entsprechende Formular ausfüllen. Nach Eingang der Bezahlung wird Ihnen der Lizenzschlüssel per E-Mail an die Adresse zugeschickt, die im Bestellformular angegeben wurde.
Nach dem Erwerb ist die Installation des neuen Lizenzschlüssels erforderlich. Kopieren Sie dazu den Schlüssel in das Verzeichnis, in dem die Schlüssel gespeichert sind (Parameter LicensePath in der Konfigurationsdatei), und starten Sie den Server neu.
Es wird empfohlen, anschließend die Antiviren-Datenbanken zu aktualisieren (s. Pkt. 5.1 auf S. 46).
) schreiben oder auf unserer
für Unix
KAPITEL 6. ZUSÄTZLICHE
EINSTELLUNGEN
In diesem Kapitel behandeln wir die zusätzlichen Funktionalitätseinstellungen von Kaspersky Anti-Virus (s. Kapitel 4 auf S. 31), ohne die das Produkt nicht funktionsfähig ist, erfolgen die Zusatzeinstellungen nach Ermessen des Administrators. Sie dienen der Erweiterung der Funktionalität des Produkts und dessen Anpassung an die Verwendungsbedingungen im Rahmen eines konkreten Unternehmens.
®
. Im Unterschied zu den obligatorischen Einstellungen
6.1. Konfiguration des Antivirenschutzes für den Mailverkehr
Beim Scannen des Mailverkehrs auf das Vorhandensein von Viren gelten als Hauptkriterium für die Auswahl der Bearbeitungsregeln jeder Mail-Nachricht die Absender- und Empfängeradressen und die Parameter der entsprechenden Gruppe. Deshalb ist es die Zuordnung von Adressen zu den erforderlichen Gruppen sehr wichtig.
Die Zugehörigkeit einer Mail-Nachricht zu einer konkreten Gruppe wird dadurch bestimmt, dass sowohl Absenderadresse als auch Empfängeradresse in dieser Gruppe vorhanden sind. Das Programm durchsucht die Adressenliste der Gruppe nach beiden Adressen. Sobald in einer durchsuchten Gruppe die Adressenkombination "Absender-Empfänger" gefunden wird, werden auf die Nachricht jene Bearbeitungsregeln angewandt, die durch die Parameter dieser Gruppe definiert sind.
®
Kaspersky Anti-Virus Einstellungen der Konfigurationsdatei kav4mailservers.conf vor. Die Änderung der Datei kann lokal oder im Remote-Modus mit Hilfe des Pakets Webmin erfolgen. Das Vorhandensein einer Zeile mit der Adresse der Nachricht in einer Gruppe wird entsprechend POSIX regex überprüft (Details über diesen Standard s. man 7 regex).
In der Grundeinstellung enthält die Konfigurationsdatei die Gruppe [smtpscan.group:default], in der die Bearbeitungsregeln für Mail-Nachrichten definiert werden. Da die Gruppe ursprünglich keine Absender- und Empfänger­namen enthält, werden die in dieser Gruppe definierten Regeln auf alle Nach-
nimmt die Filterung entsprechend den
83 Kaspersky Anti-Virus für Unix Mail Server
richten angewandt. Sie können die Parameter der Gruppe default ändern und neue Gruppen anlegen.
Wenn Sie andere Gruppen in die Konfigurationsdatei eingetragen haben (s. Pkt. 6.1.1 auf S. 84), dann gilt folgende Bearbeitungsreihenfolge für Mail­Nachrichten:
1. Das Programm überprüft das Vorhandensein der Adressen einer Nachricht in den Gruppen, die vom Administrator angelegt wurden. Wenn die Adressen der Nachricht zu einer bestimmten Benutzer­adressenliste gehören, dann werden auf die Nachricht die Bearbei­tungsregeln angewandt, die durch die Parameter dieser Gruppe definiert sind.
Wenn die Absender- und Empfängeradressen einer zu bearbeitenden Nachricht zum Adressenintervall mehrerer Gruppen gehören, verwendet das Programm die Parameter der ersten Gruppe.
2. Wenn die Adressen zu keiner der vom Administrator angelegten Adressengruppe gehören, dann werden auf die Nachricht die Prog­rammaktionen angewandt, die in der Gruppe default definiert sind.
®
Die Reihenfolge der Aktionen von Kaspersky Anti-Virus
bei der Bearbeitung
einer empfangenen Mail-Nachricht wird auf Abb. 22 grafisch dargestellt.
Zusätzliche Einstellungen 84
Abb. 22. Bearbeitung einer Mail-Nachricht durch das Programm Keeper
6.1.1. Erstellen von Benutzergruppen
In der Grundeinstellung enthält die Konfigurationsdatei von Kaspersky Anti-
®
die Gruppe [smtpscan.group:default], die für alle Absender-Empfänger
Virus des Servers gilt. Sie enthält folgende Bearbeitungsregeln für Mail-Nachrichten:
Untersuchung aller Mail-Nachrichten.
Desinfektion von gefundenen infizierten Briefen.
Zustellung von ausschließlich virusfreien und desinfizierten Mail-
Nachrichten an die Adressaten.
Briefe, deren Desinfektion erfolglos war, sowie verdächtige, beschädigte,
durch Kennwort geschützte Briefe und Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat, nur an den Administrator zustellen.
Benachrichtigung von Absendern, Empfängern und Gruppenadministrator
über infizierte, desinfizierte, verdächtige, beschädigte, durch Kennwort geschützte Briefe und Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat.
85 Kaspersky Anti-Virus für Unix Mail Server
Wenn Sie wünschen, dass Kaspersky Anti-Virus® für unterschiedliche Absender­Empfänger Mail-Nachrichten nach separaten Regeln bearbeitet, dann ist das Erstellen von Gruppen erforderlich.
Um eine neue Benutzeradressengruppe zu erstellen,
1. Erstellen Sie in der Konfigurationsdatei den Abschnitt
[smtpscan.group:Name_der_Gruppe].
2. Definieren Sie die Adressen (Adressmasken) von Absendern und
Empfängern der Gruppe, indem Sie diese durch Komma getrennt als Werte der Parameter Senders und Recipients angeben.
Benutzen Sie bei der Angabe von Masken den Standard POSIX regex. Verwenden Sie zur Aufzählung von Adressen ein Komma.
Wenn Sie keinen Wert für den Parameter Recipients Senders festlegen, wird er definiert als
Wenn WEDER der Parameter Recipient mask, NOCH der Parameter keinerlei Mail-Nachrichten nach den Regeln dieser Gruppe bearbeitet. Sie können diesen Modus verwenden, wenn Sie eine bestimmte Gruppe vom Scannen ausschließen wollen, ohne die Gruppe tatsächlich aus der Gruppenliste zu löschen. Sie kann jederzeit erneut hinzugefügt werden, indem Adressmasken für Absender und Empfänger festgelegt werden.
oder:
1. Erstellen Sie auf der Registerkarte Groups list des Programms
Webmin (s. Abb. 13) die neue Gruppe. Wählen Sie in der Liste der Benutzergruppen einen Namen für die neue Gruppe und klicken Sie auf die Schaltfläche Properties.
2. Geben Sie auf der Registerkarte Main settings (s. Abb. 8) in den
Abschnitten Sender mask und Recipient mask die E-Mail-Adres­sen oder Adressmasken der Absender und Empfänger an, deren Mail-Nachrichten nach den Regeln der Gruppe bearbeitet werden.
Sender mask festgelegt wird, dann werden
.*@.*
ODER
Zusätzliche Einstellungen 86
6.1.2. Modus zur Untersuchung und Desinfektion von Nachrichten
Damit die Antivirenuntersuchung des Mailverkehrs einer konkreten Absender­Empfängergruppe durchgeführt wird, muss der Serveradministrator den entspre­chenden Modus in den Parametern der Gruppe aktivieren.
Definieren Sie dazu in der Konfigurationsdatei kav4mailservers.conf für die Grup- pe den Parameter Check=yes. Erfolgt die Konfiguration im Remote-Modus über das Programm Webmin, dann aktivieren Sie auf der Registerkarte Main settings
(s. Abb. 8) für diese Gruppe das Kontrollkästchen
Ist der Untersuchungsmodus aktiviert, dann werden alle Mail-Nachrichten, die hinsichtlich des Kriteriums Absender-Empfänger zu dieser Gruppe gehören, von Kaspersky Anti-Virus® auf das Vorhandensein von Viren untersucht. Allerdings werden gefundene infizierte Mail-Nachrichten nicht desinfiziert.
Um den DESINFEKTIONSMODUS für infizierte Briefe ZU AKTIVIEREN, muss in der Gruppe mindestens ein Parameter für desinfizierte Objekte (Cured) fest­gelegt werden. Geben Sie in der Gruppe neben anderen Parametern z.B. an:
[smtpscan.group:account] Check=yes CuredRecipientNotify=yes
Dies entspricht folgenden Regeln:
Untersuchung aller Mail-Nachrichten für die Absender-Empfänger der
Gruppe account auf das Vorhandensein von Viren;
Desinfektion von gefundenen infizierten Objekten;
Benachrichtigung an Empfängern über desinfizierte Objekte.
Check this group.
Um im Remote-Modus den Desinfektionsmodus für infizierte Objekte zu aktivieren,
aktivieren Sie auf der Registerkarte Notify list (s. Abb. 15) mindestens ein Kontrollkästchen für den Objekttyp Cured oder wählen Sie den gewünschten Wert aus der Dropdown-Liste der Spalte Action.
6.1.3. Aktionen für Mail-Nachrichten
Für die Aktionen, die mit Mail-Nachrichtenobjekte durchgeführt werden, zwei Faktoren bestimmend:
87 Kaspersky Anti-Virus für Unix Mail Server
Objektstatus, den das Objekt nach der Untersuchung erhält (s. Pkt. 6.2.2
auf S. 94);
Aktion, die für einen konkreten Objektstatus in der Konfigurationsdatei
festgelegt ist.
Der Status eines Objekts wird diesem direkt nach der Virus-Untersuchung vom Prozess aveserver zugewiesen. Die Aktion, die nach der Untersuchung mit dem Objekt durchgeführt werden soll, wird vom Serveradministrator festgelegt.
Kaspersky Anti-Virus richtenobjekte festzulegen, die an Empfänger und Gruppen­administrator zugestellt werden. Für die Absender von Mail-Nachrichten
®
erlaubt es, die Aktionen für Mail-Nach-
kann NUR eine Benachrichtigung festgelegt werden.
Für Mail-Nachrichtenobjekte kann eine der folgenden Aktionen festgelegt werden:
Remove – Löschen des Objekts aus der Mail-Nachricht.
Unchanged – Objekt nicht ändern. In diesem Fall wird das Objekt nicht
der Desinfektion unterzogen und in ursprünglicher Form zugestellt.
Cured – Nur das desinfizierte Objekt zustellen (nur für Objekte des Typs
Cured).
Sie können einheitliche Aktionen für alle Objekttypen festlegen oder jedem Typ eine Aktion zuordnen.
Um einheitliche Aktionen für alle Objekttypen festzulegen,
Legen Sie die entsprechenden Werte für die Parameter AdminAction und ReсipientAction fest. Diese Parameter bestimmen die Aktionen für alle Objekttypen. Zum Beispiel:
AdminAction=unchanged RecipientAction=remove
Alle Mail-Nachrichten der Gruppe werden in unveränderter Form an den Administrator zugestellt, jedoch aus Mail-Nachrichten für den Empfänger gelöscht.
oder:
wählen Sie auf der Registerkarte Notify list (s. Abb. 15) des Pro­gramms Webmin in den Spalten Administrator rules/ Action und User rules/ Action aus den Dropdown-Listen für alle Objekte einen Wert.
Zusätzliche Einstellungen 88
Wenn Sie für jeden Objekttyp eine individuelle Aktion festlegen wollen,
legen Sie die entsprechenden Werte für die Parameter <Objekttyp>AdminAction und <Objekttyp>RecipientAction fest.
Beispiel:
AdminAction=unchanged RecipientAction=remove CuredRecipientAction=cured
In diesem Fall werden alle Mail-Nachrichten unabhängig vom Objekttyp in unveränderter Form an den Administrator zugestellt. Der Empfänger erhält aber nur desinfizierte Briefe. Alle übrigen Objekttypen werden aus Mail-Nachrichten für den Empfänger gelöscht.
Zusätzlich zu den oben genannten Aktionen für Objekte ist das Blockieren des Objekts im Quarantäneverzeichnis vorgesehen.
Um Mail-Nachrichtenobjekte in das Quarantäneverzeichnis zu verschieben,
Legen Sie in der Konfigurationsdatei der Gruppe folgende Parameter fest:
QuarantinePath=/var/db/Quarantine Quarantine=yes
SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes
oder:
1. Geben Sie im Eingabefeld des Parameters Quarantine path auf der Registerkarte Main settings (s. Abb. 8) des Programms Webmin den vollständigen Pfad des Quarantäneverzeichnisses an.
2. Aktivieren Sie in der Spalte Quarantine auf der Registerkarte Notify rules (s. Abb. 15) die Kontrollkästchen für alle Objekttypen, die blockiert werden sollen.
89 Kaspersky Anti-Virus für Unix Mail Server
6.1.4. Benachrichtigung an Absender, Empfänger und Administratoren
Kaspersky Anti-Virus® erlaubt die Konfiguration von Benachrichtigungen (Modus zu deren Versenden, Parameter für das Erstellen und Text) an die Absender von Mail-Nachrichten, deren Empfänger und Gruppenadministratoren über Objekte mit jedem möglichen Status (verdächtig, infiziert, desinfiziert, beschädigt usw.). Das Senden von Benachrichtigungen wird durch folgende Konfigurations­parameter festgelegt:
RecipientNotify – Versenden einer Benachrichtigung an den Empfänger
einer Mail-Nachricht;
SenderNotify – Versenden einer Benachrichtigung an den Absender
einer Mail-Nachricht;
AdminNotify – Versenden einer Benachrichtigung an den Gruppen-
administrator.
Diese Parameter definieren das Senden von Benachrichtigungen für Objekte mit beliebigem Status. Wenn Sie das Senden von Benachrichtigungen für Objekte mit einem konkreten Status festlegen wollen, dann aktivieren Sie folgende Modi:
<Objektstatus>RecipientNotify;
<Objektstatus>SenderNotify;
<Objektstatus>AdminNotify.
In diesem Fall wird nur für den angegebenen Status eine Benachrichtigung an den Adressaten gesandt.
Bei der Angabe folgender Einstellungen in der Gruppe:
InfectedRecipientNotify=yes CuredRecipientNotify=yes CorruptedRecipientNotify=yes SenderNotify=yes AdminNotify=yes
werden z.B. Benachrichtigungen an den Administrator und Absender für Objekte mit beliebigem Status gesendet. Der Empfänger erhält nur Benachrichtigungen über Objekte mit dem Status infiziert, desinfiziert und beschädigt.
Für das Senden von Benachrichtigungen ist außerdem die Angabe der Adresse erforderlich, von der diese abgeschickt werden (Parameter NotifyFromAddress Abschnitt [smtpscan.general]).
In der Grundeinstellung aktiviert Kaspersky Anti-Virus® die Benachrichtigung für Objekte mit beliebigem Status. Alle Benachrichtigungen enthalten einen
Zusätzliche Einstellungen 90
universalen Text, der auf der im Lieferumfang des Produkts enthaltenen Vorlage /etc/kav/5.0/template_notify_main beruht.
Wenn Sie den Benachrichtigungstext ändern wollen, können Sie:
den Text der im Lieferumfang des Produkts enthaltenen Vorlage ändern.
eine neue Vorlagendatei erstellen und den vollständigen Pfad der Datei
als Wert des Parameters Template im Abschnitt [smtpscan.notify] angeben.
Im Text der Vorlage können Sie folgende Makros verwenden, die vom Programm auf Basis der Antworten des Prozesses aveserver automatisch durch die ent­sprechenden Werte ersetzt werden:
%VERSION% – Version von Kaspersky Anti-Virus
®
.
%SENDER% – Mail-Adresse des Absenders der Nachricht. %RECIPIENT% – Liste aller Empfänger der Nachricht, durch
Zeilenumbruch getrennt.
%MSGID% – ID-Nummer des Briefs. %VIRUSNAME% – Textbeschreibung des Problems. Sie können diesen
Text in jede beliebige Sprache übersetzen. Geben Sie dazu die entsprechenden Zeilen für das Objekt jedes Status im Abschnitt [locale] ein. Details s. Anhang A.2 auf S. 112.
%DATETIME% – Datum und Uhrzeit der Bearbeitung der Mail-
Nachricht. Das Format von Datum und Uhrzeit kann ebenfalls geändert werden. Details s. Anhang A.2 auf S. 112.
Solche Makros können auch beim Erstellen der Betreffzeile eines Briefs verwendet werden.
Die Parameter für das Erstellen von Benachrichtigungen (MIME-Typ, Betreff des Briefs, Codierung usw.) befinden sich im Abschnitt [smtpscan.notify] der Konfigurationsdatei.
Eine vollständige Liste aller Arten von Benachrichtigungen (nach Objektstatus) befindet sich auf der Registerkarte Notify list des Programms Webmin (s. Abb.
23)
91 Kaspersky Anti-Virus für Unix Mail Server
Other # KAV for Mail Servers # Notify
Abb. 23. Liste der Benachrichtigungen
Um die Parameter einer Benachrichtigung zu ändern,
1. Wählen Sie diese aus der Liste der Benachrichtigungen und klicken
Sie auf die Schaltfläche Edit.
2. Legen Sie im folgenden Fenster (s. Abb. 24) die erforderlichen Parameter fest und ändern Sie bei Bedarf den Benach­richtigungstext.
Zusätzliche Einstellungen 92
Other # KAV for Mail Servers # Notify# Edit
Abb. 24. Parameter einer Benachrichtigung
Benachrichtigungen, deren Parameter von Ihnen verändert wurden, erhalten in der Liste der Benachrichtigungen neben ihrem Namen das Symbol (+).
6.2. Konfiguration des Antiviren­schutzes für Serverdateisysteme
Die Gesamtauswahl der Parameter für den Antivirenschutz der Server­dateisysteme lassen sich nach ihren Funktionen in folgende Gruppen unterteilen:
Scanbereich (s. Pkt. 6.2.1 auf S. 93).
Modus zur Untersuchung und Desinfektion von Dateien (s. Pkt. 6.2.2 auf
S. 94).
Aktionen für Dateien (s. Pkt. 6.2.3 auf S. 95).
Parameter für das Erstellen des Protokolls über die Arbeitsergebnisse (s.
Pkt. 6.4 auf S. 98).
Betrachten wir die Einstellungen jeder einzelnen Gruppe.
93 Kaspersky Anti-Virus für Unix Mail Server
6.2.1. Scanbereich
Der Scanbereich lässt sich bedingt in zwei Teile gliedern:
Scanpfad – Liste der Verzeichnisse und Dateien, in denen die Virussuche
durchgeführt wird.
Scanobjekte – Typen der Dateien, die auf das Vorhandensein von Viren
gescannt werden (Archive, Mail-Nachrichten usw.).
In der Grundeinstellung werden alle Objekte der verfügbaren Dateisysteme untersucht, wobei mit dem aktuellen Verzeichnis begonnen wird.
Zur Untersuchung aller Dateisysteme des Servers ist es erforderlich, in das Stammverzeichnis zu wechseln oder in der Befehlszeile den Untersuchungsbereich / anzugeben.
Der Scanpfad kann durch folgende Methoden geändert werden:
Durch Leerzeichen getrennte Angabe der Verzeichnisse und Dateien mit
absoluten oder relativen (im Bezug auf das aktuelle Verzeichnis) Pfaden direkt in der Befehlszeile beim Start der Komponente.
Angabe des Scanpfads in einer Textdatei und Festlegen der Verwendung
dieser Datei in der Befehlszeile durch den Parameter Jedes Objekt in dieser Datei wird in einer separaten Zeile und mit absoluter Pfadangabe angegeben.
Werden in der Befehlszeile sowohl der Scanpfad als auch eine Textdatei mit einer Liste von Untersuchungsobjekten angegeben, dann wird der in der Datei angegebene Bereich untersucht. Der in der Befehlszeile angegebene Pfad wird ignoriert.
Einschränkung der Pfade, die standardmäßig festgelegt sind (alle,
beginnend mit dem aktuellen Verzeichnis) oder in der Befehlszeile aufgezählt werden, indem in der Konfigurationsdatei kav4mailservers.conf Masken für Dateien und Verzeichnisse angegeben werden, die aus dem Scanbereich ausgeschlossen werden sollen (Abschnitt [scanner.options], Parameter ExcludeMask und ExcludeDirs).
Deaktivieren der Rekursiven Untersuchung von Verzeichnissen (Abschnitt
[scanner.options], Parameter Recursion oder Befehlszeilenparameter –r).
Die Eingabe von Datei- und Verzeichnismasken sowie das Deaktivieren der Rekursion werden im Remote-Modus mit Hilfe des Programms Webmin auf der Registerkarte Kaspersky Anti-
®
Virus
On-Demand Scanner (s. Abb. 18) vorgenommen.
Erstellen einer alternativen Konfigurationsdatei und Festlegen der
Verwendung dieser Datei durch den Befehlszeilenparameter –с
<Dateiname>
beim Start der Komponente.
-@ <Dateiname>.
Zusätzliche Einstellungen 94
Die standardmäßigen Scanobjekte werden ebenfalls in der Konfigurationsdatei kav4mailservers.conf (Abschnitt [scanner.options]) festgelegt und können auf folgende Weise geändert werden:
direkt in dieser Datei oder auf der Registerkarte Kaspersky Anti-Virus
On-Demand Scanner (s. Abb. 18) des Programms Webmin;
durch Befehlszeilenparameter beim Start der Komponente (s. Anhang A.3
auf S. 122);
durch Verwendung einer alternativen Konfigurationsdatei.
®
6.2.2. Modus zur Untersuchung und
Desinfektion von Dateien
Die Option zur Dateidesinfektion ist sehr wichtig, da von ihr abhängt, ob die Desinfektion von infizierten Dateien, die bei der Untersuchung gefunden werden, erfolgt.
In der Grundeinstellung ist diese Option deaktiviert. Das bedeutet, es erfolgt nur die Untersuchung von Dateien und die Benachrichtigung über den Fund von Viren und anderen verdächtigen oder beschädigten Dateien durch Ausgabe von Meldungen auf der Konsole und im Protokoll (s. Pkt. 6.4 auf S. 98).
Als Ergebnis der Virus-Untersuchung erhält eine Datei einen der folgenden Status:
Clear – Es wurden keine Viren in der Datei gefunden.
Infected – Datei ist infiziert.
Warning – Code der Datei besitzt Ähnlichkeit mit dem Code eines
bekannten Virus.
Suspicion – Code der Datei besitzt Ähnlichkeit mit dem Code eines
unbekannten Virus.
Corrupted – Datei ist beschädigt.
Protected – Datei ist durch Kennwort geschützt.
Ist der Desinfektionsmodus aktiviert (Abschnitt [scanner.options], Parameter Cure=yes), dann werden nur Dateien mit dem Status Infected der
Antivirenbearbeitung unterzogen. Als Ergebnis der Desinfektion erhält die Datei einen der folgenden Status:
Cured – Datei wurde erfolgreich desinfiziert.
CureFailed – Datei konnte nicht desinfiziert werden. Eine Datei mit
diesem Status wird nach den Regeln bearbeitet, die für infizierte Dateien festgelegt wurden.
95 Kaspersky Anti-Virus für Unix Mail Server
Der Desinfektionsmodus für infizierte Objekte kann im Remote-Modus mit Hilfe des Pakets Webmin auf der Registerkarte Kaspersky Anti- Virus® On-Demand Scanner (s. Abb. 18) aktiviert werden.
6.2.3. Aktionen für Dateien
Abhängig vom Status einer Datei (s. Pkt. 6.2.2 auf S. 94) können bestimmte Aktionen auf diese angewandt werden. In der Grundeinstellung erfolgt nur die Benachrichtigung über den Fund von Dateien mit einem bestimmten Status, wozu die Ausgabe von Meldungen auf der Konsole und im Protokoll dient.
Allerdings kann für Dateien mit den Status Infected, Suspiсious, Warning und Corrupted die Ausführung einer Reihe von Aktionen festgelegt werden:
Verschieben in ein bestimmtes Verzeichnis – Verschieben von Dateien
mit einem konkreten Status in ein bestimmtes Verzeichnis; möglich ist einfaches und rekursives Verschieben.
Löschen der Datei aus dem Dateisystem.
Ausführen eines bestimmten Befehls – Bearbeitung von Dateien durch
Unix-Standardbefehlen, Skriptdateien usw.
Für die Dateitypen Protected und Cured erfolgt lediglich eine Meldung, die auf der Konsole und im Protokoll angezeigt wird.
Es ist anzumerken, dass Kaspersky Anti-Virus Objekten (Dateien) und zusammengesetzten (die aus mehreren Objekten bestehen, z.B. Archive) unterscheidet. Auch die Aktionen, die mit solchen Objekten durchgeführt werden, unterscheiden sich; in der Konfigurationsdatei werden sie in unterschiedlichen Abschnitten festgelegt. Für gewöhnliche Objekte im Abschnitt [scanner.object], für zusammengesetzte Objekte im Abschnitt [scanner.container].
®
zwischen gewöhnlichen
Aktionen für selbstextrahierende Archive sind nicht eindeutig: Ist das Archiv selbst infiziert, wird es als gewöhnliches Objekt betrachtet, ist aber ein Objekt innerhalb des Archivs infiziert, als zusammengesetztes. Dementsprechend werden in solchen Fällen auch die Aktionen für Archive durch die Parameter unterschiedlicher Abschnitte der Konfigurationsdatei bestimmt!
Zur Auswahl der Aktion für bestimmte Dateien dienen folgende Methoden:
Angabe der Aktionen in der Konfigurationsdatei kav4mailservers.conf,
wenn sie als Standardaktionen verwendet werden sollen (Abschnitte [scanner.object] und [scanner.container]), Details s. Anhang A.2 auf S. 112).
Zusätzliche Einstellungen 96
Aktionen für Objekte können auch im Remote-Modus mit Hilfe des Programms Webmin auf der Registerkarte Kaspersky Anti- Virus® On-Demand Scanner (s. Abb. 18) festgelegt werden.
Angabe der Aktionen in einer alternativen Konfigurationsdatei und
Verwendung der Datei beim Start der Komponente.
Wenn beim Start der Komponente in der Befehlszeile keine Konfigurationsdatei angegeben wird, dann werden die Funktionsparameter aus der Datei kav4mailservers.conf verwendet. Die Verwendung dieser Datei muss beim Start nicht extra angegeben werden!
Angabe der Aktionen für die laufende Session durch Befehlszeilen-
parameter beim Start der Komponente kavscanner (s. Anhang A.3 auf S. 122).
Die Syntax der Aktionen ist für gewöhnliche Objekte und für zusammengesetzte Objekte identisch (Details s. Anhang A.2 auf S. 112, Abschnitte [scanner.object] und [scanner.container]).
6.3. Konfiguration der Arbeit des Prozesses aveserver
Wie oben erwähnt, findet die Antivirenbearbeitung des Mailverkehrs durch die Zusammenarbeit von zwei Komponenten statt, der Prozesse aveserver und smtpscanner.
aveserver wird beim Start des Betriebssystems gestartet.
Die Herstellung der Verbindung mit aveserver erfolgt direkt beim Zugriff von smtpscanner auf diesen Prozess.
Eine Reihe von Parametern für die Arbeit des Prozesses können in der Konfigurationsdatei kav4mailservers.conf (Abschnitt [aveserver.options]) oder auf der Registerkarte Kaspersky Anti-Virus Webmin (s. Abb. 25) festgelegt werden:
Detach from terminal – Trennen des Prozesses vom Terminal sofort
nach dem Start. Das Aktivieren dieses Modus ist erforderlich, da das Laden des Systems nicht fortgesetzt wird, bevor der Prozess nicht getrennt wurde. In der Grundeinstellung ist dieser Modus aktiviert (Wert
yes). Dieser Modus sollte nur dann deaktiviert werden (Wert no), wenn
der Prozess mit Programmen des Typs svc verwaltet wird.
Startup mode – Wechsel des Prozesses vom Dialogmodus in den
Hintergrundmodus unter der Bedingung, dass DetachFromTerminal=yes. Der Wert fast legt fest, dass der Daemon
®
engine server des Programms
97 Kaspersky Anti-Virus für Unix Mail Server
sofort nach dem Laden der Konfigurationsdatei zum Hintergrundmodus übergeht und den Code 0 zurückgibt. Der Wert normal bedeutet, dass der Wechsel des Prozesses zum Hintergrundmodus erst stattfindet, nachdem die Antiviren-Datenbanken und Lizenzschlüssel in den Arbeitsspeicher geladen wurden.
Im Modus fast ist die visuelle Geschwindigkeit beim Start des Prozesses höher. Allerdings besteht die Möglichkeit, dass der Daemon aufgrund eines fatalen Fehlers nicht gestartet wird und dabei keinerlei Meldung auf der Konsole erscheint!
Local socket permission
– oktale Berechtigung, mit der ein Socket
angelegt wird. In der Grundeinstellung Local socket permission=0666.
Other # KAV for Mail Servers # AVServer
Abb. 25. Parameter für die Arbeit mit dem Prozess aveserver. Registerkarte Kaspersky
Anti-Virus
®
engine server
6.3.1. Neustart von aveserver
Der automatische Neustart des Prozesses aveserver erfolgt sofort nach der Aktualisierung der Antiviren-Datenbanken, unter der Bedingung, dass die entsprechende Option in der Konfiguration aktiviert wurde (ReloadApplication=yes).
Der Neustart wird durch den Befehl kill –HUP <PID des Prozesses> durchgeführt. Dadurch erhält der Prozess das Signal SIGHUP. Bei diesem Signal lädt der übergeordnete Prozess erneut die Konfigurationsdatei, Lizenzschlüssel und Datenbanken oder beendet die Arbeit mit einer entsprechenden Meldung im Protokoll, wenn der Pfad einer Datei nicht korrekt angegeben wurde. Alle offenen Verbindungen der Kopien des Prozesses mit Client-Programmen bleiben bis zu deren Schließen aktiv.
Zusätzliche Einstellungen 98
Ein solcher Neustart des Prozesses aveserver ist auch dann erforderlich, wenn z.B. die Konfigurationsdatei geändert oder ein neuer Lizenzschlüssel installiert wurde.
6.3.2. Zwangsläufiges Beenden der Arbeit
von aveserver
Ist das zwangsläufige Beenden der Arbeit des Prozesses aveserver erforderlich, dann verwenden Sie den Befehl kill < PID des Prozesses>. Der Befehl kill sendet das Signal SIGTERM an den Prozess, durch den die Arbeit von aveserver beendet wird und alle von ihm erzeugten Kopien geschlossen werden.
Es wird ausdrücklich empfohlen, den Befehl kill –9 nicht zum Beenden der Arbeit mit dem Prozess aveserver zu verwenden. Durch das Ausführen dieses Befehls wird zwar die Arbeit des Prozesses beendet, jedoch bleibt im System eine Reihe von temporären und Arbeitsdateien erhalten, die nur manuell gelöscht werden können. Beim Vorhandensein solcher Dateien halten bestimmte Anwendungen (z.B. Webmin) den Prozess für gestartet.
6.4. Lokalisierung des Formats für Datums- und Uhrzeitanzeige
Während der Arbeit mit Kaspersky Anti-Virus® wird für jede Komponente ein Protokoll erstellt. Außerdem werden unterschiedliche Benachrichtigungen für Benutzer und Administratoren generiert. Solche Informationen werden immer von einer Datums- und Uhrzeitangabe begleitet.
®
In der Grundeinstellung verwendet Kaspersky Anti-Virus die Formate, die dem Standard strftime entsprechen:
%H:%M:%S – angezeigtes Format der Uhrzeit; %d/%m/%y – angezeigtes Format des Datums;
Der Administrator kann das Format für Datum und Uhrzeit ändern. Die Lokalisierung der Formate wird im Abschnitt [locale] der Konfigurationsdatei kav4mailservers.conf vorgenommen. Sie können folgende Formate festlegen:
%I:%M:%S %P – zur Anzeige der Uhrzeit im Zwölfstunden-Format
(Parameter TimeFormat).;
%y/%m/%d und %m/%d/%y – zur Anzeige des Datums (Parameter
DateFormat).
für Datum und Uhrzeit
99 Kaspersky Anti-Virus für Unix Mail Server
6.5. Parameter für die Protokollerstellung von Kaspersky Anti-Virus
Die Arbeitsergebnisse aller Komponenten von Kaspersky Anti-Virus® werden in einem Protokoll aufgezeichnet. Das Protokoll wird in einer Datei gespeichert.
Die Ergebnisse der Antivirenbearbeitung der Serverdateisysteme wer­den auch auf der Konsole angezeigt. In der Grundeinstellung sind die Informationen, die im Report aufgezeichnet und auf dem Bildschirm angezeigt werden, identisch. Wenn Sie wollen, dass auf der Konsole andere Informationen angezeigt werden als in der Reportdatei, ist eine Reihe von Zusatzeinstellungen erforderlich (Details s. Pkt. 6.5.3 auf S. 103).
Der Umfang der angezeigten Informationen kann durch Änderung der Protokollgenauigkeit beeinflusst werden.
Die Protokollgenauigkeit wird durch eine Ziffer angegeben, welche die Genauigkeit der Informationen über die Arbeit der Komponenten im Protokoll festlegt. Jedes Folgeniveau umfasst die Informationen des vorhergehenden und bestimmte Zusatzinformationen.
In der folgenden Tabelle werden alle verfügbaren Niveaus der Protokoll­genauigkeit aufgezählt.
®
Bezeichnung
Niveau
1 Errors Informationen über sonstige Fehler, einschließ-
des Niveaus in Webmin
Fatale Fehler Nur Informationen über kritische Fehler (Fehler,
Bedeutung
die zum Beenden der Arbeit des Programms führen, weil bestimmte Aktionen nicht ausgeführt werden können). Beispiel: Eine Komponente ist infiziert, oder bei der Untersuchung bzw. beim Laden von Datenbanken und Lizenzschlüsseln trat ein Fehler auf.
lich Fehlern, die nicht zum Beenden der Arbeit von Komponenten führten; z.B.: Informationen über Fehler beim Scannen einer Datei.
Loading...
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use