ASSP + Antivirus

ozzyblank
(usa Ubuntu)

Enviado em 10/11/2011 - 21:45h

Boa Noite, estou com o seguinte problema, preciso criar um gateway que receba e-mail externos verifique spams e virus, ou seja minha redelocal esta protegido com um firewall e utiliza uma maquina linux para ser o gateway nesse gateway que fica antes do firewall pretendo colocar o ASSP + um antivirus CLAMAV provavelmente, a redelocal utiliza webmails como BOL,GMAIL,YAHOO etc, entao antes de o usuario da redelocal baixar esses e-mails para seu pc o gateway deve verificar se tem spam ou virus, mesmo sabendo que isso é responsabilidade dos servidores externos referente ao SPAM, quero ter essa segurança de spam e antivirus dentro da minha rede, alguem me alguma luz se é possivel ? Obrigado.

ozzyblank
(usa Ubuntu)

Enviado em 11/11/2011 - 11:36h

Boa Tarde vou mudar o cenario, seguinte preciso fazer um gateway com um ANTI SPAM rodando nele, achei varios tutoriais onde consigo isso com MTA ou seja servidores internos (qmail, postfix) só que nao utilizamos servidores internos e sim externos, então preciso criar uma solução onde a empresa utiliza um MUA (thunderbird, outlook e etc) para baixar seus e-mails, só que nesse meio caminho quero que o gateway com o ANTI SPAM ( penso em ASSP) ou outro que me sugerir, ele filtra as mensagens antes de cair na caixa de entrada do thunderbird ou qualquer gerenciador de mensagens entenderam?

agradeço que me ajudar a achar uma saida, Obrigado.

balani
(usa Slackware)

Enviado em 11/11/2011 - 17:01h

Deixa eu ver se eu entendi: Vc quer montar um servidor de email que baixe todas as mensagens dos servidores externos tipo GMAIL,BOL,YAHOO, e nele faça toda a filtragem necessaria, e os clientes internos utilizem o servidor não acessem diretamente pelo site, se for isso dê uma olhada nesses artigos:
http://www.vivaolinux.com.br/artigo/Filtragem-de-virus-com-pop3-transparente-pop3vscan/

http://www.vivaolinux.com.br/artigo/Capturando-emails-da-rede-com-Mailsnarf/

Tem outra solução, que usa o postfix para baixar emails desses sites, porem, essa é uma solução que já ouvi falarem mais nunca vi nada implantado, talvez uma pesquisa ajuda.

ozzyblank
(usa Ubuntu)

Enviado em 11/11/2011 - 17:22h

é exatamente isso que preciso, o p3Scan é uma otima solução, peço para os moderadores não encerrar o topico ainda pois queria utiliza-lo caso necessite sanar duvidas do p3Scan, Obrigado pela resposta amigo me ajudou mto.

ozzyblank
(usa Ubuntu)

Enviado em 11/11/2011 - 17:53h

Estou instalando o p3scan tive que fazer algo a mais do que o tutorial como baixar copilador para funcionar o make, consegui baixar o p3scan, descompactei ele, dei um ./configure, dei o make ate ai tudo OK, mas quando vou dar o make install da o seguinte erro




root@p3Scan:/var/p3scan/p3scan-3.0_rc1# make install
Making install in src
make[1]: Entrando no diretório `/var/p3scan/p3scan-3.0_rc1/src'
if gcc -DHAVE_CONFIG_H -I. -I. -I.. -I/usr/include/pthread -g -O2 -MT getline_ssl.o -MD -MP -MF ".deps/getline_ssl.Tpo" -c -o getline_ssl.o getline_ssl.c; \
then mv -f ".deps/getline_ssl.Tpo" ".deps/getline_ssl.Po"; else rm -f ".deps/getline_ssl.Tpo"; exit 1; fi
In file included from p3scan.h:40,
from getline_ssl.c:42:
getlinep3.h:45:25: error: openssl/ssl.h: Arquivo ou diretório não encontrado
In file included from p3scan.h:40,
from getline_ssl.c:42:
getlinep3.h:73: error: expected declaration specifiers or ‘...’ before ‘SSL’
getlinep3.h:78: error: expected declaration specifiers or ‘...’ before ‘SSL’
getlinep3.h:83: error: expected declaration specifiers or ‘...’ before ‘SSL’
getlinep3.h:88: error: expected declaration specifiers or ‘...’ before ‘SSL’
getlinep3.h:106: error: expected ‘)’ before ‘*’ token
In file included from getline_ssl.c:42:
p3scan.h:44:20: error: clamav.h: Arquivo ou diretório não encontrado
In file included from getline_ssl.c:42:
p3scan.h:238: error: expected specifier-qualifier-list before ‘SSL’
make[1]: ** [getline_ssl.o] Erro 1
make[1]: Saindo do diretório `/var/p3scan/p3scan-3.0_rc1/src'
make: ** [install-recursive] Erro 1
root@p3Scan:/var/p3scan/p3scan-3.0_rc1#





o que eu devo fazer?

ozzyblank
(usa Ubuntu)

Enviado em 11/11/2011 - 20:16h

No caso seria eu tenho que instalar o open ssh ?

pq pelo que vi no codigo acima ele começa o erro por não achar um diretorio do openssh

ou está faltando alguma biblioteca ?

obrigado quem responder

ramonzitos
(usa Gentoo)

Enviado em 11/11/2011 - 20:31h

Você esta no Ubuntu? Por que não usa o pacote dos repositórios?
Use: sudo apt-get install p3scan

ozzyblank
(usa Ubuntu)

Enviado em 11/11/2011 - 21:24h

Não sabia que tinha em repositorio o p3scan, eu só segui um tutorial que um colega me mandou no link a cima

http://www.vivaolinux.com.br/artigo/Filtragem-de-virus-com-pop3-transparente-pop3vscan/


Obrigado pela dica ramonzitos

ozzyblank
(usa Ubuntu)

Enviado em 12/11/2011 - 01:55h

Esta instalado o p3scan e o clamav configurado conforme o tutorial da comunidade mas mesmo assim ele não esta detectando virus, eu enviei e-mails com virus ECAR para o meu thunderbird onde o gateway dele é o eth0 onde esta o servidor de gateway, segue mais dados


#segue meu iptables

modprobe iptable_nat
modprobe ipt_mark
modprobe ipt_MARK
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -t mangle -F

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 110 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 143 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 993 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 995 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 465 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 587 -j REDIRECT --to 8110



echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

exit 0

########################################################################################################################3

o arquivo de configuração do p3scan

link do google docs --- https://docs.google.com/open?id=0Bxjlhhp9gCiLY2IzMzIzMDktMTQ1NS00ODFkLWJiOWMtNTQyNTRjZDA4ZGIz


####################################################################################################################


e uma copia do meu ps -A

mostrando que esta rodando os serviços do clamav e do p3scan

5485 ? 00:00:00 p3scan ------------------------------------------------------ AQUI
5535 ? 00:01:12 firefox-bin
5589 ? 00:00:00 plugin-containe
5647 pts/0 00:00:00 ps
7396 ? 00:00:00 gvfsd-computer
8700 ? 00:00:00 cupsd
9559 ? 00:00:00 rsyslogd
9570 ? 00:00:00 atd
9606 ? 00:00:00 acpid
9640 ? 00:00:00 avahi-daemon
9642 ? 00:00:00 avahi-daemon
9803 ? 00:00:00 udevd
10781 ? 00:00:00 upowerd
10785 ? 00:00:00 polkitd
10886 ? 00:00:00 udisks-daemon
10887 ? 00:00:11 udisks-daemon
10944 ? 00:00:00 udevd
10945 ? 00:00:00 udevd
16058 ? 00:00:34 gnome-terminal
16059 ? 00:00:00 gnome-pty-helpe
16060 pts/0 00:00:00 bash
16077 pts/0 00:00:00 su
16085 pts/0 00:00:00 bash
16205 pts/0 00:00:00 nano
16207 ? 00:00:01 flush-8:0
16522 ? 00:00:00 gvfsd-http
16825 ? 00:00:00 empathy
16827 ? 00:00:00 mission-control
16843 ? 00:00:00 evolution-excha
17484 ? 00:00:00 freshclam --------------------------------------- AQUI
28399 ? 00:00:00 xfs_mru_cache
28400 ? 00:00:00 xfslogd/0
28401 ? 00:00:00 xfsdatad/0
28402 ? 00:00:00 xfsconvertd/0
28405 ? 00:00:00 jfsIO
28406 ? 00:00:00 jfsCommit
28407 ? 00:00:00 jfsSync
root@p3Scan:/etc/clamav#


#############################################################


se alguem tem alguma dica de que estou fazendo errado ou entao algum tutorial que me demonstre configurar certinho agradeço


estou utilizando uma maquina virtual somente para os testes antes de colocar em produção

Obrigado a todos que me respondem.

ozzyblank
(usa Ubuntu)

Enviado em 12/11/2011 - 12:05h

como que faço para olhar os LOGS do clamav e do p3scan para ver o que esta de errado ?

removido
(usa Nenhuma)

Enviado em 12/11/2011 - 12:29h

cd /var/log/nome do diretório

ozzyblank
(usa Ubuntu)

Enviado em 12/11/2011 - 15:58h

apaguei a maquina anterior e fiz tudo de novo

ainda nao esta funcionando a captura de virus, alguem me da alguma luz ou outra solução ?

fiz o teste

tcpdump –nli eth2 port 8110

e

tcpdump –nli eth3 port 8110


e não apareceu nenhum pacote para a porta 8110 nem na interface eth2 nem eth3

sera que esta errado meu firewall ?

tentei mudar a porta de escuta do p3scan para 995 (mesma do thunderbird) sem sucesso tambem, as pastas tanto do clamav e do p3scan estao com permissões liberadas para todos chmod 777

nos processos os dois serviços estao rodando





3594 pts/1 00:00:00 bash
6904 ? 00:00:00 clamd ---------- clamav
6916 ? 00:00:00 p3scan ---------- ps3scan
6919 pts/0 00:00:00 ps







vou postar meu firewall para ver as regras

modprobe iptable_nat
modprobe ipt_mark
modprobe ipt_MARK
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -t mangle -F

echo 1 > /proc/sys/net/ipv4/ip_forward

#/etc/init.d/clamav-daemon start



iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT


iptables -A INPUT -p tcp --dport 587 -j ACCEPT



iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 25 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 110 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 143 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 993 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 995 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 465 -j REDIRECT --to 8110
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 587 -j REDIRECT --to 8110


iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE


exit 0



no arquivo do p3scan mudei o usuario para clamav

e viruscode = 1

não encontrei nada na documentação do p3scan, estou quase 24 horas tentando fazer isso e nada

quem puder me dar uma dica de uma solução melhor favor me avisar nao precisa me dizer os passos me passando um link com tutorial, ou entao o nome de outro serviço que possa sanar meu problema já é de grande ajuda, desculpem pelos textos longos, Abraço.