salut,
 
Postfix tourne sur une redhat 7.3, j'aimerais i coller un antivirus pour analyser les mails avant de les mettre dans la BAL.
 
J'aimerais faire la meme chose sur mon serveur Squid pour scanner les acces Web
 
Quel produit libre et efficace ?
 
olivier

une idée interressante est d'utiliser amavisd
il sert de 'proxy'  
l'idée est de faire ceci ( je copie sans vergogne le readme de postfix )
 

ou un peu mieux  

Bref amavisd va intervenir pour faire appel au divers antivirus disponibles .
ensuite il y a une liste non exhaustive dans la conf d'amavis  
En ce qui concerne les antivirus il y a
Clamav qui est sous license GPL  
F-Prot gratuit pour une utilisation personnelle
Apres tu en as d'autre payant ( suffit de voir en fait la liste des antivirus supportés par amavisd )
voila

ca a l'air d'etre bien ton truc, exactement ce que je cherchais. Par contre une petite doc francaise ... non ?...

clamavd c'est bien ou bof ?

 
Utilise amavisd et f-prot, ca marche bien  

c'est pour le taf, donc un antivirus sous GPL m'aurait bien arranger... d'autant que j'ai deja un AV payant pour win.

hum il n'y a pas grand chose a faire en fait .
d'un coté installé amavis ( il y a un moteur clamav intégré si je ne m'abuse )
sous debian apt-get install amavisd-new
sous redhat il doit bien y avoir un rpm qui traine dans le coin
ensuite il faut configurer postfix et amavisd .
ah oui je parle la d'un postfix 2.x ( je ne crois pas que le 'content_filter' existe sous les 1.x )
on se basera sur l'exemple 1 plus haut  

• Postfix

Il faut mettre en place en place le necessaire pour 'acceuillir' les mails filtrés
en effet filtrer les mails a amavisd est facile mais apres faudrait éviter de reboucler pour rien ...
Je me base sur ma configuration a moi disponible ici
Tout d'abord on met en place dans le master.cf le necessaire pour 'envoyer' les mails a amavisd  
personnellement j'utilise lmtp pour refiler les mails a amavisd ( google pour la différence entre ltmp & smtp )
donc dans le master.conf j'ajoutes ceci
 

(ici j'ai rajouté le necessaire pour une entrée en smtp aussi en 'plus' du lmtp )
a quoi cela sert il ?
en fait pour filer les mails a amavisd on se sert de la variable 'content_filter' dans le main.cf  
 

donc pour envoyer les mails recus a amavisd je rajouterais dans ma configuration de postfix ( dans le main.cf ) ceci

(a adapter par lmtp si tu veux envoyer en lmtp bien sur )
ici on dit a postfix d'utiliser le 'daemon' stmp-filter (qu'on a crée plus haut dans le master.cf ) pour filtrer les mails et d'envoyer ce qu'on filtre sur l'ip 127.0.0.1 avec le port 10024 ( port ou écoutera amavisd bien sur )
bref ici on a donc un postfix capable d'envoyer des mails a amavisd , apres il va falloir qu'il les récupere    
donc il faut un 'daemon' qui se charge de cela
on le créer a  nouveau au niveau du master.cf

voila ici postfix aura un démon smtp qui sera bindé sur l'ip/port 127.0.0.1:10025 .
de surcroit on passe les variables necessaires a ce qu'il ne soit pas 'refiltré' (c'est notamment le -o content_filter= )
voila .
bien évidemment le bind est important car ici postfix relayera n'importe quoi sur ce port/ip .
Bon normalement on a donc ici un postfix qui tourne avec le necessaire

• Amavisd

bon bein il n'y a pas grand chose a configurer ici
sous debian toute la configuration se fait par le biais du fichier /etc/amavisd/amavisd.conf
(lire la doc d'installation
bon le necessaire au départ tout de meme
(il faut configurer amavisd pour correspondre a ce que l'on veut )
 

ici on indique a amavisd comment et _ou_ envoyer les mails

le port ou amavisd recevra les mails
ensuite bah faut lire la conf =]
ah bien sur tant que le content_filter n'est pas présent dans le main.cf postfix ne filtre évidemment pas les mails
Cela permet de faire ainsi des tests :
envoie d'un mail sur l'interface d'amavis pour voir si il est correctement acheminé sur postfix  , sur l'interface de postfix etc etc
edit: mes configurations sont disponibles ici
(elles sont récentes (tout du moins la partie mysql de postfix ) & _fonctionnent_ & utilisent la notion de pre-cleanup aussi mais bon cela differe que tres peu )

Merci à toi mikala je ne connaissais pas clamav, à ma connaissance il n'existait pas d'antivirus en GPL.

drapal

pareil ca peut tjrs servir  
merci mikala

y a bcp mieux les gars !!!
 
j'ai interscan VirusWall chez moi ... 38 * 2 = 76 euro et c une protection FTP, POP3 SMTP, et HTPP(s) du pure filtrage de flux.
Rien ne passe tout est tuée sur ma gateway linux.en entrée comme en sortie.

oue mais c cher

en gros tu payes pour des regles iptables sur le ftp/pop/http ? =]
(chez moi c'est assez simple il n'y a que _tres_ peu d'extensions qui sont acceptés ... le reste est droppé au niveau du smtp donc les virus je m'en carre la cahouette )
apres filtré le ftp vis a vis des virus ...
enfin tant que tu es heureux  

payer pour quelque chose qui se fait en natif, mouai c'est la mode _vache_à_lait_ quoi, faut aimer se faire traire dans ce cas

toi t'as carrément rien compris ... mais c pas grave.
 
interscan viruswall = filtrage virale/exploits  sur les flux standards.
 
Alors des filtrages d'extension .... si je balance un GET .../%20% ..(bref je te fais pas la suite tout le monde connait l'astuce ..)chez toi ca passe direct sur ton iis ou apache, chez moi le code malicieux etant ds les exploits et donc ds la signature antivirale il se fait tordre le coup DES le firewall LINUX ne confonds pas iptables et l'analyse de contenu potentiellement dangereux.
 
on parle pas du meme outils les gars.
 
et excusez moi mais pour 76 € faut etre le pire des radins pour dire que c cher.
 

oue mais nous on est devant nos logs/ donc on voit toutes les attaques
 
c est bien mais pour une entreprise (meme une tres petite justement)

tiens c'est quoi ta définition du firewall ?
(& puis trop dur de mettre des filtres ad hoc & des REDIRECT sur les requetes a la con (tm) ) ...
mais effectivement c'est ton choix hein ...
Apres la notion de radin .... c'est juste histoire de savoir ou l'on place ses sous .

il a raison, c est une solution a part

non ok , je suis d'acc.
mais c un élément PRIMORDIALE pour protéger tes serveurs exposés (FTP,HTTP(s), SMTP) car meme si ton fwall est béton il laisse passé TOUT ou parti des flux smtp, ftp, http etc ... donc il te faut et patcher a mort des serveur smtp httpp ,ftp ET filtré le contenu
 
definition : Elle est impossible a donner universelement car les firewall ne travail pas tous au meme niveau. MAIS un firewall ne doit pa exister sur le reseau, il doit etre COMPLETEMENT transparent, onne doit pas savoir qu'on le traverse !!! (pour cela je vous invite a reincrémenter les ttl etc apres traitement d'u npaquet ss iptables)
 
Ex: Un checpoint Fw1 vas de la couche 3 à 7, un watchguard travail en couche 3 voir 4 mais pas plus, un iptables travail en couche 3 uniquement donc ...

ah bon ?
je ne filtre rien de ce genre sur mes services ou les serveurs que je gere ...
je me contente de maintenir les serveurs a jour tout simplement ... chaque serveur étant restreint dans ses droits vis a vis du reste du réseau/machine .
ensuite si le port tcp/25 est ouvert c'est que j'ai fait le *choix* de l'ouvrir , et si je l'ouvre je ne vois (moi hein ) aucun interet a filtrer ce qui passe dessus .
Apres effectivement si on se sert de bouses styles Exchange/IIS il devient necessaire de filtrer le contenu pour assurer la sécurité de l'environnement windows sous jacent ... (mais bon la encore c'est le choix de l'administrateur réseau que de mettre des serveurs sensibles en Front..

 
 
ne crois pas ke parce que tu as apache et linux que tu evitera les failles
le filtrage est juste une securite supplementaire, on a pas dit que ct l arme absolue

ce qui fait plaisir c'est que tu lis toujours correctement ( et entierement)  les posts

tu as encore des progrés à faire en sécu toi.  
 
ben ecoutes interscan est free pendant 1 mois install sur ta gateway linux et veras ca te fera chanbgé d'avis .... (les activeX et applet veroléé qui passe en http c halluciant ) m'enfin c toi qui voit apres.

bah desole mais tu dis : normal ke t ai besoin de ca si t utilises IIS
 
ca veut tout dire ...

calmons nous messieurs,
non serieux on est la pour s'aider alors cool.
 
Moi je donne juste mon experience.

oue je sais
 
mais tu ne connais pas le mikala c pour ca

et toi tu ne connais pas le jamiroq ....    
 
Tolérance j'essaies de m'abonner a ca maintenant ..mais c dure j'avoue

ah ah te revoila toi
 
 

 
tu es jamiroq sous un autre pseudo ? Remarque, ton style me rappelait qqun, mais je ne savais pas trop qui...

bah s il change ds le bon sens

fuck
chut. chut svp  tomate77
tu ne m'as pas vu , tu n'as rien entendu. bzzz

 
non tu débarques en disant que tu as la solutions miraculeuse et que le reste est nul. C'est n'est pas tout à fait "Moi je donne juste mon experience."

tu t es grillaid tout seul

 
 
il a dit ke cette solution etait mieux c tout

sauf que je m'en carre la cahouette des activeX moi ...
j'ai pas de windows chez moi ...\o/
les pieces jointes a la con sont systématiquement rejettés ...
il y a un scan antivirus pour les pieces jointes qui sont autorisés en ce qui concerne le smtp ...
Sur le ftp tu peux faire quoi comme requete de merde ? je voudrais bien savoir , partout j'ai du pure-ftpd qui tourne avec des droits restreints ...
pour le http va falloir que tu m'expliques ce que apache peut bien avoir a faire des requetes get a la con sachant que ce meme apache est limité par les acls de grsec dans ses possibilités ( nombre de threads max, mémoire max utilisés etc etc .... )
Accessoirement tu traines sur quels sites pour avoir tant d'applets vérolés ? , la sécurité du navigateur cela s'apprends aussi; bref j'ai plus l'impression que tu prends ton truc pour un arbre qui cache une immense foret derriere ..Enfin c'est toi qui vois apres tout (tm) (c) ....

oui mais pense a ceux ki ont un parc windows a gerer derriere leur passerelle linux

bah dis moi qui a des trous a la con comme cela si ce n'est pas ISS ?
lire les advisory security ce n'est pas mieux ?
la j'ai l'impression de quelqu'un qui préfere mettre un emplatre sur une jambe de bois ...
plutôt que corriger l'application défaillante troué; il préfere mettre un filtre devant <_< .
(sans compter que cela bouffe des ressources pour rien amha )

tu ne penses pas aux entreprises ki ont des parcs info windows

non
(sinon j'espere un tant soit peu que les admins réseaux de ces parc infos limitent les droits des IE & co )