gateway-virus-filter

Georg Zetzsche georg.zetzsche at t-online.de
Mon Jan 14 16:31:02 CET 2002 

On Mon, Jan 14, 2002 at 01:43:42PM +0100, Erik Heinz wrote:
> On Mon, Jan 14, 2002 at 01:31:17PM +0100, Andreas.Roth wrote:
> 
> Wir setzen AMaViS (http://www.amavis.org/) recht erfolgreich zum Scannen von
> Mails ein. Das Teil erledigt allerdings nur die Kommunikation mit dem
> Mailserver (sendmail mit milter) und das Auspacken der Attachments.
> 
> Für das eigentliche Scannen braucht man einen kommerziellen Virenscanner,
> z.B. den von McAfee/NAI, allerdings - im Gegensatz zu NT-Serverlösungen -
> nur eine Einzelplatzlizenz.

Ich habe mal einen SMTP-Antiviren-Gateway eingerichtet und zwar mit
AMaViS + f-prot für Linux (der ist kommerziell aber kostenlos).
f-prot wird zwar nicht direkt von AMaViS unterstützt, aber ich habe
ein Wrapper für uvscan -> f-prot geschrieben, das AMaViS vorgaukelt,
es sei uvscan (McAfee/NAI), aber f-prot zum Prüfen benutzt. Leider
konnte ich die Return Codes von F-prot nur experimentell ermitteln und
habe nicht die offiziellen, also keine Garantie für ein
Immer-Funktionieren.

Das Wrapper-Skript plus selbstgeschriebene
Definitions-Download-Skripte für den cron könnte ich Dir bei
Gelegenheit mal schicken.

Das Ziel war damals eine Lösung zum Abschotten eines Netzes gegen
Viren, aber für HTTP habe ich nichts gefunden und habe deshalb
angefangen einen HTTP-AntiViren-Filter-Proxy in C zu schreiben (der
hat nur Filter-Funktion und braucht einen Parent-Proxy, kein
Squid-Ersatz!!).  Allerdings habe ich im Moment *sehr* viel zutun und
habe das deswegen kurzzeitig auf Eis gelegt. Da ist aber nicht mehr
*so* viel zu machen (Scannen müsste schon funktionieren, es muss im
Falle eines Falles nur noch eine Fehlerseite produziert werden und
statt der richtigen zurückgesendet werden, ansonsten proxiet er
schon).

Und nochwas: zum ungefährlichen Testen von solchen AV-Geschichten
gibts den Eicar-Virus, der ungefährlich ist, aber zu Testzwecken von
jedem Scanner erkannt wird. Also kannst Du Dir zum Test mal eine
E-Mail mir Eicar-Anhang schicken. Der müsste mit "Eicar" bei google
zu finden sein.

tschüs
Georg
-- 
Georg Zetzsche <georg.zetzsche at t-online.de>

-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein