zimbra + kaspersky antivirus

14 de noviembre de 2008

Tengo un Zimbra con tres antivirus libres filtrando el correo en Zimbra: Clamav, AVG y Bitdefender. Aun así me siguen entrando virus como los últimos de UPS que sólo me los está parando Kaspersky o NOD32... es decir antivirus de pago.

Este post explica como integrar la versión de Kaspersky Antifirus for Linux File Server dentro de Zimbra. Se podría integrar tambien el Kaspersky Antivirus for Mail Server pero este se paga por numero de buzones que tengamos (que no se como lo controla) y además funciona como una pasarela entre tú Postfix.
Si utilizamos la versión de File Server solo necesitaremos una única licencia para el servidor y además se integra rapidamente con el Amavis de Zimbra. Se integra igual que Clamav, AVG o Bitdefender.

Para hacer las pruebas puede bajarse gratuitamente desde el Download Product y la trial para una licencia de 60 dias se puede bajar de la Trial Version.

Bajamos la versión 5.7.26 y la instalamos como siempre (rpm -i kav4fs-5.7-26.i386.rpm). Una vez terminada la instalación lanzamos el programa de postinstalación:

/opt/kaspersky/kav4fs/lib/bin/setup/postinstall.pl

La postinstalación nos pedirá básicamente la ruta donde se encuentra la key con las licencias trial y si queremos actualizar las bases de virus en este momento. Le diremos que queremos actualizarlas.
Cuando finalice la actualizacion nos pedirá si queremos arrancar el kavmonitor que es el antivirus residente y en tiempo real. Le diremos que no queremos instalar este componente porque lo unico que queremos es la herramienta de analisis bajo demanda. Esta herramienta es la que utilizaremos con Amavis.

Una vez finalizada la instalación hacemos una prueba de funcionamiento del scaner online:

# cd /opt/kaspersky/kav4fs/bin/
# ./kav4f-kavscanner

El siguiente paso es dar los permisos correctos al kaspersky para que pueda ejecutarse dentro del contexto de Zimbra. Damos permisos al usuario zimbra para ejecutar kav.

# chown zimbra:zimbra -R /opt/kaspersky/
# chown zimbra:zimbra -R /var/log/kaspersky/ 
# chown zimbra:zimbra -R /var/opt/kaspersky/
# chown zimbra:zimbra -R /etc/opt/kaspersky/kav4fs.conf

Entramos con el usuario zimbra y volvemos a verificar que sigue funcionando correctamente:
 
# su - zimbra
# cd /opt/kaspersky/kav4fs/bin/
# ./kav4f-kavscanner

Ahora tenemos que decirle a Amavis que utilice el nuevo antivirus. Para ello editamos /opt/zimbra/conf/amavis.conf.in y añadimos dentro del parámetro @av_scanners = (.....); la siguiente definición de antivirus:
### Kaspersky Antivirus 5.7
  ['Kaspersky Antivirus v5.7.26',
     ['/opt/kaspersky/kav4fs/bin/kav4fs-kavscanner', 'kav4fs-kavscanner'],
     '-r -i0 -xpn -mn -ePASBME -R -i0 {}/*', [0], [5,21,25],
     qr/(?:INFECTED|SUSPICIOUS) (.+)/,
  ],
### fin Kav.

Salvamos el archivo de configuración y reiniciamos Amavis o Zimbra.

# su - zimbra
# cd bin
# ./zmcontrol restart

Para asegurarnos miramos dentro de /var/log/zimbra.log y miramos si amavis ha detectamos Kaspersky y cualquier otro antivirus que tengamos instalado en el sistema:

Nov 14 18:01:25 hermes amavis[24479]: Using primary internal av scanner code for
ClamAV-clamd
Nov 14 18:01:25 hermes amavis[24479]: Using primary internal av scanner code for AVG 
Anti-Virus
Nov 14 18:01:25 hermes amavis[24479]: Found primary av scanner Kaspersky Antivirus v
5.7.26 at /opt/kaspersky/kav4fs/bin/kav4fs-kavscanner

Para finalizar enviamos un virus de prueba como Eicar y verificamos que realmente detecta el virus. Al usuario administrador le llegará un mail como este. Vemos como Eicar está detectado por los tres antivirus incluido el Kaspersky:

------------------
A virus was found: Eicar-Test-Signature
 
Scanners detecting a virus: ClamAV-clamd, AVG Anti-Virus, Kaspersky Antivirus v5.7.26 
 
Content type: Virus 
Internal reference code for the message is 09904-01/jotFQpxzYy29 
 
First upstream SMTP client IP address: [10.5.9.101] zimbra.miempresa.com 
According to a 'Received:' trace, the message originated at: [10.5.9.101], 
  zimbra.miempresa.com (zimbra.miempresa.com [10.159.101]) 
 
Return-Path: admin@miempresa.com 
Message-ID: 31819109.01226679594679.JavaMail.root@zimbra.miempresa.com 
The message has been quarantined as: virus-jotFQpxzYy29 
 
Notification to sender will not be mailed. 
 
The message WAS NOT relayed to: 
admin@miempresa.com: 
   250 2.7.0 Ok, discarded, id=09904-01 - VIRUS: Eicar-Test-Signature 
 
Virus scanner output: 
  p006: Eicar-Test-Signature FOUND 
------------------


2 comentarios:

Anónimo dijo...

Muy buen post! felicidades sigue asi.. funciono al 100%.. gracias =)!

Yamir Ruiz Pizarro dijo...

muy buenos pero no me sirvio para poder asigar a antipam corporativo ya que se queda detenido el kas al darle permiso a zimbra sobre esta carpeta, me gustaria saber otro metodo de integrar kasperky sobre zimbra.
Saludos.