Интеграция с MTA в качестве фильтра

Этот вариант интеграции предполагает подключение Dr.Web MailD к серверу электронной почты в качестве внешнего фильтра проверки сообщений. Поддерживаются все почтовые серверы (Exim, Sendmail, Postfix и др.), использующие интерфейсы Milter, Spamd, Rspamd. При использовании почтового сервера Postfix также возможна работа в режиме SMTP (подробнее о принципах работы режима SMTP см. Интеграция с Dr.Web vxCube).

1. При подключении через интерфейсы Milter, Spamd, Rspamd

Для интеграции Dr.Web MailD с сервером электронной почты отредактируйте в конфигурационном файле значения следующих параметров в секции [MailD]:

•Параметры интеграции Dr.Web MailD с MTA. Выберите интерфейс дия интеграции (Milter, Spamd или Rspamd) и установите параметры подключения MTA и параметры проверки сообщений, которые будут поступать на проверку через этот интерфейс. У всех параметров Dr.Web MailD для интеграции с конкретным интерфейсом в имени имеется соответствующий префикс (Milter*, Spamd* или Rspamd*).

1.<interface>Socket — UNIX- или сетевой сокет, который будет использован Dr.Web MailD для получения проверяемых сообщений от MTA через соответствующий интерфейс.

2.Параметры, ограничивающие длительность и ресурсоемкость проверки сообщений (ScanTimeout, HeuristicAnalysis, PackerMaxLevel, ArchiveMaxLevel, MailMaxLevel, ContainerMaxLevel, MaxCompressionRatio). Если детальная настройка не требуется, не изменяйте значения этих параметров.

3.Для более детальной настройки правил фильтрации сообщений (в зависимости от условий) отредактируйте текст процедуры на языке Lua для их обработки, заданной по умолчанию.

•Общие параметры работы Dr.Web MailD при проверке сообщений. Для параметра TemplateContacts укажите адрес администратора почтового сервера UNIX, которому будут пересылаться сообщения с обнаруженными угрозами; для параметра ReportLanguages — язык, который использовать при генерации служебных почтовых сообщений.
В значении параметра RepackPassword укажите способ генерации паролей для защищенных архивов с угрозами, добавляемых в сообщение при перепаковке. Более подробное описание параметров см. в соответствующем разделе.

После внесения изменений в настройки перезапустите Dr.Web для почтовых серверов UNIX, выполнив команду:

Также вы можете перезапустить демон управления конфигурацией Dr.Web ConfigD с помощью команды:

При взаимодействии с MTA через интерфейс Milter Lua-скрипт возвращает MTA действие, котоое будет применено по отношению к сообщению.

При взаимодействии через интерфейс Spamd Lua-скрипт возвращает переменную report, в значении которой содержится слово слово SPAM или THREAT. Полученный результат обрабатывается в соответствии с настройками на стороне MTA (например, в ACL для Exim): либо сообщение будет отклонено, либо получателю будет отправлено предупреждение.

При взаимодействии через интерфейс Rspamd Lua-скрипт возвращает переменную action, которая будет иметь значение ADD_HEADER либо REJECT. Полученный результат обрабатывается в соответствии с настройками на стороне MTA (например, в ACL для Exim): либо к сообщению будет добавлен заголовок, после чего оно будет отправлено получателю, либо оно будет отклонено.

1.SmtpSocket — сокет, который будет использован Dr.Web MailD для получения проверяемых сообщений от MTA. Допускается использование UNIX-сокета или сетевого сокета.

2.SmtpSenderRelay — сокет MTA, который будет использован Dr.Web MailD для отправки прошедших проверку сообщений. Допускается использование UNIX-сокета или сетевого сокета.

3.Дополнительные параметры (таймаут, доступные протоколы подключения, вывод в отладочный журнал). Имеют префикс Smtp. Если детальная настройка не требуется, не изменяйте значения этих параметров.

4.Для более детальной настройки правил фильтрации сообщений (в зависимости от условий) отредактируйте текст процедуры на языке Lua для их обработки, заданной по умолчанию.

После внесения изменений в настройки перезапустите Dr.Web для почтовых серверов UNIX, выполнив команду:

Также вы можете перезапустить демон управления конфигурацией Dr.Web ConfigD с помощью команды:

1. При подключении через интерфейсы Milter, Spamd, Rspamd

Для обеспечения взаимодействия между MTA и Dr.Web MailD необходимо внести следующие изменения в конфигурацию почтового сервера:

1.Указать интерфейс, через который MTA будет взаимодействовать с Dr.Web MailD при проверке сообщений (Milter, Spamd, Rspamd).

2.Задать параметры подключения MTA к Dr.Web MailD через выбранный интерфейс (используемый сокет должен совпадать с тем, который указан в параметре <interface>Socket для соответствующего интерфейса в настройках Dr.Web MailD).

3.Задать действие, которое MTA будет выполнять по результатам проверки сообщения.

После внесения изменений в настройки MTA следует перезапустить его.

Для обеспечения взаимодействия между MTA Postfix и Dr.Web MailD необходимо внести следующие изменения в конфигурацию почтового сервера:

1.Задать параметры клиента для отправки сообщений на проверку в Dr.Web MailD.

2.Задать параметры MTA для отправки проверенных сообщений.

3.Задать параметры подключения MTA к Dr.Web MailD через указанный сокет.

Ниже приведены типовые примеры настроек для MTA Postfix, Sendmail, Exim и CommuniGate Pro для подключения Dr.Web MailD в качестве внешнего фильтра почтовых сообщений через интерфейсы Milter, Spamd и Rspamd, а также в режиме SMTP.

В приведенных ниже примерах необходимо заменить значения <сокет MailD>, <IP-адрес MailD> и <порт MailD> на параметры того сокета Dr.Web MailD, который задан в настройках Dr.Web MailD в параметре <interface>Socket, где <interface> — префикс в имени параметра, соответствующий выбранному для сопряжения с MTA интерфейсу, или в параметре SmtpSocket (в режиме SMTP). В режиме SMTP также необходимо заменить значение <сокет Postfix> на значение сокета Postfix, который задан в настройках Dr.Web MailD в параметре SmtpSocketRelay.

Например, если планируется интегрировать Dr.Web MailD с MTA через интерфейс Milter, с использованием сетевого сокета, при этом MTA и Dr.Web MailD работают оба на локальном узле, и Dr.Web MailD прослушивает порт 12345 для соединений через Milter, то это значение необходимо указать как значение параметра MilterSocket в секции [MailD] в файле конфигурации Dr.Web для почтовых серверов UNIX. В качестве переменной <сокет MailD> в настройках MTA следует использовать значение 127.0.0.1:12345, переменной <IP-адрес MailD> — адрес 127.0.0.1, а переменной <порт MailD> — значение 12345.

В настройках некоторых MTA необходимо предварить адрес сокета, используемого для взаимодействия с Dr.Web MailD, префиксом <тип>, указывающим тип используемого соединения (inet, inet6, unix).

Добавьте следующие строки в файл настроек MTA main.cf:

▫Добавьте следующие строки в файл настроек MTA master.cf:

# Настройки клиента для отправки сообщений на проверку в MailD

scan unix - - n - 10 smtp

-o smtp_send_xforward_command=yes

-o disable_mime_output_conversion=yes

-o smtp_generic_maps=

# Настройки почтового сервера для отправки проверенных сообщений

<сокет Postfix> inet n - n - 10 smtpd

-o content_filter=

-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_milters

-o smtpd_helo_restrictions=

-o smtpd_client_restrictions=

-o smtpd_sender_restrictions=

-o smtpd_relay_restrictions=

-o smtpd_recipient_restrictions=permit_mynetworks,reject

-o mynetworks=127.0.0.0/8

-o smtpd_authorized_xforward_hosts=127.0.0.0/8

▫Добавьте следующие строки в файл настроек MTA main.cf:

Добавьте в образец конфигурационного файла sendmail.mc следующую строку:

После изменения образца sendmail.mc преобразуйте его в действующий конфигурационный файл sendmail.cf с помощью любой из команд:

Добавьте следующие строки в конфигурационный файл exim.conf:

spamd_address = <сокет MailD>
acl_smtp_data = acl_check_data

acl_check_data:
warn spam = nobody:true
add_header = X-Spam_score: $spam_score\n\
X-Spam_score_int: $spam_score_int\n\
X-Spam_bar: $spam_bar\n\
X-Spam_report: $spam_report

deny message = This message scored $spam_score spam points.
spam = nobody:true
condition = ${if >{$spam_score_int}{10000}{true}{false}}

accept message = This message scored $spam_score spam points.
spam = nobody:true
condition = ${if >{$spam_score_int}{1000}{true}{false}}
remove_header = Subject
add_header = Subject: [SPAM] $rh_Subject

Добавьте следующие строки в конфигурационный файл exim.conf:

spamd_address = <сокет MailD> variant=rspamd
acl_smtp_data = acl_check_data

acl_check_data:
# Add header fields
warn spam = nobody:true
add_header = X-Spam_score: $spam_score\n\
X-Spam_score_int: $spam_score_int\n\
X-Spam_bar: $spam_bar\n\
X-Spam_report: $spam_report

# Reject the message with proper description if Rspamd filter tells to do so
deny spam = nobody:true
message = ${extract{2}{:}{$spam_action}}
condition = ${if eq{${extract{1}{:}{$spam_action}}}{reject}}

# Accept the message otherwise
accept

1.Для взаимодействия с CommunigatePro используется дополнительный модуль, который включен в репозиторий Dr.Web и устанавливается при помощи стандартного менеджера пакетов.

2.Модуль будет установлен в каталог /opt/drweb.com/share/cgp/. По завершении установки перейдите в этот каталог и сделайте файл CgpDrweb_AS_AV.py исполняемым:

3.Выполните настройку CommuniGate Pro в веб-интерфейсе управления:

▫Перейдите Settings → General → Helpers и подключите модуль к CommuniGate Pro:

▪в разделе Content Filtering установите новый фильтр и переключите его в состояние Enabled,

▪в параметре Program Path укажите путь к файлу скрипта (для GNU/Linux — /opt/drweb.com/share/cgp/CgpDrweb_AS_AV.py), а также опции, с которыми скрипт будет запускаться (-r — адрес и порт сокета, -u или --rspamd-unix-socket — путь к UNIX-сокету, --debug — включение режима отладки).

Чтобы раздел Helpers был доступен, в веб-интерфейсе CommunigatePro должен быть включен режим просмотра Advanced или Expert (см. в настройках: Preferences → Interface).
Подробную информацию о возможных опциях можно просмотреть с помощью команды:

▪Укажите имя нового правила (например, CgpDrweb_AS_AV) и нажмите Add Rule.

▪Выберите приоритет правила Highest и сохраните изменения.

▪В выпадающем списке Data выберите Message Size, в поле Operation выберите less than, а в поле Parameter укажите значение 40960000.

▪В поле Action выберите значение ExternalFilter, в Parameter — имя фильтра, созданного ранее (CgpDrweb_AS_AV в данном примере).

▫Добавьте правило реакции на обнаружение угроз, укажите его имя (например, Drweb_threats) и нажмите Add Rule.

▪Укажите приоритет правила 5, сохраните изменения.

▪Нажмите Edit справа от имени правила. Дважды добавьте условия для правила:

·В выпадающем списке Data выберите Header Field, в поле Operation выберите is, а в поле Parameter укажите значение X-Spam-Action: reject.

·В выпадающем списке Data выберите Header Field, в поле Operation выберите is, а в поле Parameter укажите значение X-Spam-Symbol-1: threat*.

В поле Action выберите значение Reject with, в Parameter укажите текстовое сообщение (например, The message contains threat(s)).

▫Добавьте правило реакции на обнаружение угроз, укажите его имя (например, Drweb_spam) и нажмите Add Rule.

▪Укажите приоритет правила 5, сохраните изменения.

▪Нажмите Edit справа от имени правила. Добавьте условия для правила:

▪В поле Action выберите значение Tag Subject, в Parameter укажите префикс, добавляемый к заголовку (например, [SPAM]).

4.Скопируйте содержимое приведенного ниже файла в текстовый документ и сохраните его под именем hook.lua.

-- Процедура проверки сообщений,
-- поступивших по протоколу Rspamd

function rspamd_hook(ctx)

-- Проверка сообщения на наличие угроз
if ctx.message.has_threat() then
return {
score = 900,
threshold = 100,
action = "reject",
symbols = {
{
name = "threat",
score = 900
}
}
}
end

-- Проверка сообщения на спам
if ctx.message.spam.score > 100 then
return {
score = ctx.message.spam.score,
threshold = 100,
action = "tag",
symbols = {
{
name = "spam",
score = ctx.message.spam.score
}
}
}
end

return {
score = ctx.message.spam.score,
threshold = 100,
action = "accept",
symbols = {
{
name = "The message is clean",
score = 0
}
}
}
end

Если вы будете изменять код хука, то после внесения изменений потребуется перезапустить Dr.Web ConfigD: