Antvirus för Mailserver

Jag använder Sophos genom Mimedefang, och har inte märkt att det skulle vara särskilt minnnesslukande. Sophos är dock kommersiellt, vilket kanske gör att det inte är ett alternativ...

Tror clamav är vad du söker.

"clamav - antivirus scanner for Unix"

Google "clamav postfix howto".

Jag använder ClamAV på mailservern (tillsammans med postfix), och den använder ca 15MB.
Mailservern är måttligt trafikerad, ett par tusen inkommande mail per dygn.
clamd använder inte alls särskilt mycket resurser, den har sina 15MB allokerade men i övrigt gör den inte alls mycket väsen av sig. Servern har varit uppe i 70 dagar, och clamd har använt totalt 5 minuter CPU-tid (på en Athlon XP 1800+, 512MB RAM).

När jag testkörde den (då jag just höll på att sätta upp den) hade jag inte någon demon igång, utan en process startades för varje brev som skulle scannas. Då tog den betydligt mer kraft, eftersom varje process skulle läsa upp de där 15MB.

Kolla om du har en clamd liggande igång hela tiden (ps axu|grep clamd). Om inte, så kan det betyda att den startas varje gång, vilket tar onödigt mycket resurser. Scannar du mer än ett par brev om dan, är det bättre att ha en demon igång alltid.

Jag tycker ClamAV funkar alldeles utmärkt. Gratis och effektivt. Ett par gånger har ett nytt virus slunkit igenom. Då har jag manuellt kört virusdatabasuppdateringen (som annars körs varje natt), och nästan alltid har det då redan funnits en uppdatering för det viruset. Vad jag har märkt har de precis lika snabba uppdateringar som de stora kommersiella alternativen.

Du har den installerad nu, den söker inte igenom mail, men den äter upp systemresurser? Hur hänger det ihop?

Jag satte upp det på ett lite mysko sätt. Först skaffade jag myclammailfilter, som anropades via procmail. Sen skrev jag om myclammailfilter lite, för att ändra vilka headers den sätter i breven. Sen slarvade jag bort källkoden jag hade ändrat, men det var inget avancerat.

I /etc/procmailrc:

#Kör genom virusscanner som taggar brev
:0 fw
|/usr/local/bin/jclamdmailfilter

# Flytta besudlade brev
:0:
* ^X-Antivirus:.*Infected
/dev/null

Det finns väl snyggare lösningar, men den här funkar för mig... När jag ville testa clamav ville jag inte ändra i postfix för mycket, och bara köra det för ett par enstaka användare, därför ville jag ha nåt som gick via procmail. Sen när det skulle köras för "alla användare alltid" funkade det bra, så jag såg ingen egentlig anledning att byta.

Procmail är ett litet monster som körs när brevet ska levereras lokalt (när det kommit ur postfix och ska hamna i nån användares mailbox). Med hjälp av mer eller mindre avancerade recept kan man m.h.a. regexpar undersöka brevet och skicka det till olika ställen (externa adresser, mailboxar eller kommandon).

MailScanner är väl egentligen inte en modul till ClamAV, utan bara en komponent i kedjan. Den kan ta mail från en MTA (mail transfer agent, t.ex. postfix, sendmail eller exim) och köra den genom någon slags scannerverktyg (antispam, antivirus, antivadsomhelst).

Det är väl snarare ClamAV som funkar som en modul till mailscanner. Mailscanner kan användas med andra antivirusprogram också, t ex Sophos (som vi gör i en annan instans). Om vi nu tänker på samma mailscanner, dvs.