Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
- From: cavalier ludovic <adresse@cachée>
- To: adresse@cachée
- Subject: RESUME : Sympa et antivirus
- Date: Tue, 21 May 2002 11:09:45 +0200
Bilan du test du plugin antiviral sur sympa.
********************************************
Antivirus utilisé : moteur de scan manuel de Trendmicro
Mise en oeuvre :
----------------
Sur la machine cible doivent être présents :
vscan :
copie ou lien de /ISBASE/IScan.BASE/vscan (depuis un serveur interscan)
/etc/iscan/libvsapi.so :
copie ou lien de /ISBASE/IScan.BASE/libvsapi.so (depuis un serveur
interscan)
lpt$vpn.xxx :
copie ou lien de /ISBASE/IScan.BASE/lpt$vpn.xxx (fichier de signatures
d'interscan)
Dans le fichier de configuration de sympa (/etc/sympa.conf) ,
positionner deux variables :
antivirus_path et antivirus_args
Ex. :
antivirus_path /local/antivirus-sympa/vscan
antivirus_args -a -c1 -c2 -l/local/antivirus-sympa/av.log -s -u -y9
-sd -p/local/antivirus-sympa/
-p : donne le chemin d'accès aux fichiers de signatures.
Avantages :
-----------
1 - Dans ce mode plugin , on garantie qu'un message arrivant à une liste
de diffusion est scanné et bloqué.
2 - Ce mode permet également de ne filtrer que le message entrant et non
les messages sortant de la liste dont le nombre peut être conséquent.
3 - On laise sendmail dans l'état d'origine sans qu'un antivirus n'y
fasse de modifications.
Inconvénients :
---------------
1 - Sympa envoie un mail d'avertissement à l'expéditeur avec le mon du
virus.
> **** A L E R T E V I R U S ****
>
> Votre message pour XXX
> contenait le virus suivant: Eicar_test_file.
>
> Nous avons interrompu le transfert de ce message avant
> sa diffusion.
>
> Passez votre machine à l'anti_virus !
Le pb est qu'avec des virus comme KLEZ par exemple, qui usurpent
l'identité de l'expéditeur, on risque d'avertir d'un virus un
utilisateur "sain".
En effet sur la machine infecté de X
klez envoie un mail "to: Y " "from Z"
Pour peu que Y soit une liste sympa et Z un abonné, sympa va envoyer un
mail d'avertissement à Z alors qu'il est sain.
Il n'y a pas d'option dans sympa pour inhiber ces alertes. L'option est
prévue pour la prochaine version.
2 - Il n'y a pas de mise à jour automatique du moteur et des fichiers de
signature. Il faut implémanter cette mise à jour à la mano.
3 - On perd la souplesse d'un antivirus intégré, style interscan, pour
la mise à jour, l'analyse des logs ...
Bilan :
--------
Dans un architecture avec une machine sympa qui reçoit les messages d'un
relais smtp sur lequel on peut installer un antivirus de messagerie, le
plugin n'est pas nécessaire. Il faut par contre s'assurer que la machine
sympa ne soit pas smtp open pour un client et ainsi garantir que les
messages lui arrivant sont bien tous scannés.
Si on arrive pas à cette garantie, le plugin est une bonne solution.
--
Ludovic Cavalier
- RESUME : Sympa et antivirus, cavalier ludovic, 21/05/2002
Archives gérées par MHonArc 2.6.19+.