Amavis-new Installation mit Postfix

Home
Schreibe einen Kommentar

Tutorial: Installation von amavis-new und Postfix

AMaViS steht für A MAil Virus Scanner und ist ein serverseitiger Virenscanner, der auf Unixoiden Mail-Servern zum Einsatz kommt. Mit der Weiterentwicklung wurde die Implementierung für Spamfilter wie SpamAssassin erweitert.

  AMaViS wurde in der Programmiersprache Unix-Shell geschrieben, im Jahr 2000 wurde es dann auf Perl umgestellt, ab dann amavis-new für die Standardschnittstelle zwischen den Mail Transfer Agents (MTA) und den Content filter, beispielsweise kompatibel mit Postfix, sendmail oder Exim. Antivirenprogramme die mit amavis-new interagieren sind beispielsweise AntiVir Unix oder ClamAV. Das aktuelle amavisd-new steht unter der GPLv2 und BSD-Lizenz und bietet auch die Möglichkeit, SpamAssassin und andere Filterprogramme (Milter) einzubinden.

INSTALLATION

In diesem Beitrag wird die Installation und Konfiguration von amavis-new beschrieben, mit der Integration für Postfix auf einem CentOS 7 basierten MTA. Es wird vorausgesetzt das Postfix bereits auf dem Host ist und Kenntnisse über Postfix vorhanden sind.

Es wird das EPEL Repository eingebunden, um anschließend die Komponenten zu installieren.

$ yum update
$ yum -y install epel-release

Die Dienstprogramme amavis-new und ClamAV installieren.

$ yum clean all
$ yum -y install amavisd-new clamav-scanner clamav-scanner-systemd

Folgende Anpassungen in der amavisd Konfigurationsdatei editieren mit nano oder vi /etc/amavisd/amavisd.conf

# Zeile 20 der eigene domain name
$mydomain = 'domain.org';
# Zeile 152 der eigene hostname
$myhostname = 'mail.domain.org';
# Zeile 50 lokale domain und netzwerke hinzufügen
@local_domains_maps = ( [".$mydomain", '.domain.org', 'xyz.domain.org'] );  # list of all local domains

@mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
                  10.0.0.0/8 10.127.99.0/24 );
# Zeile 58 erweitern der ports
$inet_socket_port = 10024,10026;
# Zeile 154 auskommentieren
$notify_method = 'smtp:[127.0.0.1]:10025';
$forward_method = 'smtp:[127.0.0.1]:10025';
# Zeile 157 ändern auf D_PASS
$final_virus_destiny    = D_PASS;
$final_spam_destiny     = D_PASS;

Bei aktivem SELinux wird eine Policy hinzugefügt.

$ setsebool -P antivirus_can_scan_system 1
$ setsebool -P clamd_use_jit 1

Der Clamd Virenscanner kann mithilfe des Stream Editors sed editiert werden, folgende Befehlszeilen im Terminal ausführen:

$ sed -i -e "s/^Example/#Example/" /etc/clamd.d/scan.conf
$ sed -i -e "s/^Example/#Example/" /etc/freshclam.conf

Die Clamd Konfigurationsdatei /etc/clamd.d/scan.conf wie folgt konfigurieren:

$ freshclam

Nachdem die amavis-new Konfiguration abgeschlossen ist, geht es an die Integration von Postfix, der Content-Filter kann in der Postfix Datei main.cf an beliebiger stelle hinzugefügt werden, durch das editieren mit vi /etc/postfix/main.cf 

content_filter=smtp-amavis:[127.0.0.1]:10024

Dazu wird in der Datei /etc/postfix/master.cf die Schnittstelle für amavis-new am ende hinzugefügt.

smtp-amavis unix  -     -     n     -    2   smtp
 -o smtp_data_done_timeout=1200
 -o smtp_send_xforward_command=yes
 -o disable_dns_lookups=yes
 -o max_use=20

127.0.0.1:10025  inet  n  -    n    -     -   smtpd
 -o content_filter=
 -o local_recipient_maps=
 -o relay_recipient_maps=
 -o smtpd_restriction_classes=
 -o smtpd_client_restrictions=
 -o smtpd_helo_restrictions=
 -o smtpd_sender_restrictions=
 -o smtpd_recipient_restrictions=permit_mynetworks,reject
 -o mynetworks=127.0.0.0/8
 -o strict_rfc821_envelopes=yes
 -o smtpd_error_sleep_time=0
 -o smtpd_soft_error_limit=1001
 -o smtpd_hard_error_limit=1000

Jetzt Postfix neu starten damit die Konfiguration wirksam wird.

$ systemctl restart postfix

amavis-new starten und zur Autostart Konfiguration hinzufügen.

$ systemctl start clamd@scan
$ systemctl start amavisd.service
$ systemctl enable clamd@scan
$ systemctl enable amavisd.service

Amavisd Funktionstest

$ cd /usr/share/doc/amavisd-new-*/test-messages
$ perl -pe 's/./chr(ord($&)^255)/sge'

Nun mit sendmail im Terminal die EICAR-Test-Signatur an sich versenden.

$ sendmail -i deine_email@domain.ch < sample-virus-simple.txt

In der Protokolldatei /var/log/maillog sollte dann folgender Eintrag registriert sein.

mail amavis[11855]: (11855-01) Passed INFECTED (Eicar-Test-Signature) {RelayedTaggedInbound,Quarantine d}, [127.0.0.1] <root@mail.domain.ch> -> <meine_email@domain.ch>, Message-ID: <20190305170628.630A7C5428@mail.domain.ch>, mail_id: SSDU53BXGSVK, Hits: 2.547, size: 789, queued_as: A808AC5425, 1207 ms

  Erscheint beim versuch mit sendmail die Testmail zu senden der Fehler:reject: header To: undisclosed-recipients, muss die Datei sample-virus-simple.txt editiert werden, und bei From: und To: eine gültige Email eingetragen werden.

Troubleshoting

Die Überprüfung der Funktionalität von amavis-new kann mit folgendem vorgehen erfolgen, Zuerst der Daemon Status der überprüfen, mit dem Parameter -l werden zusätzlich die letzten Zeilen aus dem Protokoll ausgegeben:

$ systemctl status postfix clamd@amavisd -l

Weiter sollte auch sichergestellt sein das die Ports 10024 und 10025 aktiv LISTEN sind:

~]# ss -tuln4
Netid  State      Recv-Q Send-Q      Local Address:Port      Peer Address:Port
tcp    LISTEN     0      128             127.0.0.1:10024                *:*
tcp    LISTEN     0      100             127.0.0.1:10025                *:*
tcp    LISTEN     0      100                     *:587                  *:*
tcp    LISTEN     0      100                     *:465                  *:*
tcp    LISTEN     0      128                     *:22                   *:*
tcp    LISTEN     0      100                     *:25                   *:*

  Mit telnet dieses erst installiert werden muss, lässt sich die Funktion des amavisd und Postfix daemon interaktiv überprüfen:

$ telnet localhost 10024
Trying ::1...
Connected to localhost.
Escape character is '^]'.
220 [::1] ESMTP amavisd-new service ready
quit
221 2.0.0 [::1] amavisd-new closing transmission channel
Connection closed by foreign host.
$ telnet localhost 10025
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.domain.ch ESMTP
quit
221 2.0.0 Bye
Connection closed by foreign host.

E-Mail Verschlüsselung mit PGP in Outlook

Home
Schreibe einen Kommentar

OpenPGP Verschlüsselung und Signieren von E-Mails mit Outlook in Windows 10 und 11

E-Mail Verschlüsselung mit OpenPGP in Outlook zum Schutz der Privatsphäre sollte zur Selbstverständlichkeit gehören, um die Authentizität der Absender und die Unveränderlichkeit zu garantieren, wie verschlüsselte Webseiten über Transport Layer Security (TLS) heute fast überall der Standard ist, vor allem dank der freien und offenen X.509-Zertifizierungsstelle. Let’s Encrypt ist kostenlos und kann einfach auf vielen Plattformen implementiert werden. Zur Verschlüsselung und Signieren von E-Mails, Dateien und Ordnern unter Windows bietet sich Gpg4win (GNU Privacy Guard for Windows) an, eine freie Software die mit nur wenigen Mausklicks installiert werden kann.

  OpenPGP ist der am häufigste verwendete E-Mail-Verschlüsselungsstandard mit asymmetrischen Schlüsseln. OpenPGP wird von der Arbeitsgruppe der Internet Engineering Task Force (IETF) als vorgeschlagener Standard in RFC 4880 definiert.

INSTALLATION

Voraussetzung für E-Mail Verschlüsselung mit OpenPGP in Outlook ist ein Windows 10 oder Windows 11, Microsoft Outlook 2010, 2013, 2016 oder 2019 (32bit oder 64bit). Die in dieser Anleitung in Anwendung gebrachte Gpg4win Software kann hier herunter-geladen werden. Die Installation ist unspektakulär und vollzieht sich mit wenigen Maus klickst.

Nach dem Gpg4win auf dem Windows 10 Computer Installiert ist, findet sich das Outlook-Plugin GpgOL im Outlook Ribbon.

Weiter findet sich die Schlüsselverwaltung Kleopatra unter dem Start Programme Menü, aus diesem man sich erst ein Schlüsselpaar generieren lässt. Nach erzeugen eines Schlüsselpaares, dem privaten geheimen Schlüssel, kann der öffentliche Schlüssel den Empfängern bekannt gegeben werden. Es handelt sich hier um sogenannte asymmetrische Schlüssel.

Hat man eine eigene Webseite, empfiehlt es sich der öffentliche Schlüssel darauf zu publizieren, beispielsweise zur E-Mail in der Kontaktseite. Aus Kleopatra wird mit einem rechts klick über seiner E-Mail Adresse das Kontextmenü geöffnet, darin wählt man Exportieren, oder über die Option Details.

Der in der asc-Datei exportierte öffentliche Schlüssel kann in Notepad geöffnet werden, den Inhalt mit Copy & Paste in ein E-Mail einfügen, oder als Anlage an den Empfänger versenden, mit diesem man verschlüsselte E-Mail austauschen möchte. Grundsätzliche kann man mit jedem E-Mail Empfänger verschlüsselt kommunizieren, sobald Absender und Empfänger ihre PGP Public Keys untereinander ausgetauscht haben, und die E-Mail in Kleopatra beglaubigt wurde, können E-Mails untereinander entschlüsselt werden.

Beim verfassen einer Nachricht die Signiert und verschlüsselt werden soll, klickt man die Option Absichern im Outlook Ribbon.

PGP Verschlüsselte Email mit Outlook

Für Nutzer von Thunderbird gibt es das Enigmail Add-on, dieses hier heruntergeladen werden kann. Enigmail ist ein nahtlos integriertes Sicherheits-Add-on für Mozilla Thunderbird. Es verwendet OpenPGP um E-Mails zu verschlüsseln und digital zu signieren sowie empfangene Nachrichten zu entschlüsseln und zu überprüfen.

LINUX GnuPG

Für GNU/Linux basierte Systeme kann direkt GnuPG über den Paketmanager installiert werden.

$ sudo apt install -y gnupg

Unter MacOS X kann die GPG Suite verwendet werden.

Copy
Die mobile Version verlassen