Скачиваем с сайта www.drweb.ru дистрибутив антивируса.
Дистрибутивы версии, которую использовал я, можете скачать из моего архива:
drweb-4.28.1-freebsd4.tgz (1,4Мб)
а также фильтр drweb-smf для сендмейла:
drweb-sendmail-4.28.3-freebsd4.tgz (200Кб)

Схема проверки почты достаточно проста и понятна. Если объяснять своими (моими словами, то получается примерно так – сендмейл, получив сообщение, передаёт его фильтру drweb-smf, который, обращаясь к демону
drwebd, проверяет сообщение, если демон не находит в нём вирус, то сообщение попадает к адресату, если же в сообщении найден вирус, то фильтр, в зависимости от настроек, помещает в карантин и рассылает уведомления отправителю, получателю и администратору.

Установка и настройка сканера и демона DrWeb

Во-первых хочу отметить, что для всего есть очень даже приличные описания как на английском, так и на русском языках. Так что особых проблем у меня не возникло.

Распаковываем файл drweb-4.28.1-freebsd4.tgz и видим дерево каталогов:
etc
opt
usr
var

Раскладываем всё куда положено, и получается вот что:
/etc/drweb – конфиги демона и фильтра;
/usr/local/drweb – бинарники и дока;
/usr/local/etc/rc.d – скрипт запуска демона drwebd;
/var/drweb – временные файлы, спул, сокеты.

Правим в файле /etc/drweb/drweb32.ini некоторые ключики, связанные с путями размещения компонентов антивируса:

[BSD]
EnginePath = "/usr/local/drweb/lib/drweb32.dll"
Key = "/usr/local/drweb/drweb.key"
UpdatePath = "/var/drweb/bases"
[BSD:Daemon]
EnginePath = "/usr/local/drweb/lib/drweb32.dll"
Key = "/usr/local/drweb/drwebd.key"
UpdatePath = "/var/drweb/bases"

Демон может взаимодействовать с фильтром через TCP/IP соединение, например, если демон и фильтр работают на разных машинах. В случае же если и демон и фильтр установлены на одном копьютере, то им лучше взаимодействовать через локальный UNIX-сокет (зачем нам лишний открытый порт). Для этого нам нужно
внести несколько исправлений в конфиг /etc/drweb/drweb32.ini в раздел демона:

[BSD:Daemon]
;SocketMode = TCP (закомментировали)
;DaemonPort = 3000 (закомментировали)
SocketFile = "/var/drweb/run/drwebd.socket"
SocketMode = Unix
SocketAccess 0666

Также хотелось бы, чтобы демон работал не от имени рута, а от имени пользователя drweb, для чего, в том же /etc/drweb/drweb32.ini исправляем ключик:

User = drweb

Ну и, конечно же, должен быть создан указанный пользователь, лучше в поле пароля задать ему «*», чтобы никто не смог использовать этот логин для других целей, также папка /var/drweb должна принадлежать этому пользователю.

Теперь попробуем обновить антивирусные базы. Для этого есть скрипт /usr/local/drweb/update/update.pl. Почему он у меня сразу работать не захотел, ругался вот так:

mv: rename /tmp/drw42805.vdb0.957098969258368 to
 /var/drweb/bases/*.vdb,/var/drweb/bases/drw42805.vdb: No such file or directory

Оказалось, что неверно описаны пути к базам, исправил:

# grep update /etc/drweb/*
drweb32.ini:UpdatePath = "/var/drweb/updates"
drweb32.ini:UpdatePath = "/var/drweb/updates"

Создал указанную папку. После этого обновление работает без ошибок.

Для проверки можем запустить сканер (/usr/local/drweb/drweb), если всё нормально, то он должен сказать что-то типа этого:

Key file: /usr/local/drweb/drweb.key
Registration info:
0100003942
Evaluation Key (ID Anti-Virus Lab. Ltd, St.Petersburg)
This is an EVALUATION version with limited functionality!
To get your registration key, call regional dealer.
Loading /var/drweb/bases/drwtoday.vdb - Ok, virus records: 117
Loading /var/drweb/bases/drw42804.vdb - Ok, virus records: 123
Loading /var/drweb/bases/drw42803.vdb - Ok, virus records: 73
Loading /var/drweb/bases/drw42802.vdb - Ok, virus records: 143
Loading /var/drweb/bases/drw42801.vdb - Ok, virus records: 76
Loading /var/drweb/bases/drwebase.vdb - Ok, virus records: 29405

Отлично! Попробуем подсунуть сканеру какой-нибудь вирус. Для этого лучше использовать специальный тестовый якобы_вирус Почитайте описание этого тестового вируса в файле /usr/local/drweb/doc/readme.eicar

Скопируйте оттуда строку:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

в отдельный файл, например, test.com. Этот файл и будем проверять сканером:

/usr/local/drweb/drweb test.com

В отчёте сканера должна быть строчка:

...
/usr/local/drweb/test.com infected with EICAR Test File (NOT a Virus!)
...

Ура! Сканер работает и находит вирусы.

Если я не ошибаюсь, сканер в проверке почты никак не участвует. Нас больше интересует демон drwebd. Запускаем его:

/usr/local/etc/rc.d/drwebd.sh start

Если демон нормально запустился, то в папке /usr/var/drweb/run должен быть создан сокет (специальный файл) drwebd.socket, а также отчитаться в логи:

...
Daemon is installed, UNIX socket created in file /var/drweb/run/drwebd.socket

Метод вывода логов задаётся в конфиге /etc/drweb/drweb32.ini. По-умолчанию, логи передаюся syslog-демону с типом Daemon:

SyslogFacility = "Daemon"

В документации сказано, что проверить работу демона можно с помощью клиента drwebc, который прилагается в дистрибутиве. Но, судя по всему, это не относится к данному дистрибутиву, т.к. такой программы я не нашёл. Есть правда программа /usr/local/drweb/clients/demo/drwebdc-demo, но разобраться с ней оказалось сложнее чем настроить непосредственно фильтр drweb-smf.

Установка и настройка фильтра drweb-smf

Распаковываем файл drweb-sendmail-4.28.3-freebsd4.tgz, видим две папки etc и opt. Делаем то же, что и для сканера и демона, т.е. перекладываем etc/drweb в /etc/drweb, а opt/drweb /usr/local/drweb.

Поправляем конфиг фильтра /etc/drweb/drweb_smf.conf (описание на русском языке прилагается в дистрибутиве):

[DaemonCommunication]
Address = local:/var/drweb/run/drwebd.socket

[SendmailCommunication]
Address = local:/var/drweb/run/drweb-smf.sock

[Actions]
ScanningErrors = tempfail
ProcessingErrors = tempfail

[NotificationOptions]
NotifyHashSalt = !!!Chtob_nikto_ne_dogodalsya!!!

[VirusNotifications]
SenderNotify = no

Обязательно нужно исправить первые два ключа Address. Последний ключ я выставляю в no, т.к. не считаю нужным отсылать уведомление о вирусе отправителю, т.к. мне кажется, что чаще всего обратный адрес указан фальсифицированный и лишняя нагрузка на почтовый сервер будет напрасной.

Также по умолчанию параметр ScanningErrors установлен в reject – в случае ошибок сканирования отвергать все сообщения, т.е. сообщения вернутся с ошибкой, мне кажется лучше поставить значение tempfail – временная недоступность, почтовая система будет пытаться отправить сообщение позже. Примерно то же самое относится в параметру ProcessingErrors.

Интересная, и неожиданная для меня, возможность задания списка исключений для фильтра (/etc/drweb/users.conf), т.е. вы можете указать для каких адресов проверять сообщения, а для каких не проверять. Пример файла
/etc/drweb/users.conf:

[version=2]
# не проверять входящую почту для этих адресов:
deny     to   subst     malik@mydomain.kg
deny     to   subst     igor@mydomain.kg
# для остальных проверять входящую почту:
allow    to   regex     .*

В данном случае получается, что фильтр должен проверять почту только для пользователей igor@myhost.kg и malik@myhost.kg, а почту для остальных адресов домена не проверять.

Об угловых скобках. В примерах из поставки адреса указаны без угловых скобок, но у меня точное соответствие (exact) без них никак не получалось. А вот с угловыми скобками всё отлично работает, но всё равно надёжнее указывать не точное соответствие exact, а поиск подстроки subst.

ВАЖНО!!! Однажды очень долго боролся с этими списками, пока не задал вопрос на форуме производителя DrWeb-а (спасибо Sergey Akhapkin). Короче говоря, при использовании этих списков необходимо проверить значение параметра DenyMode в конфиге почтового фильтра (drweb_smf.conf) и выставить подходящее значение.

В конце концов, запускаем фильтр (демон должен быть уже запущен) и проверяем наличие в процессах демона и фильтра:
ps xa|grep drweb

Перекомпиляция сендмейла с поддержкой milter-а

Для работы drweb-фильтра необходим сендмейл, скомпилированный с поддержкой milter-а. К сожалению, сендмейл на моей машине оказался без оной. Ну раз уж нужно перекомпилировать сендмейл скачаю последнюю версию: sendmail.8.12.3.tar.gz (1,8Мб)

Компилирую и устанавливаю сендмейл с поддержкой milter-а (все пути даются относительно папки с дисрибутивом):
- дописываю в файл devtools/Site/site.config.m4 (если такого файла нет, то
создаём):

 APPENDDEF(`conf_sendmail_ENVDEF', `-DMILTER')

- в папке libmilter говорим

 Build
 Build install

- в папке дистрибутива sendmail запускаю:

 Build -c
 Build install

Готово – скомпилировали и установили. Про стандартную настройку сендмейла не говорю, это должен знать каждый (кто взялся за установку антивируса
В моём случае, предыдущая версия сендмейла не отличалась от новой по настройкам, поэтому ничего менять не пришлось.
Запускаю и проверяю работоспособность моей почтовой системы – 25-й порт слушает, почту получает/отправляет, логи пишет – красота

Правим sendmail.cf

Чтобы сообщения передавалиь фильтру drweb-smf нужно внести некоторые изменения в конфиг сендсейла. Считается, что правильнее внесить изменения в sendmail.cf при помощи m4, но в данном случае мне этот метод показался слишком громоздким и длинным (да простят меня знатоки сенмейла Я просто, как описано в документации к фильтру, добавил несколько строк в существующий sendmail.cf:

# Input mail filters
O InputMailFilters=drweb-filter

O Milter.LogLevel=6
O Milter.macros.envfrom=i

Xdrweb-filter,  S=local:/var/drweb/run/drweb-smf.sock, F=T,T=S:5m;R:5m;E:1h

Говорим сендмейлу о необходимости перечитать свой конфиг:

kill -HUP `head -1 /var/run/sendmail.pid`

Смотрим логи сендмейла /var/log/maillog и, если всё нормально, пробуем послать сообщение с вложенным тестовым вирусом. Если возникают какие-либо проблемы – внимательно читайте логи. Можно увеличить уровень логирования в sendmail.cf:

O Milter.LogLevel=14

А также изменить в конфиге фильтра /etc/drweb/drweb_smf.conf значение параметра в секции [Logging]:

Level = Verbose

Запуск

Теперь необходимо запускать демон и фильтр при загрузке системы.
Правильнее для этого поместить скрипт в папку /usr/local/etc/rc.d При этом скрипт обязательно должен понимать ключи start и stop, и иметь расширение ‘sh’.

Учтите также, что если работа завершилась неправильно (например, комьютер перезагрузился из-за скачка напряжения), то сохранившийся сокет фильтра (/var/drweb/run/drweb-smf.sock) не позволит ему запуститься в следующий раз.

У меня получился вот такой скрипт:

#!/bin/sh

RETVAL=0
case "$1" in
    start)
        echo -n "Starting Dr. Web daemon..."
        /usr/local/drweb/drwebd
        rm /var/drweb/run/drweb-smf.sock
        /usr/local/drweb/drweb-smf
    ;;
    stop)
        echo -n "Shutting down Dr. Web daemon..."
        kill -TERM `cat /var/drweb/run/drwebd.pid | head -1`
        killall -TERM drweb-smf
    ;;
    *)
    echo "Usage: $0 {start|stop}"
    RETVAL=1
esac
exit $RETVAL

Для полного счастья осталось только регулярно запускать скрипт обновления, например, из папок /etc/periodic/daily или /etc/periodic/weekly

Ну вот вроде и всё.

Май 2002.