Ještě před několika lety byla koncepce antivirové ochrany poštovního serveru nepřijatelná. Zastánci klasických řešení argumentovali tím, že poštovní server by neměl dělat věci, které mu nepřísluší, tedy všechno ostatní vyjma přijímání a doručování pošty. Mailový server (MTA) by měl manipulovat pouze s obálkou přenášených zpráv a jakýkoliv zásah do obsahu je nežádoucí, neboť má neblahý vliv na výkon a spolehlivost mailového serveru. Problematika antivirové kontroly by se měla řešit až na místě, kde způsobuje problémy – tzn. na koncových stanicích, které jsou náchylné k antivirové nákaze (rozuměj ve Windows).
Jak čas postupoval, tak se bohužel ukázalo, že jakkoliv je uvedený názor logický, exponenciální nárůst závadného obsahu v našich mailboxech přinutil i ty nejzavilejší zastánce starých pořádků slevit z těchto ušlechtilých zásad a bojovat s viry, jak se jen dá – tedy i na mailserverech. Zánik poštovním antivirům tedy nehrozí. Naopak, kromě klasických červů a trojských koňů jim navíc přibyl další soupeř – všudypřítomné spamy, a tak se v poslední době můžeme stále častěji setkávat s kombinovanými řešeními, která zahrnují jak antivirovou, tak i antispamovou ochranu. Jedním z nich je i VirusBuster Mailshield 2004 for SMTP, který vám představíme v dnešním článku.
Pokud chceme aplikovat ochranu na poštovní server, máme hned několik možností, jak tak učinit. Většina antivirů na to jde tou cestou, že do existujícího poštovního systému, např. Sendmail nebo Postfix, vřadí další součást (tzv. wrapper), který v určité fázi zpracování mailu předá antivirovému programu zpracovávaný mail ke kontrole. Antiviry tohoto typu ovšem mají obtížnější instalaci a je nutné, aby byly přizpůsobeny pro konkrétní verze MTA programů.
Jinou možností je spojit antivirovou kontrolu až s procesem doručení zprávy do uživatelských poštovních schránek (MDA), kdy je kód antiviru volán ze skriptu, který určuje pravidla pro doručování (procmail). Tyto antiviry ovšem vůbec nebrání před viry, které se ukrývají v odchozí poště, a neumožňují odmítnout převzetí nakaženého souboru už na hranicích sítě.
VirusBuster MailShield for SMTP ovšem představuje zcela jiný koncept, který spočívá v tom, že antivir samotný funguje jako síťová aplikace, která poslouchá na standardním SMTP portu (tcp/25), obsluhuje příchozí SMTP spojení a provádí kontrolu datového obsahu přijímané zprávy. V případě, že v ní objeví virus, provede se stanovená akce – zpravidla odmítnutí doručení a přesun do karantény. Až když uzná, že zkoumaná zpráva neobsahuje žádný závadný obsah, přepošle ji na předem specifikovaný SMTP server, který se teprve postará o její řádné zpracování a doručení adresátovi.
Instalace
Můžeme si představit dva možné scénáře použití VirusBusteru. První z nich předpokládá instalaci na dedikovaném serveru, tzv. SMTP gatewayi. Na adresu této brány nasměrujeme MX záznamy všech domén, které hodláme obsluhovat. VirusBuster zkonfigurujeme tak, aby všechnu verifikovanou poštu předával na adresu původního serveru. Výhodou takového řešení je možnost téměř bezešvé instalace do systému. Nemusíme provádět žádnou rekonfiguraci mailserveru, jednoduše změníme DNS a do sítě přidáme další počítač, který zastane antivirové služby. Musíme ovšem počítat s určitou setrvačností systému DNS.
Druhou možností, která si ovšem vystačí pouze s jedním strojem, je možnost rekonfigurovat původní SMTP server, aby poslouchal na jiném než standardním portu (např. 2525), což obvykle nebývá problém, a posléze instruujeme VirusBuster, aby ověřené zprávy předal na tento změněný port.
Instalace vbmailshieldu je snadná. Spočívá v rozbalení distribučního balíčku a spuštění instalačního skriptu, který se postará o zkopírování binárek a ostatních souborů na příslušná místa. Když už je řeč o instalačním balíčku, tak dodejme, že vbmailshield je k dispozici pro celou řadu platforem. Vedle Linuxu to je také FreeBSD, OpenBSD (x86), Sun Solaris 9 (SPARC) a dokonce také AIX (PPC). Bohužel však chybí nativní podpora pro populární platformu AMD64.
Z dalších systémových požadavků je třeba pamatovat na glibc 2.2.5+, Perl 5+, wget a OpenLDAP, což ovšem nebude u současných distribucí problém. Výrobce uvádí požadavky na hardware v řádech Pentium 300 MHz, 128 MB RAM a 32 MB na disku, ovšem skutečné nároky je nutné přizpůsobit očekávanému objemu provozu poštovního serveru.
Oproti předchozím verzím VirusBusteru je při provozu vyžadován licenční klíč. Pokud si chcete vbmailshield pouze vyzkoušet, je možné stáhnout jej ze stránek lokálního distributora VirusBusteru, společnosti OfficePlus, automaticky tak získáte licenční řetězec platný 30 dní.
Po instalaci je nutné stáhnout aktuální verze virové báze pomocí k tomu určeného skriptu vdbupdate.sh. Doporučuji nezapomenout tento skript přidat mezi naplánované akce do cronu, protože instalační program to za vás neudělá.
Potěšitelné je, že konfigurace programu je soustředěna do jediného konfiguračního souboru /etc/vbmailshield/vbmailshield.conf, ve kterém se lze díky bohatým komentářům zorientovat i bez nahlédnutí do manuálových stránek a dokumentace. Startování programu probíhá pomocí obvyklého rc skriptu vbmailshield.
Co umí?
Je sympatické, že některé části VirusBusteru, konkrétně kód obsluhující síťová spojení, je koncipován jako víceprocesorová aplikace, což napomáhá škálovatelnosti antiviru na víceprocesorových počítačích. Řešení je ve stylu Apache 1.x, tzn. při určité zátěži se forkuje nový proces. Na skutečnou vícevláknovou antivirovou aplikaci, která by umožnila fungování antiviru na skutečně velkých strojích, si zřejmě budeme muset ještě nějakou dobu počkat.
Samozřejmostí je celá řada definovatelných politik a filtrů, díky kterým máme takřka neomezené možnosti manipulovat se zpracovávanou zprávou, vytvářet notifikace, archivy, pozměňovat její obsah, ořezávat přílohy nebo jejich části apod. Samozřejmostí je podpora v současnosti populárních virů ukrytých v komprimovaných přílohách.
V kontextu aktuálních masivně šířených serverů, které podvrhují adresu odesílatele, potěší funkce WormBuster, díky které je možné potlačit vytváření falešných chybových notifikací (bounces).
Antispamový filtr nabízí několik stupňů ochrany. Samozřejmosti jsou black/white listy obsahující seznam nežádoucích odesílatelů, ať už podle jejich obálkové, nebo IP adresy. Preciznější práci umožňuje bayesiánský filtr, který klasifikuje kontrolované maily na základě statistické analýzy textu. Známou bolestí klasických bayesiánských filtrů je kvalita jejich databáze, když v první fázi, kdy je databáze prázdná nebo nekvalitní, vykazuje antispam pouze malou úspěšnost. Jak databáze roste, úspěšnost odhalování spamů se zvyšuje. Líbí se mi proto recept VirusBusteru, kde je kvalitní spamová databáze udržována na domovských stránkách výrobce a její aktualizace probíhá podobně jako aktualizace antivirových řetězců. Kromě toho samozřejmě nechybí také možnost poučit se z již odhalených spamů.
Další užitečnou vlastností je podpora LDAPu. Tím, že je vbmailshield předřazen SMTP serveru, přechází na něj odpovědnost kontrolovat oprávnění posílat poštu přes daný server (relaying). Proto VirusBuster obsahuje podporu LDAP, který slouží jako autentizační backend pro SMTP autentizaci. Když už máme LDAP, byla by škoda použít jej pouze pro ověřování uživatelů. Proto vbmailshield umožňuje per-user i per-domain uživatelské nastavení. Například je možné zapínat jednotlivé filtry pro jednotlivé uživatele, zapínat a vypínat jednotlivé služby pro konrétní doménu apod. Vše se ovládá právě v LDAP databázi.
Zklamu toho, kdo by na tomto místě očekával nějaké objektivní měření úspěšnosti antivirové nebo antispamové ochrany. Je známou skutečností, že kvalita bezpečnostních řešení se dá posoudit pouze v čase. Proto je úplně jedno, kolik dokáže VirusBuster odhalit virů v mém tři roky udržovaném soukromém obludáriu (byly to všechny), ale záleží na tom, jak pružně se vypořádá právě s tím kouskem, který zrovna za týden zaplaví vaši firmu.
Kolik to stojí?
Linux ne-linux, za antiviry se platí, to už dnes málokoho překvapí. Licencování je podobné jako u ostatních podobných antivirů, licencuje se vždy na rok a poplatek záleží na počtu spravovaných domén. Potěšitelné je, že cena je poměrně příznivá. Základní poplatek s licencí pro dvě domény a 1000 mboxů vychází na 7662 Kč. Každý další rok provozu zaplatíte jen 60 % z této částky. S rostoucím počtem zakoupených domén se cena progresivně snižuje. Další peníze můžete ušetřit při křížovém upgradu z konkurečního antivirového produktu nebo při nákupu EDU/GOV licence, máte-li tu možnost. Podrobnější informace hledejte zde.
Hodnocení
VirusBuster Mailshield for SMTP představuje zajímavé řešení antivirové a antispamové ochrany. Jistě existují produkty, které toho nabízejí více, ať už se týká spam filteru, či antiviru. Chybí mi například nějaká forma správcovského UI. Výhodou VirusBusteru je vedle jeho přijatelné ceny především jeho kompaktnost a jednoduchost, s jakou jej lze okamžitě zapojit do sítě a používat. Instalace např. Postfixu, Kaspersky AV a Spamassassinu, vyladění jejich početných parametrů a přizpůsobení konkrétním potřebám si vyžádá pečlivou přípravu, dlouhý výpadek provozu a ladění. A ani potom nebude ochrana dokonalá do té doby, než se naplní databáze antispamu. VirusBuster můžete nainstalovat a okamžitě používat. To je jeho největší výhoda.