ゲートウェイウィルス対策の強化(Linux編)
Linux でのウィルス対策を強化するべく新たなシステムを構築してみた。普段は、Antivir Mailgate という個人使用ならばライセンスフリーのアンチウィルスソフトを1年間使いつづけた。しかし、先日、ライセンス期限の1年が過ぎ、ライセンスの更新を強いられ、新しいライセンスを取得してアップデートを行ってみたところ、なぜかアップデートできなかったのでAntivir Mailgate ごとソフトウェアのバージョンアップを試みた。正常に動いているかのようにみえたAntivir Mailgate だが、メールを送信するときになんと広告がつくようになってしまった。送信メールには例外に漏れず、以下のようなメッセージが付加されるようになってしまったのだ。
--
This e-mail was scanned with a private,
non-commercial version of AntiVir MailGate.
See http://www.antivir.de for details.
Linuxマシンにはメーリングリストも稼動しており、そのメールにもこの広告が付加されるようになってしまい、さすがにうざさを感じた私はアンチウィルスソフトの変更を余儀なくされた。そこで、用いたのが、clam Antivirus というライセンス形態がGPLのソフトウェアだ。定義ファイルも3万以上あり、そこそこは信頼できそうなのでさっそくインストールしてみた。だが、このソフトウェアはAntiVir MailGateのように単体でMTAであるPostfixと連携させることはできない。そこでMTAとの橋渡し役を果たすソフトが必要となるわけだが、それがamavisd-new と呼ばれるソフトウェアだ。簡単に説明するならば、
■1.メールを送信する
■2.Postfix に渡される
■3.amavisd-new を経由してclamd がウィルスチェック
■4.再度amavisd-newを経由してpostfix に渡される
このようにclamd antivirus とamavisd-new とPostfix が芸術的な連携を見せてくれる。これらのソフトウェアを無事にインストールした後に動作させてみたところ、メールヘッダーには「X-Virus-Scanned: amavisd-new at kororo.jp」と表示されるようになり、きちんとamavis 経由でウィルスチェックが行えるようになった。
このamavisd-new が優れているところは、プライマリスキャナとセカンダリスキャナを指定できることである。ウィルスチェックの基本としてデーモンとして起動しているclamd が起動していることが大前提となるわけだが、このclamd デーモンがなんらかのトラブルによってダウンしていた場合、ウィルスチェックを行う術がなくなってしまう。そこで、デーモンではないコマンドベースのウィルスチェックが必要になるわけだが、それがセカンダリスキャナとしてのclamscan である。その設定を行うのがamavisd-new であり、clamd デーモンがダウンしていた場合、自動的にセカンダリスキャナに移り、clamscan でウィルスチェックを行ってくれる。
このclamav と amavisd-new のインストール前には考えもしなかったことだが、実はもっとすごいことも可能となる。それは広告がついてしまって使用するのを諦めたAntivir Mailgate がamavisd-new を経由させることで使えるようになるということである。どのアンチウィルスソフトであってもamavisd-new を経由してPostfix に渡されるわけなので、Antivir Mailgate が吐き出す広告はamavisd-new で排除される。Postfix に渡される頃にはその広告は既にないわけなので、メールを送信しても広告はつかなくなるというわけである。
さらには、セキュリティを高める手段として2重ウィルススキャンを用いることも出来る。amavisd-new はプライマリスキャナにいくつものソフトウェアを指定することができる。そこで、プライマリスキャナにclamd と Antivir Mailgate のふたつを指定しておくのである。さらにセカンダリスキャナには、デーモンではないコマンドベースのclamscan が実行されるようにしておく。この通りにやると、通常の状態でウィルスを発見した場合は、プライマリスキャナであるclamd とAntivir Mailgateの両方のソフトウェアでウィルススキャンが実行される。仮に、clamd がダウンしていた場合は、Antivir Mailgate がセカンダリの役割を果たすようになりウィルスチェックを行う。このふたつのデーモンがダウンしていた場合には、デーモンではないclamscan が実行され確実にウィルスチェックが実行される。その後でPostfix に渡されるのでゲートウェイでのウィルスチェックはほぼ無敵となる。自分のパソコンにメールが到着する頃には確実に削除されているわけである。勿論、Windowsクライアントには最後の砦としてNorton Antivirus をインストールしておく。
-----------------------------------------
上記で説明したシステムを簡単に説明するとこういうことである。
■1.ウィルスメールを受信する
■2.clamd とAntivir Mailgate のダブルでウィスルチェック
■3.amavisd-new を経由してPostfixに渡される
(この時、同時に広告も削除される)
■4.ウィルスを検知したら指定したアドレスにその旨のメールが届く
(このメール内にどのソフトウェアでウィルス駆除を実行したかが記述されている)
これで外部から勝手に送信されてくるウィルスメールからは完全に解放される。1日に何十通も送られてくる私の環境ではこのぐらい厳重にしておいた方がなにかと安心である。だが、最近、メアドを公開しなくなったのであまりウィルスが送られてこなくなったのが寂しいものである。ウィルスが届けば届くでうざいものだが、届かなくなるとそれはそれで逆に不安になる。最低でも1日に1通ぐらいは送ってきて欲しいものだ。ウィルスを集めるのもなにげに楽しくもあったりする。自分で探す気にはなれないが。