2006年10月アーカイブ

qmail + qmail-scanner + Clamav + SpamAssassin

今や、 MTA の主流は Postfix... と言っても過言ではないくらい、 Postfix が使われていると思われます。
うちのサーバーでも、新しいのはみんな Postfix にしてるし。

でも、高速、セキュアな MTA として、 Postfix と qmail が人気を二分していた頃がありました。
その頃に qmail で構築した MTA が今でも現役バリバリで稼動しており、 大量のユーザーを抱えているため、なかなか移行できない。。というケースに陥いった、うちのメールサーバー。
qmail でも、いろいろパッチを当ててやれば、まだまだ十分使えるのですが、Postfix に比べて機能不足は否めません。。。

いろいろ調べたあげく、いまさらながら、qmail-scanner + Clamav + SpamAssassin で、ほぼ満足いくようなメールサーバーが構築できたので、簡単にまとめておきます。

導入は、ほとんど ports を使っているので、詳細は省略。。。要点のみです。
また、 portupgrade を使っているので、portinstall の場合とか読みかえてください。
  1. まず、suidperl が必要なので、Perl5.8 を ENABLE_SUIDPERL=yes オプションをつけてインストール。 
      # portinstall -Cc -m ENABLE_SUIDPERL=yes lang/perl5.8
    -
  2. FreeBSD4.x系は、ports の Perl を使うように変更 
     # use.perl port
  3. Clamav と SpamAssassin をインストール 
     # portinstall -Cc security/clamav
 # portinstall -Cc mail/p5-Mail-SpamAssassin
  4. qmail を WITH_QMAILQUEUE_PATCH=yes オプション付きで再構築 
     # portupgrade -Cc -m WITH_QMAILQUEUE_PATCH=yes mail/qmail
  5. qmail-scanner をインストール。SpamAssassin と Clamav を使うように自動認識してくれるはず。してくれなかったら、起動してから再コンパイルしてみましょう。。 
     #portinstall -Cc -m QMAILSCAN_NOTIFY=recips,admin mail/qmail-scanner
  6. 各種初期設定。。 /etc/rc.conf に追加 
    clamav_clamd_enable="YES"
clamav_freshclam_enable="YES"
spamd_enable="YES"
    clamd を qscand で動作するように変更
    1. /usr/local/etc/clamd.conf 
      User clama
を
User qscand
に変更
    2. /var/run/clamav の所有者を qscand に変更 
       # chown -R qscand:qscand /var/run/clamav
    3. 以下を /usr/local/etc/rc.d/qmail.sh と tcpserver の起動スクリプトに記載 
      PRIFIX=/usr/local
export QMAILQUEUE="${PREFIX}/bin/qmail-scanner-queue.pl"
    4. 各デーモンを起動 
       # /usr/local/etc/rc.d/qmail.sh restart
 # /usr/local/etc/rc.d/clamav-clamd.sh start
 # /usr/local/etc/rc.d/clamav-freshclam.sh start
 # /usr/local/etc/rc.d/sa-spamd.sh start
      これでほぼ完了。。 /var/log/maillog を眺めて、エラーログがでてないかどうか確認しましょう。 qq temporary problem (#4.3.0) っていうのを返したり、 clamscan: corrupt or unknown ClamAV scanner error or memory/resource/perms problem - exit status 50 って出る場合は、だいたい permission 関係のトラブルでしょう。。 suidperl とか、 ちゃんと clamd が qscand で動いているかとか確認しましょう。
    5. あと、SpamAssassin は、 デフォルトで root の .spamassassin を見にいくので、-u username オプション付で起動して、ユーザーを指定したほうが良いでしょう。。
    とりあえず、ウイルスは Clamav が駆除してくれるし、 Spam は SpamAssassin が X-Spam-Status: ヘッダをつけてくれるので快適です。 SpamAssassin の設定は、http://spamassassin.jp/ 等を参考にすると良いです。

    qmail + qmail-scanner + Clamav + SpamAssassin の続きを読む

アップグレード

Movable Type に XSS の脆弱性が発見されたそうで、ちょっとおっくうに感じつつもアップグレード。

ここ とか見ると、かなり面倒そうなんだけども、 rsync が使える環境なら一瞬で終ります。

 % rsync -auv MT-3.33-ja/ remoteuser@remotehost:/path/to/mt/

リモートのバックアップをとっておくのを忘れずに。
また、今回のようなセキュリティFixの場合に限定したほうが良いでしょう。
公式の方法ではないので、この方法を使う場合は自己責任で〜。