Knihovna Milter, sendmail a viry

Milan Kerąláger

Největąím problémem při pouľití jakéhokoliv nástroje pro kontrolu elektronické poąty byl vľdy problém jednoduché integrace pouľitého nástroje do sendmailu. To platilo jak pro kontrolu příloh na počítačové viry, tak pro omezení nepříjemných spamů. Kaľdý tvůrce takového programu musel tento problém nějakým způsobem vyřeąit. Ne vľdy byly vąechny pouľité způsoby jednoduché a obvykle znamenaly poměrně razantní zásah do stávající konfigurace. Daląí problémy nastávaly obvykle se zvýąenou zátěľí dotčeného počítače a s moľnou koexistencí s daląími lokálně pouľitými nástroji (spamové filtry apod.).

Proto bylo lidmi z vývojového týmu sendmailu vyvinuto rozhraní Milter, které poskytuje sofistikované API (Aplikační rozhraní) pouľitelné právě pro řeąení tohoto problému. Soubor poskytovaných funkcí umoľňuje s příchozími nebo i jen procházejícími maily provádět prakticky jakékoliv operace uľ na úrovni SMTP spojení. Elektronický dopis můľe být přijat, odmítnut, zničen i modifikován na základě rozhodnutí externího programu. Podrobnou dokumentaci najdete na adrese http://www.sendmail.com/partner/resources/development/milter_api/.

Daląí výhodou při pouľití tohoto API je moľnost jednoduchého zřetězení libovolného počtu filtrů, které budete chtít pouľít. Vąe je navrľeno tak, aby byl co nejméně zatíľen hostitelský systém a proto je komunikace mezi sendmailem a filtrem realizována přes unixový nebo TCP soket. Tím pádem není potřeba pro kaľdý mail spouątět jeden nebo více speciálních procesů, které jsou posléze ukončeny.

Konfigurace sendmailu pro pouľití filtru je jednoduchá, protoľe je vyuľíván makrojazyk M4. Knihovna existuje uľ deląí dobu, takľe není potřeba se obávat nestability řeąení. Konfiguraci si ukáľeme na jednoduchém příkladu a podrobnosti nechám na pozdějąí dobu, abyste se nevylekali :-)

Jako názorný příklad se pokusím pouľít jednoduchý nástroj, který přejmenovává nebezpečné názvy příloh v elektronické poątě na neąkodnou příponu .txt. Dosáhneme tak zadarmo poměrně silné "antivirové kontroly", aniľ bychom museli investovat do (komerčního) antivirového programu.

Pro první ukázku schopností Milteru jsem si vybral program vbsfilter, který najdete na adrese http://aeschi.ch.eu.org/milter/. Je to krátký program napsaný v jazyce C (cca 400 řádků včetně komentářů). Kromě jednoduchosti si pohledem do jeho obsahu můľete udělat představu o tom, jak to celé funguje.

Abychom měli situaci jeątě jednoduąąí, vyuľijeme toho, ľe podpora knihovny Milter byla přidána jiľ do sendmailu obsaľeném v Red Hat Linuxu 7.2 (balíček sendmail-8.11.6-15). Naątěstí pro nás byly sendmaily ve starąích verzích aktualizovány alespoň na verzi 8.11.6 (tj. jsou jiľ s podporou knihovny Milter). Máte-li proto systém starąí, neľ je 7.2, proveďte nejprve jeho aktualizaci. Balíček připravený pro verzi 7.3 by měl fungovat i v niľąích verzích řady 7.x. Pro verzi 6.x si budete muset program sami přeloľit ze SRC balíčku.

Balíček s programem vbsfilter najdete na adresách:

Pro instalaci, spuątění a nastavení automatického startu programu pouľijte příkazy:

rpm -Uvh vbsfilter-1.11-0.i386.rpm
/etc/init.d/vbsfilter start
chkconfig vbsfilter on

Program si po startu vytvoří unixový soket /var/run/vbsfilter.sock, který bude slouľit pro komunikaci se sendmailem.

Nyní přichází na řadu samotný sendmail. Nejprve se ujistěte, ľe máte v systému nainstalován balíček sendmail-cf a m4 (jsou součástí distribuce). Dále je potřeba upravit M4 soubor, ze kterého se generuje vlastní konfigurační soubor sendmailu (v RH 7.x je to /etc/sendmail.cf, ve verzi 8.0 pak /etc/mail/sendmail.cf). Do souboru /etc/mail/sendmail.mc přidejte následující řádky:

define(`_FFR_MILTER', `1')dnl
INPUT_MAIL_FILTER(`filter1', `S=unix:/var/run/vbsfilter.sock, F=T')

Výąe uvedené volby zapínají podporu API Milter a definují soket, na kterém bude sendmail očekávat spolupracující aplikaci (tj. vbsfilter). Volba F=T říká, ľe v případě nepřítomnosti spolupracující aplikace má sendmail hlásit dočasné selhání SMTP sluľby. Pokud by F nebylo definováno, sendmail by v případě nedostupnosti spolupracující aplikace pokračoval jako kdyby ľádný filtr nebyl definován.

Na závěr musíme jeątě vytvořit konfigurační soubor sendmail.cf (cestu zadejte podle jeho umístění ve vaąí distribuci). Po přepsání původního konfiguračního souboru naąí novou verzí restartujte sendmail.

cd /etc/mail
m4 sendmail.mc > sendmail.mc
/etc/init.d/sendmail restart

Teď uľ nastává čas pro kontrolu funkce filtru. Zkontrolujte, zda se v hlavičkách procházejících mailů objevuje text X-Filter-Version: 1.11. V případě, ľe filtr přejmenuje název souboru s koncovkou .EXE v příloze, najdete v hlavičce poznámku X-Filter: 1 attachment changed to TXT. Pokud je vąe v pořádku, můľete si pogratulovat!

Podrobnějąí informace

Ne vąichni budete mít moľnost nebo budete chtít vyuľít předem hotových polotovarů, takľe se pokusím sdělit podrobnějąí informace.

Sendmail

Pokud budete sami překládat sendmail, měli byste pouľít aktuální verzi z http://sendmail.org nebo alespoň verzi 8.11, protoľe verze 8.10 obsahovala nekompatibilní verzi Milter API. Dále je potřeba překládat na systému s alespoň Glibc verze 2. Libc5 nestačí, protoľe jeątě neobsahovala podporu threadů.

Při překladu sendmailu přidejte do souboru .../sendmail-8.10.*/devtools/Site/site.config.m4 následující řádky:

APPENDDEF(`conf_sendmail_ENVDEF', `-D_FFR_MILTER=1')
APPENDDEF(`conf_libmilter_ENVDEF', `-D_FFR_MILTER=1')

Pak spus»te make v adresáři .../sendmail-8.*/libmilter a znovu sestavte sendmail (podle návodu v souboru INSTALL, který je v tarballu sendmailu obsaľen).

Při úpravě M4 souboru pro generování konfiguračního souboru sendmailu můľete pouľít několik doplňujících moľností, které krátce představím. Nejprve pár příkladů pro definici filtru:

INPUT_MAIL_FILTER(`filter1', `S=unix:/var/run/vbsfilter.sock, F=R')
INPUT_MAIL_FILTER(`filter2', `S=inet6:999@localhost, F=T, T=S:1s;R:1s;E:5m')
INPUT_MAIL_FILTER(`filter3', `S=inet:3333@10.0.0.123')

V příkladu jsou nadefinovány 3 různé filtry, které se budou na zpracování poąty podílet. Pouľitý soket je nejprve unixový, druhý řádek obsahuje odkaz na filtr komunikující přes TCP IPv6 soket a třetí řádek umoľňuje spojení s filtrem běľícím na počítači s IP adresou 10.0.0.123 na portu 3333. V příkladech jsou také změněny některé parametry komunikace sendmailu s filtrem. Parametr F můľe nabývat dvou hodnot:

R - odmítnout spojení, pokud není filtr dostupný
T - v případě nedostupnosti filtru hlásit dočasné selhání spojení

K dispozici je jeątě příznak T, kterým můľeme podrobněji definovat timeouty při spojení s filtrem. Měnit můľete tyto parametry:

S - timeout pro odesílání dat ze sendmailu do filtru
R - timeout pro čtení z filtru
E - celkový timeout do odeslání znaku konce zprávy filtru

Vbsfilter

Pro překlad programu vbsfilter budete potřebovat následující soubory:

Umístěte je do nějakého vhodného adresáře a zkontrolujte, zda máte v systému soubor /usr/include/libmilter/mfapi.h. Pokud ne, vyzvedněte jej ze zdrojových kódů sendmailu, případně nainstalujte balíček sendmail-devel (Red Hat 7.3 a 8.0). Pak stačí jen napsat make a umístit výsledný binární soubor do vhodného adresáře.

Program vbsfilter spouątíme s parametrem -p, který určuje umístění soketu filtru. Umístění musí souhlasit s definicí v pouľitém M4 souboru pro sendmail (resp. s definicí v souboru sendmail.cf). Program můľe odmítnout spuątění v případě, ľe soket jiľ existuje nebo ľe má nedostatečná práva pro jeho vytvoření. Příklad spuątění:

vbsfilter -p unix:/var/run/vbsfilter.sock

Vyuľití knihovny Milter pro RAV antivirus

Antivirový program RAV je distribuován i ve verzi vyuľívající API Milter. Pokud ho chcete vyuľít, postupujte následujícím způsobem (předpokládám, ľe pouľíváte distribuci s RPM balíčky):

Stáhněte si volně dostupnou verzi RAV antiviru z http://www.ravantivirus.com. Nejsnadněji ji naleznete tak, ľe v políčku vyhledávání napíąete "milter" a vyberete verzi pro Linuxový desktop s podporou knihovny Milter. Staľený soubor je tar.gz, který obsahuje kromě návodu k instalaci 3 RPM balíčky. Po jejich nainstalování jsem musel nastavit správného vlastníka adresáře pro vytvoření soketu:

chown ravms /usr/local/rav8/private

Dále jsem sníľil četnost spouątění automatické aktualizace na 1x denně přesunutím symbolické linky /etc/cron.hourly/ravmdupdate.sh do adresáře /etc/cron.daily a cestu /opt/rav/bin jsem přidal do PATH (abych mohl RAV antivirus spouątět i z příkazové řádky). Název místní domény a plné jméno počítače je umístěno v souboru /etc/opt/rav/domains. RAV antivirus totiľ maily směřující do jiných domén ignoruje. Pak uľ stačilo jen podle návodu modifikovat M4 soubor pro sendmail (tj. přidat poloľku pro komunikaci s filtrem), vygenerovat nový sendmail.cf, a pomocí skriptů /etc/init.d/ravmail a /etc/init.d/ravmilter spustit filtr a scanner. Po restartu sendmailu uľ stačilo jen vymyslet, jak ąéfovi vysvětlit, ľe by měl do 30 dnů zaplatit roční licenci (neľ vyprąí povolená zkuąební doba). :-)

Daląí vyuľití knihovny Milter

Filtry lze psát kromě jazyka C také v Pythonu nebo v Perlu. Roząíření pro jazyk Python najdete na adrese http://www.bmsi.com/python/milter.html, roząíření pro Perl najdete na adrese http://sourceforge.net/projects/sendmail-milter/. Nakonec zkusím uvést pár odkazů na daląí zajímavé projekty:

Daląí odkazy jistě naleznete sami :-)