====== Antivirus con Procmail, Sanitizer e ClamAV ======

===== Procmail =====

Se si utilizza **procmail** come //local delivery agent//, è sufficiente aggiungere questa regola in **$HOME/.procmailrc** per abilitare il filtro antivirus tramite il programma **sanitizer**:

<file>
#-------------------------------------------------------------------------
# $HOME/.procmailrc
#-------------------------------------------------------------------------
PATH=/usr/local/bin:/usr/bin:/bin
SHELL=/bin/bash
MAILDIR=$HOME/Maildir/
ORGMAIL=$MAILDIR
DEFAULT=$MAILDIR
#LOGFILE=$HOME/procmail.log
#VERBOSE=yes
#-------------------------------------------------------------------------
# Filter the mail with ClamAV
#-------------------------------------------------------------------------
:0 fw
| /usr/bin/sanitizer /etc/sanitizer.cfg
</file>

===== Sanitizer =====

Il programma sanitizer funziona come filtro sui messaggi di posta, analizzando gli allegati secondo la configurazione indicata in  **/etc/sanitizer.cfg**:

<file>
#-------------------------------------------------------------------------
# Active features.
#-------------------------------------------------------------------------
feat_verbose      = 0    # Warn user about unscanned parts, etc.
feat_log_inline   = 0    # Inline logs: 0 = Off, 1 =  Maybe, 2 = Force
feat_log_stderr   = 0    # Print log to standard error.
feat_log_xml      = 0    # Don't use XML format for logs.
feat_log_trace    = 0    # Omit trace info from logs.
feat_log_after    = 0    # Don't add any scratch space to part headers.
feat_files        = 1    # Enable filename-based policy decisions.
feat_mime_files   = 1    # Always check the mime-type's default name too.
feat_force_name   = 0    # Force all parts (except text/html parts) to
                         # have file names.
feat_boundaries   = 0    # Replace all boundary strings with our own
                         # NOTE:  Always breaks PGP/MIME messages!
feat_lengths      = 1    # Protect against buffer overflows and null
                         # values.
feat_scripts      = 1    # Defang incoming shell scripts.
feat_html         = 0    # Defang active HTML content.
feat_webbugs      = 0    # Web-bugs are allowed.
feat_trust_pgp    = 0    # Don't scan PGP signed message parts.
feat_uuencoded    = 1    # Sanitize inline uuencoded files.
feat_forwards     = 1    # Sanitize forwarded messages.
feat_testing      = 0    # This isn't a test-case configuration.
feat_fixmime      = 1    # Fix invalid MIME, if possible.
feat_paranoid     = 0    # Don't be excessively paranoid about MIME headers etc.

#-------------------------------------------------------------------------
# Create saved files using this template. The directory must exist and
# be writable by the user running the sanitizer.
#    $d - Day of month (01-31)
#    $m - Month number (01-12)
#    $y - Two digit year (00-99)
#    $Y - Four digit year
#    $H - Hour (00-23)
#    $M - Minute (00-59)
#    $S - Second (00-59)
#
#    $P - This process's PID, in hex.
#    $T - The current Unix time, in hex.
#    $F - A safe version of the original file name.
#    $  - A random character, from [A-Z0-9].
#-------------------------------------------------------------------------
file_name_tpl = /home/quarantine/$Y$m$d-$T-$F.$$

#-------------------------------------------------------------------------
# Message used to replace attachments saved and removed.
#-------------------------------------------------------------------------
msg_file_save  = *****ANTIVIRUS*****\n
msg_file_save += ATTENZIONE:\n
msg_file_save += Questa mail conteneva in allegato il file "%FILENAME"\n
msg_file_save += che e' risultato infetto da virus o potenzialmente dannoso.\n
msg_file_save += Il file e' stato rimosso al fine di evitarne la diffusione involontaria.\n
msg_file_save += %SAVEDNAME\n
msg_file_save += *******************\n

#-------------------------------------------------------------------------
# We have 2 policies, in addition to the file_default_policy.
#-------------------------------------------------------------------------
file_list_rules = 2

#-------------------------------------------------------------------------
# 1) Scan some attachments for virus with Clam AntiVirus.
#-------------------------------------------------------------------------
# This policy apply to attachments whose file name did not match any
# previous policy and matches this regular expression.
# The policy action can be:
#
#   accept   Don't alter the attachment at all.
#   defang   Alter the attachment's file name.
#   mangle   Change completely the attachment's file name.
#   save     Remove the attachment from the message, replace it with a
#            text message and save the attachment into a local file.
#   drop     The attachment will be deleted and replaced with message.
#   unknown  Indeterminate result, check the next policy.
#
#-------------------------------------------------------------------------
# Archives, executables, scripts, etc. This is a perl regular
# expression, see "man perlre" for info. The (?i) prefix makes
# the regexp case insensitive.
file_list_1  = (?i)\.(
file_list_1 += 7z|bat|com|chm|cmd|cpl|exe|pif|scr|sys
file_list_1 += |dat|doc|m?db|ppt|pps|ppsx|rtf|xls|xlsm|xlsx|wp.?
file_list_1 += |class|pl|vb[es]|[sp]?html?|php\d?
file_list_1 += |z(ip|oo)|ar[cj]|lha|[tr]ar|rpm|deb|slp|tgz|g?z|bz\d?
file_list_1 += )$

# Virus scanner command line. The three exit codes represent the
# following scan conditions: clean, disinfected, infected.
# NOTICE: clamdscan does not have the "disinfected" condition.
file_list_1_scanner = 0:99:1:/usr/bin/clamdscan --fdpass --quiet %FILENAME

# What policy to apply for each exit code, plus a catch-all default.
file_list_1_policy  = unknown:unknown:save:unknown


#-------------------------------------------------------------------------
# 2) White list, this extensions (or Content-Type) will be accepted.
#-------------------------------------------------------------------------
file_list_2  = (?i)\.(
file_list_2 += 7z|ai|ang|an6|asc|bmp|bz2|cl|csv|dat|doc|docx|dwg|dxf|fh|gif|gz|html?|ics|indd
file_list_2 += |jc3|jc4|jc5|jpe?g|m?db|mov|p7m|od[btsgfp]|ot[btspgf]|pcx|pdf|png|pps|ppsx|ppt|pptx
file_list_2 += |psd|pub|rtf|snp|sxc|tiff?|tgz|txt|vcf|wav|wp.?|xls|xlsm|xlsx|xml|zip
file_list_2 += )$
file_list_2_scanner = 0;
file_list_2_policy = accept;


#-------------------------------------------------------------------------
# Default policy: accept, but mangle file name.
#-------------------------------------------------------------------------
file_default_policy = defang

#-------------------------------------------------------------------------
# String used to mangle file names.
#-------------------------------------------------------------------------
msg_defanged = ANTIVIRUS
</file>

Con la direttiva **file_list_1_scanner** si indica il programma filtro da chiamare - nel notro caso **clamdscan** con l'opzione **%%--fdpass%%** - e quali sono i codici di uscita per tre possibili esiti della scansione: **clean** (l'allegato è pulito), **disinfected** (l'allegato era infetto, ma è stato ripulito), **infected** (l'allegato è infetto). Nel caso di clamdscan vale solo l'**exit code 0** per un file **pulito** e l'**exit code 1** per un file **infetto**; non esistendo il caso **disinfected** si è indicato l'inesistente **exit code 99**.

La politica da applicare a seguito della scansione è determinata da **file_list_1_policy**. Si devono indicare **quattro possibili azioni** di cui le prime tre corrispondo ai tre esiti della scansione (//clean//, //disinfected// e //infected//) e la quarta è l'azione predefinita.

Ricapitolando questa è la politica applicata ai file compresi nella **file_list_1**:

^ Esito scansione  ^ Clamdscan Exit Code  ^ Sanitizer Policy  ^
| Clean          |    0 | **unknown** (check the next policy).  |
| Disinfected    |  N/A | **unknown** (check the next policy).  |
| Infected       |    1 | **save** (remove the attachment from the message).  |
| Generic error  |    2 | **unknown** (check the next policy).  |

==== Content-Type ed estensioni per Sanitizer ====

Nella **file_list_2** vengono indicate delle estensioni per cui l'allegato passa intalterato, cioè non viene //neutralizzato// cambiandogli nome. In realtà Sanitizer applica la whitelist sia che corrisponda l'**estensione** del file, sia che corrisponda il **Content-Type**.

Non è del tutto chiaro come avere la corrispondenza tra i due, ad esempio (empiricamente) si è determinato che il Content-Type **application/octet-stream** corrisponde all'estensione **bin**.

Il riconoscimento del tipo di file viene fatto dalla funzione **check_file_type** del modulo **Anomy::Sanitizer::FileTypes**.

Un problema comune con Sanitizer sono le parti del messaggio con MIME type **text/html**: se il contenuto non è un HTML ben formato, esse subiscono il **defang**, cioè il il MIME type viene modificato in **application/DEFANGED** (la stringa DEFANGED può essere personalizzata configurando l'opzione **msg_defanged**). Questo di solito impedisce la corretta visualizzazione //inline// di quella parte del messaggio nel client di posta.

Nel sorgente Perl del modulo **FileTypes** si vede che la classificazione di una parte come oggetto di tipo HTML richiede la presenza di una espressione regolare nella parte stessa (la verifica riguarda solo i primi 512 bytes):

<code perl>
my $HTML = {
    id         => "html",
    risk       => $low,
    name       => "HTML text file",
    extensions => [ "html", "htm", "shtml" ],
    mime_types => [ 'text/html' ],
    magic      => [ ],
    regexp     => '<html|<body|<p>|<b>|<i>|<br>|</a>',
};
</code>

È possibile personalizzare il modulo **FileTypes** definito in **/usr/share/perl5/Anomy/Sanitizer/FileTypes.pm** facendone una copia in **/etc/perl/Anomy/Sanitizer/FileTypes.pm**. Rimuovendo l'elemento **regexp** dal dictionary, Sanitizer riconoscerà una parte HTML considerando solo l'estensione o il MIME type, senza analizzare il contenuto.

===== Cosa succede se clamd è fermo =====

Questi sono gli exit code del prorgamma **clamdscan**:

^ 0  | File OK.   |
^ 1  | Infected file.  |
^ 2  | Could not connect to clamd on LocalSocket.  |

Se il demone **clamd** non risponde, il programma **clamdscan** restituisce un exit code 2, quindi non si applicano le tre possibili condizioni (clean, disinfected, infected); verrà applicata la policy //catch-all// che nell'esempio sopra è **unknown**,  cioè l'applicazione delle regole successive.

Nella configurazione mostrata sopra la regola successiva prevede di accettare tali e quali gli allegati che corrispondono a **file_list_2** (in pratica documenti allegati non pericolosi), per tutti gli altri viene applicata la **file_default_policy** che consiste nel **defang**, cioè alterare il nome dell'allegato in modo che non sia più pericoloso (ad esempio la rimozione dell'estensione .exe oppure .com).

Una configurazione più stringente potrebbe essere quella di applicare la policy **save** (rimozione dell'allegato) anche nel caso //catch-all// (**esito della scansione anomalo** e non previsto). Questa configurazione ha una controindicazione grave: se il demone clamd è fermo per qualche motivo, tutti gli allegati verrebbero eliminati dalla mail, anche quelli puliti ed essenziali come il testo HTML.