Устанавливаем MIMEDefang:<\/p>\n
apt update\napt install mimedefang -y<\/code><\/pre>Правим файл \/etc\/default\/mimedefang<\/i>:<\/p>\nSOCKET=\/var\/spool\/postfix\/mimedefang\/mimedefang.sock\nMD_ALLOW_GROUP_ACCESS=yes<\/code><\/pre>Добавляем пользователя postfix<\/i> в группу defang<\/i>:<\/p>\nusermod -aG defang postfix<\/code><\/pre>Так как postfix работает в chroot-окружении, создаем папку для сокета mimedefang:<\/p>\n
mkdir \/var\/spool\/postfix\/mimedefang<\/code><\/pre>Правим \/etc\/postfix\/main.cf<\/i>:<\/p>\nmilter_default_action = accept\nmilter_protocol = 6\nsmtpd_milters = unix:mimedefang\/mimedefang.sock\nnon_smtpd_milters = unix:mimedefang\/mimedefang.sock<\/code><\/pre>Теперь нужно добавить следующее в конец функции filter<\/i> в файле \/etc\/mail\/mimedefang-filter<\/i>:<\/p>\n# Если файл больше указанного размера, он удаляется из письма,\n # его копия остается на диске, а вместо него предоставляется ссылка, по которой его можно скачать.\n\n # Максимальный размер вложения (например, 10MB)\n my $MAX_ATTACHMENT_SIZE = 10 * 1024 * 1024;\n # Директория для сохранения вложений\n my $ATTACHMENTS_DIR = "\/var\/mail\/attachments";\n # URL, по которому будут доступны вложения\n my $ATTACHMENTS_URL = "https:\/\/mail.kini24.ru\/attachments";\n\n # Создаем директорию, если её нет\n mkdir $ATTACHMENTS_DIR unless -d $ATTACHMENTS_DIR;\n\n $size = (stat($entity->bodyhandle->path))[7];\n if ($size > $MAX_ATTACHMENT_SIZE) {\n md_graphdefang_log("The attached file $fname is too big, replaced with a link");\n return action_replace_with_url($entity,\n "$ATTACHMENTS_DIR",\n "$ATTACHMENTS_URL",\n "Размер вложения превысил ограничения сервера, поэтому оно было удалено.\\n" .\n "Вы можете скачать его по следующей ссылке:\\n\\n" .\n "_URL_");\n }<\/code><\/pre>В результате аыполнения функции action_replace_with_url<\/i> в конец письма будет вставлен текст и ссылка для скачивания вложения, а сам файл бует сохранен в папку \/var\/mail\/attachments<\/i>. Надо, кстати, покопаться и найти как вставлять ссылку в текст самого письма. Но пока что оставим как есть.<\/p>\n
У меня почтовый и веб-сервер находятся на разных виртуальных машинах, поэтому папку \/var\/mail\/attachments<\/i> надо сделать общей. На почтовом сервере устанавливаем пакет сервера NFS:<\/p>\napt install nfs-kernel-server -y<\/code><\/pre>Открываем файл \/etc\/exports<\/i> и вписываем в конец файла что-то вроде такого:<\/p>\n\/var\/mail\/attachments 192.168.1.0\/24(rw,sync,no_subtree_check)<\/code><\/pre>И выполняем в консоли команду:<\/p>\n
exportfs -a<\/code><\/pre>Теперь переходим на веб-сервер и выполняем следующие команды:<\/p>\n
apt update\napt install nfs-common -y<\/code><\/pre>Открываем файл \/etc\/fstab<\/i> и дописываем в конец:<\/p>\n192.168.1.12:\/var\/mail\/attachments \/var\/www\/mail\/attachments nfs4 defaults 0 0<\/code><\/pre>где 192.168.1.12 — IP-адрес почтового сервера.
\nДальше выполняем команды:<\/p>\n
mkdir -p \/var\/www\/mail\/attachments\nchown -R www-data:www-data \/var\/www\/mail\/attachments\nmount -a<\/code><\/pre>И проверяем что папка смонтировалась:<\/p>\n
ls -l \/var\/www\/mail\/attachments<\/code><\/pre>После этого все вложения, которые были удалены из писем, должны стать доступны для скачивания.<\/p>\n",
"date_published": "2025-03-31T13:45:17+07:00",
"date_modified": "2025-03-31T13:45:06+07:00",
"tags": [
"debian",
"linux",
"mimedefang",
"postfix",
"вложение",
"замена",
"почта",
"сервер",
"ссылка"
],
"_date_published_rfc2822": "Mon, 31 Mar 2025 13:45:17 +0700",
"_rss_guid_is_permalink": "false",
"_rss_guid": "277",
"_e2_data": {
"is_favourite": false,
"links_required": [
"highlight\/highlight.js",
"highlight\/highlight.css"
],
"og_images": []
}
},
{
"id": "91",
"url": "https:\/\/kini24.ru\/all\/pochta-i-virusy-v-arhivah\/",
"title": "Почта и вирусы в архивах",
"content_html": "
Часто вирусные файлы приходят в виде тех же vbs скриптов, упакованных в архив. Я не буду говорить про другие форматы, их не так уж и много, но каждый из них может доставить кучу неприятностей. Особенно если это будет шифровальщик.
\nТак уж сложилось, что несмотря на все ухищрения, используя стандартные методы, нельзя заставить ClamAV проверять архивы на наличие файлов определенного типа. Он может только попытаться определить заражен ли тот или иной файл в архиве, но со скриптами у него явные проблемы. Скрипт по сути представляет собой обычный текстовый файл, поэтому найти в нем код вируса достаточно проблематично.
\nЧасть этого вопроса удалось решить, заставив postfix отбрасывать письма, в которые вложены файлы из «черного» списка. Но он не может работать с архивами, увы. Это был первый, так сказать этап, который успешно показал себя.
\nВторым этапом стал поиск файлов в архивах при помощи ClamAV. Оказывается, можно все-таки заставить его проверять архивы на наличие нужных файлов. Неслучайно копаясь в интернете, наткнулся на эту вот замечательную статью<\/a>. Использовав информацию из нее, подкинул созданный файл в папку с антивирусными базами ClamAV и перегрузил его. Никаких исправлений в файлы конфигураций вносить не пришлось, он сразу его подхватил. Далее я отправил письмо, полученное утром, и содержащее vbs-скрипт в архиве .7z через этот сервер. Хотел было поймать процесс обработки письма, но не успел. Впрочем, через минуту мне на почту упало сообщение от антивируса, что письмо обработано, найден архив с «вредным» файлом и что письмо было заблокировано. Это было все, чего я добивался.<\/p>\nVirus name: rules_block_7z_vbs.UNOFFICIAL\nSender: *****@*****.ru\nRecipient(s): *****@*****.ru\n\nQuarantined to: \/var\/tmp\/virus.yHPWqV<\/code><\/pre>Сам файл с нужными определениями состоит из строк вида<\/p>\n
rules_block_exe:CL_TYPE_MAIL:*:\\.[Ee][Xx][Ee]$:*:*:*:*:*:*<\/code><\/pre>Здесь самыми интересными для нас являются три поля: имя правила, тип правила и расширение файла. Имя и тип задаются первыми двумя параметрами, разделенными двоеточием. Затем идет имя файла с расширением в виде regexp-строки. Оставшиеся параметры оставляем без изменений. Расширение файла указывается в обоих регистрах.<\/p>\n",
"date_published": "2017-09-19T14:18:25+07:00",
"date_modified": "2017-09-20T07:20:20+07:00",
"tags": [
"clamav",
"postfix",
"архив",
"база",
"вирус",
"вложение",
"правило",
"проверка",
"сервер",
"файл"
],
"_date_published_rfc2822": "Tue, 19 Sep 2017 14:18:25 +0700",
"_rss_guid_is_permalink": "false",
"_rss_guid": "91",
"_e2_data": {
"is_favourite": false,
"links_required": [
"highlight\/highlight.js",
"highlight\/highlight.css"
],
"og_images": []
}
}
],
"_e2_version": 4134,
"_e2_ua_string": "Aegea 11.3 (v4134)"
}