РУССКИЙ PRIVOXY

P3Scan - это простой, удобный и многофункциональный сканер почты, специально заточенный для работы в качестве прозрачного прокси. Умеет проверять на вирусы и спам как входящую (по протоколам POP3/POP3S), так и исходящую (по протоколу SMTP) корреспонденцию. P3Scan поддерживает такую полезную и удобную функцию протокола POP3, как возможность закачки заголовков и первых строк сообщения (top mode) без получения всего письма, что может быть удобно при работе с теми почтовыми ящиками, в которые ежедневно льются нескончаемые потоки спама и прочей "нежелательной корреспонденции" К сожалению, top mode поддерживают далеко не все почтовики: по сути единственным известным мне почтовым клиентом, активно использующим этот режим, является популярный в нашей стране The BAT! Отличительной чертой P3Scan является его ненавязчивость: в отличие от монстроидных решений, требующих кропотливой работы по настройке и отладке полноценного почтового сервера даже на обычном домашнем компьютере, весь процесс установки и настройки P3Scan сводится буквально к нескольким простейшим операциям, выполнить которые вполне по силам даже начинающему пользователю Linux, не являющемуся специалистом в области сетевых технологий и тем более - в области противоречивой и запутанной хакерской философии UNIX-систем (в качестве классического образчика которой может служить файл sendmail.cf ). К тому же, P3Scan может работать в качестве прозрачного прокси даже локально (правда, при этом работает он крайне нестабильно), что позволяет не настраивать каждую почтовую программу и каждую учётную запись в отдельности, а пользоваться P3Scan в качестве своеобразного почтового фаерволла, такой же неотъемлемой части системы, "незримо присутствующей всегда", как, например, IPTables или пакетные фильтры, настраиваемые через интерфейс sysctl.

Основной функцией программы P3Scan является сканирование почтовых вложений на предмет наличия в них вирусов. В настоящий момент P3Scan поддерживает без дополнительной настройки следующие широкораспространённые (и не очень) антивирусы: ClamAV, F-prot, Trophie, Kaspersky Antivirus, при чём этот прокси свободно "общается" как с демонами через интерфейс TCP-сокетов, так и с автономными программами-сканерами. Разумеется такой подход, при котором для каждого отправляемого/получаемого письма загружается одна копия программы-сканера и, соответственно, число её копий в памяти оказывается прямо пропорциональным объёму корреспонденции, не приемлем для любых более-менее крупных серверов, но для домашних пользователей способность P3Scan работать с внешними программами может оказаться очень полезной, поскольку для многих коммерческих антивирусов программы-сканеры предоставляются бесплатно, а вот "демоны" уже продаются за немалые деньги, при чём зачастую ещё и по подписке, когда коммерческие версии антивируса можно лишь "арендовать", но не купить целиком. P3Scan без проблем будет работать с любыми программами-сканерами, для этого в конфигурационном файле p3scan.conf нужно правильно установить следующие опции:

• scannertype=basic - говорит P3Scan о том, что для сканирования почты будет использоваться вызов внешней программы
• scanner=/путь/к/программе-сканеру <параметры_передаваемые_сканеру>; - собственно, то, как вы обычно вызываете антивирусный сканер. При этом очень желательно опциями командной строки запретить вывод любых генерируемых программой отчётов, сотавляя лишь сообщение о том, какой именно вирус был обнаружен. Проблема здесь не в том, что P3Scan может как-то неправильно интерпретировать или использовать содержимое отчёта сканера, а в том, что сканер потратит время на генерацию отчёта, который просто будет перенаправляться P3Scan'ом через регэксп фильтр прямиком в "битодробилку" /dev/null
• goodcode=<код> - необходимо указать, если сканер в ответ на получение незаражённого файла на входе потенциально может возвращать код "всё OK", не равный нулю. В комментариях к параметру goodcode в конфиге p3scan'а приводится пример сканера от антивируса Касперского, который возвращает код 10 в ответ на попытку подсунуть ему зашифрованный zip-архив.
• viruscode=<коды через запятую> - Перечисляет значения кодов возврата сканера при обнаружении вируса. В отличие от goodcode, этому параметру в большинстве случаев (при использовании "нестандартного" для P3Scan антивируса) НУЖНО присваивать значение (перечень кодов через запятую), поскольку большинство антивирусов при обнаружении заражённого файла возвращают разные коды в зависимости от различных обстоятельств (например, от типа вируса или того, каким образом он был обнаружен: по сигнатуре или эвристическим методом)

Вот, собственно, и всё. Впрочем, что-то рановато углубился я в вопросы настройки P3Scan'а для использования в экзотических конфигурациях. С другой стороны, базовая настройка P3Scan осуществляется настолько просто, что зачастую даже описательные комментарии к опциям конфигурационного файла читать не приходится: всё и так уже по названию параметра и примерам его использования становится понятно практически сразу. Тем не менее позволю себе дать несколько общих советов по настройке, помогающих избежать некоторых не вполне очевидных моментов:

• Не зацикливайтесь на чтении описаний опций файла p3scan.conf (в особенности тех, что содержат слово debug в названии ): их там очень много, при чём большая часть предназначена для тестирования разработчиком или для тонкой подстройки программы, в чём Вам на первых порах не будет никакой нужды (а дальше, как говорится, по желанию). Параметрами, которые при условии использования "стандартного" для P3Scan антивируса, Вам нужно будет либо раскомментировать, либо изменить, являются: scannertype (раскомментировать), scanner (раском.), user (изменить) Пример настройки P3Scan я приведу ниже
• С параметром user - вообще особая история: поскольку большинство антивирусных демонов, в том числе и ClamD, из соображений безопасности запускаются не под root'ом, а под учётной записью фиктивного пользователя, то при попытке доступа к принадлежащему P3Scan'у каталогу для временного хранения проверяемых писем антивирусный демон получает от ворот поворот в виде Permission denied. С другой стороны, если разрешить доступ на чтение содержимого спул-каталога P3Scan (по умолчанию - /var/spool/p3scan) всем процессам, то в результате получится, что Вашу корреспонденцию сможет прочитать кто угодно, что, вообще говоря, не здорово. В качестве адекватного решения этой проблемы я могу предложить только одно: запускать P3Scan под тем аккаунтом, который использует антивирусный демон. Т.е., например, при использовании scannertype=clamd параметр user должен выглядеть так: user = clamav. Впрочем, в следующей версии P3Scan (уже совсем скоро должна выйти) будет полноценная поддержка libclamav, так что по крайней мере пользователи свободного антивируса от этих заморочек с правами доступа будут полностью избавлены. Впрочем, ссылки на постоянно прогрессирующую бета-версию P3Scan'а, умеющую работать через libclamav, можно найти на Jabber-конференции (англоязычной, но там часто появляется некий maxbritov из Беларуси, который отлично на русском говорит Другое дело, что он постоянно занят и поэтому не отличается многословностью)[e-mail] Впрочем, об этом будет сказано ещё чуток погодя.
• Если Вы хотите проверять не только входящую, но и исходящую корреспонденцию, обязательно проверьте значение параметра smtpport - оно должно быть равно тому номеру SMTP-порта (для отправки), который Вы указывали в настройках своего почтового клиента. Например, у меня используется порт 2525 для соединения с сервером smtp.list.ru. Подозреваю, что и на некоторых других серверах, входящих в конгломерат доменов Mail.ru, может использоваться нестандартный номер SMTP-порта, так что перед тем как следовать нижеследующим рекомендациям по настройке локального прозрачного антивирусного POP3-прокси, обязательно убедитесь в том, что у Вас параметру smtpport присвоено правильное значение.

Установка и настройка P3Scan

Итак, перво-наперво скачиваем P3Scan отсюда. Практически без опасений можно брать developers'кий дистрибутив программы: разработчик P3Scan, Джэк Лэй, больше известный в кругах широкой интернет-общественности как laitcg, придерживается вполне надёжной схемы тестирования и прежде, чем выложить новую девелоперскую версию на SourceForge, он сначала тщательно "шлифует" программу, занимаясь скурпулёзной отладкой кода, а после того, как убеждается в том, что на его собственной конфигурации P3Scan работает абсолютно стабильно, даёт ссылку на конференции, некоторое время ждёт сообщений о выявленных ошибках от своих добровольных помощников, и если таковых в течение 3-х - 4-х дней не поступает, представляет сборку на суд широкой общественности, т.е. на наш с вами суд

Затем собираем программу либо стандартной комбинацией

, либо так, как это делал я: Далее редактируем главный (и пока что единственный) конфиг P3Scan'а, где устанавливаем тип используемого сканера, указываем, как именно программа должна получать доступ к антивирусу, какой шаблон следует использовать P3Scan для формирования сообщения об инциденте при получении заражённого письма, от имени какого пользователя будет работать демон и все его дочерние (порождаемые) процессы и т.д. Кстати, по поводу шаблона: разумеется, нам, русскоязычным, удобнее читать перевод Максима Бритова, а не английский оригинал , так что смело прописывайте путь к локализованному варианту "уведомления о получении вируса", который находится в одном каталоге с p3scan.conf, в файле шаблона p3scan-ru.mail. Заодно уж не поленитесь залезть в этот файл и поменять там слово с очепяткой "выполнятся" на "выполняется"... Снова для пущей наглядности приведу свой пример:

Соответственно, в моей конфигурации P3Scan взаимодействует с демоном антивируса ClamAV через TCP-сокет (не путать с файлом сокета), ClamD привязывается к адресу 127.0.0.1:3110, что задаётся настройками антивирусного демона в файле /etc/clamd.conf или /usr/local/etc/clamd.conf (TCPAddr 127.0.0.1, TCPSocket 3110), в зависимости от того, собирали ли вы ClamAV из исходников с дефолтными установками (configure без параметров) или просто поставили бинарный rpm. В моём примере параметру user присвоено значение clamav вместо mail, использующегося по умолчанию. О том, почему я предпочёл нестандартное значение user, смотрите выше по тексту (заниматься самоцитированием - последнее дело), могу лишь сказать, что у меня были на то очень веские основания

Для нормальной работы P3Scan в качестве прозрачного прокси опция TargetIP должна быть закомментирована или равна 0.0.0.0, а TergetPort... при необходимости можете поменять, разумеется, но пока оставим как есть, тем более что значение по умолчанию назначается в соответствии с неким негласным стандартом для прокси-серверов: номер_порта=номер_порта_целевого_сервиса+8000. Поскольку P3Scan изначально разрабатывался как POP3-прокси, то и слушает он порт 8110 - всё правильно, всё логично, придраться не к чему

Далее: значение параметра virusregexp имеет смысл менять только в том случае, если вы используете что-то отличное от Clam'а То же относится к goodcode и viruscode.
Если вы по каким-либо соображениям не стали отключать в настройках своего почтового клиента возможность приёма писем в формате HTML или включать автоматическое преобразование HTML->"плоский текст" (plain text) (например,в том случае, если ваш сильно облегченный почтовый клиент просто не умеет делать ни того, ни другого), то для вас, скорее всего, будет очень полезна опция parsehtml, позволяющая P3Scan'у вызвать внешнюю программу-парсер p3pmail (или любую другую утилиту аналогичного назначения), тщательно анализирущую HTML-код письма и пресекающую "в зародыше" злонамеренные попытки использования таких "шпионских трюков" спамеров, как встраивание незаметных глазу веб-жучков (размер - 1x1 пиксель) в контент или осуществление загрузки тех или иных элементов по абсолютным (внешним) ссылкам, да ещё и не напрямую, а через передачу параметров скрипту на удалённом сервере. Подобные приёмы позволяют совершенно точно определить, дошло ли письмо до адресата, и, соответственно, стоит ли ещё активнее, с удвоенной энергией, засыпать данный почтовый ящик "нежелательной корреспонденцией". Скачать программу p3pmail можно по ссылке со страницы загрузки файлов проекта P3Scan, поскольку p3pmail написана непосредственно разработчиком p3scan'а ещё в те далёкие времена, когда подходящий парсер HTML-кода почтовых сообщений в виже простой программки на C или C++ найти было если и возможно, то уж во всяком случае очень непросто. Кстати, я настоятельно рекомендую изменить значение параметра parsehtml таким образом, чтобы P3Scan передавал утилите p3pmail параметр -l при вызове, иначе все ссылочные тэги в HTML-коде письма будут автоматически преобразованы таким образом, что сами ссылки станут нерабочими: p3pmail лихо преобразует все атрибуты href= (независимо от регистра) в ferh=, если вы заранее специальным образом не предупредите эту программу о том, что не готовы к столь радикальным трансформациям контента своей корреспонденции.

Раскомментировать параметр-ключ demime, возможно, придётся тем убеждённым сторонникам нестандартных решений, кто использует для сканирования почты на предмет наличия вирусов некий "альтернативный" ClamAV'у движок, не умеющий самостоятельно выделять вложения из контента e-mail собщений. С помощью библиотеки ripMIME P3Scan извлекает вложения из e-mail собщения и передаёт их на проверку антивирусу, как обычный файл со всеми сопутствующими атрибутами (имя, расширение). Для того, чтобы использовать возможность автоматического преобразования любых сообщений в понятный любому антивирусу вид вам нужно установить библиотеку ripMIME (по умолчанию при её отсутствии P3Scan просто откажется собираться).Если же вы так же, как и я, предпочитаете пользоваться ClamAV или любым другим антивирусом, способным самостоятельно осуществлять проверку почтовых сообщений, то для вас имеет полный смысл отключить поддержку P3Scan'ом совершенно лишней библиотеки, передав скрипту configure параметр --disable-ripmime. В этом случае, разумеется, P3Scan нормально соберётся и при отсутствии установленной в системе ripMIME

Поскольку P3Scan уже давно поддерживает простой и эффективный механизм так называемых "чёрных" и "белых" списков адресов, вас могут заинтересовать параметры, связанные с отображением сообщений о получении письма от адресата, занесённого в чёрный список (blackshort и blacksubj). Если кто-либо из клиентов локальной сети или вы сами пользуетесь одной из устаревших версий почтовика Outlook/Outlook Express и при использовании P3Scan у вас возникают какие-либо проблемы при получении писем с "большими" вложениями (в документации к P3Scan не поясняется, начиная с какого размера вложения следует считать большими ), попробуйте раскомментировать параметр broken. Если Вы или Ваши клиенты частенько получаете вирусы в почтовых вложениях, обязательно включите опцию delete, дабы заражённые файлы не скапливались на сервере, а удалялись сразу же после отправки клиенту уведомления о получении письма, содержащего вирус, хотя если P3Scan стоит у вас на домашней машине, особого смысла в том, чтобы нещадно удалять вирусы сразу же после их получения я не вижу: между прочим, коллекционирование образчиков извращённой фантазии кибер-преступников - это совершенно не обременительное и даже исключительно увлекательное занятие

В P3Scan оригинально реализована поддержка протокола POP3S: инциализирующий соединение с почтовым сервером IP-пакет, у которого в качестве целевого порта указано значение параметра sslport (по умолчанию - 995), открывает шифрованное SSL-соединение между почтовым сервером и P3Scan. Причём от клиента до P3Scan и обратно трафик не должен шифроваться (во всяком случае, на входе P3Scan со стороны клиента может быть только plain text), т.е. для того, чтобы обеспечить защиту от прослушки почтового трафика в сетях, лежащих между компьютером, на котором запущен P3Scan и удалёнными почтовым серверами, вам необходимо прописать в настройках почтовых программ порт 995 (pop3s) вместо 110 (pop3), но при этом любые формы SSL-шифрования на стороне клиента должны быть отключены! Очевидно, что при работе P3Scan в режиме локального прозрачного прокси найстройки должны быть полностью аналогичными: SSL-соединение устанавливает не клиентская программа-почтовик, а сам P3Scan, создающий таким образом классический шифрованный туннель между "внутренней зоной доверия" (loopback-интерфейс локального компьютера или адресное пространство локальной сети) и "агрессивной средой".

Если вы не планируете эксплуатировать P3Scan в связке со спам-чекером (поддерживаются SpamAssassin и DSPAM), то для настройки P3Scan представленного выше краткого описания вам должно быть более, чем достаточно, поскольку менять что-либо ещё в конфиге этой в общем-то довольно простой программы, на мой взгляд, не имеет смысла: не подумайте, конечно, что это опасно для жизни, ни в коем разе, - просто все "потенциально интересные" опции я уже перечислил, а остальное нужно либо для настройки фильтрации спама (сам я этим не занимался... пока, так что, к сожалению, не могу поделиться с вами каким-либо ценными соображениями на сей счёт), либо для отладки, либо оставлено "в информационных целях" (пути к каталогам), либо просто представляет собой своеобразный "задел на будущее" (опции, связанные с работой через протокол IMAP)

Настройка P3Scan для работы в качестве локального прозрачного прокси на домашнем компьютере ("для индивидуального пользования", хотя домашним PC, безусловно, могут и несколько человек пользоваться):

• Добавьте в самое начало скрипта, формирующего правила пакетного фильтра iptables следующие строки:
  Code:
   P3Scan_acnt=clamav  
   P3Scan_sock=":8110"  
   P3Scan_port=${P3Scan_sock##*:}  
   P3Scan_ip=${P3Scan_sock%%:*}  
   iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner ${P3Scan_acnt} -m multiport --dports pop3,pop3s,smtp,2525 -j ACCEPT  
   iptables -t nat -A OUTPUT -p tcp -m multiport --dports pop3,pop3s,smtp,2525 -j REDIRECT --to-port ${P3Scan_port}  
  
• Проверьте, чтобы параметр TargetIP в файле /etc/p3scan/p3scan.conf (или /usr/local/etc/p3scan/p3scan.conf) у вас был закомментирован или равен 0.0.0.0!
• Проверьте значение параметра smtpport - оно должно соответствовать номеру порта на используемом вами SMTP-сервере

Настройка P3Scan для работы в качестве обычного прозрачного прокси (т.е. прозрачного только для клиентов LAN, но не для самого сервера, на котором P3Scan запущен):

• В таблицы пакетного фильтра IPTables добавьте следующие правила (при этом не забудьте установить значения переменных P3Scan_acnt и P3Scan_sock и LAN в соответствии с настройками своего сервера):
  Code:
   P3Scan_acnt=clamav  
   P3Scan_sock="192.168.1.1:8110"  
   LAN="192.168.1.0/24"  
   P3Scan_port=${P3Scan_sock##*:}  
   P3Scan_ip=${P3Scan_sock%%:*}  
   UNPRIVPORTS="1024:"  
   # Это в таблицу nat, цепочку PREROUTING  
   iptables -t nat -A PREROUTING -p tcp -d ${P3Scan_ip} -m multiport --dports pop3,pop3s,smtp,2525 -j REDIRECT --to-port ${P3Scan_port}  
   # ....  
   # ....  
   # А это в цепочку INPUT таблицы filter  
   iptables -A INPUT -p tcp -s $LAN --sport $UNPRIVPORTS -d ${P3Scan_ip} -m multiport --dports pop3,pop3s,smtp,2525 -j ACCEPT  
   # В цепочку OUTPUT таблицы filter (нужно только в том случае, если у вас не разрешена по умолчанию отправка любых пакетов со шлюза на компьютеры клиентов локальной сети в рамках ранее установленных соединений)  
   iptables -A OUTPUT -p tcp -d $LAN --dport $UNPRIVPORTS -s ${P3Scan_ip} --sport $UNPRIVPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT  
  
  Разумеется, для того, чтобы P3Scan работал, нужно также разрешить отправку/приём пакетов в рамках протоколов POP3(S) и SMTP со шлюза в интернет/на шлюз из интернета и также вполне очевидно, что если сейчас через шлюз можно принимать/отправлять почту, то все необходимые разрешения в правилах IPTables у вас уже есть
• В случае с прозрачным проксированием трафика из локальной сети через шлюз оставлять значение параметра TargetIP неустановленным или, что эквивалентно, сбрасывать его в 0.0.0.0, совершенно не обязательно: вы можете для пущей ясности присвоить ему значение IP-адреса внутренней сетевой карты (обменивающейся пакетами с LAN).
• Проверьте значение параметра smtpport - оно должно соответствовать номеру порта на используемом вами SMTP-сервере

К сожалению, сейчас по непонятным (лично мне) причинам, P3Scan работает в качестве локального прозрачного прокси крайне нестабильно. Например, на моём компьютере установлена его бэта-версия 2.9.04d.b8, которая при тестировании в режиме периодической проверки получения новых email-сообщений с коротким временным шагом в 2 минуты, умудряется нормально работать порядка одного-полутора часов (я отсылаю письма "прозрачно" и также их принимаю, вирусы P3Scan без проблем находит и присылает соответствующее оповещение), но по прошествии такого довольно продолжительного периода времени программа вдруг даёт сбой и впадает в полный ступор, из которого её даже Ctrl+C при запуске в отладочном режиме с перехватом консоли вывести невозможно (т.е. фактически P3Scan просто "умирает"), при этом в логах/на консоли появляется сообщение об ошибке "зацикливания" программы. Я уже сообщил об этой ошибке разработчику, пока что он работает над проблемой перехвата нажатия комбинации клавиш Ctrl+C в какой-то критической секции (видимо, там блокируются обработчики прерываний по внешним сигналам). Так что, если и у вас P3Scan в режиме локального прозрачного прокси будет систематически давать сбои (в качестве обычного transparent proxy для клентов локальной сети P3Scan работает как швейцарские часы, в этом отношении у меня абослютно никаких претензий к нему нет), используйте более традиционную схему:

• В конфигурационном файле p3scan.conf раскомментируйте "флаговый" параметр useurl
• Подкорректируйте настройки текущей учётной записи и всех используемых вами учётных записей следующим образом: Для тех протоколов, которые Вам нужно проверять на вирусы, измените имя, под которым Вы регистрируетесь на почтовом сервере: добавьте после него символ решётки "#" в качестве разделителя, за которым впишите адрес и порт почтового сервера через двоеточие (например, у меня для POP3-аккаунта на list.ru это выглядит так: mudraia#pop.list.ru:110). Вместо IP/порта для установления соединения с удалённым почтовым сервером пропишите параметры сокета, на котором прослушивает соединения P3Scan: в качестве сервера укажите IP-адрес, присвоенный параметру TargetIP в файле p3scan.conf, либо, если TargetIP у вас закомментирован или равен 0.0.0.0, укажите IP 127.0.0.1 или имя localhost; номер порта, прослушиваемого P3Scan'ом, определяется параметром TargetPort, по умолчанию используется порт 8110.

Вот, собственно, и всё, что мне хотелось бы поведать вам о замечательном почтовом фильтре P3Scan. "За бортом" остались вопросы настройки этой программы для интеграции с популярными спам-фильтрами и тонкие моменты взаимодействия P3Scan с "нестандратными" антивирусами (например, для меня представляет немалый интерес возможность P3Scan вызывать в качестве антивирусного сканера любые программы, возвращающие достаточно информативные и, главное, предсказуемые коды, что позволяет фильтровать корреспонденцию с помощью полноценных сценариев на BASH, которые, разумеется, совершенно не обязательно должны проверять почту именно на предмет наличия вирусов во вложениях ). Впрочем, если эта статья заинтересовала вас, но объём предоставленного в ней материала показался недостаточным и вам хотелось бы, чтобы я более подробно осветил те или иные вопросы, пишите мне (DRVTiny) на форум - обещаю во всяком случае подумать над тем, чтобы развить тему использования уникальных возможностей P3Scan "по максимуму".

© DRVTiny

Выкладываю ее здесь...

Ссылка на статью не рабочая! Выложите пожалуйста статью по другому адресу! Очень интересно почитать.