Manuel du propriétaire | Kaspersky ANTI-VIRUS FOR FREEBSD / OPENBSD MAIL SERVERS Manuel utilisateur
Ajouter à Mes manuels108 Des pages
▼
Scroll to page 2
of
108
KASPERSKY LAB Kaspersky Anti-Virus® 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD GUIDE DE L'ADMINISTRATEUR KASPERSKY ANTI-VIRUS® 5.5 POUR SERVEURS DE COURRIER LINUX, FREEBSD ET OPENBSD Guide de l'administrateur © Kaspersky Lab, Ltd. http://www.kaspersky.com Date de révision : Mai 2005 Sommaire CHAPITRE 1. KASPERSKY ANTI-VIRUS 5.5 POUR SERVEURS DE COURRIER LINUX, FREEBSD ET OPENBSD ......................................................... 6 1.1. Nouveautés de la version 5.5 ............................................................................... 7 1.2. Spécifications matérielles et logicielles................................................................. 8 1.3. Contenu de la distribution...................................................................................... 9 1.4. Services réservés aux utilisateurs enregistrés ................................................... 10 1.5. Conventions typographiques .............................................................................. 10 CHAPITRE 2. SCENARIOS HABITUELS DE DEPLOIEMENT DU PRODUIT ......... 12 2.1. Architecture interne de Kaspersky Anti-Virus..................................................... 12 2.2. Fonctionnement sur le même serveur que le système de messagerie ............ 14 2.3. Fonctionnement en tant que filtre secondaire .................................................... 16 2.4. Fonctionnement sur un serveur dédié................................................................ 17 2.5. Filtrage du courrier provenant de boîtes aux lettres externes............................ 19 CHAPITRE 3. INSTALLATION DE KASPERSKY ANTI-VIRUS ................................. 22 3.1. Installation sur un serveur Linux ......................................................................... 22 3.2. Installation sur un serveur FreeBSD ou OpenBSD............................................ 23 3.3. Procédure d'installation ....................................................................................... 23 3.4. Configuration de l'application .............................................................................. 24 CHAPITRE 4. CONFIGURATION POSTERIEURE A L'INSTALLATION .................. 26 4.1. Configuration par défaut du logiciel .................................................................... 26 4.2. Installation et mise à jour des bases antivirus .................................................... 28 4.3. Configuration de l'utilisation conjointe de Webmin............................................. 29 4.4. Intégration manuelle avec les systèmes de messagerie ................................... 29 4.4.1. Intégration avec Sendmail............................................................................ 30 4.4.2. Intégration avec Qmail.................................................................................. 31 4.4.3. Intégration avec Postfix ................................................................................ 31 4.4.4. Intégration avec Exim ................................................................................... 32 4.4.5. Intégration de Kaspersky Anti-Virus au système de messagerie ............... 33 CHAPITRE 5. UTILISATION DE KASPERSKY ANTI-VIRUS..................................... 35 4 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 5.1. Mise à jour des bases antivirus........................................................................... 35 5.1.1. Composant d'application keepup2date........................................................ 36 5.1.2. Configuration recommandée du composant keepup2date......................... 37 5.1.3. Planification des mises à jour de la base antivirus avec cron..................... 38 5.1.4. Mise à jour manuelle des bases antivirus.................................................... 39 5.1.5. Création d'un répertoire réseau pour les bases antivirus............................ 40 5.2. Protection antivirus du trafic de courrier du serveur........................................... 41 5.2.1. Distribution de messages nettoyés et désinfectés ...................................... 42 5.2.2. Distribution des messages infectés ............................................................. 43 5.2.3. Distribution des messages contenant des fichiers d'archives protégés par un mot de passe ..................................................................................... 45 5.2.4. Blocage de la distribution des messages aux destinataires ....................... 46 5.2.5. Filtrage complémentaire en fonction des types de pièces jointes .............. 47 5.3. Protection antivirus des systèmes de fichiers..................................................... 50 5.3.1. Analyse à la demande.................................................................................. 50 5.3.2. Planification d'une analyse de répertoires quotidienne (cron) .................... 51 5.3.3. Options avancées : utilisation de fichiers de script..................................... 52 5.3.3.1. Nettoyage d'objets infectés dans les fichiers d'archives....................... 52 5.3.3.2. Courrier de notification à l'administrateur.............................................. 53 5.3.4. Déplacement d'objets vers un répertoire séparé (quarantaine).................. 53 5.3.5. Sauvegarde des objets traités...................................................................... 54 5.4. Gestion de la clé de licence ................................................................................ 55 5.4.1. Mécanisme de la licence .............................................................................. 56 5.4.2. Affichage des informations de licence ......................................................... 57 5.4.3. Renouvellement de la licence ...................................................................... 59 CHAPITRE 6. PARAMETRES AVANCES ................................................................... 60 6.1. Configuration de la protection antivirus du trafic de courrier.............................. 60 6.1.1. Constitution de groupes d'utilisateurs .......................................................... 62 6.1.2. Mode d'inspection et de désinfection de messages.................................... 63 6.1.3. Actions sur les messages de courrier.......................................................... 64 6.1.4. Notifications aux expéditeurs, destinataires et administrateurs .................. 65 6.2. Configuration de la protection antivirus des systèmes de fichiers serveurs...... 67 6.2.1. Zone d'analyse.............................................................................................. 68 6.2.2. Analyse de fichiers et mode de désinfection ............................................... 69 6.2.3. Opérations sur des objets suspects ou infectés.......................................... 70 6.2.4. Copie de sauvegarde ................................................................................... 71 Sommaire 5 6.3. Optimisation de Kaspersky Anti-Virus ................................................................ 71 6.3.1. Utilisation de la base de données iChecker................................................. 72 6.3.2. Réduction de la charge de travail du serveur .............................................. 72 6.4. Configuration du processus aveserver............................................................... 73 6.4.1. Rechargement du composant Aveserver.................................................... 73 6.4.2. Terminaison forcée du fonctionnement du processus aveserver............... 74 6.5. Affichage régional de la date et de l'heure.......................................................... 74 6.6. Paramètres de tenue du rapport dans Kaspersky Anti-Virus ............................ 75 6.6.1. Format de comptes-rendus d'analyse ......................................................... 77 6.6.2. Format des messages de console............................................................... 78 6.6.3. Statistiques antivirus de l'application............................................................ 79 CHAPITRE 7. DESINSTALLATION DE KASPERSKY ANTI-VIRUS ......................... 81 CHAPITRE 8. VERIFICATION DU FONCTIONNEMENT DE KASPERSKY ANTIVIRUS ......................................................................................................................... 82 CHAPITRE 9. FREQUENTLY ASKED QUESTIONS.................................................. 84 ANNEXE A. LOGICIELS MALVEILLANTS SOUS ENVIRONNEMENT UNIX .......... 91 A.1. Virus..................................................................................................................... 91 A.2. Cheval de Troie................................................................................................... 93 A.3. Vers réseau......................................................................................................... 93 ANNEXE B. KASPERSKY LAB .................................................................................... 96 B.1. Autres produits Kaspersky Lab .......................................................................... 97 B.2. Comment nous contacter ................................................................................. 102 ANNEXE C. CONTRAT DE LICENCE ....................................................................... 103 CHAPITRE 1. KASPERSKY ANTIVIRUS 5.5 POUR SERVEURS DE COURRIER LINUX, FREEBSD ET OPENBSD Kaspersky Anti-Virus pour serveurs de courrier Linux, FreeBSD, et OpenBSD (désigné dans la suite par Kaspersky Anti-Virus ou l'application) est conçu pour le traitement antivirus du trafic de courrier et des systèmes de fichiers de serveurs sous systèmes d'exploitation Linux, FreeBSD ou OpenBSD, et utilisant les logiciels de messagerie Sendmail, Postfix, Qmail ou Exim. Cette application offre les fonctionnalités suivantes : • Analyse antivirus de tous les montages de systèmes de fichiers, ainsi que des messages entrants et sortants faisant partie du trafic SMTP du serveur. • Détection des fichiers infectés, suspects, endommagés et protégés par mot de passe, y compris les fichiers qui ne peuvent être analysés. • Désinfection es objets infectés dans les systèmes de fichiers et les messages de courrier ; • Mise en quarantaine de tous les objets infectés, suspects ou endommagés dans le système de fichiers serveur et dans le trafic de messages. Dans ce dernier cas, les fichiers protégés par mot de passe peuvent également être placés en quarantaine, tout comme les fichiers qui ne peuvent être analysés. • Traitement du trafic des messages conformément à des règles prédéfinies pour des groupes d'expéditeurs ou de destinataires. • Assure un filtrage secondaire du trafic de courrier par nom et type d'objet joint, et utilise des règles de traitement individuel des objets filtrés. • Notification à l'expéditeur, le destinataire et l'administrateur du groupe concernant les messages de courrier contenant des objets infectés, suspects ou similaires. • Mise à jour des bases antivirus, de manière planifiée ou à la demande, en téléchargeant les mises à jour depuis les serveurs spécialisés de Kaspersky Lab. Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 7 La base antivirus est utilisée pour rechercher et nettoyer les objets infectés. Pendant l'analyse, chaque fichier est analysé à la recherche de virus, en comparant son code avec celui appartenant à des virus individuels, et conservé dans la base antiviurus. Si le fichier est infecté, l'application le nettoie, en utilisant ici aussi les informations conservées dans la base de données. En raison de l'apparition quotidienne de nouveau virus, il est conseillé de mettre à jour la base antivirus toutes les heures, afin de conserver le produit en parfaites conditions. • Configurer Kaspersky Anti-Virus à l'aide de l'interface Web de l'utilitaire Webmin et du fichier de configuration de l'application. 1.1. Nouveautés de la version 5.5 La version 5.5 de Kaspersky Anti-Virus pour serveurs de courrier Linux, FreeBSD et OpenBSD introduit les nouveautés suivantes, par rapport à la version 5.0 : • Le composant keepup2date utilise de nouvelles technologies pour télécharger les mises à jour de base antivirus et de modules d'application, en réduisant au minimum le trafic réseau. Le contrôle d'intégrité des bases de données téléchargées garantit un fonctionnement sécurisé de l'application. • Une zone de sauvegarde permet de conserver des copies des objets suspects ou infectés, avant leur désinfection ou leur suppression. Ceci permet de récupérer les informations d'origine si une erreur se produit pendant l'analyse antivirus. • La technologie de base de données iChecker, et le tampon à deux niveaux sur les objets analysés, a été développée pour réduire la surcharge du serveur pendant l'analyse antivirus. • Il est désormais possible d'utiliser l'application Webmin pour examiner les statistiques d'activité virale pendant une période déterminée, et obtenir des informations sur les types de virus détectés pendant l'analyse. • Une nouvelle option permet de restreindre le nombre d'objets analysés simultanément en arrière-plan, pour minimiser la charge du serveur. • Il est maintenant possible de générer une liste des virus détectables. • La possibilité de sélectionner le protocole actuel (SMTP ou LMTP) pour le fonctionnement du composant smtpscanner a été ajoutée. • Il est maintenant possible de confirmer aux expéditeurs la réception des messages si le protocole SMTP est utilisé. 8 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • La possibilité est donnée d'enregistrer, pour chaque message, les noms des virus détectés et le code d'identification du message, dans le fichier de rapport généré par le composant smtpscanner. • La stratégie de licences de l'application a été modifiée. En particulier, il n'est plus nécessaire de créer ni de gérer une liste d'utilisateurs avec licence ; l'application gère et entretient désormais cette liste automatiquement. • Il est possible de spécifier la base antivirus activée (jeu standard, étendu ou paranoïa) pour chacun des composants d'application individuels. • Une nouvelle macro est ajoutée, permettant d'insérer tous les en-têtes du message d'origine, ce qui est utile pour les notifications. • Les procédures d'installation et de désinstallation de l'application ont été considérablement simplifiées. En particulier, l'application supprime correctement ses propres entrées dans les fichiers de configuration, pendant la procédure de désinstallation. • Les installations sont désormais plus rapides, en permettant à l'application d'importer la configuration des versions (4.0 ou 5.0) précédentes. • Le programme d'installation détecte désormais la présence de Kaspersky Anti-Spam, il intègre correctement ce dernier pendant l'installation de l'application, et restaure la configuration précédente lors de la désinstallation. 1.2. Spécifications matérielles et logicielles Les spécifications minimales du système pour Kaspersky Anti-Virus sont : • • Configuration matérielle : • Processeur Intel Pentium ou compatible • Au moins 32 Mo de RAM • Au moins 100 Mo d'espace libre sur disque Configuration logicielle : • L'un des systèmes d'exploitation suivants : o RedHat Linux versions 9.0, Fedora Core 3, Enterprise Linux Advanced Server 3, Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD o SuSE Linux Enterprise Server 9.0 ou Professional 9.2, o Mandrake Linux version 10.1 o Debian GNU/Linux version 3.0 mise à jour (r4) o FreeBSD versions 4.10 ou 5.3 o OpenBSD version 3.6 9 • L'un des systèmes de messagerie suivants : Sendmail 8.x, Qmail 1.03, Postfix version snapshot_20000529 ou supérieur, Exim 4.0 • L'outil which • Le logiciel Webmin (www.webmin.com) pour l'administration à distance de Kaspersky Anti-Virus. • Perl version 5.0 ou supérieur (www.perl.org) pour l'installation de Kaspersky Anti-Virus à l'aide de install.sh. 1.3. Contenu de la distribution Vous pouvez acquérir Kaspersky Anti-Virus chez un détaillant (dans un emballage) ou visiter notre magasin en ligne (www.kaspersky.com, section EStore). En achetant le paquet au détail vous recevez le kit suivant : • Une enveloppe cachetée avec un CD d'installation contenant les fichiers de l'application • Le Guide de l'administrateur ; • Une clé de licence comprise dans la distribution ou enregistrée sur un disque flexible indépendant ; • Contrat de licence. Avant de décacheter l'enveloppe contenant le CD, lisez attentivement le contrat de licence. L'ouverture de l'enveloppe cachetée contenant le CD ou l'installation de l'application confirme votre acceptation de tous les termes du contrat de licence. Si vous achetez notre application sur le Web, ou si vous téléchargez celle-ci depuis le site Kaspersky Lab, votre exemplaire contient également ce manuel. Votre clé de licence est présente dans le fichier d'installation, ou vous est envoyée par courrier électronique après paiement. 10 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Le contrat de licence constitue l'accord juridique passé entre vous et Kaspersky Lab, stipulant les conditions d'utilisation du progiciel que vous avez acquis. Lisez attentivement le contrat de licence ! Si vous n'acceptez pas les termes du contrat de licence, vous pouvez retourner le produit non utilisé à votre revendeur Kaspersky Anti-Virus pour un remboursement complet du montant de la souscription, si l'enveloppe contenant le CD est restée fermée. 1.4. Services réservés aux utilisateurs enregistrés Kaspersky Lab offre à ses utilisateurs légalement enregistrés un éventail de prestations complémentaires leur permettant d'utiliser plus efficacement le logiciel Kaspersky Anti-Virus. En vous enregistrant, vous devenez utilisateur agréé du programme et durant toute la période de validité de votre souscription, vous bénéficiez des prestations suivantes : • mises à niveau de cette application logicielle ; • assistance téléphonique et par messagerie configuration et l'utilisation de ce logiciel antivirus • communications sur les nouveaux produits de Kaspersky Lab, et les nouvelles épidémies virales. Ce service est offert aux utilisateurs ayant souscrit un abonnement à la liste de diffusion de Kaspersky Lab. sur l'installation, la Le service support de Kaspersky Lab ne couvre pas le fonctionnement ou l'utilisation de votre système d'exploitation ou d'autres technologies. 1.5. Conventions typographiques Cet ouvrage utilise plusieurs styles de texte pour mettre en relief les différentes parties significatives de la documentation. Le tableau ci-après illustre les conventions typographiques utilisées dans ce manuel. 11 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Mise en forme Usage Gras Titres de menus, commandes, titres de fenêtres, éléments de boîte de dialogue, etc. Italiques Signale un composant du programme. Note. Information remarques. Attention ! Informations nécessitant une attention particulière. Pour action, • Étape 1. • … exécuter une Tâche ou exemple Solution complémentaire, Description de la succession des étapes que l'utilisateur doit suivre ou des actions possibles. Formulation du problème ou exemple d'utilisation du logiciel. Solution du problème exposé. [argument] – valeur de l'argument. Paramètres de ligne de commande. Texte des messages d'information et de la ligne de commande Texte des fichiers de configuration, des messages d'information et de la ligne de commandes. CHAPITRE 2. SCENARIOS HABITUELS DE DEPLOIEMENT DU PRODUIT En fonction de l'architecture initiale du serveur de courrier, il existe plusieurs variantes de déploiement de Kaspersky Anti-Virus : • Sur le même serveur que le système de messagerie. Cette variante est utilisée lorsque le serveur héberge un système de messagerie Sendmail, Qmail, Postfix ou Exim (voir section 2.2 à la page 14). • Sur un serveur dédié comme filtre secondaire : Cette méthode est recommandée lorsque le serveur de messagerie principal exploite un système d'exploitation ou de messagerie non pris en charge (voir section 2.4 à la page 17). • Sur le même serveur que le système de messagerie en tant que filtre secondaire. Nous recommandons cette variante dans le cas où un filtre de messagerie, comme Kaspersky Anti-Spam, se trouverait installé sur le serveur de messagerie (voir section 2.3 à la page 16). • En tant que filtre pour les boîtes aux lettres externes. Cette méthode de déploiement est utile lorsque les boîtes aux lettres des utilisateurs de la messagerie se trouvent sur des serveurs externes et qu'il est nécessaire d'assurer la protection antivirus des messages téléchargés (voir section 2.5 à la page 19). Dans tous les cas précédents, Kaspersky Anti-Virus est capable à la fois de filtrer le trafic des messages et d'analyser touts les points de montage du système de fichiers . Avant de décrire en détail les scénarios de déploiement précédents, nous allons revoir l'architecture interne de Kaspersky Anti-Virus, afin de bien comprendre son algorithme de fonctionnement. 2.1. Architecture interne de Kaspersky Anti-Virus Pour bien utiliser Kaspersky Anti-Virus, il est important de comprendre son algorithme de fonctionnement. Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 13 Cette section passe en revue l'architecture interne de l'application, spécialement celle qui s'applique à l'analyse du trafic de courrier, dans la mesure où le processus d'analyse des systèmes de fichiers du serveur reste lui-même très simple et n'exige pas d'explications approfondies. Il faut noter que Kaspersky Anti-Virus est uniquement conçu pour filtrer les messages à la recherche de virus : ce n'est pas un agent de messagerie capable de réceptionner ou d'acheminer le trafic de courrier. Ce travail est assuré par un système de messagerie installé sur le serveur, auquel le logiciel antivirus se trouve intégré après son installation. Dans les illustrations suivantes sur le fonctionnement interne de l'application une fois celle-ci installée et intégrée au système de messagerie, nous prendrons SendMail comme exemple. Nous remarquerons que dans le processus d'intégration de l'antivirus dans le système de messagerie Sendmail, un fichier de configuration supplémentaire est créé : sendmail.cf.listen. Lorsqu'il démarre avec ce fichier de configuration, sendmail réceptionne et passe le trafic de courrier à Kaspersky Anti-Virus pour son analyse. S'il démarre avec le fichier de configuration original (sendmail.cf),alors il distribue les messages de courrier qu'il reçoit de l'application. Par conséquent, l'algorithme de fonctionnement est le suivant (voir Figure 1): 1. Sendmail lit le courrier via le protocole SMTP (fichier de configuration sendmail.cf.listen). sendmail crée une file d'attente dans laquelle il conserve les messages entrants, avant de les passer via le protocole LMTP au composant smtpscanner pour leur analyse. 2. Le composant smtpscanner traite le trafic de courrier conformément à sa configuration. L'analyse et le nettoyage des messages de courrier sont réalisés comme ceci : 3. a. smtpscanner passe le nom de fichier du message au composant aveserver à travers le socket local. b. aveserver analyse et désinfecte l'objet à l'aide des bases antivirus. c. smtpscanner reçoit de aveserver un code retour indiquant l'état du fichier. d. En fonction de l'indicateur d'état de l'objet, smtpscanner le traite conformément au fichier de configuration. Le trafic du courrier traité, avec les notifications liées aux résultats de l'analyse et de la désinfection, est transféré par protocole SMTP vers le système de messagerie Sendmail (avec sendmail.cf), lequel distribue à son tour le courrier aux utilisateurs locaux, ou le réachemine vers d'autres serveurs de courrier. 14 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Figure 1. Architecture interne de Kaspersky Anti-Virus pour serveurs de courrier Unix 2.2. Fonctionnement sur le même serveur que le système de messagerie Dans ce qui suit, la description du fonctionnement et de la configuration de Kaspersky Anti-Virus est adaptée à la variante dans laquelle l'application se trouve sur le même serveur que le système de messagerie !. L'installation et le fonctionnement de Kaspersky Anti-Virus sur le même serveur que le système de messagerie n'est possible que s'il existe une prise en charge du système d'exploitation (Linux, FreeBSD ou OpenBSD) et du système de messagerie (Sendmail, Qmail, Postfix ou Exim). Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 15 Cette configuration est recommandée si le serveur de messagerie doit faire face à une charge moyenne. Considérons en détail le fonctionnement de Kaspersky Anti-Virus sur le même serveur pour n'importe lequel des systèmes de messagerie indiqués plus haut (voir Figure 2). La séquence de traitement des messages entrants et sortant est la même, et se décompose dans les étapes suivantes : 1. Le flux des messages de courrier arrive depuis les autres serveurs ou depuis le réseau local, en utilisant le protocole SMTP. 2. Le système de messagerie réceptionne et passe le trafic de courrier à Kaspersky Anti-Virus pour son analyse. 3. L'application traite le trafic de courrier conformément à sa configuration, puis le réexpédie vers le système de messagerie, accompagné d'un jeu de notifications complémentaires. 4. Le système de messagerie achemine le trafic de courrier vers des serveurs externes ou vers des boîtes aux lettres situées sur le réseau local. Figure 2. Diagramme de fonctionnement de Kaspersky Anti-Virus sur le même serveur en tant que système de messagerie D'après le diagramme précédent, au moment ou après l'installation de Kaspersky Anti-Virus, il faut ajuster les paramètres suivants : • Définissez le port du serveur de messagerie utilisé par Kaspersky AntiVirus. • Définissez le port que le système de messagerie utilisera pour la réceptionner le courrier de Kaspersky Anti-Virus après son filtrage. 16 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 2.3. Fonctionnement en tant que filtre secondaire Kaspersky Anti-Virus peut être utilisé comme filtre primaire, ou comme filtre secondaire. Si votre serveur de messagerie est déjà équipé d'un filtre de courrier au moment de l'installation de Kaspersky Anti-Virus, vous devez définir lesquels de ces filtres (Kaspersky Anti-Virus ou l'un de ceux déjà existants) interviendront en tant que filtres primaire ou secondaire, respectivement. ce choix s'appuiera sur les procédés de filtrage utilisés par les deux filtres. Le filtre primaire (que nous désignerons par MX1) est celui qui filtre le trafic de courrier en fonction de l'adresse IP de l'expéditeur. Ce type de filtre est installé en premier lieu sur le port 25. Il reçoit le courrier entrant, le filtre puis le passe au filtre secondaire pour traitement. Le filtre secondaire (désigné par MX2) est installé sur le même poste que le filtre primaire, mais il est affecté à une adresse IP et à un port différents du précédent. Si votre serveur n'est équipé d'aucun filtre opérant sur l'adresse IP de l'expéditeur, vous pouvez alors installer Kaspersky Anti-Virus comme filtre primaire. Dans le cas où votre filtre IP est installé, installez l'antivirus en tant que filtre secondaire. La raison pour procéder ainsi est que tout le trafic de courrier analysé par Kaspersky Anti-Virus va ressortir par la même adresse IP. Par conséquent, appliquer un filtre par IP après le traitement antivirus n'a aucun intérêt. Figure 3. Diagramme de fonctionnement de Kaspersky Anti-Virus en tant que filtre secondaire sur le même serveur avec système de messagerie Appliquez la configuration suivante pour les filtres primaires et secondaires : • Configuration du filtre primaire (MX1) : Nom de l'hôte où le filtre est installé : mx1.yourhost.domain Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 17 L'adresse IP du filtre : toutes les disponibles adresses Numéro de port utilisé par le filtre : 25 Nom de l'hôte pour l'envoi de courrier : mx2.yourhost.domain:10026 • Configuration du filtre secondaire (MX2) : Nom de l'hôte où le filtre est installé : mx2.yourhost.domain L'adresse IP du filtre : 127.0.0.1 Numéro de port, utilisé par le filtre : 10026 Nom de l'hôte source du courrier reçu : mx1.yourhost.domain MX1 et MX2 doivent utiliser des noms d'hôtes différents, car le serveur n'acceptera pas un message pour lequel les noms des hôtes, dans le dialogue helo/ehlo, sont les mêmes. L'état du MX2 doit être approuvé par MX1 et inversement, autrement, la distribution échouera. 2.4. Fonctionnement sur un serveur dédié Kaspersky Anti-Virus peut filtrer le trafic de courrier et assurer le traitement antivirus même si votre serveur de messagerie est exploité sous un autre système, par exemple sous Windows. Dans ce scénario, Kaspersky Anti-Virus est installé sur un serveur dédié exploité sous Linux, FreeBSD ou OpenBSD. Afin de pouvoir recevoir le trafic de courrier et le réexpédier vers le serveur de messagerie Windows, un autre système de messagerie (Sendmail, Qmail, Postfix ou Exim) doit être installé sur le serveur dédié, et intégré avec Kaspersky Anti-Virus (voir section 4.4 à la page 29). Dans ce scénario, le fonctionnement suit la séquence suivante (voir Figure 4): 1. Le trafic de courrier est reçu par un serveur sous système d'exploitation de type Unix. 2. Le système de messagerie (qmail, par exemple) le réexpédie à Kaspersky Anti-Virus via le protocole LMTP pour son analyse. 3. Le courrier vérifié, avec les notifications créées par l'antivirus, est renvoyé au système de messagerie, qui le réexpédie à son tour au serveur de messagerie principal, afin d'être distribué, ou réacheminé à nouveau. 18 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Figure 4. Diagramme de fonctionnement de Kaspersky Anti-Virus sur un serveur dédié Sur le diagramme précédent, le serveur équipé de Kaspersky Anti-Virus est le serveur primaire, car il reçoit et réexpédie le courrier, tandis que le serveur secondaire est celui avec MS Exchange, qui distribue uniquement le courrier. Cependant, si avant l'installation de Kaspersky Anti-Virus, votre serveur de messagerie a été utilisé pour filtrer des messages en fonction des adresses IP des expéditeurs, alors il faut définir le serveur équipé de Kaspersky Anti-Virus comme secondaire. En effet, si vous définissez comme primaire le serveur qui héberge Kaspersky Anti-Virus, alors tous les messages électroniques réceptionnés par le serveur secondaire (qui assure le filtrage par IP) proviendront de la même adresse IP, et l'application de filtres sera alors impossible. Si votre LAN contient des serveurs de courrier, il faut alors faire pointer les enregistrements MX ou les paramètres de réexpédition vers le serveur primaire, et non vers le secondaire. • Configuration du filtre primaire (MX1) : Nom de l'hôte où le filtre est installé : mx1.yourhost.domain Nom de l'hôte pour la réexpédition de mx2.yourhost.domain:25 • Configuration du filtre secondaire (MX2) : Nom de l'hôte où le filtre est installé : mx2.yourhost.domain Nom de l'hôte source du courrier reçu : mx1.yourhost.domain courrier : Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 19 2.5. Filtrage du courrier provenant de boîtes aux lettres externes Actuellement, des boîtes aux lettres externes sur des serveurs comme www.mail.ru, www.aport.ru, www.hotmail.com, etc. sont largement utilisées. Comment éviter l'infection en cas de téléchargement de messages contaminés depuis ce type de boîtes aux lettres ? En pratique, ce message est distribué par protocole POP3, tandis que Kaspersky Anti-Virus analyse uniquement le trafic de courrier qui utilise le protocole SMTP. Pour assurer la protection antivirus du courrier externe, la configuration suivante est nécessaire : 1. Bloquer le port 110 (POP3) par défaut et donner aux utilisateurs un accès simple au courrier externe, puis faire opérer la passerelle en tant que serveur proxy pour POP3 à l'aide du paquet fetchmail. Ce paquet télécharge les messages de courrier depuis des serveurs externes et les envoie vers le port SMTP local. C'est exactement le but recherché, car une fois arrivés sur le port SMTP, les messages sont alors analysés par Kaspersky Anti-Virus. Le filtrage du courrier provenant de boîtes aux lettres externes nécessite un serveur SMTP local et un compte utilisateur local sur le poste où le paquet fetchmail est installé. La configuration de fetchmail est très simple : chaque utilisateur, dans son répertoire $HOME, possède un fichier .fetcmailrc, contenant au moins les lignes suivantes : set postmaster "utilisateur" set bouncemail set no spambounce set properties "" poll mail.poste.libre.fr with proto POP3 utilisateur 'UtilisateurDistant' there with password 'pass12345' is 'utilisateur' here poll mail2.poste.libre.fr with proto POP3 utilisateur 'UtilisateurDistant2' there with password 'pass123452' is 'utilisateur' here où : utilisateur est le nom de l'utilisateur dans le réseau local 20 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD mail.poste.libre.fr et mail2.poste.libre.fr sont les noms des hôtes sur lesquels les messages doivent être collectés. UtilisateurDistant et UtilisateurDistant2 sont des noms de connexion pour les serveurs mail.poste.libre.fr et mail2.poste.libre.fr, respectivement. pass12345 et pass123452 sont les mots de passe des comptes de messagerie UtilisateurDistant et UtilisateurDistant2. Avec ces paramètres, le programme fetchmail pourra récupérer les messages de courrier dans les hôtes mail.poste.libre.fr et mail2.poste.libre.fr, puis les diriger vers le service SMTP local de l'utilisateur. Aucun des champs (De:, A: ni aucun autre) ne sera altéré dans les messages, uniquement un en-tête received supplémentaire sera ajouté par fetchmail. L'apparence des messages de courrier reçus par l'utilisateur sera la même que s'ils avaient été reçus normalement. 2. Configurez l'outil cron, dans le crontab, pour démarrer fetchmail toutes les 10 ou 15 minutes, par exemple. Pour automatiser la mise en place du programme fetchmail pour d'autres utilisateurs de boîtes aux lettres externes, nous avons besoin des informations suivantes : • Nom de l'hôte externe, où fetchmail récupère les messages de courrier. • Connexion au compte de l'hôte externe. • Mot de passe du compte. En outre, les répertoires de travail de chaque utilisateur doivent contenir un fichier .fetchmailrc avec le contenu suivant : set set set set postmaster "utilisateur" bouncemail no spambounce properties "" Le fichier script suivant peut-être utilisé pour ajouter des entrées de boîtes aux lettres : #!/bin/bash echo "poll $1 with proto POP3 " >>$HOME/.fetchmailrc echo "utilisateur '$2' with password '$3' is '$4' here">>$HOME/.fetchmailrc Si vous exécutez ce script avec les paramètres suivants : pop.mail.ru, dan, secret, admin, alors les messages pour l'utilisateur dan@mail.ru seront réexpédiés à l'adresse admin@your_hote.votre_domaine. Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 21 CHAPITRE 3. INSTALLATION DE KASPERSKY ANTI-VIRUS Avant d'installer Kaspersky Anti-Virus, nous vous recommandons de préparer votre système de la manière suivante : • Assurez-vous que votre système est conforme aux spécifications matérielles et logicielles minimales requises, décrites dans la section 1.2 à la page 8. Si une quelconque application n'est pas encore installée, il est conseillé de le faire auparavant, ou un partie de l'application ne sera pas disponible. • Réalisez des copies de sauvegardes des fichiers de configuration du système de messagerie installé sur votre serveur. • Configurez votre connexion Internet. • Stoppez le serveur de messagerie, avec lequel vous allez intégrer Kaspersky Anti-Virus. • Ouvrez une session sur le système en tant que root. Nous vous conseillons d'installer l'application pendant les heures de faible trafic, lorsque le trafic de courrier est au plus bas. 3.1. Installation sur un serveur Linux Kaspersky Anti-Virus est distribué sous trois différents types de paquets d'installation (rpm, deb ou tar.gz) pour systèmes Linux ; votre choix dépendra du type de distribution de votre système d'exploitation. Pour démarrer l'installation de Kaspersky Anti-Virus à partir du paquet .rpm, tapez ce qui suit sur la ligne de commande : rpm –i <nom_fichier_Paquet_Distribution> Pour démarrer l'installation de Kaspersky Anti-Virus à partir du paquet .deb, tapez ce qui suit sur la ligne de commande : dpkg –i <nom_fichier_Paquet_Distribution> Installation de Kaspersky Anti-Virus 23 Vous pouvez également utiliser la distribution universelle prévue pour tous les systèmes d'exploitation Linux. Utilisez ce fichier si votre version Linux ne prend pas en charge les formats RPM ou DEB ou si votre administrateur réseau n'utilise pas de gestionnaire de paquets intégré. Le paquet de distribution universelle de Kaspersky Anti-Virus se présente sous la forme d'un fichier d'archive. Ce fichier d'archive contient l'arborescence de répertoires, les fichiers de la distribution et le script d'installation install.sh, qui prend en charge l'installation proprement dite. Pour installer Kaspersky Anti-Virus à partir du paquet d'installation universel, procédez de la manière suivante : 1. Copiez l'archive du paquet d'installation dans un répertoire du système de fichiers du serveur, et décompressez-le. 2. Lancez le script d'installation : ./install.sh. 3.2. Installation sur un serveur FreeBSD ou OpenBSD Le paquet d'installation de Kaspersky Anti-Virus est fournit sous la forme d'un paquet .pkg pour les serveurs exploitant FreeBSD ou OpenBSD. Pour démarrer l'installation de Kaspersky Anti-Virus à partir du paquet .pkg, tapez ce qui suit sur la ligne de commande : pkg_add <NomPaquet> 3.3. Procédure d'installation Si l'installation se termine avec un code d'erreur, assurez-vous que votre système est conforme aux spécifications matérielles et logicielles requises (voir section 1.2 à la p. 8) et que vous vous êtes connecté au système en tant que root. Pour installer l'application sur un serveur, les étapes sont les suivantes : 1. Copiez les fichiers d'application dans le serveur. 2. Installez une clé de licence. Si la clé de licence n'est pas installée, le processus de configuration ne démarrera pas et il sera impossible de travailler avec l'application. Si vous 24 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD ne disposez pas encore de clé de licence au moment de l'installation (par exemple, si vous avez acheté l'application sur Internet sans avoir encore reçu votre licence par courrier électronique), vous pourrez installer la clé une fois terminée la procédure d'installation, mais avant de pouvoir utiliser effectivement l'application. 3. Configurez le composant keepup2date. 4. Installez et mettez à jour les bases antivirus. Vérifiez que les bases antivirus sont installées avant de commencer à utiliser l'application. Les traitements liés à l'analyse et à la désinfection antivirus dépendent du contenu des bases antivirus ; celles-ci contiennent les descriptions de tous les virus actuellement connus ainsi que les méthodes de désinfection des objets infectés. L'analyse et le traitement de fichiers sont impossibles sans ces bases antivirus ! Notez que la configuration automatique de l'application ne se réalisera pas si les bases antivirus ne sont pas installées. 5. Installez le module Webmin. La correcte installation du module Webmin, destiné à la gestion décentralisée du logiciel, ne peut se faire que si l'application se trouve placée dans le répertoire par défaut. Après l'installation de Webmin, des instructions détaillées vous guideront afin de configurer le fonctionnement du module avec l'application. Les sections suivantes décrivent ces étapes de manière plus détaillée. 3.4. Configuration de l'application Immédiatement après la copie des fichiers d'application dans le serveur, le programme d'installation effectue la configuration du système. Si le gestionnaire de paquets admet les scripts interactifs, la configuration démarre automatiquement : dans le cas contraire, un message vous informe de le démarrer manuellement. La procédure de configuration se déroule dans les étapes suivantes : • Recherche d'un serveur de messagerie installé, et comparaison de sa version avec les spécifications logicielles. • Recherche et modification du fichier de configuration du serveur. Si des informations supplémentaires sont nécessaires pendant la configuration (par exemple, le chemin d'accès au fichier de configuration du serveur de Installation de Kaspersky Anti-Virus 25 messagerie), le programme d'installation affiche des messages en ce sens sur la console du serveur. La saisie de réponses incorrectes mettra fin au processus. Si toutes les étapes de la configuration sont correctement terminées, l'application est prête pour travailler ; le programme d'installation n'affichera plus aucune notification supplémentaire. Le fichier de configuration inclus dans le paquet d'installation contient tous les paramètres requis pour commencer à fonctionner. Assurez-vous de redémarrer le serveur de messagerie avant de commencer à utiliser l'application. CHAPITRE 4. CONFIGURATION POSTERIEURE A L'INSTALLATION Pendant l'installation de Kaspersky Anti-Virus, le système cible est analysé et certains paramètres de configuration de l'application sont définis automatiquement aux valeurs les plus appropriées en fonction du système (voir section .4.1 à la page 26). Avant de commencer à utiliser l'application, nous vous conseillons d'installer ou de mettre à jour les bases antivirus (si cela n'a pas été fait pendant l'installation) et d'analyser les systèmes de fichiers du serveur, à la recherche de virus ! Cependant, ceci n'est pas suffisant pour commencer à travailler avec le logiciel. Vous devez faire les actions suivantes : • Intégrer Kaspersky Anti-Virus avec le système de messagerie installé sur votre serveur. • Créer une liste d'utilisateurs avec licence dont les courriers entrants et sortants seront analysés à la recherche de virus, et désinfectés. En outre, nous vous conseillons de mettre en place l'utilisation conjointe de Kaspersky Anti-Virus avec le paquet Webmin. Ce chapitre décrit la configuration par défaut de Kaspersky Anti-Virus, et s'arrête de manière plus approfondie sur la configuration nécessaire à la bonne exploitation de l'application. Les exemples ci-dessous distributions pour Linux. utilisent les chemins habituels des 4.1. Configuration par défaut du logiciel Tous les paramètres de Kaspersky Anti-Virus sont conservés dans le fichier de configuration par défaut /etc/kav/5.5/kav4mailservers.conf. Configuration postérieure à l'installation 27 Vous pouvez créer vos propres fichiers de configuration, afin de les utiliser pour les tâches courantes, ou en tant que fichiers par défaut. Cette section explique plus en détail les paramètres du fichier et leurs valeurs par défaut, pour vous aider à déterminer si la configuration de Kaspersky AntiVirus doit être ajustée (voir Chapitre 6 à la page 60), afin de maximiser son rendement, en fonction des conditions de votre environnement corporatif. PROTECTION ANTIVIRUS DES SYSTEMES DE FICHIERS DU SERVEUR Par défaut, la configuration de Kaspersky Anti-Virus est définie de telle sorte que lorsque le composant kavscanner est lancé sans paramètres, sur la ligne de commande, il effectue une analyse antivirus récursive des répertoires et fichiers du serveur, en commençant par le répertoire courant. Si des fichiers infectés, suspects, ou endommagés, sont identifiés, des messages sont affichés sur la console et ajoutés au rapport. Notez bien que, par défaut, les fichiers infectés détectés par Kaspersky Anti-Virus NE SONT PAS NETTOYÉS ! PROTECTION ANTIVIRUS DU TRAFIC DE COURRIER DU SERVEUR La protection antivirus du trafic de courrier EST IMPOSSIBLE tant que Kaspersky Anti-Virus n'est pas intégré au système de messagerie. Les explications ci-après décrivent les paramètres qui déterminent le fonctionnement par défaut de l'application, après son intégration au système de messagerie. La section [smtpscan.group:default] du fichier de configuration kav4mailservers.conf définit la disponibilité du groupe default, qui comprend tous les utilisateurs protégés du serveur de messagerie. Le groupe définit les règles d'analyse et de traitement antivirus du trafic de courrier suivantes : • Les messages entrants et sortants sont analysés. • Si des courriers infectés sont détectés, l'application les désinfecte. Les messages de courrier désinfectés sont remis aux destinataires et à l'administrateur du groupe (postmaster@localhost) accompagnés de notifications indiquant que les messages contenaient des virus et que leur désinfection a réussi. Des messages semblables sont transmis aux auteurs des messages. 28 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Si la désinfection échoue, le message est supprimé et une notification appropriée est envoyée au destinataire, à l'expéditeur et à l'administrateur du groupe. Toutes les notifications concernant l'analyse, la désinfection, l'élimination, la mise en quarantaine des messages sont envoyées par défaut en provenance de l'adresse MAILERDAEMON@localhost. • Pendant l'analyse antivirus du courrier, les fichiers suspects, endommagés ou protégés par un mot de passe, ou tout message de courrier dont l'analyse échoue, sont supprimés. Des notifications appropriées sont envoyées au destinataire, à l'expéditeur et à l'administrateur du groupe. • Toutes les actions de l'application sont enregistrées dans le fichier de rapport. Notez que le processus aveserver doit être en exécution pour que l'analyse antivirus du trafic de courrier soit possible. Si ce processus est désactivé, tout le trafic entrant est automatiquement placé en file d'attente, avant analyse et traitement. Des comptes-rendus sont enregistrés dans le fichier journal de l'application. Voir la section 6.4 à la page 73 4.2. Installation et mise à jour des bases antivirus Il est conseillé d'installer et de mettre à jour la base antivirus immédiatement après l'installation de l'application. Pour ce faire, exécutez le composant keepup2date. Écrivez ce qui suit sur la ligne de commande : /path/to/keepup2date Les bases antivirus seront téléchargées depuis les serveurs de mises à jour de Kaspersky Lab, et stockées dans le répertoire défini dans le fichier de configuration. Il est recommandé de mettre à jour la base antivirus TOUTES LES HEURES, en raison de l'apparition quotidienne de nouveau virus et de l'importance de conserver le produit en parfaites conditions. Pour plus d'informations sur la mise à jour de la base de données, reportez-vous aux sections 5.1.3 - 5.1.4 à la page 38 - 39. 29 Configuration postérieure à l'installation 4.3. Configuration de l'utilisation conjointe de Webmin Si vous prévoyez de piloter Kaspersky Anti-Virus à distance, nous vous conseillons de le configurer pour utilisation conjointe avec le paquet Webmin. Par exemple, Webmin peut être utilisé pour restreindre l'accès au logiciel par un système de mots de passe utilisateur. Pour plus de détails sur le paramétrage de Webmin, reportez-vous à la documentation qui l'accompagne. Tous les paramètres antivirus modifiés à distance depuis Webmin sont enregistrés dans le fichier de configuration par défaut de l'application. Si vous souhaitez créer un fichier de configuration alternatif avec l'utilitaire Webmin, procédez comme suit : • Copiez le contenu du fichier de configuration dans un nouveau fichier et enregistrez-le sous un nom différent. Ensuite, modifiez le nouveau fichier (alternatif) de configuration selon vos besoins. • Spécifiez le nom du fichier alternatif dans la zone Full path to KAV config, sur l'onglet Config edit. 4.4. Intégration manuelle avec les systèmes de messagerie Suivez la procédure ci-après uniquement si vous n'avez PAS UTILISÉ le script setup.sh pendant l'installation de l'application, c'est à dire, si l'application n'est pas configurée automatiquement. La procédure d'intégration manuelle se fait en trois étapes : 1. Ajustez la configuration du système de messagerie fonctionner de manière conjointe avec Kaspersky Anti-Virus. pour 2. Ajustez la configuration de l'application pour un fonctionnement conjoint avec le système de messagerie. 3. Lancez le système de messagerie avec la nouvelle configuration. 30 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Les utilisateurs dont les comptes sont utilisés pour démarrer et faire fonctionner le système de messagerie doivent posséder des droits en lecture sur les fichiers de configuration des systèmes de messagerie respectifs. Les sous-sections suivantes décrivent l'intégration manuelle de Kaspersky AntiVirus avec les systèmes de messagerie pris en charge. 4.4.1. Intégration avec Sendmail Pour intégrer Kaspersky Anti-Virus avec Sendmail, 1. Copiez le contenu de sendmail.cf.listen dans le fichier sendmail.cf. 2. Dans le nouveau fichier sendmail.cf.listen, créez la règle 98 comme ceci : SParseLocal=98 R$*[tab_character]$#smtpscanner $@$1 $:$1 3. Fournissez une description de smtpscanner dans le fichier : Msmtpscanner, P=/opt/kav/bin/smtpscanner, F=PCXmnz9, S=EnvFromSMTP, R=EnvToSMTP, E=\r\n, L=2040, T=SMTP, A=smtpscanner 4. Configurez Kaspersky Anti-Virus selon vos besoins (voir section 4.4.5 à la page 33). 5. Ajoutez les deux processus suivants aux scripts de démarrage : /usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen /usr/sbin/sendmail –q10m –C /etc/mail/sendmail.cf Si vous utilisez Sendmail version 8.12 ou supérieur configuré avec submit.cf, ajoutez ces trois processus aux scripts de démarrage : /usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen /usr/sbin/sendmail -q10m -C /etc/mail/sendmail.cf /usr/sbin/sendmail –q10m –C /etc/mail/submit.cf 31 Configuration postérieure à l'installation 4.4.2. Intégration avec Qmail Quand Kaspersky Anti-Virus est intégré au système de messagerie Qmail, son propre composant smtpscanner remplace le logiciel qmail-queue. Afin d'envoyer des messages ou de les placer dans la file d'attente, smtpscanner invoque le logiciel original qmail-queue. Pour intégrer Kaspersky Anti-Virus avec Qmail, 1. Renommez le fichier qmail-queue dans le répertoire /var/qmail/bin/ à queue.kav55. 2. Copiez le fichier qmail-queue du répertoire /opt/kav/5.5/kav4mailservers/bin// dans le répertoire /var/qmail/bin, ou créez un lien symbolique vers ce fichier. 3. Définissez les permissions d'accès suivantes aux fichiers qmailqueue et qmail kav55 : 16 -rws—x—x 1 qmailq qmail 13:56 qmail-que 316 –rwx—x—x 1 qmailq qmail 11:29 qmail-queue 12688 Mar 24 315612 Apr 14 4. Configurez Kaspersky Anti-Virus selon vos besoins (voir section 4.4.5 à la page 33). 5. Redémarrez le système de messagerie. Si votre système Qmail utilise l'utilitaire softlimit, il convient d'incrémenter la quantité de mémoire disponible, ou désactiver les limites de mémoire. Dans le cas contraire, des difficultés peuvent apparaître pendant l'analyse de messages de grande taille. 4.4.3. Intégration avec Postfix Pour intégrer Kaspersky Anti-Virus avec Postfix, 1. Vérifiez le numéro de version du système de messagerie Postfix. La version doit être postérieure au snapshot_20000529. Si la version est plus ancienne, téléchargez la nouvelle sur le site Web de Postfix (www.postfix.org). 32 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 2. Ajoutez la ligne suivante au fichier de configuration du système de messagerie Postfix main.cf : content_filtre = lmtp:localhost:10025 3. Ajoutez les lignes suivantes au fichier de configuration du système de messagerie Postfix master.cf : localhost:10025 inet n n n 10 spawn utilisateur=filtre argv=/opt/kav/bin/smtpscanner localhost:10026 inet n n 10 smtpd -o content_filtre= -o monNomHote=localhost 4. Créez un répertoire /var/spool/filter. Créez un filtre utilisateur, incluez-le dans le groupe filtre, et spécifiez le répertoire /var/spool/filter comme répertoire de travail. Assurez-vous de modifier les droits d'accès au répertoire, et tenez compte du fait que smtpscanner fonctionnera avec les droits attribués pour au compte du filtre utilisateur : mkdir /var/spool/filtre groupadd filtre useradd filtre –s /bin/false –d /var/spool/filtre –g filtre chown filtre.filtre /var/spool/filtre 5. Configurez Kaspersky Anti-Virus selon vos besoins (voir section 4.4.5 à la page 33). 6. Redémarrez le système de messagerie. 4.4.4. Intégration avec Exim Pour intégrer Kaspersky Anti-Virus avec Exim, 1. Copiez le fichier de configuration, (par exemple exim.conf) à exim.conf.listen. 2. Introduisez les exim.conf:listen : • corrections suivantes dans le fichier ajoutez ces lignes sous la section TRANSPORT CONFIGURATION : kav_lmtp_transport : driver = lmtp command = /opt/kav/bin/smtpscanner Configuration postérieure à l'installation • 33 définissez les paramètres de distribution du courrier local sous la section ROUTERS CONFIGURATION : localuser : driver=accept transport=kav_lmtp_transport définissez les paramètres de distribution à distance du courrier : lookuphost : driver=dnslookup transport=kav_lmtp_transport 3. Configurez Kaspersky Anti-Virus selon vos besoins (voir section 4.4.5 à la page 33). 4. Ajoutez les deux processus suivants aux scripts de démarrage : exim -q10m -bd –C /etc/exim/exim.conf.listen exim -q10m –C /etc/exim/exim.conf Si vous souhaitez lancer le composant smtpscanner à partir d'un autre compte utilisateur, compilez le système de messagerie Exim en modifiant les valeurs des paramètres EXIM_GID et EXIM_UID. Pour plus d'informations, reportez-vous à la documentation fournie avec le système de messagerie Exim. 4.4.5. Intégration de Kaspersky Anti-Virus au système de messagerie L'autre partie essentielle du travail d'intégration de Kaspersky Anti-Virus avec des systèmes de messagerie, est la configuration du logiciel antivirus lui-même, en modifiant son fichier de configuration. Pour configurer le fonctionnement de Kaspersky Anti-Virus avec un système de messagerie : Définissez les paramètres suivants dans le fichier de configuration de Kaspersky Anti-Virus : • Spécifiez l'adresse expéditrice des notifications : NotifyFromAddress=admin@yourhostname.ru • Configurez l'Id. du système de messagerie sous la section [smtpscan.general]. L'Id. du système de messagerie possède la structure suivante : protocole:hote:port, où : 34 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD protocole est le protocole utilisé pour l'envoi du courrier(smtp ou lmtp) hote est le nom de l'hôte ou son adresse IP, d'où les messages seront envoyés, ou le nom du logiciel de courrier. • Sélectionnez le protocole utilisé (LMTP ou SMTP). Le chemin complet du logiciel de courrier doit être indiqué entre parenthèses et peut contenir toutes les options de la ligne de commande. port – numéro du port (port 25 par défaut). Par exemple, la ligne peut avoir l'apparence suivante : smtp:localhost.tu:1100 or lmtp:(local.mail –l) o Pour Sendmail : ForwardMailer=smtp:(/usr/sbin/sendmail –bs –C /etc/mail/sendmail.cf) o Pour Qmail : ForwardMailer=qmail:(/var/qmail/bin/qmailque) o Pour Postfix : ForwardMailer=smtp:localhost:10026 o Pour Exim : ForwardMailer=smtp:(exim –bs -C/etc/exim/exim.conf) • Pour le groupe d'utilisateurs, indiquez ce qui suit dans la section [smtpscan.group:default]du fichier de configuration : AdminAddress=admin@votreNomHote.fr AdminNotify=yes • Dans la section [smtpscan.limits] définissez le délai de temporisation (en secondes) pour que le processusaveserver exécute une opération. MaxCheckTime=60 CHAPITRE 5. UTILISATION DE KASPERSKY ANTI-VIRUS Kaspersky Anti-Virus vous permet d'organiser la protection antivirus intégrale de votre serveur, à partir d'un fichier du serveur, qui couvre le trafic de courrier entrant et sortant, y compris le courrier récupéré depuis des boîtes aux lettres externes. L'utilité d'une application se révèle au nombre de tâches qu'un administrateur parvient à résoudre grâce à elle. Les tâches implémentées par Kaspersky AntiVirus peuvent se diviser en trois catégories : 1. Mise à jour de la base antivirus utilisée pour l'analyse et le nettoyage de tous objets infectés. 2. Protection antivirus du trafic de courrier du serveur. 3. Protection antivirale des systèmes de fichiers du serveur. Chacun de ces groupes comprend d'autres tâches plus spécifiques, qui font appel à des fonctions particulières de l'application. Ce chapitre examine les plus intéressantes de ces tâches, que l'administrateur peut combiner ou composer lui-même pour couvrir un besoin particulier. Nous allons décrire comment configurer et exécuter des tâches en local, sur l'invite de commande. Pour toutes les tâches suivantes, nous supposons que l'administrateur a effectué la configuration postérieure à l'installation (voir Chapitre 4 à la page 26). Avant d'exécuter des tâches liées à l'analyse du courrier, il est nécessaire de lancer le processus aveserver, s'il n'a pas été chargé au démarrage du système d'exploitation. 5.1. Mise à jour des bases antivirus Le composant keepup2date de l'application prend en charge les fonctions indispensables pour conserver en état de fonctionnement les bases antivirus utilisées par Kaspersky Anti-Virus pour l'analyse et la désinfection des fichiers contaminés. Elles peuvent être téléchargées depuis les serveurs de mise à jour de Kaspersky Lab, aux adresses suivantes : http://downloads1.kaspersky-labs.com/updates/ 36 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD http://downloads2.kaspersky-labs.com/updates/ ftp://downloads1.kaspersky-labs.com/updates/, ainsi que d'autres serveurs. Vous trouverez une liste d'adresses à partir desquelles il est possible de télécharger les mises à jour dans le fichier updcfg.xml, présent dans le paquet de l'application. La liste est mise à jour automatiquement de manière régulière. La modification manuelle du fichier updcfg.xml n'est pas autorisée ! Pendant la procédure de mise à jour, le composant keepup2date récupère ce fichier avec la liste de serveurs, y choisit une adresse et tente de télécharger les bases antivirus à partir du serveur correspondant. Si la tentative de mise à jour échoue sur cette adresse, le composant keepup2date répète le processus avec l'adresse suivante. Après une mise à jour réussie, l'application redémarre automatiquement par défaut (voir le paramètre PostUpdateCmd dans la section [updater.options]). Tous les paramètres du composant keepup2date sont groupés avec les options [updater.*] du fichier de configuration. Si la structure de votre réseau local est plutôt complexe, nous vous recommandons de télécharger les mises à jour des bases antivirus dans un répertoire du réseau, puis de configurer les autres ordinateurs du réseau pour qu'ils récupèrent les mises à jour à partir de ce répertoire. Il est fortement conseillé de mettre à jour la base antivirus toutes les heures. Il est possible de planifier la procédure de mise à jour à l'aide de l'utilitaire cron (voir section 5.1.3 à la page 38), ou encore, l'administrateur peut choisir de procéder à partir de la ligne de commande (voir section 5.1.4 à la page 39). 5.1.1. Composant d'application keepup2date Notez que le composant keepup2datequi permet de mettre à jour les bases antivirus, remplace le composant kavupdater utilisé par les versions précédentes de l'application. Le composant chargé de la mise à jour des bases antivirus a été remplacé dans la version 5.5 de Kaspersky Anti-Virus. Le nouveau composant incorpore plusieurs améliorations et nouveautés par rapport aux fonctions existantes : 37 Utilisation de Kaspersky Anti-Virus • La possibilité de sélectionner le serveur de mise à jour le plus proche géographiquement, d'après la région spécifiée dans le fichier de configuration ; • La possibilité de télécharger et d'installer des mises à jour incrémentielles, lorsque des mises à jour cumulatives sont disponibles, ce qui est utile pour optimiser le trafic ; • La possibilité de reprendre le téléchargement de bases antivirus en cas de déconnexion, ou de changement du serveur de mise à jour. Après la reconnexion, le composant ne télécharge que les parties restantes des bases antivirus, plutôt que de recommencer l'opération depuis le début ; • Les bases antivirus sont rechargées automatiquement après une mise à jour réussie ; • La possibilité de restaurer la version précédente de la base antivirus ; • Le nouveau composant ne nécessite pas le programme wget pour fonctionner; • Les ordinateurs du réseau local peuvent être mis à jour à partir d'un répertoire partagé sur un serveur Samba ou sur un ordinateur sous Microsoft Windows. 5.1.2. Configuration recommandée du composant keepup2date De nombreux paramètres propres au composant kavupdater ne sont plus nécessaires, et il est conseillé de les supprimer du fichier de configuration manuellement. Cependant, même si autres options (adresse proxy, par exemple), n'ont aucun sens pour keepup2date, il convient de les recopier dans les nouvelles sections du composant. Les paramètres qui ne sont plus nécessaire et doivent donc être supprimés se trouvent sous la section [updater.options] du fichier de configuration de l'application : • RandomServerOrder– Option non disponible en modification de la procédure de sélection du serveur. • ReloadApplication– Option remplacée par une autre plus générale permettant d'exécuter le script PostUpdateCmd. • ExtraWgetOptions– le composant n'utilise plus wget comme programme externe. raison de la 38 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • ShowExternalCmdOutput– Le nouveau composant n'exécute pas de commandes externes. En outre, le nouveau composant n'utilise plus l'option UpdateServersFile dans la section [path], parce que la liste des serveurs est maintenant mise à jour de manière dynamique. Les bases antivirus peuvent être mises à jour de nombreuses manières. Nous allons les étudier en détail. Pour configurer le logiciel afin de télécharger les mises à jour depuis l'un des serveurs Kaspersky Lab énumérés dans le composant keepup2date : Affectez la valeur Non au paramètre UseUpdateServerUrl dans la section [updater.options]. Pour configurer le logiciel afin de télécharger les mises à jour depuis un serveur choisi par l'utilisateur et terminer l'opération si ce serveur n'est pas disponible : Affectez la valeur Yes aux paramètres UseUpdateServerUrl et UseUpdateServerUrlOnly dans la section [updater.options]. En outre, le paramètre UpdateServerUrl doit contenir l'adresse du serveur de mises à jour. Pour configurer le logiciel afin de télécharger les mises à jour depuis un serveur choisi par l'utilisateur et, si ce dernier n'est pas disponible, d'essayer avec les serveurs énumérés dans le composant keepup2date : Affectez la valeur Yes au paramètre UseUpdateServerUrl dans la section [updater.options]; tandis que le paramètre UseUpdateServerUrlOnly devrait avoir la valeur Non. En outre, le paramètre UpdateServerUrl doit contenir l'adresse du serveur de mises à jour. 5.1.3. Planification des mises à jour de la base antivirus avec cron L'utilitaire cron permet de programmer automatiquement la mise à jour régulière de la base antivirus. Utilisation de Kaspersky Anti-Virus 39 Tâche : programmer la mise à jour automatique de la base antivirus toutes les 3 heures. La sélection du serveur de mise à jour doit être aléatoire. Le processus aveserver doit être automatiquement redémarré après la mise à jour de la base de données. Seules les erreurs de mise à jour doivent être reportées dans le journal du système. Tenir un journal global de toutes les exécutions de tâches. Ne pas afficher d'informations sur console. Solution : pour effectuer la tâche, procédez comme ceci : 1. Spécifiez les valeurs appropriées dans le fichier de configuration de l'application, par exemple : [updater.options] KeepSilent=yes [updater.report] Append=yes ReportLevel=1 2. Modifiez le fichier de règles du processus cron (crontab –e), et ajoutez la ligne suivante : 0 * 3/3 * * * /opt/kav/5.5/kav4mailservers /bin/keepup2date 5.1.4. Mise à jour manuelle des bases antivirus Vous pouvez utiliser à tout moment la ligne de commande pour lancer la mise à jour des bases antivirus. Tâche : lancer la mise à jour des bases antivirus et rapporter le résultat dans le fichier /tmp/updatesreport.log. Solution : écrivez ce qui suit sur la ligne de commande : keepup2date –l /tmp/updatesreport.log Si vous devez mettre à jour la base antivirus sur plusieurs ordinateurs, il est peut-être préférable de télécharger et d'enregistrer cette base dans un répertoire partagé sur un serveur, puis de mettre à jour tous les autres ordinateurs à partir de ce répertoire, au lieu de procéder au téléchargement des fichiers séparément. 40 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Tâche : configurer la mise à jour des bases antivirus à partir des fichiers du répertoire de partage réseau /home/bases. Si ce répertoire n'est pas disponible, ou s'il est vide, alors utiliser les serveurs de Kaspersky Lab pour la mise à jour. Enregistrer les résultats d'activité dans un fichier de rapport. Solution : pour accomplir cette tâche : 1. Spécifiez les valeurs appropriées dans le fichier de configuration de l'application : [updater.options] UpdateServerUrl=/home/bases UseUpdateServerUrl=yes UseUpdateServerUrlOnly=no (ou utilisez le paramètre de ligne de commande –g /home/bases) 2. Sur la ligne de commande, tapez : keepup2date –l /tmp/report.txt 5.1.5. Création d'un répertoire réseau pour les bases antivirus Pour vous assurer de la distribution correcte des mises à jour des bases antivirus à partir du répertoire réseau vers les ordinateurs locaux, la structure du fichier du répertoire réseau doit être identique à celle des serveurs sources de Kaspersky Lab contenant les mises à jour. Cette section décrit la tâche de création d'un répertoire réseau. Tâche : création d'un répertoire réseau utilisé comme source des mises à jours par les ordinateurs du réseau. Solution : pour accomplir cette tâche : 1. Créez un répertoire local. 2. Lancez le composant keepup2date comme ceci : keepup2date –u rdir Utilisation de Kaspersky Anti-Virus 41 où rdir est le chemin complet au dossier créé. 3. Donnez accès aux ordinateurs du réseau local à ce répertoire. Tâche : préparer la mise à jour des bases antivirus à travers un serveur proxy. Solution : pour effectuer la tâche, procédez comme ceci : 1. Affectez la valeur Yes au paramètre UseProxy dans la section [updater.options] du fichier de configuration. 2. Vérifiez que l'entrée ProxyAddress dans la section [updater.options] du fichier de configuration contient l'adresse du serveur proxy. L'adresse doit être spécifiée dans le format suivant : http://nom_utilisateur:mot_de_passe@adresse_ip:port. Les valeurs adresse_ip et port sont obligatoires tandis que nom_utilisateur et mot_de_passe ne sont nécessaires que lorsque le proxy requiert une authentification. ou encore : 1. Affectez la valeur Yes au paramètre UseProxy dans la section [updater.options] du fichier de configuration. 2. Spécifiez la variable d'environnement http_proxy dans le format suivant : http://nom_utilisateur:mot_de_passe@adresse_ip:port. Notez que cette variable ne sera prise en compte que si le paramètre UseProxy dans la section [updater.options] est absent ou défini à Yes. 5.2. Protection antivirus du trafic de courrier du serveur Le filtrage antivirus du courrier – entrant, sortant ou en transit – est la tâche centrale de Kaspersky Anti-Virus. Ce travail est la responsabilité du composant smtpscanner. Ce composant protège les utilisateurs contre les messages de courrier infectés, il leur distribue des messages nettoyés et désinfectés, accompagnés de comptes-rendus sur chacune de ses vérifications. 42 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Une option de filtrage supplémentaire en fonction du type de fichier joint permet de réduire la charge du serveur pendant le traitement du trafic de courrier. D'autres fonctions de Kaspersky Anti-Virus sont décrites ci-dessous dans les tâches de protection du trafic. Tous les paramètres du composant smtpscanner sont groupés dans les options [smtpscan.*] du fichier de configuration kav4mailservers.conf. Les tâches de protection antivirus du courrier les plus communes sont examinées dans les sections suivantes. N'oubliez pas que le composant aveserver doit être en exécution pour que l'analyse antivirus du trafic de courrier soit activée ! 5.2.1. Distribution de messages nettoyés et désinfectés Cette méthode de configuration de Kaspersky Anti-Virus est utile lorsque vous ne souhaitez pas diviser les utilisateurs en groupes d'expéditeurs et destinataires différents. Ceci est utile, par exemple, quand vous devez remettre uniquement des messages de courrier nettoyés et désinfectés pour tous les comptes du serveur. Tâche : • Analyser la totalité du trafic de courrier du serveur à la recherche de virus et nettoyer tous les messages infectés. • Supprimer les messages infectés qu'il n'est pas possible de nettoyer. • Remettre les messages désinfectés aux destinataires. • Informer les expéditeurs, les destinataires et l'administrateur au sujet des messages désinfectés, supprimés, suspects et endommagés, ainsi que des messages qu'il n'est pas possible d'inspecter. Joindre les objets infectés non modifiés aux notifications pour l'administrateur. • Enregistrer toutes les actions dans le fichier /tmp/report.log. Solution : pour accomplir cette tâche : 43 Utilisation de Kaspersky Anti-Virus 1. Définissez les paramètres [smtpscan.group:default] : suivants du groupe [smtpscan.group:default] Check=yes AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged SenderNotify=yes RecipientNotify=yes RecipientAttachReport=yes RecipientAction=remove CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured Les paramètres Sender*, Recipient* et Admin* définissent les règles de traitement pour tous les types d'objets, à l'exception de ceuz avec le statut Clean. Toutes les règles définies pour un objet précis ont la priorité la plus haute. Ainsi, dans cet exemple, tous les types d'objets seront supprimés des courriers des destinataires (RecipientAction=remove), sauf si l'objet est Cured (CuredRecipientAction=cured). 2. Activer le journal des résultats d'activité du composant dans le fichier /tmp/report.log : [smtpscan.report] ReportOk=yes ReportFileName=/tmp/report.log ReportFilePermission=0660 5.2.2. Distribution des messages infectés Il existe des situations où il est nécessaire de remettre tous les messages à un certain groupe d'utilisateurs, y compris les messages infectés. 44 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Tâche : • Analyser la totalité du trafic de courrier. • Nettoyer tous les messages infectés adressés à tous les utilisateurs, sauf à ceux compris dans le groupe urgent. • Nettoyer les messages impossibles à désinfecter, ainsi que ceux suspects et endommagés, au répertoire de Quarantaine pour tous les utilisateurs saufs pour ceux qui font partie du groupe urgent. • Informer les expéditeurs, les destinataires et l'administrateur au sujet des messages bloqués, désinfectés, supprimés, suspects et endommagés, ainsi que des messages qu'il n'est pas possible d'inspecter. Joindre les objets infectés non modifiés aux notifications pour l'administrateur. • Remettre tous les courriers, y compris ceux qui sont infectés, aux destinataires du groupe urgent, avec notification obligatoire en cas de possible infection par un virus. Pour accomplir cette tâche : 1. Spécifiez les paramètres de configuration suivants pour le groupe [smtpscan.group:default] : [smtpscan.group:default] Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes ProtectedQuarantine=yes AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged SenderNotify=yes RecipientNotify=yes Utilisation de Kaspersky Anti-Virus 45 RecipientAttachReport=yes RecipientAction=remove CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured 2. Configurez le groupe [smtpscan.group:urgent] de la manière suivante : [smtpscan.group:urgent] Check=yes Quarantine=no AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged SenderNotify=yes RecipientNotify=yes RecipientAttachReport=yes RecipientAction=unchanged 5.2.3. Distribution des messages contenant des fichiers d'archives protégés par un mot de passe Les messages de courrier contiennent souvent en pièce jointe un fichier d'archive protégé par mot de passe. Kaspersky Anti-Virus ne désinfecte pas les fichiers contenus dans les archives. Par conséquent, l'application transfère sans les analyser les archives protégées par un mot de passe. Dans ce cas, un message de l'antivirus est émis, pour indiquer que le fichier d'archive n'a pas été analysé. Cette notification est ensuite envoyée au destinataire et à l'administrateur. Pour désactiver les notifications concernant les archives non analysées : • Affectez la valeur no au paramètre ProtectedRecipientAttachReport dans la section [smtpscan.group:default] du fichier de configuration de l'application. Ceci désactivera l'envoi de notifications aux destinataires. 46 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • Affectez la valeur no au paramètre ProtectedAdminNotify dans la section [smtpscan.group:default]. Ceci désactivera l'envoi de notifications à l'administrateur du groupe. 5.2.4. Blocage de la distribution des messages aux destinataires Normalement, l'administrateur doit bloquer la distribution de certains messages. Une situation de ce type apparaît lorsqu'un message de courrier contenant des informations importantes est suspecté d'infection par un virus. La désinfection pourrait entraîner la perte de ces données. Dans cette situation, le message doit être mis à l'écart et, par exemple, envoyé aux experts de Kaspersky Lab pour son analyse. Tâche : • Analyser la totalité du trafic de courrier du serveur à la recherche de virus et nettoyer tous les messages infectés. • Bloquer la distribution de messages infectés, suspects, endommagés et protégés par mot de passe, y compris ceux qu'il n'est pas possible d'analyser. • Remettre uniquement des désinfectés aux destinataires. • Informer les expéditeurs, les destinataires et l'administrateur au sujet des messages désinfectés, supprimés, suspects et endommagés, ainsi que des messages qu'il n'est pas possible d'inspecter. Joindre les objets infectés non modifiés aux notifications pour l'administrateur. messages sains ou Solution : pour accomplir cette tâche : Définissez les paramètres suivants dans le fichier de configuration kav4mailservers.conf : [smtpscan.group:default] Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes Utilisation de Kaspersky Anti-Virus 47 CorruptedQuarantine=yes ErrorQuarantine=yes ProtectedQuarantine=yes AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged SenderNotify=yes RecipientNotify=yes RecipientAttachReport=yes RecipientAction=remove CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured 5.2.5. Filtrage complémentaire en fonction des types de pièces jointes Très souvent, les messages de courrier possèdent des pièces jointes qui ont de bonnes chances de contenir un virus (des fichiers exe, par exemple). Afin d'éviter l'infection, il est conseillé de filtrer le courrier d'après le nom ou le type de ces objets, et de bloquer les pièces jointes dans un répertoire séparé pour son analyse postérieure. Par ailleurs, il existe des objets qui ne peuvent pas être infectés. Pour réduire la charge du serveur pendant le traitement antivirus des messages de courrier, nous recommandons de détecter à l'avance ces fichiers d'après leur type ou leur nom et de les mettre à part pendant la vérification du courrier. Tâche : • Pour le groupe utilisateurs : o Analyser les messages électroniques du groupe. o Filtrer tous les fichiers .exe joints aux messages de courrier. Placer en quarantaine les fichiers mis à part dans un répertoire spécial. o Nettoyer tous les messages infectés. En cas d'échec de désinfection d'un objet, le supprimer du message, mais le remettre sans modification à l'administrateur de groupe. 48 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • o Informer l'administrateur du groupe et les destinataires des objets bloqués. o Informer l'administrateur, les expéditeurs et les destinataires au sujet des objets infectés, endommagés et protégés par mot de passe, ainsi que des messages qu'il n'est pas possible d'analyser. Pour tous les autres destinataires : o Analyser la totalité du trafic de courrier et nettoyer tous les messages infectés. o Mettre en quarantaine les messages infectés qu'il n'est pas possible de nettoyer, les messages et objets suspect et endommagés, ainsi que tout objet qu'il n'est pas possible d'analyser. o Remettre les messages désinfectés aux destinataires. o Remettre les fichiers protégés par mot de passe aux destinataires, avec notification en cas de possible infection par un virus. o Informer les expéditeurs, les destinataires et l'administrateur au sujet des objets infectés ou endommagés, des messages bloqués ainsi que des messages qu'il n'est pas possible d'analyser. Joindre les objets non modifiés, de tous types, aux notifications pour l'administrateur. Pour effectuer la tâche, procédez comme ceci : 1. Spécifiez les paramètres de configuration suivants pour le groupe [smtpscan.group:utilisateurs] : [smtpscan.group:utilisateurs] Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged SenderNotify=yes RecipientNotify=yes RecipientAttachReport=yes Utilisation de Kaspersky Anti-Virus 49 RecipientAction=remove FilterName=*.exe$ FilteredQuarantine=yes FilteredRecipientNotify=yes CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured ProtectedRecipientNotify=yes ProtectedRecipientAction=unchanged ProtectedRecipientAttachReport=no ProtectedSenderNotify=no ProtectedAdminNotify=no 2. Spécifiez les paramètres de configuration suivants pour le groupe [smtpscan.group:default] : Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes AdminAddress=admin2@localhost.ru AdminNotify=yes AdminAction=unchanged SenderNotify=yes RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove ProtectedRecipientNotify=yes ProtectedRecipientAttachReport=yes ProtectedRecipientAction=unchanged CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured 50 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Reportez-vous à la section6.1.1 à la page 62 sur la création de groupes d'utilisateurs. 5.3. Protection antivirus des systèmes de fichiers La protection antivirus des systèmes serveurs de fichiers est assurée par le composant kavscanner qui analyse la présence de virus dans les fichiers de l'ordinateur, et traite les fichiers infectés ou suspects en fonction de sa configuration. Le traitement des objets peut se faire à titre d'information (sortie d'informations dans un rapport, sur la console du serveur, ou adressée à l'administrateur), ou en modifiant l'objet (désinfection, déplacement vers la quarantaine ou suppression). Tous les paramètres du composant kavscanner figurent groupés dans les options de la section [scanner.*] du fichier de configuration kav4mailservers.conf. Le lancement de l'analyse à la demande du système serveur de fichiers peut se faire depuis la ligne de commande, ou être déclenché par l'utilitaire standard cron. Il est possible de préciser l'étendue du système de fichiers à analyser, que ce soit l'ensemble du système de fichiers, ou des répertoires ou des fichiers individuels. Les sections suivantes décrivent en détail les tâches les plus habituelles associées à la protection du système de fichiers du serveur. La vérification antivirus de l'ensemble du serveur est consommatrice de ressources. Tenez compte du fait qu'au cours de la vérification, les performances générales du serveur diminuent : il n'est donc pas conseillé de lancer d'autres processus en même temps. Pour éviter ces problèmes, il est conseillé d'analyser des répertoires individuels, à la place. 5.3.1. Analyse à la demande Kaspersky Anti-Virus permet l'analyse et la désinfection de fichiers dans des répertoires précis. Utilisation de Kaspersky Anti-Virus 51 Tâche : lancer une analyse récursive du répertoire /tmp, en désinfectant automatiquement tous les objets infectés. Les objets dont la désinfection échoue devront être supprimés. Les résultats du travail du composant (date d'exécution, informations détaillées sur tous les fichiers sauf ceux qui ne contiennent pas de virus) doivent être conservés dans un fichier de rapport kavscanner<date_courante>-pid.log, dans le même répertoire. Solution : pour effectuer cette tâche, indiquez ce qui suit sur l'invite de commande : #./kavscanner -rlq -о kavscanner-`date +%F`.log -i3 -ePASBME –j3 -mCn /tmp Si l'analyse révèle la présence d'un objet infecté à l'intérieur d'un fichier d'archive, c'est tout le fichier d'archive qui sera supprimé. 5.3.2. Planification d'une analyse de répertoires quotidienne (cron) L'utilitaire standard de planification sous Unix, cron, permet de programmer l'exécution automatisée de n'importe quelle tâche Kaspersky Anti-Virus, y compris l'analyse régulière d'un répertoire spécifié. Tâche : programmer une analyse antivirus quotidienne, pour démarrer à 0:00 heures, sur le répertoire /home, avec la configuration définie dans le fichier de configuration /etc/kav/kavscanner.conf . Solution : pour accomplir cette tâche : 1. Créer le fichier de configuration /etc/kav/kavscanner.cron avec tous les paramètres d'analyse requis. 2. Modifiez le fichier où sont définies les tâches du processus cron: tapez crontab –e sur la ligne de commande et ajoutez la ligne suivante : 0 0 * * * /path/to/kavscanner -c /etc/kav/kavscanner.cron /home 52 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 5.3.3. Options avancées : utilisation de fichiers de script Kaspersky Anti-Virus permet d'appliquer un traitement supplémentaire aux objets soumis à l'analyse antivirus, à l'aide des différentes commandes standard Unix et de scripts. Ces outils permettent à des administrateurs expérimentés d'élargir les fonctions de Kaspersky Anti-Virus en définissant des actions à appliquer sur des objets, en fonction de leurs différents états. 5.3.3.1. Nettoyage d'objets infectés dans les fichiers d'archives L'analyse de fichiers d'archives implique, pour pouvoir les utiliser, que les logiciels archiveurs soient installés ! Kaspersky Anti-Virus ne désinfecte pas les fichiers compressés infectés ; il se limite à détecter des objets suspects ou infectés dans ces archives. Cette capacité peut cependant être implémentée à l'aide de scripts supplémentaires, par exemple, le script vox.sh utilisé pour la désinfection de fichiers d'archives tar, rar, tgz et zip, qui accompagne le paquet de distribution de Kaspersky Anti-Virus. Tâche : analyser tous les fichiers d'archives tar et zip accessibles sur un serveur et tenter la désinfection de tous les objets infectés qu'ils contiennent, à l'aide du script vox.sh script. Utiliser /etc/kav/kavscanner.conf.in comme fichier de configuration, dans lequel indiquer le script de désinfection des archives, avant de lancer la procédure d'analyse. Dresser la liste de tous les objets infectés, avec leur chemin complet, dans le fichier /tmp/infected_archive.lst. Enregistrer un rapport sur l'activité du composant dans le fichier /tmp/logfile.log. Solution : pour effectuer la tâche, procédez comme ceci : 1. Créez un fichier alternatif kavscanner.conf.in . 2. Définissez les règles de traitement des objets infectés, en ajoutant la ligne suivante dans la section [scanner.container] du fichier : OnInfected=exec /opt/kav/5.5/kav4mailservers./contrib/vox.sh %FULLPATH%/%FILENAME% Utilisation de Kaspersky Anti-Virus 3. 53 Écrivez ce qui suit sur la ligne de commande : # kavscanner –c kavscanner.conf.in –ePASE –qR –o /tmp/logfile.log –j3 –pi/tmp/infected_archive.lst / 5.3.3.2. Courrier de notification à l'administrateur Kaspersky Anti-Virus permet de configurer les outils standard Unix/Linux pour transmettre des notifications vers l'administrateur, à propos des objets infectés, suspects ou endommagés découverts dans les systèmes de fichiers du serveur. Tâche : configurer la notification vers l'administrateur des fichiers et archives infectés découverts dans le système serveur de fichiers lors de chaque analyse, conformément aux paramètres définis dans le fichier de configuration de l'application. Solution : pour effectuer la tâche, procédez comme ceci : Spécifiez les règles de traitement d'objets simples ou d'objets conteneurs dans le fichier de configuration de l'application : [scanner.object] OnInfected=exec echo %FULLPATH%/%FILENAME% is infected by %VIRUSNAME% | mail -s kavscanner admin@localhost.ru [scanner.container] OnInfected=exec echo le fichier %FULLPATH%/%FILENAME% est infecté, la liste de virus se trouve dans le fichier joint %LIST% | mail -s kavscanner -a %LIST% admin@localhost.ru 5.3.4. Déplacement d'objets vers un répertoire séparé (quarantaine) Il est possible de configurer Kaspersky Anti-Virus pour que tous les objets infectés, dans le système de fichiers du serveur soient placés dans un répertoire spécial. Une telle approche est utilisée, au cours de l'analyse d'un répertoire, par exemple, lorsque l'infection d'un fichier contenant des données importantes est détectée. La désinfection pourrait entraîner la perte d'une partie des données, 54 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD c'est pourquoi une bonne solution consiste à isoler l'objet dans un répertoire spécial, avant de le transmettre à Kaspersky Lab pour analyse. Si vous prévoyez de maintenir un répertoire de Quarantaine à l'intérieur du système de fichiers du serveur, nous vous conseillons de l'exclure explicitement des analyses ultérieures, en spécifiant son chemin complet dans le paramètre ExcludeDir du fichier de configuration de l'application. Tâche : analyser tous les objets répertoriés dans le fichier /tmp/download.lst, déplacer les objets infectés détectés, avec leur chemin complet, vers le répertoire /tmp/infected. Utiliser l'analyseur de code heuristique. Désactiver l'analyse récursive. Enregistrer des informations sur les objets infectés, suspects ou endommagés dans le fichier de rapport. Solution : pour effectuer la tâche, procédez comme ceci : 1. Les actions à appliquer sur les objets infectés sont définies par la ligne suivante, ajoutée sous les sections [scanner.objet] et [scanner.container] du fichier de configuration : OnInfected=movePath /tmp/infected 2. Désactiver le mode de désinfection (Cure=no) s'il était activé. 3. Écrivez ce qui suit sur la ligne de commande : #kavscanner –@/tmp/download.lst –ePASBME –rq –i0 -o /tmp/report.log –j3 –mCn S'il est nécessaire de restreindre l'accès au répertoire /tmp/infected en lecture et en écriture uniquement, ceci peut être appliqué à l'aide des outils Unix standard (la commande chmod), en introduisant les modification suivantes à la structure des tâches : Utilisez la ligne suivante pour ajouter la règle de traitement des fichiers infectés dans les sections [scanner.objet] et [scanner.container] du fichier de configuration de l'application : OnInfected=exec mv %FULLPATH%/%FILENAME% /tmp/infected/%FILENAME%; chmod –x /tmp/infected/%FILENAME% 5.3.5. Sauvegarde des objets traités Si l'action par défaut spécifiée pour des fichiers infectés est la suppression, il existe un risque de perte d'informations importantes. Ce risque existe aussi Utilisation de Kaspersky Anti-Virus 55 pendant l'analyse antivirus des données. Pour éviter ce cas de figure, Kaspersky Anti-Virus offre la possibilité de recopier ces fichiers dans un répertoire de sauvegarde. Le chemin complet de chaque objet est alors enregistré, afin de permettre sa restauration ultérieure, si nécessaire. Avant de désinfecter ou de supprimer un objet, l'application peut être programmée pour enregistrer automatiquement une copie de cet objet dans un répertoire de sauvegarde, spécifié par le paramètre BackupPath dans la section [scanner.path]. De nouvelles copies du même objet dans la zone de sauvegarde remplacent donc les anciennes versions. Notez que le mode de sauvegarde est désactivé par défaut et qu'aucun répertoire n'est défini pour les copies de sauvegarde. Pour activer le mode de sauvegarde, il faut spécifier ce chemin d'accès dans le fichier de configuration. Après la suppression d'un objet dans le système de fichiers, sa copie de sauvegarde est conservée jusqu'à ce que l'administrateur la supprime à son tour. 5.4. Gestion de la clé de licence Une clé de licence donne droit à utiliser l'application et contient toutes les informations concernant la licence acquise : type de licence, date de péremption, nombre d'utilisateurs ou volume de trafic autorisé (en fonction du type de licence), informations sur les revendeurs, etc. Pendant la durée de validité, la licence vous donne droit à : • support technique 24/24 ; • mises à jour des bases antivirus toutes les heures ; • mises à jour de l'application (correctifs) ; • nouvelles versions de l'application (mises à niveau) ; • communiqués immédiats sur les nouveaux virus. Lorsque la licence expire, ces services sont automatiquement interrompus. Kaspersky Anti-Virus continuera d'analyser les systèmes de fichiers du serveur et le trafic de courrier, mais seules les bases antivirus disponibles à la date d'expiration de la licence pourront être utilisée, dès lors que la fonction de mise à jour n'est plus disponible. L'administrateur sera informé de la proximité de la date d'expiration. Il est donc très important de vérifier régulièrement les informations sur la clé de licence et de la renouveler à temps. 56 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 5.4.1. Mécanisme de la licence Kaspersky Anti-Virus 5.5 emploie une nouvelle technologie de gestion des droits. Au cours de l'installation sur un serveur, l'administrateur doit spécifier une liste de domaines pour lesquels l'application doit analyser le courrier. Des licences peuvent être émises : • pour un certain volume de trafic analysé, • pour un certain nombre de comptes d'utilisateurs protégés. Dans le premier cas, le trafic autorisé inclura la quantité maximum de messages que l'application aura reçu. analysé et qui seront signalés par l'indicateur d'état Clean (autrement dit, qui ne contiennent pas de virus). Dans le second cas, l'application considérera comme utilisateur autorisé tout expéditeur ou destinataire d'un message non infecté, analysé et traité par l'application. L'application informera l'administrateur 14 jours avant expiration de la licence. La notification sera envoyée une fois par 24 heures et à chaque redémarrage de l'application. Un mécanisme d'identification identique est utilisé en cas d'expiration de la licence et en cas de dépassement du volume de trafic autorisé. Toutefois. si le volume de trafic dépasse de 10 % le volume autorisé, l'administrateur recevra la notification correspondante chaque fois que l'application détectera un message avec un autre état que l'indicateur Clean. Le fonctionnement correct du mécanisme de licence nécessite les actions suivantes : Définissez le paramètre LicenseDomain dans la section [smtpscan.license]. Ce paramètre détermine les masques de domaines (conformément au standard POSIX d'expressions régulières, ou « regexp ») y compris les utilisateurs avec licence. La valeur du paramètre doit inclure tous les domaines de courrier protégés par Kaspersky Anti-Virus. Les noms de domaines doivent être spécifiés au format regexp POSIX, sur une seule ligne, et séparés par des virgules. Notez que le caractère "." possède une signification spéciale dans le format regexp POSIX, et doit donc s'écrire précédé du caractère "\". Utilisation de Kaspersky Anti-Virus 57 5.4.2. Affichage des informations de licence Les informations relatives aux clés de licence installées sont disponibles dans les comptes-rendus générés par les composants kavscanner, kavmonitor et keepup2date, qui chargent ces informations à chaque exécution. En outre, Kaspersky Anti-Virus incorpore un composant spécial, le composant licensemanager, qui permet d'offrir des informations plus complètes sur les clés, en plus de données analytiques. Par exemple, si vous avez acheté Kaspersky Anti-Virus avec une licence par VOLUME DE TRAFIC DE COURRIER, le composant licensemanager vous permettra de garder la trace du volume de trafic et vous informera de la quantité autorisée (en Mo) de trafic de courrier encore restant. Vous pouvez également examiner des informations sur le volume de trafic traité pendant la journée (par heures) et savoir quand cette charge atteindra son maximum. Cette information peut être utile si, par exemple, vous rencontrez un problème avec l'application et souhaitez obtenir de l'assistance technique. Si la licence d'achat de l'application est définie sur la base du NOMBRE D'UTILISATEURS, vous pouvez voir le nombre total d'utilisateurs autorisés par votre licence. Toutes les informations précédentes peuvent être affichées sur la console du serveur. Pour afficher les informations relatives à toutes les clés de licence installées, tapez ce qui suit sur l'invite de commande : licensemanager –s Des informations comme les suivantes, sur les licences installées, sont affichées sur la console du serveur : Kaspersky license manager Version 5.5 Copyright © Kaspersky Lab. 1998-2005. License file 0003D3EA.key, serial 0038-0004190003D3EA, "Kaspersky Anti-Virus for Unix Mail Servers", expires 04-07-2003 in 28 days License file 0003E3E8.key, serial 011E-0004130003E3E8, "Kaspersky Anti-Virus for Unix Mail Servers 58 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD (licence per e-mail address)", expires 25-01-2004 in 234 days Pour afficher les informations relatives à une clé de licence spécifique, Tapez ce qui suit sur l'invite de commande : licensemanager –k 0003D3EA.key Des informations comme les suivantes sont affichées sur la console : Kaspersky license manager Version 5.5 Copyright © Kaspersky Lab. 1998-2005. Serial 0038-000419-0003D3EA, "Kaspersky Anti-Virus for Unix Mail Servers", expires 04-07-2003 in 28 days Pour afficher les informations sur le trafic de courrier autorisé ou sur le nombre d'utilisateurs protégés, tapez ce qui suit sur l'invite de commande : licensemanager –i Des informations comme les suivantes sont affichées sur la console du serveur : • Si la licence est définie sur la base du NOMBRE D'UTILISATEURS : Kaspersky license manager for Linux. Version 5.5.0/RELEASE #68 Copyright © Kaspersky Lab, 1997-2005. Portions Copyright © Lan Crypto License users units : 5 Users units used : 0 Users units left : 5 • Si la licence fonctionne sur la base du VOLUME DE TRAFIC DE COURRIER : Kaspersky license manager Version 5.5 Copyright © Kaspersky Lab. 1998-2005. Daily trafic statistic(Bytes) : 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0 License trafic units : 10 (MB) Traffic units used : 0 (MB) Utilisation de Kaspersky Anti-Virus 59 Traffic units left : 10 (MB) Dans le cas de Kaspersky Anti-Virus avec licence par NOMBRE D'UTILISATEURS, une option supplémentaire est disponible pour vérifier à tout moment si un utilisateur est protégé, c'est à dire si ses messages entrants ou sortants sont soumis à un traitement antivirus. Cette option est utile, par exemple, lorsque la licence est achetée pour un nombre important d'utilisateurs, et avant d'ajouter un nouvel utilisateur à la liste, pour vérifier si celui-ci est déjà inclus dans la liste de protection. 5.4.3. Renouvellement de la licence Le renouvellement de votre licence d'utilisation de Kaspersky Anti-Virus vous permet de rétablir toutes les fonctions de l'application, y compris la mise à jour des bases antivirus et les autres services énumérés dans la section 5.3.5 à la page 54. Pour prolonger la validité de votre licence d'utilisation de Kaspersky Anti-Virus, vous devez : contacter la société qui vous a vendu l'application et acquérir un renouvellement de licence pour Kaspersky Anti-Virus. ou encore : renouveler la licence directement auprès de Kaspersky Lab, par un message envoyé au département commercial (sales@kaspersky.com), ou remplir le formulaire correspondant dans la section E-Store! Renew Your License de notre site (www.kaspersky.com). Après réception du paiement, vous recevrez une clé de licence à l'adresse email indiquée sur votre commande. La nouvelle clé de licence doit être installée. Pour ce faire, copiez-la dans le répertoire réservé aux clés (spécifié par le paramètre LicensePath dans la section [path] du fichier de configuration), puis redémarrez l'ordinateur. Après cela, nous vous conseillons de mettre à jour vos bases antivirus (voir section 5.1 à la page 35). CHAPITRE 6. PARAMETRES AVANCES Cette section décrit certains paramètres avancés des fonctions de Kaspersky Anti-Virus. À la différence des paramètres obligatoires du processus d'installation (voir Chapitre 4 à la page 26), sans lesquels le produit ne peut fonctionner, l'utilisation des paramètres avancés est au choix de l'administrateur : extension des fonctions d'application, et ajustements aux besoins spécifiques de votre activité. 6.1. Configuration de la protection antivirus du trafic de courrier Pour l'analyse antivirus du courrier, les principaux critères dans le choix des règles de traitement de chaque message sont l'adresse de l'expéditeur et l'adresse du destinataire, ainsi que les paramètres du groupe dont ils font partie. Par conséquent, il est de la plus haute importance que leurs adresses figurent dans les groupes appropriés. Le fait qu'un message appartienne ou pas à un certain groupe dépend de la présence dans le groupe des deux adresses, celles de l'expéditeur et du destinataire. L'application recherche ces deux adresses dans la liste d'adresses du groupe. Si la combinaison de ces deux adresses (expéditeur et destinataire) est détectée à l'intérieur du groupe soumis à analyse, le message est traité conformément aux règles de ce groupe. Kaspersky Anti-Virus effectue le filtrage antivirus en fonction des paramètres spécifiés dans le fichier de configuration kav4mailservers.conf. Vous pouvez modifier ce fichier en local. La présence d'une ligne avec une adresse de groupe dans un message est vérifiée par un POSIX regex (pour plus d'informations sur ce standard. reportez-vous à man 7 regex). Par défaut, le fichier de configuration inclut le groupe [smtpscan.group:default], qui définit les règles de traitement des messages de courrier. Au départ, le groupe ne contient pas de noms d'expéditeurs ni de destinataires, et les règles décrites s'appliquent à tous les messages. Vous pouvez modifier les paramètres du groupe default, ou créer d'autres groupes. Si d'autres groupes sont ajoutés au fichier de configuration (voir section 6.1.1 à la page 62), alors la séquence des traitements de messages est le suivant : 61 Paramètres avancés 1. L'application vérifie si les adresses des messages appartiennent aux groupes définis par l'administrateur. Si les adresses du message appartiennent à celle d'un utilisateur du groupe, le message sera traité conformément aux règles définies par les paramètres de ce groupe. Si les adresses de l'expéditeur et du destinataire du message appartiennent à plusieurs groupes, le logiciel utilisera les paramètres de la première adresse. 2. Si ces adresses n'appartiennent à aucun groupe d'adresses défini par l'administrateur, les messages seront traités conformément aux règles spécifiées dans le groupe default. Figure 5 illustre la séquence des actions prises par Kaspersky Anti-Virus concernant les messages de courrier reçus. Figure 5. Traitement des messages de courrier 62 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 6.1.1. Constitution de groupes d'utilisateurs Par défaut, le fichier de configuration de Kaspersky Anti-Virus contient le groupe [smtpscan.group:default], qui comprend tous les expéditeurs et destinataires du serveur. Il utilise les règles suivantes de traitement des messages : • Analyser tous les messages. • Nettoyer les fichiers infectés qui ont été détectés. • Ne distribuer que des messages de courrier nettoyés et désinfectés. • Les messages impossibles à désinfecter, ainsi que ceux suspects, endommagés ou protégés par mot de passe, et ceux qu'il n'est pas possible d'analyser seront remis uniquement à l'administrateur de groupe. • Informer les expéditeurs, les destinataires et l'administrateur du groupe au sujet des messages infectés, nettoyés, suspects, endommagés et protégés par mot de passe, ainsi que des messages qu'il n'est pas possible d'analyser. Si vous souhaitez que Kaspersky Anti-Virus traite les messages de courrier adressés à différents expéditeurs et destinataires, en leur appliquant des règles différentes, vous devrez créer des groupes. Pour créer un nouveau groupe d'utilisateurs : 1. Dans le fichier de configuration, [smtpscan.group:<nom_groupe>]. créez une section 2. Inscrivez les adresses, ou les masques d'adresses, des destinataires et des expéditeurs qu'il faut inclure dans le groupe. Pour ce faire, renseignez les paramètres Senders et Recipients, par une liste de valeurs séparées par des virgules. La syntaxe POSIX regex standard est utilisée pour définir les masques. À partir du second masque, il convient de séparer les masques par des virgules. Si vous ne définissez pas de valeur dans l'un des paramètres Recipients OU Senders, celui-ci sera automatiquement interprété comme .*@.* Paramètres avancés 63 Dans la version 5.5 of Kaspersky Anti-Virus, le groupe kavadministrators a été saisi dans le fichier de configuration. Au cours de l'installation, le programme d'installation ajoute automatiquement au groupe toutes les adresses des administrateurs énumérées dans le répertoire /var/qmail/alias/postmaster. Dans certains cas, lorsque l'adresse d'un administrateur est modifiée par la suite (paramètre AdminAddress dans la section [smtpscan.group:default] ou dans un autre groupe), la nouvelle adresse de l'administrateur et toutes les autres adresses qui l'utilisent sous forme d'alias doivent être ajoutées à la liste des valeurs du paramètre Recipients du groupe [smtpscan.group:kavadministrators]. Cette procédure est importante si le système est configuré pour transmettre les messages infectés à l'administrateur, 6.1.2. Mode d'inspection et de désinfection de messages La modalité de recherche de virus dans le trafic de courrier d'un certain groupe d'expéditeurs/destinataires doit être activée par l'administrateur du serveur, dans les paramètres du groupe. Pour ce faire, renseignez le paramètre Check=yes dans le fichier de configuration kav4mailservers.conf du groupe en question. Quand le mode de vérification est activé, tous les messages de courrier qui se rapportent au groupe, d'après le critère des adresses expéditeur/destinataire, sont analysés par Kaspersky Anti-Virus. Cependant, les messages infectés ne seront pas nettoyés. Pour ACTIVER LE MODE DE RÉPARATION des messages infectés, il est nécessaire de spécifier dans le groupe aux moins un paramètre pour les objets à désinfecter (Cured). Par exemple, si parmi les autres paramètres du groupe vous spécifiez : [smtpscan.group:compta] Check=yes CuredRecipientNotify=yes Les résultats seront les suivants : • Tous les messages pour le couple expéditeurs/destinataires présents dans le groupe compta seront analysés à la recherche de virus. • Tous les objets infectés qui sont détectés sont nettoyés. 64 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • Les destinataires recevront les notifications appropriées sur les objets désinfectés. 6.1.3. Actions sur les messages de courrier Les deux facteurs suivants déterminent les actions à appliquer sur les messages : • L'état attribué à l'objet après son analyse (voir section 6.2.2 à la page 69). • L'action définie en fonction de l'indicateur d'état de l'objet dans le fichier de configuration. L'état de l'objet est donné par le processus aveserver immédiatement après son analyse antivirus. L'action à appliquer à l'objet après son analyse est définie par l'administrateur du serveur. Kaspersky Anti-Virus® permet de définir des actions sur les messages de courrier remis aux destinataires et à l'administrateur de groupe. Dans le cas des expéditeurs, UNIQUEMENT les notifications peuvent être définies. Vous pouvez définir l'une des actions suivantes sur les objets messages : Remove– Supprime l'objet dans le message. Unchanged– Laisse l'objet inchangé. Dans ce cas, l'objet indiqué ne sera pas nettoyé et il sera distribué sous sa forme originale. Cured– Ne distribuer que des objets désinfectés. Des actions communes peuvent être définie pour tous les types d'objets, ou séparément, pour chacun des types. Pour définir des actions communes à tous les types d'objets : Définissez les valeurs respectives des paramètres AdminAction et RecipientAction. Ces paramètres définissent des actions applicables à tous les types d'objets. Par exemple : AdminAction=unchanged RecipientAction=remove Tous les messages du groupe seront remis sans modifications à l'administrateur du groupe, mais ils seront supprimés dans les messages aux destinataires. 65 Paramètres avancés Si vous souhaitez définir des actions individuelles selon les types d'objets différents : Spécifiez les actions souhaitées dans les paramètres <type_objet>AdminAction et <type_objet>RecipientAction. Par exemple, AdminAction=unchanged RecipientAction=remove CuredRecipientAction=cured Dans ce cas, tous les messages, sans tenir compte du type d'objet, seront remis sans modifications à l'administrateur du groupe, tandis que le destinataire ne recevra que des messages désinfectés. Tous les autres types d'objets seront supprimés des messages. En plus des actions précédentes, l'application peut déplacer des objets vers le répertoire de quarantaine. Pour déplacer des objets de courrier dans le répertoire de quarantaine : Définissez les paramètres suivants dans le fichier de configuration du groupe : QuarantinePath=/var/db/Quarantine Quarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes 6.1.4. Notifications aux expéditeurs, destinataires et administrateurs Kaspersky Anti-Virus permet à l'utilisateur de définir des notifications (y compris le mode d'envoi, les paramètres de génération et le texte lui-même) adressées aux expéditeurs, aux destinataires et aux administrateurs de groupe, en fonction d'objets avec n'importe quel indicateur d'état (suspect, infecté, nettoyé, endommagé, etc.) L'envoi des notifications est contrôlé par les paramètres de configuration suivants : • RecipientNotify– Envoi de notification au destinataire du message. 66 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • SenderNotify– Envoi de notification à l'expéditeur du message. • AdminNotify– Envoi de notification à l'administrateur de groupe. Ces paramètres définissent le mode d'envoi des notifications selon l'état des objets. Si vous voulez définir des notifications émises pour des objets avec un état donné, activez les modes suivants : • <etat_objet>RecipientNotify • <etat_objet>SenderNotify • <etat_objet>AdminNotify. Dans ce cas, la notification n'est envoyée que pour les objets avec l'état spécifié. Par exemple, si vous indiquez le paramètre suivant dans le groupe : InfectedRecipientNotify=yes CuredRecipientNotify=yes CorruptedRecipientNotify=yes SenderNotify=yes AdminNotify=yes Les notifications seront envoyées à l'administrateur et à l'expéditeur pour des objets de tout type, et au destinataire, uniquement pour des objets infectés, nettoyés, et endommagés. Afin d'envoyer des notifications, il faut aussi spécifier l'adresse d'expédition (paramètre NotifyFromAddress dans la section [smtpscan.general]). Par défaut, Kaspersky Anti-Virus active des notifications pour les objets de n'importe quel état. Toutes ces notifications contiennent un texte générique construit sur le modèle /etc/kav/5.0/template_notify_main présent dans le kit de distribution. Si vous souhaitez modifier le texte de la notification, vous pouvez soit : • Modifier le texte du modèle qui accompagne le logiciel. • Créer un nouveau fichier de modèle et en le chemin complet dans le paramètre Template dans la section [smtpscan.notify]. Dans le texte du modèle, vous pouvez utiliser les macros suivantes, qui seront remplacées par leurs valeurs respectives, en fonction de la réponse du processus aveserver : %VERSION% – Version de Kaspersky Anti-Virus . %SENDER%– Adresse de l'expéditeur du message. %RECIPIENT%– Liste de tous les destinataires de messages, séparés par un caractère de saut de ligne (LF, line-feed). 67 Paramètres avancés %MSGID%– Numéro Id. du message. %VIRUSNAME%– Texte descriptif du problème. Vous pouvez traduire ce texte dans n'importe quelle langue en précisant les lignes correspondantes à chaque état des objets dans la section [locale]. %SUBJECT%– Insère le contenu du champ Sujet du message de courrier original. %DATETIME%– Date et heure de traitement du message. La mise en forme de l'heure et de la date est également modifiable. %HEADERS%– Tous les en-têtes d'origine du message seront ajoutés au texte. %ACTION% – Description des actions effectuées sur les pièces jointes du message. La macro est utilisée dans tous les modèles, sauf pour les notifications adressées aux expéditeurs des messages. Vous avez le choix entre : attachement not modified – la pièce jointe reste inchangée. attachement cured – la pièce jointe était infectée et la désinfection a réussi. attachment removed – la pièce jointe a été supprimée. attachments cured and removed – les pièces jointes étaient infectées, certaines ont été désinfectées et distribuées au destinataires, d'autres ont été supprimées. Ces macros sont utilisables pour la création des sujets de messages. Les paramètres de génération des notifications (type MIME, sujet de message, jeu de caractères, etc.) sont regroupés sous la section [smtpscan.notify] du fichier de configuration. 6.2. Configuration de la protection antivirus des systèmes de fichiers serveurs Tous les paramètres de protection des systèmes de fichiers du serveur peuvent être divisés par groupes permettant de définir : • Zone d'analyse (voir section 6.2.1 à la page 68). • Analyse de fichiers et mode de désinfection (voir section 6.2.2 à la page 69). 68 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • Opérations sur fichiers (voir section 6.2.3 à la page 70). • Paramètres des rapports d'activité de l'application (voir section 6.5 à la page 74). Les sections suivantes décrivent chacun de ces groupes de paramètres l'un après l'autre. 6.2.1. Zone d'analyse Pour plus de commodité, la zone d'analyse peut être divisée en deux parties : • chemin d'analyse liste des répertoires et fichiers cibles de l'analyse antivirus ; • objets d'analyse types de fichiers qui seront analysés à la recherche de virus (fichiers d'archives, messages de courrier, etc.). Par défaut, tous les objets dans le système de fichiers disponibles sont analysés, en commençant par le répertoire courant. L'analyse de tous les systèmes de fichiers du serveur nécessite de s'identifier comme root, ou de spécifier la zone d'analyse / en tant que zone d'analyse. Vous pouvez redéfinir le chemin d'analyse avec l'une des méthodes suivantes : • Indiquer la liste des répertoires et fichiers, en précisant leur chemin absolu ou relatif (au répertoire courant), directement sur la ligne de commande, séparés par des espaces, lors du démarrage du composant. • Définir les chemins d'analyse dans un fichier texte, associés avec des commandes à utiliser, en utilisant la syntaxe -@ <nom_archive> sur la ligne de commande. Chaque objet dans ce fichier doit apparaître sur une ligne séparée, avec un chemin d'accès absolu. Si la ligne de commande contient à la fois un chemin à analyser et un fichier de texte avec une liste d'objets à analyser, l'application analysera uniquement les objets répertoriés dans le fichier. Il ignorera le chemin indiqué sur la ligne de commande. • Il est possible de restreindre les chemins par défaut (tous commençants à partir du répertoire courant) ou répertoriés sur la ligne de commande, en utilisant les masques d'exclusion de répertoires et de fichiers de la zone d'analyse (paramètres ExcludeMask et ExcludeDirs, section [scanner.options]) du fichier de configuration. • Désactiver l'analyse récursive des répertoires [scanner.options], entrée Recursion ou paramètre –r ). (section Paramètres avancés • 69 Créer un fichier de configuration alternatif, pour l'utiliser ensuite avec l'option –c <nom_fichier> sur la ligne de commande, au démarrage du composant Les objets à analyser par défaut sont également définis dans le fichier de configuration kav4mailservers.conf (section [scanner.options]), et peuvent donc être redéfinis : • directement dans ce fichier • par des options sur ligne de commande au démarrage du composant • lorsqu'un fichier de configuration alternatif est utilisé. 6.2.2. Analyse de fichiers et mode de désinfection Ces paramètres sont essentiels pour l'analyse, car ils déterminent si l'application devra essayer de désinfecter les fichiers infectés. Cette option est désactivée par défaut, ce qui signifie que l'application ne fait qu'analyser les objets puis informer de la découverte de virus et d'objets suspects ou endommagés, par des messages présentés sur la console et dans le rapport (voir section 6.5 à la page 74). D'après le résultat de la procédure d'analyse, chaque objet se voit affecter l'un des états suivants : • Clean– Aucun virus détecté. • Infected– Le fichier est infecté. • Warning– Le code de l'objet ressemble à celui d'un virus connu. • Suspicious– Le fichier est suspecté d'être infecté par un virus inconnu. • Corrupted– Le fichier est endommagé. • Protected– Le fichier est protégé par mot de passe et ne peut pas être analysé. Quand le mode de désinfection est activé (section [scanner.options], paramètre Cure=yes), seuls les fichiers avec l'état Infected sont soumis au traitement. Après la désinfection, un fichier se voit affecter l'un des états suivants : • Cured– désinfection réussie du fichier. • CureFailed– Échec de désinfection du fichier. Ce type de fichiers est traité conformément aux règles spécifiées pour les fichiers infectés. 70 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 6.2.3. Opérations sur des objets suspects ou infectés Il est possible d'appliquer certaines actions aux fichiers en fonction de leur état (voir section 6.2.2 à la page 69). Par défaut, une notification n'est envoyée que pour des fichiers définitivement infectés. Ces messages de notification sont affichés sur la console et ajoutés au le fichier de rapport. Cependant, il est possible de définir certaines actions pour des fichiers avec l'état Infected, Suspicious, Warning ou Corrupted, et de leur associer des actions comme : • transfert vers un certain répertoire– déplacement des fichiers avec un certain état vers un répertoire spécifié, avec possibilité de transfert normal ou • suppression du fichier du système de fichiers ; • exécution d'une certaine commande– les fichiers sont traités à l'aide de commandes Unix standard, des fichiers de script, etc. Dans le cas de fichiers de type Protected et Cured, l'application affiche uniquement une notification sur console et dans le rapport. Il convient de noter que Kaspersky Anti-Virus fait la différence entre les objets simples (un fichier) et les objets composés (conteneur de plusieurs objets, un fichier d'archive, par exemple). Les actions correspondantes à ces objets sont également différentes ; elles figurent sous différentes sections dans le fichier de configuration. La section [scanner.objet] est consacrée à des objets simples, et la section [scanner.container] aux objets composés. Différentes opérations sont possibles pour des fichiers autoextractibles : si le conteneur est lui-même infecté, il est traité comme un objet simple ; mais si les objets qu'il contient sont eux-mêmes infectés, le conteneur est alors considéré comme un objet composé. Ces deux opérations séparées sur le fichier sont déterminées par des entrées sous des sections différentes du fichier de configuration Vous choisissez les actions appliquées sur un fichier de l'une des manières suivantes : • Définir ces actions dans le fichier de configuration de l'application, si elles sont supposées être des actions prédéfinies (sections [scanner.object] et [scanner.container]). Paramètres avancés 71 • Indiquer les actions dans un fichier de configuration alternatif, et utiliser ce dernier au démarrage du composant. • Définir ces actions pour la session courante à l'aide de paramètres sur la ligne de commande, lors du lancement du composant kavscanner. La syntaxe est la même pour les objets simples ou les conteneurs. 6.2.4. Copie de sauvegarde Cette section présente la configuration du mode de sauvegarde, avec l'exemple de la tâche suivante. Tâche : analyse antivirus de tous les objets à l'intérieur des répertoires et fichiers énumérés dans la liste /tmp/download.lst, et les désinfecter. Si la désinfection échoue, déplacer les objets infectés avec leur chemin complet dans le répertoire /tmp/infected; déplacer les objets suspects sous /tmp/suspicious; envoyer des notifications à /tmp/warning. Solution : pour accomplir la tâche, procédez comme ceci : 1. Créez un fichier de configuration alternatif : scan_sample.conf 2. Assurez-vous que le mode de désinfection est activé pour les objets infectés (Cure=yes dans la section [scanner.options]). 3. Définissez les règles de traitement des objets infectés. Pour ce faire, ajoutez l'entrée suivante aux sections [scanner.objet] et [scanner.container] du fichier de configuration scan_sample.conf : OnInfected=MovePath /tmp/infected OnSuspicion=MovePath /tmp/suspicious OnWarning=MovePath /tmp/warning 4. Tapez ce qui suit sur l'invite de commande : # kavscanner -@/tmp/downloads.lst -c sample_scan.conf 6.3. Optimisation de Kaspersky AntiVirus Kaspersky Anti-Virus propose plusieurs méthodes d'optimisation de son fonctionnement. Cette section les présente en détail. 72 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD 6.3.1. Utilisation de la base de données iChecker Pour éviter de recommencer sans cesse l'analyse des mêmes fichiers, l'application vérifie vérifiant si le fichier a été modifié entre deux analyses. L'algorithme d'analyse antivirus de l'objet (du fichier) est le suivant : • Après la première analyse d'un fichier, des informations sur celui-ci (son nom et une somme de contrôle) sont enregistrées dans la base de données iChecker, qui conserve les données des fichiers nettoyés, parmi les formats reconnus par le composant kavscanner. • Tous les accès ultérieurs de l'utilisateur sur un fichier provoquent que le nom de ce fichier soit d'abord recherché dans la base de données de iChecker. Le nom de fichier est utilisé comme critère de recherche. Si le fichier se trouve référencé dans la base de données de iChecker, son état actuel est comparé au celui conservé dans la base de données. Le fichier est considéré inchangé et ne sera pas analysé, par conséquent, dans la mesure où son état courant reste absolument identique aux informations conservées. Si les données du fichier demandé sont introuvables dans la base de données iChecker ou dans le tampon, le fichier est analysé, et les bases de données sont mises à jour en fonction du résultat. 6.3.2. Réduction de la charge de travail du serveur L'analyse du système serveur de fichiers peut exiger un temps considérable si le volume de données est important, et la charge de travail de l'unité centrale peut alors augmenter de manière significative. COMME LE SERVEUR doit continuer à assurer ses tâches courantes, et il est donc utile de suspendre l'analyse antivirus de l'ordinateur, au delà d'un certain seuil de charge de travail. La version 5.5 de Kaspersky Anti-Virus possède un mécanisme de ce type. Le paramètre MaxLoadAvg a été ajouté dans ce but dans la section [scanner.options]. Si le paramètre est spécifié, kavscanner vérifie la charge de travail courante de l'unité centrale du serveur (sa charge moyenne) avant toute analyse d'un nouveau fichier. Si la valeur dépasse la valeur spécifiée dans le fichier de configuration, l'analyseur interrompt son travail jusqu'à ce que la valeur de charge moyenne revienne en dessous du seuil spécifié. Paramètres avancés 73 6.4. Configuration du processus aveserver Comme indiqué précédemment, le traitement antivirus du trafic de courrier est assuré par deux composants (aveserver et smtpscanner) qui réagissent l'un en fonction de l'autre. Aveserver est lancé au démarrage du système d'exploitation. Une connexion avec aveserver est établie immédiatement après que smtpscanner accède au processus. Le processus aveserver est contrôlé par les paramètres de la section [aveserver.options] du fichier de configuration kav4mailservers.conf : Detach From Terminal– Le processus est déconnecté du terminal immédiatement après son démarrage. Ce mode devrait rester activé, car le démarrage du système ne reprendra pas avant la déconnexion du processus. Le mode est activé par défaut (sa valeur est yes). Le mode ne devrait être désactivé (valeur no) que lorsque le processus est contrôlé par un programme tel que SVC. Startup Mode– Fait basculer le processus du mode interactif vers l'arrièreplan, à condition que DetachFromTerminal=yes. La valeur fast fait basculer le démon en arrière-plan immédiatement après le chargement du fichier de configuration, et retourne le code 0. La valeur normal fait basculer le processus en arrière-plan uniquement après le chargement en mémoire des bases antivirus et des clés de licence. La sensation de vitesse du lancement en mode fast est plus grande, mais il existe une probabilité pour que le démon échoue son chargement en raison d'une erreur fatale quelconque, sans que rien ne soit affiché sur la console. Local Socket Permission – La valeur octale des permissions utilisées pour créer le socket. Par défaut Local Socket Permission=0666. 6.4.1. Rechargement du composant Aveserver Le processus aveserver est automatiquement rechargé immédiatement après la mise à jour des bases antivirus, si la configuration appropriée figure dans le fichier de configuration. 74 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Le processus est rechargé par la commande kill –HUP <PID du processus>. Après exécution, le processus reçoit le signal SIGHUP, puis le processus parent recharge le fichier de configuration, les clés de licence et les bases de données ou encore, si le chemin d'accès au fichier est incorrect, il se termine et sort en laissant le message correspondant dans le rapport. Toutes les connexions actives du processus avec les logiciels clients restent activées jusqu'à leur fermeture. Ce rechargement du processus aveserver est nécessaire, par exemple, après avoir modifié le fichier de configuration, avoir ajouté une nouvelle clé de licence ou avoir mis à jour manuellement les bases antivirus. 6.4.2. Terminaison forcée du fonctionnement du processus aveserver Si vous devez forcer la fin du processus aveserver, utilisez la commande kill <PID du processus>. La commande kill sera émise avec le signal SIGTERM au processus. Ce signal mettra fin aux opérations d'aveserver et refermera toutes les copies qu'il aura créées. Nous vous déconseillons fortement d'utiliser la commande kill –9 pour mettre fin aux opérations du processus aveserver. Cette commande mettra fin au processus, mais laisse ouverts un certain nombre de fichiers temporaires et de travail qu'il faudra supprimer manuellement. Certaines applications (comme Webmin) utilisent ces fichiers pour savoir si le processus se trouve en cours d'exécution. 6.5. Affichage régional de la date et de l'heure Pendant son exploitation, Kaspersky Anti-Virus produit des rapports pour chaque composant, et génère diverses notifications à l'intention des utilisateurs et des administrateurs, qui sont toujours horodatées au fur et à mesure de leur émission. Par défaut, Kaspersky Anti-Virus met en forme de l'heure et la date conformément aux formats utilisés par la fonction C strftime : %H:%M:%S– mise en forme de l'heure. %d/%m/%y– mise en forme de la date. 75 Paramètres avancés L'administrateur peut modifier la mise en forme de l'horodatage dans la section [locale] du fichier de configuration kav4mailservers.conf. Exemples de mises en forme possibles : %I:%M:%S %P– pour afficher l'heure au format de 12 heures (TimeFormat ) avec indication am/pm. %y/%m/%d et %m/%d/%y – pour présenter la date (paramètre DateFormat ) sous la forme année/mois/jour, ou mois/jour/année, respectivement. 6.6. Paramètres de tenue du rapport dans Kaspersky Anti-Virus Les résultats d'activité de tous les composants de Kaspersky Anti-Virus sont enregistrés dans un fichier de rapport. Les résultats du traitement antivirus des systèmes de fichiers du serveur sont également affichés sur la console. Par défaut, l'information ajoutée au rapport et celle affichée sur la console est la même. Pour différencier les informations sur console et dans le rapport, certains paramètres supplémentaires sont nécessaires (voir section 6.6.2 à la page 78 pour plus de détails). Vous pouvez ajuster la quantité d'informations en modifiant le niveau de détail du rapport. Le niveau de détail est un nombre qui définit le degré de détail des informations concernant l'activité des composants. Chaque niveau successif (en augmentant la valeur) ajoute ses propres informations à celles des niveaux inférieurs. <Le tableau suivant répertorie tous les niveaux de détail possibles. Niveau 1 Nom du niveau Usage Erreurs fatales Informations sur les erreurs critiques uniquement, celles qui interrompent le programme, en raison de l'exécution impossible d'une action. Par exemple, l'infection d'un composant de l'application ou l'échec d'une opération vitale, comme l'analyse, le chargement d'une base de données ou d'une clé de licence. Erreurs Informations sur d'autres erreurs, y compris celles qui n'interrompent pas le composant, comme l'échec de l'analyse d'un fichier. 76 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Niveau Nom du niveau 2 Avertissement Informations d'erreurs pouvant interrompre le fonctionnement du produit (information sur un espace disque insuffisant, par exemple). 3 Info, Notice Messages importants, par exemple : si le composant est en exécution, le chemin du fichier de configuration, la zone d'analyse, ou des renseignements sur la base antivirus, les clés de licence et les statistiques résultantes. 4 Activité Comptes-rendus d'analyse des objets, conformément au niveau de détail défini pour le rapport d'analyse (voir section 6.6.1 à la page 77). 10 Debug Toutes les informations de mise au point, par exemple, le contenu du fichier de configuration. Usage Des informations sur les erreurs fatales de fonctionnement sont rapportées, sans tenir compte du niveau de détail. Le niveau de détail optimum est 4, qui est la valeur par défaut. Le format général de sortie pour tous les niveaux de détail précédents est le suivant : [date heure niveau_détail] CHAINE où : [date heure niveau_détail] est l'horodatage généré par le système (avec la mise en forme définie par l'administrateur) et le niveau de détail du rapport (première lettre du niveau de détail). La mise en forme de l'heure et de la date peut être modifiée sous la section [locale] du fichier de configuration kav4mailservers.conf STRING– Une ligne du rapport, qui peut prendre différentes mises en forme selon le type de messag. Les types de messages suivants existent : • Comptes-rendus d'analyse (voir section 6.6.1 à la page 77). • Autres messages (démarrage d'un composant, chargement de la base antivirus, codes de retour, etc.). 77 Paramètres avancés • Messages affichés sur la console (voir section 6.6.2 à la page 78). Voici une description détaillée des types et des mises en forme de chaque message. 6.6.1. Format de comptes-rendus d'analyse Les comptes-rendus d'analyse ne sont générés que pour les composants kavscanner et aveserver. La mise en forme des comptes-rendus d'analyse d'un fichier dépend du type d'objet (simple ou conteneur) auquel il correspond. Pour un objet simple, les messages de l'analyse ressemblent à ceci : • Format de message étendu (ShowObjectResultOnly=no) : "nom_archive" resultat [nom_virus] • Format de message court (ShowObjectResultOnly=yes) : "nom_archive" resultat où : nom_virus– nom du virus associé aux événements CURED, INFECTED, CUREFAILED, WARNING et SUSPICIOUS. Le champ reste vide pour les autres événements. resultat – Indicateur d'état attribué au fichier après analyse et désinfection. Une liste complète des résultats possibles est fournie dans le tableau suivant. Pour les objets composés (fichiers d'archives) il existe également des formats courts ou étendus de messages : • Format de message étendu (ShowContainerResultOnly=no) : "nom_archive" "nom_archive" resultat [nom_virus] "nom_archive" resultat [nom_virus] • Format de message court (ShowContainerResultOnly=yes) : "nom_archive" resultat 78 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Événement/Résultat Valeur Ok Le fichier n'est pas infecté. CURED (uniquement si le mode de désinfection est actif) Le fichier était infecté et le nettoyage a réussi. INFECTED Le fichier est infecté par un ou plusieurs virus. Désinfection non demandée. CUREFAILED (uniquement si le mode de désinfection est actif) Le fichier est infecté par un ou plusieurs virus. Désinfection demandée, mais l'opération a échoué. WARNING Le code du fichier ressemble à celui d'un virus connu. SUSPICIOUS Le fichier est suspecté d'infection par un virus inconnu. ERROR Vérification impossible du fichier pour cause d'erreur (par exemple, traitement sur un fichier d'archive endommagé) PROTECTED Vérification impossible : fichier chiffré. CORRUPTED Le fichier est endommagé. 6.6.2. Format des messages de console Des messages sont affichés sur la console par les composants kavscanner et keepup2date. La sortie console du composant kavscanner est gouvernée par la présence du paramètre –q (quiet) sur la ligne de commande, lors du lancement du composant. Si l'option est utilisée, les informations ne seront pas affichées sur la console. La sortie sur console de messages sur l'activité du composant keepup2date est activée dans le fichier de configuration par le paramètre KeepSilent=no. Paramètres avancés 79 Par défaut, la mise en forme et le contenu des informations affichées à l'écran sont exactement les mêmes que ceux enregistrés dans le fichier de rapport. Il est possible de configurer le contenu des informations envoyées sur la console par le composant kavscanner en ajoutant la section [display] dans le fichier de configuration (kav4mailservers.conf ou son remplaçant). Dans cette section, les paramètres déterminent s'il faut afficher des informations sur l'analyse des objets à l'intérieur de l'archive archive (ShowArchiveContent, ShowContainerResultOnly), sur les objets non infectés (ShowOK), et sur les comptes-rendus de l'activité courante du composant (ShowProgress). Le niveau de détail du rapport d'analyse est défini par le paramètre –x<option> sur la ligne de commande, à condition que la section [display] soit présente. 6.6.3. Statistiques antivirus de l'application La version 5.5 de Kaspersky Anti-Virus 5.5 dispose d'une fonction permettant de collecter et d'examiner des statistiques d'activité virale pendant une période déterminée. Cette fonction est disponible à travers l'interface Web proposée par Webmin. Pour mettre en place la récupération automatique des statistiques de l'antivirus, • Affectez la valeur ci-dessous au paramètre AVStatistics dans la section [smtpscan.report] du fichier de configuration de l'application : AVStatistics= /var/log/kav/5.5/kav4mailservers/smtpscanner.stat • Exécutez le script de récupération des statistiques à partir du fichier de rapports à intervalles réguliers, au besoin. Pour ce faire, tapez ce qui suit sur l'invite de commande : perl /usr/libexec/webmin/kavms5.5/parse_avstat.pl \ -sd=/var/db/kav/5.5/kav4mailservers/proc_avstat\ /var/log/kav/5.5/kav4mailservers/smtpscanner.stat • Examinez dans Webmin les informations statistiques mises à jour, uniquement après avoir exécuté le script précédent. 80 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Si Webmin est installé sur un chemin différent de la valeur par défaut, il faut aussi modifier en conséquence le chemin /usr/libexec/webmin/kavms5.5/parse_avstat.pl ! CHAPITRE 7. DESINSTALLATION DE KASPERSKY ANTIVIRUS La procédure pour désinstaller Kaspersky Anti-Virus est la suivante : • Des privilèges de super-utilisateur (root). Si vous ne disposez pas de ces privilèges au moment de la désinstallation, ouvrez une session sur le système en tant qu'utilisateur root . • Fichier journal d'installation. • Le nom et la taille des fichiers faisant partie de l'installation de Kaspersky Anti-Virus doivent coïncider exactement avec les informations contenues dans le journal d'installation. • Le processus aveserver doit être arrêté. • Le service de messagerie doit être arrêté. Vous disposez de plusieurs méthodes pour lancer la procédure de désinstallation, en fonction du gestionnaire de paquets. Nous allons étudier en détail les variantes possibles. Si vous avez installé Kaspersky Anti-Virus à partir de son paquet .rpm, tapez ce qui suit sur l'invite de commande pour lancer la procédure de désinstallation : rpm -e <nom_paquet> Si vous avez installé Kaspersky Anti-Virus à partir de son paquet .deb, tapez ce qui suit sur l'invite de commande pour lancer la procédure de désinstallation : dpkg -r <nom_paquet> Si vous avez installé Kaspersky Anti-Virus à partir de son paquet .pkg, tapez ce qui suit sur l'invite de commande pour lancer la procédure de désinstallation : pkg-delete <nom_paquet> La désinstallation du logiciel est automatique. Aucune notification supplémentaire n'est émise si la suppression du logiciel est réussie. CHAPITRE 8. VERIFICATION DU FONCTIONNEMENT DE KASPERSKY ANTI-VIRUS Après avoir installé et configuré Kaspersky Anti-Virus, nous vous conseillons de vérifier l'exactitude des paramètres et le bon fonctionnement du logiciel à l'aide d'une suite de « virus » de test. Ce virus d'essai a été développé spécialement par l'organisation European Institute for Computer Antivirus Research. antivirus. afin de tester les logiciels Il NE S'AGIT PAS D'UN VIRUS et il ne contient aucun code qui puisse nuire à votre ordinateur. Néanmoins, la majorité des logiciels antivirus l'identifient comme un virus. N'utilisez jamais de virus authentiques pour vérifier le fonctionnement de votre antivirus ! Vous pouvez télécharger le « virus » d'essai depuis le site officiel de l'organisation EICAR : http://www.eicar.org/anti_virus_test_file.htm. Si vous n'avez pas accès à Internet, vous pouvez créer ce « virus » d'essai vous-même. Pour ce faire, saisissez la ligne suivante dans n'importe quel éditeur de fichier texte et enregistrez le fichier sous le nom eicar.com : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H* Le fichier que vous aurez téléchargé depuis le site de l'organisation EICAR ou que vous aurez créé vous-même contient le corps du « virus » d'essai standard. L'application va le détecter, lui attribuer le statut Infecté et exécuter l'action définie par l'administrateur pour des objets du même type. Afin de vérifier le comportement de l'application lors de la découverte d'objets d'un autre type, vous pouvez modifier le contenu du « virus » d'essai standard en ajoutant un préfixe (reportez-vous au tableau ci-après). 83 Tableau Modifications du « virus » d'essai Préfixe Type d'objet Pas de préfixe, « virus » d'essai standard. Infecté. L'objet ne peut être réparé. CORR– Endommagé. SUSP– Suspect (code d'un virus inconnu). WARN– Avertissement (modification du code d'un virus connu). ERRO– Erreur pendant l'analyse de l'objet. CURE– Désinfecté. L'objet est désinfecté ; le texte du corps du « virus » sera remplacé par CURE. DELE– L'objet est effacé automatiquement. La première colonne reprend les préfixes qu'il faudra ajouter au début de la ligne de code du « virus » d'essai standard (par exemple : CORR– X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H*). La deuxième colonne contient le type que l'application lui affecte, suite à l'ajout du préfixe. Les actions correspondantes à chacun des types d'objet sont définies dans la configuration de l'application antivirus, et personnalisées par l'administrateur. CHAPITRE 9. FREQUENTLY ASKED QUESTIONS Ce chapitre est consacré aux questions les plus fréquemment posées par les utilisateurs sur l'installation, la configuration et l'utilisation de Kaspersky AntiVirus. Nous avons tenté d'y répondre de la manière la plus exhaustive possible. Question : Est-il possible d'utiliser Kaspersky Anti-Virus en même temps que des produits antivirus d'autres fabricants ? Pour éviter les conflits, nous vous recommandons de désinstaller tout logiciel antivirus d'autres fabricants avant d'installer Kaspersky AntiVirus. Question : Kaspersky Anti-Virus ne recommence pas l'analyse d'un fichier. Pourquoi ? En effet, Kaspersky Anti-Virus n'analyse pas deux fois de suite les fichiers qui n'ont pas changé depuis l'analyse précédente. Ceci est possible grâce aux nouvelles technologies iChecker et iStreams. L'application implémente cette technologie à partir de sommes de contrôles de fichiers conservées dans une base de données et dans des flux NTFS alternatifs. Question : Pourquoi le fonctionnement de Kaspersky Anti-Virus entraîne-t-il une baisse des performances de mon ordinateur et une surcharge du processeur ? La détection des virus est avant tout une tâche mathématique liée à l'analyse de structures, de sommes de contrôle et de conversions de données mathématiques. Pour cette raison, la principale ressource utilisée par tout logiciel antivirus est le processeur et chaque nouveau virus ajouté à la base antivirus rallonge la durée de l'analyse. D'autres logiciels réduisent la durée de l'analyse en éliminant des bases antivirus les virus les plus complexes à identifier ou les plus rares (dans une zone géographique donnée), ainsi que les fichiers les plus difficiles à analyser (comme les fichiers PDF). Kaspersky Lab estime que le but de tout antivirus est de garantir une véritable protection de l'utilisateur contre les virus. Frequently asked questions 85 Il va de soit que Kaspersky Anti-Virus permet à l'utilisateur expérimenté d'accélérer la vitesse de l'analyse grâce à l'exclusion de toute une série de différents fichiers. Cependant, tenez compte du fait que le niveau de protection général diminuera. Kaspersky Anti-Virus reconnaît plus de 700 formats de fichiers archivés ou compressés. Ceci est très important au niveau de la sécurité antivirus car chacun des formats reconnus ci-dessus peut contenir un code malicieux exécutable. Néanmoins, il convient de remarquer que cette nouvelle version de l'application est plus rapide que les précédentes, malgré l'augmentation quotidienne du nombre de virus identifiés par Kaspersky Anti-Virus (plus de 30 nouveaux virus chaque jour) et l'augmentation constante des formats pris en charge. Tout ceci est rendu possible grâce aux nouvelles technologies développées par ™ Kaspersky Lab, comme i-Checker . Question : À quoi sert un fichier de clé de licence ? Ma copie du logiciel antivirus peut-elle fonctionner sans ce fichier ? Non, Kaspersky Anti-Virus ne peut pas fonctionner sans une clé de licence. Si vous n'avez pas encore décidé d'acheter ou non Kaspersky AntiVirus, nous pouvons vous fournir une clé d'évaluation (trial-key) qui fonctionnera deux semaines ou un mois. À l'expiration de ce délai, la clé restera bloquée. Question : Qu'arrive-t-il après expiration de la licence ? Après expiration de la licence, Kaspersky Anti-Virus continuera de fonctionner, mais la mise à jour de la base antivirus sera désactivée. Le logiciel continuera à réparer les objets infectés en utilisant les anciennes bases antivirus. Lorsque cette situation se présente, vous devez contacter votre administrateur de système, la société où vous avez acheté Kaspersky Anti-Virus ou Kaspersky Lab directement. Question : Mon installation de Kaspersky Anti-Virus ne fonctionne pas. Que dois-je faire ? En premier lieu, vérifiez si le composant aveserver est en exécution, ou recherchez une solution dans cette documentation, et dans cette section en particulier, ou visitez notre site Web. 86 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD En outre, nous vous conseillons de souscrire le contrat de maintenance auprès du distributeur auquel vous avez acheté Kaspersky Anti-Virus, ou d'écrire au service technique de Kaspersky Lab (support@kaspersky.com) ou à l'adresse figurant dans les informations de la clé de licence. Pour être sûr de recevoir une réponse rapidement, procédez de préférence comme ceci : 1. Indiquez dans le sujet du message la version du système d'exploitation installé sur votre ordinateur, le nom du logiciel de Kaspersky Lab que vous utilisez et le problème. Par exemple : Linux, Webmin, cannot access settings of the licensed users list. 2. Utilisez des messages au format de texte simple. 3. Mentionnez au début de votre message la version exacte du système d'exploitation, la distribution de Kaspersky Anti-Virus et le numéro de votre licence. 4. Décrivez clairement et brièvement le problème. N'oubliez pas qu'au moment même où ils lisent vos explications, les membres du service technique ne savent encore rien de votre problème. Ils ne pourront vous aider qu'après l'avoir compris complètement et simulé. 5. Envoyez les données suivantes au service technique dans un fichier compressé : o Tous les fichiers de configuration de votre agent de messagerie (MTA) o Les fichiers du répertoire /etc/kav/ o Fichier de rapports du système de messagerie o Le fichier de rapports du composant antivirus, par exemple /var/log/aveserver.log ; o o 6. Les informations affichées sur la console par la commande ps -ax Le fichier de clé. Pensez à préciser dans votre message si votre système utilise : o un contrôleur SCSI ; o un processeur très ancien, ou très récent, ou plusieurs processeurs ; o moins de 64 Mo, ou plus de 2 Go de mémoire RAM. Frequently asked questions 7. 87 Spécifiez le trafic journalier aproximatif, et si le serveur connaît des pointes de surcharge. Question : À quoi servent les mises à jour quotidiennes ? Il y a encore quelques années, les virus se transmettaient par des disquettes, et il suffisait d'installer un programme antivirus et de mettre à jour de temps en temps les bases antivirus pour assurer une protection adéquate. Cependant, les récentes épidémies de virus se propagent tout autour du monde en quelques heures, et la protection des anciennes bases peut se révéler inutile contre une nouvelle menace. Pour pouvoir résister aux nouveaux virus, il convient de mettre à jour les bases antivirus tous les jours. Chaque année, Kaspersky Lab augmente la fréquence de mises à jour des bases antivirus. Actuellement, une mise à jour se produit toutes les trois heures. La mise à jour des modules d'application antivirus est une fonction complémentaire qui permet à la fois de corriger les vulnérabilités découvertes et d'ajouter de nouvelles fonctions. Question : Quels sont les changements au service de mise à jour dans la version 5.0 ? L'application Kaspersky Lab 5.0 introduit un nouveau service de mises à jour, développé pour répondre aux demandes de nos utilisateurs. Il permet d'automatiser l'ensemble de la procédure de mise à jour, depuis le préparation des mises à jour dans Kaspersky Lab jusqu'au moment où les fichiers concernés sont mise à jour sur les postes clients. Les avantages du nouveau service de mise à jour comprend : • La capacité de continuer le téléchargement de fichiers après déconnexion. Lors de la reconnexion, le téléchargement ne continue que sur les fichiers restants. • La taille des mises à jour cumulatives est réduite de moitié. Une mise à jour cumulative contient l'ensemble de la base antivirus ; sa taille dépasse donc considérablement celle des mises à jour normales. Le nouveau service utilise une technologie spéciale, permettant de prendre en compte la présence d'une base antivirus pour la mise à jour cumulative. • Téléchargement accéléré depuis Internet. Kaspersky Anti-Virus retrouve un serveur de mises à jour de Kaspersky Lab situé 88 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD dans votre région. Ensuite, les serveurs sont alloués en fonction de leur rendement, de sorte que vous n'êtes pas dirigés vers un serveur surchargé alors qu'un autre serveur inutilisé est disponible. • Utilisation de listes noires de clés. Les utilisateurs non enregistrés ou illégaux sont maintenant empêchés d'utiliser le service de mise à jour. Les utilisateurs enregistrés ne subissent plus de connexions à des serveurs surchargés. • Les groupes corporatifs peuvent désormais créer des serveurs de mises à jour en local. Cette fonction est conçue pour les organisations où un même réseau local permet d'unifier les ordinateurs protégés par des applications Kaspersky Lab. Tout ordinateur de la LAN, transformé en serveur de mises à jour, récupère de son côté les mises à jour sur Internet, puis les partage avec le reste des ordinateurs en réseau. Un intrus pourrait-il remplacer la base antivirus? Chaque base antivirus dispose d'une signature unique que Kaspersky Anti-Virus vérifie lors d'une consultation. Si la signature ne correspond pas à celle définie par Kaspersky Lab et si la date de la base de données est postérieure à la date d'expiration de la licence, Kaspersky Anti-Virus n'utilisera pas cette base. Question : Kaspersky Anti-Virus pour serveurs de courrier Unix fonctionnera-t-il avec ma distribution de Linux ? La version 5.5 de Kaspersky Anti-Virus pour serveurs de courrier Unix a été testée avec les distributions RedHat, Debian et SuSE, et des paquets Kaspersky Anti-Virus ont été compilés spécialement pour les distributions indiquées. Consultez les versions pour les S.E. pris en charge dans la section 1.2 à la page 8. Vous ne rencontrerez vraisemblablement pas de problèmes importants si votre distribution est 100% compatible avec l'une des distributions prises en charge (par exemple, ASPLinux est compatible avec Red Hat Linux). Les utilisateurs de distributions non comprises dans la liste prise en charge par Kaspersky Lab peuvent rencontrer des problèmes de fonctionnement incorrect de l'application, liés à des particularités spécifiques du système d'exploitation. Par exemple, votre système de Frequently asked questions 89 distribution peut utiliser une autre version de bibliothèque, ou les scripts de démarrage son placés dans des emplacements non standards. Dans des cas comme ceux-ci, le service technique de Kaspersky Lab ne pourra pas vous venir en aide. Question : comment décompresser des archives .tgz ou .tar.gz ? Les fichiers d'archive .tgz ou .tar.gz sont décompressés par la commande suivante : tar -zxvf <nom_archive> Reportez-vous aux pages man(1) du logiciel tar pour plus de détails. Question : Tout fonctionnait correctement, jusqu'à ce que j'installe Kaspersky Anti-Virus pour serveurs de courrier Unix et que j'intègre avec lui le système de messagerie Postfix. Après cela, la distribution des messages a été stoppée et l'erreur suivante est reportée dans maillog : Sep 23 15:17:03 server postfix/lmtp[1678] : 8238C38987 : to=<utilisateur@serveur.org <mailto:utilisateur@serveur.org>>, relay=none, delay=1, status=bounced (localhost : host not found) Que dois-je faire ? Ce type de problème peut apparaître dans les cas suivants : • Votre DNS ne possède pas de domaine, requis par le RFC 2606. Configurez votre DNS suivant les recommandations du RFC. Pour plus de détails, reportez-vous à la page : http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2606.html • Localhost n'est pas défini dans le fichier /etc/hosts. Normalement, il doit avoir la valeur localhost=127.0.0.1. Modifiez le fichier hosts, en spécifiant cette adresse pour localhost. Question : Est-il possible d'utiliser Network Control Centre for Windows pour l'administration de Kaspersky Anti-Virus? Il n'est pas possible d'utiliser Network Control Centre pour Windows pour travailler avec Kaspersky Anti-Virus pour serveurs de courrier Unix. Cette version de l'application dispose d'une option de configuration à distance, utilisant un module spécial pour le paquet Webmin. 90 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Question : Comment puis-je enregistrer la sortie sur console dans un fichier ? Pour enregistrer la sortie sur console de Kaspersky Anti-Virus, vous pouvez modifier en ce sens le fichier de configuration, ou écrire la ligne de commande suivante : $ votre_app > ./fichier_texte 2>&1 où : votre_app– Application dont vous voulez enregistrer la sortie standard et les messages d'erreur dans un fichier. fichier_texte– Chemin complet du fichier dans lequel vous allez enregistrer les informations. Par exemple : $keepup2date > ./updater.log 2>&1 Dans cet exemple, les messages standard et les messages d'erreur affichés par le composant keepup2date sont redirigés dans le fichier updater.log du répertoire courant. ANNEXE A. LOGICIELS MALVEILLANTS SOUS ENVIRONNEMENT UNIX Les virus sont bien moins fréquents dans les environnements Unix que sous Windows, par exemple, en raison de certaines propriétés de ces plates-formes. Les chevaux de Troie et les vers réseau sont moins rares. Les logiciels malveillants se disséminent à travers les réseaux en utilisant différents moyens, y compris les « failles » logicielles. Cet annexe examine plus en détail les différents types de logiciels malveillants sous UNIX ainsi que leurs méthodes d'infection du système. A.1. Virus Un virus est un logiciel (avec du code ou des instructions exécutables), capable de se recopier soi-même (les copies ne sont pas nécessairement tout à fait identiques à l'original) et de s'infiltrer dans différents objets ou ressources des systèmes informatiques, des réseaux, etc. sans que l'utilisateur en soit informé. De telles copies sont également capables de se multiplier à leur tour. L'étude des virus en environnement Unix révèle que ceux-ci se rapportent au type de fichier et qu'ils enregistrent leur code dans des fichiers exécutables, ou qu'ils créent des fichiers fantômes. Les sous-classes suivantes sont organisées en fonction de leur algorithme de fonctionnement : • virus résident en mémoire (TSR). Virus qui installe une partie résidente après infection de la mémoire RAM du système ; cette portion intercepte ensuite les appels du système à des objets infectables, puis pénètre effectivement ces derniers. Ces virus résidents en mémoire restent actifs, tant que l'ordinateur n'est pas éteint ou redémarré. • virus non-résident. Ce virus n'infecte pas la mémoire de l'ordinateur et reste actif pendant une durée limitée. Certains virus laissent de petits programmes résidents en mémoire, qui ne propagent pas le virus. En règle générale, les virus sous Unix ne sont pas dangereux – leur influence se limite à réduire l'espace libre, et à provoquer de manière temporaire des effets graphiques, sonores ou autres. Certains sont complètement inoffensifs, car ils n'altèrent en aucune façon le fonctionnement de l'ordinateur, sauf dans la 92 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD réduction de la quantité d'espace libre, que provoque leur présence dans le système de fichiers. Examinons certains exemplaires de virus sous Unix : ELF_SNOOPY– ce virus infecte les fichiers Unix exécutables. Algorithme du virus : il recherche tous les fichiers exécutables présents dans un poste de travail, les renomme avec une extension .X23 extension et les déplace dans un nouveau répertoire /E. Le virus recopie ensuite son code à l'intérieur des fichiers d'origine puis définit leurs permissions à 777. En même temps, un nouvel utilisateur snoopy, avec la même permission 777 est créé dans la table principale des mots de passe du poste infecté. Linux.Bliss est un groupe de virus non-résidents sous Linux qui infecte les exécutables Linux ; ils sont écrits en GNU C et utilisent le format ELF. Algorithme du virus : après démarrage, le virus parcourt le disque à la recherche de fichiers exécutables dans un poste de travail, et les infecte en se glissant soi-même au début du fichier, et en ajoutant une chaîne d'identification à la fin du fichier. L'activité du virus est limitée par les droits de l'utilisateur qui l'a lancé (seuls les fichiers accessibles sont donc infectés). Si l'utilisateur possède des privilèges système, le virus arrive à se propager à travers tout l'ordinateur. Linux.Diesel est un virus non-résident sous Linux non dangereux qui infecte les exécutables Linux. Algorithme du virus : après son lancement, le virus relit son propre code binaire dans le fichier porteur, recherche les fichiers exécutables Linux dans les sous-répertoires du système puis se réplique à l'intérieur des fichiers, en augmentant la taille de leur dernière section de code. Linux.Siilov est un virus non-résident et non dangereux sous Linux qui infecte les exécutables Linux ; ces virus sont au format ELF. Algorithme du virus : celui-ci utilise deux procédés d'infection de fichiers : résident et non-résident. Dans le procédé résident, le virus reste dans la mémoire du système et infecte des fichiers en arrière plan. Dans le procédé non-résident, le virus parcourt le disque à la recherche de fichiers exécutables et les infecte. Linux.Winter est un virus non résident inoffensif sous Linux. Il est de très petite taille – à peine 341 octets. Algorithme du virus : après lancement, le virus prend le contrôle puis recherche et infecte les fichiers ELF (fichiers Linux exécutables) dans le répertoire courant. Annexe A 93 A.2. Cheval de Troie Un cheval de Troie est un programme qui réalise des actions non autorisées. Une fois lancé, un cheval de Troie s'installe et prend le contrôle du système ; l'utilisateur n'est jamais informé des actions du cheval de Troie dans son système. Cet ordinateur est désormais prêt pour une prise de contrôle à distance. Le cheval de Troie se répand à travers les réseaux. Un exemplaire typique de cheval de Troie sous UNIX est TROJ_IRCKILL– c'est en fait un ensemble d'outils logiciels utilisés pour déconnecter les utilisateurs de canaux IRC. La collection comprend quatre outils d'attaque : FLOOD, MCB (Multiple Collide BOTs), SUMO BOTs, et FLASH – un procédé par « inondation » utilisé spécialement pour les environnements Linux. L'attaque FLASH interrompt les connexion modem directes en envoyant une commande ping à une certaine adresse IP, en spécifiant des données « incorrectes » à l'intérieur d'une séquence déterminée. Le modem de l'utilisateur interprète alors ces données comme une commande de déconnexion, et l'utilisateur est déconnecté d'Internet. Toutefois, ce type d'attaque ne fonctionne qu'avec certains types de modems seulement. L'attaque MCB utilise les canaux IRC. Au moment où les serveurs IRC ne sont pas synchronisés les uns avec les autres (« net split »), le cheval de Troie simule une connexion, et crée une copie du pseudo de l'utilisateur (« nickname »). Une fois la synchronisation des serveurs IRC rétablie, le nom de l'utilisateur est invalidé et l'utilisateur se retrouve déconnecté du canal IRC. L'attaque FLOOD BOTS/SUMO BOTS est également utilisée sur le réseau IRC : elle génère de nombreux pseudonymes d'utilisateur aléatoires. Cette attaque procède en noyant littéralement la bande passante du canal IRC ou de l'ordinateur de l'utilisateur, sous un flot de messages envoyés ou reçus. L'utilisateur est ici aussi déconnecté du canal IRC. Root kit est un ensemble d'outils logiciels utilisés par les pirates obtenir l'accès avec les privilèges root sur l'ordinateur distant. Il fait appel à des utilitaires Unix standard – ps et ls. La seule méthode efficace pour récupérer les ordinateurs d'une infection par Root kit est d'effacer le contenu du disque dur, de réinstaller le système d'exploitation et de restaurer les données importantes à partir d'une copie de sauvegarde normale. A.3. Vers réseau Un ver réseau est un logiciel malveillant qui, au lieu de se propager à travers des objets exécutables, se recopie soi-même sur des ressources réseau. Ce groupe 94 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD est ainsi nommé par analogie avec la capacité des vers pour « ramper » à travers les réseaux et autres canaux de données. Ils pénètrent à l'intérieur de la mémoire des ordinateurs connectés, identifient les adresses d'autres ordinateurs sur le réseau, puis y envoient un exemplaire d'eux-mêmes. Les vers créent parfois des fichiers de travail sur disque, mais la plupart n'utilisent absolument aucune ressource de l'ordinateur, sauf la mémoire RAM. Worm.Linux.Ramen a été le premier ver connu ayant infecté des systèmes RedHat Linux. Il infecte des systèmes Linux distants (RedHat Linux) en profitant du problème lié au débordement de tampon. Cette « faille de sécurité » logicielle permet d'envoyer et d'exécuter du code sur un ordinateur distant à l'insu de l'administrateur ou de l'utilisateur. Source de l'infection : un fichier d'archive .tgz provenant du réseau. Algorithme : le ver envoie une courte séquence de son propre code sur des ordinateurs distants en utilisant un débordement de tampon. Après exécution du composant principal (start.sh file), le ver ouvre une connexion et télécharge successivement d'autres composants lui permettant d'identifier l'adresse des systèmes à attaquer ; à travers la faille du débordement de tampon, il envoie à chacun d'eux un chargeur qui, à son tour, reprend le téléchargement et exécute le code principal du ver. La page principale d'un serveur Web est remplacée par un fichier HTML avec le texte suivant : "RameN Crew – Hackers looooooooooooove noodles". Finalement, le ver envoie un message à deux adresses, redémarre le système, puis recommence son exploration du réseau Internet. En outre, le ver ajoute ses propres instructions au fichier de démarrage du système /etc/rc.d/rc.sysinit. L'exécution du ver se reproduit ainsi avec chaque redémarrage du système infecté. Worm.Linux.Lion est un ver Internet qui attaque des serveurs Linux. Pour pénétrer dans les ordinateurs, le ver utilise une faille de sécurité du service BIND DNS. Algorithme : le ver analyse l'Internet à la recherche de systèmes vulnérables à des connexions sous privilèges root. Dès qu'il rencontre un système de ce type, le ver l'infecte, récupère ses informations (adresse IP, utilisateurs et mots de passe) dans le fichier mail.log et envoie celui-ci à l'adresse 1i0nsniffer@china.com. En outre, le ver tente de se connecter au site Web www.51.net, enregistré en Chine, et y télécharge le fichier crew.tgz. Il décompresse alors ce fichier d'archive sur l'ordinateur infecté, puis installe et lance des procédures d'exploration globales des ressources du réseau, à la recherche de nouvelles victimes. Annexe A 95 mIRC.Acoragil et mIRC.Simpsalapim sont les premiers vers connus pour mIRC. Ces vers sont baptisés ainsi d'après le code-chaîne qui active leur exécution. si le texte transmis sur un canal par n'importe quel utilisateur contient la ligne « Acoragil », alors tous les utilisateurs infectés par le ver mIRC.Acoragil sont automatiquement déconnectés du canal. De son côté, le ver mIRC.Simpsalapim réagit de la même manière à la ligne Simpsalapim. Source de l'infection : les vers utilisent des commandes mIRC à travers le réseau pour envoyer leur code dans le fichier SCRIPT.INI à tout nouvel utilisateur qui se connecte au canal. Algorithme : une partie du code du ver contient un cheval de Troie. mIRC.Simpsalapim peut capturer un canal IRC : si le propriétaire du canal mIRC est infecté, l'intrus intercepte et prend le contrôle du canal en utilisant le code-chaîne ananas. mIRC.Acoragil envoie des fichiers système DOS, Windows ou Unix à travers des codes-chaînes. Certains codes-chaînes sont choisis pour ne pas attirer l'attention de leurs victimes : par exemple, hi ou the. L'une des variantes de ce ver envoie les fichiers de mots de passe UNIX à un intrus. Worm.Linux.Adm est un ver Internet qui infecte des serveurs Linux. Le ver envoie et exécute une courte séquence de son propre code sur des ordinateurs distants, il télécharge ensuite le reste du code principal, puis recommence. Source de l'infection : à travers le réseau ; le ver se réplique et infecte des systèmes Linux distants en profitant d'une faille de sécurité de Linux (lié au débordement de tampon). Cette faille permet d'envoyer et d'exécuter du code sur un ordinateur distant à l'insu de l'administrateur ou de l'utilisateur. ANNEXE B. KASPERSKY LAB Fondé en 1997, Kaspersky Lab est devenu un leader reconnu en technologies de sécurité de l'information. Il produit un large éventail de logiciels de sécurité des données, et distribue des solutions techniquement avancées et complètes afin de protéger les ordinateurs et les réseaux contre tous types de programmes malveillants, les courriers électroniques non sollicités ou indésirables, et contre les tentatives d'intrusion. Kaspersky Lab est une compagnie internationale. Son siège principal se trouve dans la Fédération Russe, et la société possède des délégations au Royaume Uni, en France, en Allemagne, au Japon, aux États-Unis (Canada), dans les pays du Benelux, en Chine et en Pologne. Un nouveau service de la compagnie, le centre européen de recherches anti-Virus, a été récemment installé en France. Le réseau de partenaires de Kaspersky Lab compte plus de 500 entreprises du monde entier. Aujourd'hui, Kaspersky Lab emploie plus de 250 spécialistes, tous spécialistes des technologies antivirus : 9 d'entre eux possèdent un M.B.A, 15 autres un doctorat, et deux experts siègent en tant que membres de l'organisation pour la recherche antivirus en informatique (CARO). Kaspersky Lab offre les meilleures solutions de sécurité, appuyées par une expérience unique et un savoir-faire accumulé pendant plus de 14 années de combat contre les virus d'ordinateur. Une analyse complète du comportement des virus d'ordinateur permet à la société de fournir une protection complète contre les menaces présentes et futures. La résistance à de futures attaques est la stratégie de base mise en œuvre dans toutes les applications Kaspersky Lab. Les applications de la société ont toujours fait preuve d'une longueur d'avance sur ceux de ses nombreux concurrents, pour assurer la plus grande des protections antivirus aussi bien aux particuliers, qu'aux clients corporatifs. Des années de dur travail ont fait de notre société l'un des leaders de la fabrication de logiciels de sécurité. Kaspersky Lab fut l'une des premières entreprises à mettre au point les standards de défense antivirale les plus exigeants. Le produit vitrine de la société est Kaspersky Anti-Virus : il assure une protection complète de tous les périmètres réseau, et couvre les postes de travail, les serveurs de fichiers, les systèmes de messagerie, les pare-feu et passerelles Internet, ainsi que les ordinateurs portables. Ses outils de gestion intuitifs et faciles à utiliser se prêtent à une automation avancée, en vue d'une protection antivirus rapide à l'échelle de l'entreprise. De nombreux fabricants reconnus utilisent le noyau Kaspersky Anti-Virus : Nokia ICG (États-Unis), FSecure (Finlande), Aladdin (Israël), Sybari (États-Unis), G Data (Allemagne), Deerfield (États-Unis), Alt-N (États-Unis), Microworld (Inde) et BorderWare (Canada).. Annexe B 97 Les clients de Kaspersky Lab profitent d'un large éventail de services complémentaires qui leur assurent non seulement un bon fonctionnement des applications, mais également l'adaptation aux besoins spécifiques de leur activité. La base antivirus de Kaspersky Lab est mise à jour en temps réel toutes les 3 heures. La société offre à ses clients un service technique 24/24, disponible en plusieurs langues, et adapté à une clientèle internationale. B.1. Autres produits Kaspersky Lab Kaspersky Anti-Virus Personal Kaspersky Anti-Virus Personal protège les ordinateurs domestiques sous Windows 98/ME/2000/NT/XP contre tous les types de virus connus, y compris les logiciels à risque (capteurs et ressources à risques -- Riskware). L'application vérifie en permanence toutes les sources possibles de pénétration des virus : courrier électronique, Internet, lecteurs de disquettes et de CD. Un système exclusif d'analyse heuristique détecte efficacement même les virus inconnus. Les deux modes d'exploitation du logiciel (utilisables ensemble, ou séparément) sont : • Protection en temps réel– Analyse de tous les fichiers au moment de leur lancement, de leur ouverture ou de leur enregistrement sur l'ordinateur protégé. • Analyse à la demande– Analyse et désinfection de l'ordinateur complètement, ou individuellement par unités de disque, fichiers ou dossiers. Vous pouvez lancer ces analyses manuellement depuis l'interface graphique, ou planifier une analyse périodique. Kaspersky Anti-Virus Personal n'analyse pas les objets précédemment analysés qui n'ont pas été modifiés depuis. Cette règle s'applique maintenant à la fois à la protection en temps réel et à l'analyse à la demande. Cette fonction améliore grandement la vitesse et le rendement de l'application. Kaspersky Anti-Virus Personal offre une protection efficace contre les virus qui tentent de pénétrer des ordinateurs par la voie du courrier électronique. L'application analyse et désinfecte automatiquement tout le trafic des messages entrant et sortant (POP3 et SMTP) et détecte efficacement les virus dans les bases d'archive de courrier. Kaspersky Anti-Virus Personal prend en charge plus de 700 formats de fichiers d'archives ou compressés ; il assure l'analyse antivirus automatique de leur contenu, ainsi que la suppression de tout code dangereux dans les archives au format ZIP, CAB, RAR ou ARJ. La configuration du programme est facilitée par la possibilité de sélectionner un niveau prédéfini parmi les trois possibles : Protection maximum, Recommandé et Vitesse maximum. 98 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD La base antivirus est mise à jour toutes les trois heures. La distribution de la base de données est garantie, même en cas d'interruption ou de commutation de la connexion Internet pendant le téléchargement. Kaspersky Anti-Virus Personal Pro Le paquet logiciel est conçu pour offrir une protection antivirus intégrale des ordinateurs personnels sous Windows 98/ME/2000/NT/XP, ainsi que des applications MS Office 2000. Kaspersky Anti-Virus Personal Pro est accompagné d'un outil simple d'emploi pour récupérer automatiquement les mises à jour quotidiennes des bases antivirus et des modules de programme. Un analyseur heuristique de seconde génération détecte efficacement même les virus inconnus. L'interface de Kaspersky Anti-Virus Personal inclut de nombreuses améliorations, pour rendre l'utilisation de l'application plus facile que jamais. Kaspersky Anti-Virus Personal Pro possède les caractéristiques suivantes : • Analyse à la demande des unités locales ; • Protection automatique en temps réel de tous les fichiers, contre les virus ; • Filtre de courrier qui analyse et désinfecte automatiquement tout le trafic des messages entrant et sortant (POP3 et SMTP) et détecte efficacement les virus dans les bases de données de messagerie ; • Bloqueur de comportements qui assure une protection maximale des applications MS Office contre les virus ; • Analyseur de fichier compressé – Kaspersky Anti-Virus prend en charge plus de 700 formats de fichiers d'archives ou compressés ; il assure l'analyse antivirus automatique de leur contenu, ainsi que la suppression de tout code dangereux dans les fichiers au format ZIP, CAB, RAR ou ARJ. Kaspersky Anti-Hacker Kaspersky Anti-Hacker est un pare-feu personnel conçu pour protéger un ordinateur sous n'importe quelle version du système d'exploitation Windows. Il le protège contre l'accès non autorisé aux données contenues et contre les intrusions extérieures provenant du réseau local ou de l'Internet. Kaspersky Anti-Hacker surveille l'activité réseau sous protocole TCP/IP de toutes les applications fonctionnant sur votre machine. Le logiciel détecte n'importe quelle action d'une application suspecte et bloque son accès au réseau. Ceci améliore la protection de vos données personnelles, et parvient à offrir 100% de sécurité sur les données confidentielles conservées dans votre ordinateur. ™ L'application utilise la technologie SmartStealth pour empêcher la détection de votre ordinateur depuis l'extérieur. Dans ce mode invisible, l'application Annexe B 99 fonctionne de manière transparente afin de maintenir votre ordinateur protégé tandis que vous naviguez sur le Web. L'application garantit la transparence et l'accès normal aux données. • Kaspersky Anti-Hacker bloque également les attaques malicieuses les plus fréquentes en provenance du réseau et surveille les tentatives d'analyse des ports de votre ordinateur. • La configuration de l'application consiste simplement à choisir parmi cinq niveaux de sécurité. Par défaut, l'application démarre en mode apprentissage, qui permet de configurer automatiquement la sécurité de votre système en fonction de vos réponses à des divers événements. De cette manière, vous pouvez personnaliser le pare-feu en fonction de vos préférences et de vos besoins personnels. Kaspersky Security pour PDA Kaspersky Security pour PDA assure une protection antivirus efficace des données d'un PDA sous système d'exploitation Palm ou Windows CE. Il protège également toutes les données provenant d'un PC ou d'une carte d'expansion, de fichiers ROM et de bases de données. Le paquet logiciel contient une combinaison efficace des outils antivirus suivants : • analyseur antivirus pour l'analyse à la demande des données conservées sur le PDA et des cartes d'expansion ; • intercepteur antivirus pour stopper les virus de fichiers copiés à partir d'autres portables ou transférés avec la technologie HotSync™. Kaspersky Security pour PDA protège votre PDA contre les intrusions non autorisées, en chiffrant à la fois l'accès au dispositif et les données conservées dans les cartes mémoire. Kaspersky Anti-Virus Business Optimal Ce paquet offre une solution de sécurité configurable pour des réseaux d'entreprise de taille petite ou moyenne. Kaspersky Anti-Virus Business Optimal inclut une protection antivirus à échelle complète1 pour : • 1 postes de travail sous Windows Windows 98/ME/NT/2000/XP pour stations de travail, et Linux ; Selon le modèle du kit de distribution. 100 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD • Serveurs de fichiers et d'applications sous Windows NT 4.0 Server, Windows 2000, 2003 Server/Advanced Server, Novell Netware, FreeBSD et OpenBSD et Linux ; • Systèmes de messagerie, concrètement Microsoft Exchange 5.5/2000/2003, Lotus Notes/Domino, Postfix, Exim, Sendmail et Qmail ; • Passerelles Internet : CheckPoint Firewall –1; Microsoft ISA Server. Le kit de distribution de Kaspersky Anti-Virus Business Optimal inclut Kaspersky Administration Kit, un outil unique et automatique de déploiement et d'administration. Tous ces composants sont interopérables, et vous pouvez choisir n'importe lequel d'entre eux en fonction des systèmes d'exploitation et des applications utilisés. Kaspersky Corporate Suite Ce paquet fournit aux réseaux d'entreprise, de n'importe quelle taille et complexité, une protection antivirus complète et évolutive. Les composants du paquet ont été développés pour protéger chaque périmètre du réseau d'entreprise, même dans des configurations matérielles hétérogènes. Kaspersky Corporate Suite est compatible avec la majorité les systèmes d'exploitation et des applications installées dans une entreprise. Tous les composants du paquet sont gérés à partir d'une console utilisant une interface d'utilisateur homogène. Kaspersky Corporate Suite offre un rendement élevé et une protection fiable, et il prend totalement en charge les particularités de votre configuration réseau. Kaspersky Corporate Suite assure une protection antivirus complète de : • Postes de travail sous Windows 98/ME/NT/2000/XP et Linux ; • Serveurs de fichiers et d'applications sous Windows NT 4.0 Server, Windows 2000, 2003 Server/Advanced Server, Novell Netware, FreeBSD et OpenBSD et Linux ; • Clients de messagerie, y compris Microsoft Exchange Server 5.5/2000/2003, Lotus Notes/Domino, Sendmail, Postfix, Exim et Qmail ; • Passerelles Internet : CheckPoint Firewall –1; Microsoft ISA Server ; • Ordinateurs de poche (PDAs), sous Windows CE et Palm OS. Le kit de distribution de Kaspersky Corporate Suite inclut Kaspersky Administration Kit, un outil unique et automatique de déploiement et d'administration. Annexe B 101 Tous ces composants sont parfaitement interopérables, et vous pouvez choisir n'importe lequel d'entre eux en fonction des systèmes d'exploitation et des applications utilisés. Kaspersky Anti-Spam Kaspersky Anti-Spam est une suite logicielle avec technologie de pointe, conçue pour permettre aux organisations équipées de réseaux de petite ou moyenne taille, de lutter contre le fléau des messages indésirables (pollupostage, ou Spam). L'application combine les technologies révolutionnaires d'analyse linguistique avec toutes les méthodes modernes de filtrage des messages électroniques (y compris les listes noires et l'analyse formelle des structures). Sa combinaison unique de services permet aux utilisateurs d'identifier et d'éliminer près de 95% du trafic indésirable. Kaspersky Anti-Spam se comporte comme une barrière installée à l'entrée du réseau, qui surveille et empêche le passage de messages indésirables Le logiciel prend en charge tous les systèmes de messagerie, et peut être installé aussi bien sur un serveur de messagerie existant ou sur un serveur dédié. Les hautes performances de Kaspersky Anti-Spam sont possibles grâce à des mises à jour quotidiennes de la base de filtrage, à partir des échantillons fournis par le laboratoire linguistique de Kaspersky Lab. Kaspersky Anti-Spam Personal Kaspersky Anti-Spam Personal est conçu pour protéger les utilisateurs de Microsoft Outlook et de Microsoft Outlook Express contre les courriers électroniques indésirables (les « pourriels », ou spam). Kaspersky Anti-Spam Personal est un outil puissant capable de détecter la présence de contenus indésirables reçus à travers les protocoles POP3 et IMAP4 (Microsoft Outlook seulement). La méthode de filtrage recouvre l'analyse de tous les attributs du message (adresses de l'expéditeur et destinataire et en-têtes de message), le filtrage des contenus (analyse du contenu du message, y compris le champ Sujet et tous les fichiers joints), et la mise en œuvre d'algorithmes linguistiques et heuristiques exclusifs. Les hautes performances de l'application sont possibles grâce à des mises à jour quotidiennes de la base de filtrage, à partir des échantillons fournis par le laboratoire linguistique de Kaspersky Lab. 102 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD B.2. Comment nous contacter Si vous avez des questions, des commentaires ou des suggestions, adressezvous à nos revendeurs ou directement à Kaspersky Lab. Nous serons heureux de vous renseigner sur tout ce qui concerne notre application par téléphone ou par courrier électronique. Toutes vos recommandations et suggestions sont soigneusement étudiées et prises en compte. Support technique Pour une assistance technique, adressez-vous à :http://www.kaspersky.com/supportinter.html Information générale WWW : http://www.kaspersky.com http://www.viruslist.com Courriel : sales@kaspersky.com ANNEXE C. CONTRAT DE LICENCE Contrat de licence pour utilisateur standard NOTE A TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT LE CONTRAT DE LICENCE (« LICENCE ») SUIVANT, À PROPOS DE CE LOGICIEL (« LOGICIEL ») FABRIQUÉ PAR KASPERSKY LAB. (« KASPERSKY LAB »). SI VOUS AVEZ ACHETE CE LOGICIEL VIA INTERNET EN CLIQUANT SUR LE BOUTON ACCEPTER, VOUS (PARTICULIER OU ENTITÉ INDIVIDUELLE) ACCEPTEZ DE RESPECTER ET DE DEVENIR PARTIE DE CE CONTRAT. SI VOUS N'ACCEPTEZ PAS LA TOTALITE DE CES TERMES, CLIQUEZ SUR LE BOUTON INDIQUANT QUE VOUS N'ACCEPTEZ PAS LES TERMES DE CE CONTRAT ET QUE VOUS N'INSTALLEZ PAS LE LOGICIEL. SI VOUS AVEZ ACHETE CE LOGICIEL SOUS FORME PHYSIQUE, EN OUVRANT LE SCELLÉ DU BOÎTIER, VOUS (PARTICULIER OU ENTITÉ INDIVIDUELLE) ACCEPTEZ DE RESPECTER CE CONTRAT. SI VOUS N'ACCEPTEZ PAS LA TOTALITE DE CES TERMES, N'OUVREZ PAS LE BOÎTIER DU CD, NE TELECHARGEZ, N'INSTALLEZ OU N'UTILISEZ PAS CE LOGICIEL. SI LE SCELLÉ EST DÉCHIRÉ OU LE BOÎTIER A ÉTÉ OUVERT, VOUS N'AUREZ PAS DROIT AU REMBOURSEMENT DU LOGICIEL. LES LOGICIELS POUR USAGE DOMESTIQUE (KASPERSKY ANTI-VIRUS PERSONAL, KASPERSKY ANTI-VIRUS PERSONAL PRO, KASPERSKY ANTI-HACKER, KASPERSKY SECURITY FOR PDA) ACHETÉS SOUS FORME DE TÉLÉCHARGEMENT PAR INTERNET PEUT ETRE RETOURNE, ET REMBOURSÉ INTEGRALEMENT DANS LES 14 JOURS APRÈS SON ACHAT, À KASPERSKY LAB, SES REVENDEURS ET DISTRIBUTEURS AGREES. AUTRES PRODUITS NON REMBOURSABLES. LE DROIT AU RETOUR ET AU REMBOURSEMENT NE S'APPLIQUE QU'A L'ACHETEUR INITIAL. Toutes les références au "Logiciel" apparaissant dans le présent contrat de licence incluent la clé d'activation (Fichier Clé d'Identification) qui sera fournie par Kaspersky Lab comme faisant partie du logiciel. 1. Licence de droits. Sous réserve du paiement du prix d'achat du logiciel et d'acceptation des termes de la présente Licence d'utilisation, Kaspersky Lab vous autorise à utiliser une copie unique et non transférable de la version spécifiée de ce logiciel et de la documentation (la « Documentation ») selon les termes de ce Contrat uniquement pour un usage interne à l'entreprise. Vous 104 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD pouvez installer une copie du logiciel sur un seul système, poste de travail, assistant électronique personnel ou autre dispositif numérique pour lequel le Logiciel a été conçu (pour chaque cas, le « Système client »). Si la licence concerne une suite d'applications avec plusieurs produits logiciels, cette licence s'applique à tous les logiciels indiqués, en respectant toute restriction ou limite d'utilisation spécifiée dans la liste de prix ou dans la distribution applicable à chaque produit individuel. 1.1 Utilisation. Ce logiciel ne peut être installé que sur un seul système (un seul ordinateur) par le client, et la licence d'utilisation n'est octroyée qu'à un utilisateur unique. Le logiciel est « utilisé » sur un système par le client lorsqu'il est lancé dans la mémoire temporaire (RAM) ou installé dans la mémoire permanente (sur un disque dur ou un autre périphérique de stockage) du système du client. La présente licence vous autorise à réaliser une copie unique du logiciel dans son intégralité à des fins de sauvegarde, à condition que les copies contiennent toutes les notices de propriété du Logiciel. Vous devrez garder la trace du nombre et de l'emplacement de toutes les copies du logiciel et de sa documentation, et prendre les précautions nécessaires pour qu'aucune copie ou utilisation illégale ne soit effectuée. Si vous cédez le système sur lequel le logiciel a été installé, vous devrez le désinstaller au préalable et vérifier qu'il n'en reste aucune copie sur ce système. 1.1.3 Il est interdit de décompiler, faire de l'ingénierie inverse, désassembler ou altérer autrement toute partie de ce Logiciel sous forme lisible par l'homme, ni de permettre à un tiers de le faire. Les informations d'interface nécessaires pour réaliser l'interopérabilité du Logiciel avec des programmes informatiques indépendants seront fournies par Kaspersky Lab à la demande et moyennant paiement du coût et des dépenses que cela implique. Au cas où Kaspersky Lab vous informerait qu'il ne souhaite pas vous fournir de telles informations pour n'importe quelle raison, incluant les coûts (sans limitation), vous serez autorisé à réaliser l'interopérabilité à condition que vous ne fassiez pas d'ingénierie amont ou de décompilation hors les limites autorisées par la loi. 1.1.4 Il vous est interdit d'apporter des corrections ou de modifier, adapter ou traduire le Logiciel, de produire des applications dérivées, non plus qu'à autoriser un tiers à copier le logiciel (sauf autorisation expresse). 1.1.5 Il est interdit de louer ou de prêter le Logiciel à un tiers ou de transférer la licence et votre droit d'utilisation à un tiers. 1.1.6 Vous ne pourrez pas utiliser ce Logiciel avec des outils automatiques, semi-automatiques ou manuels conçus pour créer des signatures de virus, des routines de détection de virus ou tout autre code de détection de code ou de données dangereuses. 1.2 Utilisation en Mode Serveur. Vous pouvez utiliser le Logiciel sur un Système Client ou sur un serveur (« Serveur ») dans un environnement multi-utilisateurs Annexe C 105 ou en réseau (« Mode serveur ») uniquement si une telle utilisation est autorisée dans le tarif en vigueur ou sur l'emballage du Logiciel. Une licence spécifique est nécessaire pour chaque Système Client ou « poste », sans tenir compte du fait que ces systèmes autorisés ou ces postes sont connectés simultanément ou réellement en train d'utiliser le logiciel. L'utilisation de logiciels ou de matériels permettant de réduire le nombre de dispositifs client ou de postes utilisant le Logiciel (par exemple, par "multiplexage" ou "sondage" du logiciel ou du matériel) ne réduit pas le nombre de licences nécessaires : le nombre de licences requises égale le nombre d'entrées séparées gérées en interface par le programme ou matériel multiplexeur ou de sondage. Si le nombre de Systèmes Clients ou postes pouvant se connecter au Logiciel peut dépasser le nombre de licences dont vous disposez, il vous incombe de prendre des mesures raisonnables pour vous assurer que l'utilisation du Logiciel ne dépasse pas les limites d'utilisation spécifiées dans la licence obtenue. La présente licence vous autorise à télécharger ou à effectuer autant de copies de la documentation que le réseau compte de Clients possédant une licence d'utilisation du logiciel, à condition que la documentation soit complète. 1.3 Licences par volume. Si le Logiciel est inscrit avec des termes de Licences de volume spécifiés sur la facture en vigueur ou l'emballage du Logiciel, vous devez effectuer, utiliser ou installer autant de copies additionnelles du Logiciel sur le nombre de Systèmes Clients que les termes de la licence de volume le spécifient.. Vous devez tout mettre en œuvre pour vous assurer que le nombre de Systèmes Clients sur lesquels le Logiciel a été installé ne dépasse pas le nombre de licences obtenues. Ce permis vous autorise à tirer ou télécharger une copie de la documentation pour chaque copie additionnelle autorisée par le permis de volume, à condition que chaque une telle copie contienne toutes les notices de propriété industrielle du document. 2. Durée. Ce Contrat de Licence est valable pour une durée d'un an à moins qu'il n'arrive à terme avant ce délai pour l'une des raisons prévues ci-après. Ce Contrat se terminera automatiquement si vous n'en respectez pas les termes, les limites ou les conditions décrites. Dans ce cas, il vous incombe de détruire toute copie du logiciel et de sa documentation que vous auriez réalisée. Vous pouvez mettre un terme à ce contrat à tout moment en détruisant les copies du logiciel et de sa documentation. 3. Support technique. (i) Kaspersky Lab fournira un support technique (« Support ») comme décrit cidessous pour une période d'un an, sous réserve de : (a) Paiement du service support en vigueur, et : (b) Compléter correctement le formulaire d'inscription au service de Support Technique fourni avec ce Contrat ou disponible sur le site Web de Kaspersky Lab, ce qui implique la communication du Fichier Clé d'Identification fourni par Kaspersky Lab avec ce Contrat. Il restera à l'entière discrétion de 106 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD Kaspersky Lab de juger si vous remplissez les conditions d'accès prévues aux services de support technique. (ii) Le Support technique se terminera après une durée d'un an à moins qu'il ne soit renouvelé par le paiement des droits requis et par l'envoi d'un nouveau formulaire d'Inscription. (iii) En remplissant le Formulaire d'Inscription au Support technique, vous acceptez les termes de la Stratégie de Confidentialité de Kaspersky Lab jointe à ce Contrat, et vous consentez explicitement au transfert de données vers d'autres pays que le vôtre en accord avec les termes de la Stratégie de Confidentialité. (iv) Les « Services de support technique » signifient : (a) Mises à jour quotidiennes de la base antivirus ; (b) Versions de mise à jour gratuites (c) Support technique avancé par courrier électronique et par téléphone, assuré par le revendeur ou le distributeur ; (d) Mises à jour de détection et d'éradication de virus 24/24. 4. Droits de propriété. Le logiciel est protégé par les lois sur le copyright. Kaspersky Lab et ses fournisseurs possèdent et conservent tous les droits, titres et intérêts applicables au Logiciel, incluant tous les droits de propriété, brevets, marques déposées et autres droits de propriété intellectuelle applicables. Le fait que vous en possédiez une copie et que vous l'ayez installée ne vous donne aucun droit de propriété intellectuelle sur le logiciel. 5. Confidentialité. Vous acceptez que le Logiciel et la Documentation, y compris la conception et structure des logiciels individuels, ainsi que du Fichier Clé d'Identification constituent des informations confidentielles dont Kaspersky Lab reste propriétaire. Vous ne dévoilerez pas et ne fournirez en aucun cas ces informations confidentielles sous quelque forme que ce soit à un tiers sans l'autorisation expresse et écrite de Kaspersky Lab. Vous mettrez en œuvre des mesures de sécurité minimale visant à assurer que la confidentialité du Fichier Clé d'Identification est respectée. 6. Limite de garantie (i) Kaspersky Lab garantit que pour une durée de 90 jours suivant le téléchargement ou l'installation du logiciel ce dernier fonctionnera correctement comme spécifié dans la documentation fournie. (ii) Vous assumez l'entière responsabilité du choix du logiciel comme répondant à vos besoins. Kaspersky Lab ne garantit pas que le logiciel et sa documentation répondront à ces besoins et que leur utilisation sera exempte d'interruptions ou d'erreurs. Annexe C 107 (iii) Kaspersky Lab ne garantit pas que ce logiciel reconnaîtra tous les virus connus ou n'affichera pas de message de détection erroné. (iv) La responsabilité de Kaspersky Lab ne sera engagée qu'en cas de manquement au paragraphe (i) de la limite de garantie, et il restera à la discrétion de Kaspersky Lab de réparer, remplacer ou rembourser le logiciel si le problème est signalé directement à Kaspersky Lab ou à un ayant-droit au cours de la période de garantie. Vous devrez fournir toutes les informations nécessaires au fournisseur pour remédier à tout problème éventuel. (v) La garantie comme décrite au paragraphe (i) ne s'appliquera pas (a) si vous modifiez ou faites modifier le logiciel sans le consentement de Kaspersky Lab, (b) si vous utilisez le logiciel d'une façon différente de son but initial (c) si vous utilisez le logiciel d'une façon non prévue par le Contrat de Licence. (vi) Les garanties et conditions fixées dans ce Contrat prévalent sur toutes autres conditions et garanties légales ou termes qui concernent la fourniture ou la prétendue fourniture, le manquement ou délai à fournir le Logiciel ou la Documentation, mais qui pour ce paragraphe (v) ont effet entre Kaspersky Lab et vous ou sont implicites ou intégrés dans ce Contrat ou autre contrat collatéral, soit par statut, loi commune ou tout ce qui est exclu ici (incluant sans limitation les conditions, garanties ou autres termes relatifs à la qualité de satisfaction, justesse d'utilisation ou pour le respect de compétences et du bon sens). 7. Responsabilité (i) Rien dans le présent Contrat ne saurait engager la responsabilité de Kaspersky Lab en cas (i) de non-satisfaction de l'utilisateur, (ii) de décès ou de dommages physiques résultant d'infractions aux lois en vigueur ou du nonrespect des termes du présent Contrat, (iii) de toute infraction aux obligations impliquées par la loi « s.12 Sale of Goods Act 1979 or s.2 Supply of Goods and Services Act 1982 » ou (iv) de responsabilité qui ne peut être exclue par la loi. (ii) Selon les termes du paragraphe (i), le Fournisseur ne pourra être tenu pour responsable (si dans le contrat, acte dommageable, compensation ou autres) pour les dommages et pertes suivants (si de tels dommages ou pertes étaient prévus, prévisibles, connus ou autres) : (a) Perte de revenus ; (b) Perte de revenus réels ou potentiels (c) Perte de moyens de paiement (d) Perte d'économies prévues (e) Perte de marché (f) Perte d'occasions commerciales (g) Atteinte à l'image 108 Kaspersky Anti-Virus 5.5 pour serveurs de courrier Linux, FreeBSD et OpenBSD (h) Atteinte à la réputation (i) Perte, dommage ou altération de données ; ou : (j) Tout dommage direct ou indirect en dehors de ceux couverts par les limites de garanties prévues dans le présent Contrat de Licence. (iii) Selon les termes du paragraphe (i), la responsabilité de Kaspersky Lab (suite au contrat, acte dommageable, compensation ou autres) survenant lors de la fourniture du Logiciel n'excèdera en aucun cas un montant égal au prix d'achat du Logiciel. 8. L'interprétation du présent Contrat de Licence sera effectuée en accord avec la législation locale. Les parties se soumettent ici à la juridiction des cours d'Angleterre et du Pays de Galles, sauf si Kaspersky Lab était autorisé en tant que requérant à entamer des poursuites auprès de n'importe quelle juridiction compétente. 9. (i) Ce Contrat constitue l'accord complet liant les parties et prévaut sur tout autre arrangement, promesse ou accord verbal ou écrit passé au préalable entre vous et Kaspersky Lab, et qui auraient été donnés ou seraient impliqués de manière écrite ou verbale lors de négociations avec nous ou nos représentants avant ce Contrat et tous les contrats antérieurs entre les parties en rapport avec les thèmes susmentionnés cesseront d'avoir effet à partir de la Date d'Effet. En dehors des situations prévues par les paragraphes (ii) – (iii), vous n'aurez aucun recours au cas où vous auriez fourni des informations erronées et sur lesquelles vous vous basiez en acceptant ce Contrat (« Fausse Représentation ») et Kaspersky Lab ne sera pas tenu pour responsable envers tout autre poursuivant que celui déterminé. (ii) Rien dans ce Contrat ne pourra limiter ou exclure la responsabilité de Kaspersky Lab pour toute Fausse Représentation faite en connaissance de cause. (iii) La responsabilité de Kaspersky Lab pour Fausse Déclaration portant sur une question fondamentale, y compris pour l'obligation du fabricant de respecter ses engagements au titre de ce Contrat, sera sujette à la décharge de responsabilité du paragraphe 7 (iii).