จากที่ได้ ติดตั้งและคอนฟิก Amavisd-new, ClamAv, SpamAssassin ใช้งานกับ Postfix บน Fedora 17 เรียบแล้วแล้ว
เราจะมาลองทดสอบการสแกนไวรัสและสแปมในเมล์ที่ส่งผ่าน postfix โดย Amavisd-new กันว่าผลเป็นอย่างไร
ในที่นี้จะใช้ไฟล์ EICAR test file ที่เป็นไฟล์ไวรัสตัวอย่างสำหรับทดสอบการสแกนไวรัส ซึ่งจริงๆ แล้วไม่ใช่ไวรัส ไม่เป็นอันตรายต่อเครื่องแต่อย่างใด เป็นเพียงแค่ไฟล์ไว้ทดสอบการสแกนไวรัสเท่านั้น
ส่วนการทดสอบการส่งอีเมล์สแปม เราจะใช้ไฟล์ GTUBE ซึ่งเป็นไฟล์ทดสอบการตรวจจับสแปม
หมายเหตุ เนื่องจากหากใส่ตัวอย่างไฟล์แบบครบถ้วน (ขนาด 68 ไบต์) ทั้งสองไฟล์บนเว็บไซต์นี้ อาจทำให้เครื่องที่ติดตั้งโปรแกรม antivirus หรือ antispam บางโปรแกรมตรวจเจอและฟ้องขึ้นมา อาจทำให้ไม่สามารถเปิดหน้าเว็บไซต์นี้ได้ ทั้งๆ ที่เป็นไฟล์สำหรับทดสอบ ดังนั้นตัวอย่างเนื้อหาในอีเมล์ที่จะใช้ทดสอบในบทความนี้จะแสดงเฉพาะอักษรบางตัวในไฟล์ทดสอบไวรัสหรือสแปมเท่านั้น หากต้องการไฟล์แบบครบถ้วนของทั้ง EICAR และ GTUBE ลองหาด้วย google ดู ความตั้งใจของบทความนี้คือต้องการแสดงตัวอย่างผลลัพธ์การส่งเมล์บน postfix เมื่อ amavisd-new ตรวจเจอไวรัสหรือสแปมเท่านั้น
ทดสอบการส่งอีเมล์ปกติ
เริ่มต้นทดสอบการส่งอีเมล์ปกติจาก user1 ไปยัง user2
[user1@fc17-64a ~]$ echo "Hello User2" | mail user2
ตัวอย่างข้อความในไฟล์ /var/log/maillog แสดงผลลัพธ์การสแกนไวรัสปลอดภัยและระดับเนื้อหาสแปม (Hits) ว่าอีเมล์นี้ปลอดภัยและส่งต่อไปยังผู้รับปลายทางได้ (Passed CLEAN)
[root@fc17-64a ~]# tail -f /var/log/maillog Jul 15 14:17:03 fc17-64a postfix/pickup[803]: C55DA3FFDE: uid=1001 from=<user1> Jul 15 14:17:03 fc17-64a postfix/cleanup[8194]: C55DA3FFDE: message-id=<20120715071703.C55DA3FFDE@fc17-64a.example.com> Jul 15 14:17:03 fc17-64a postfix/qmgr[804]: C55DA3FFDE: from=<user1@example.com>, size=418, nrcpt=1 (queue active) Jul 15 14:17:12 fc17-64a postfix/smtpd[8199]: connect from localhost[127.0.0.1] Jul 15 14:17:12 fc17-64a postfix/smtpd[8199]: 26DC240126: client=localhost[127.0.0.1] Jul 15 14:17:12 fc17-64a postfix/cleanup[8194]: 26DC240126: message-id=<20120715071703.C55DA3FFDE@fc17-64a.example.com> Jul 15 14:17:12 fc17-64a postfix/qmgr[804]: 26DC240126: from=<user1@example.com>, size=860, nrcpt=1 (queue active) Jul 15 14:17:12 fc17-64a postfix/smtpd[8199]: disconnect from localhost[127.0.0.1] Jul 15 14:17:12 fc17-64a postfix/local[8202]: 26DC240126: to=<user2@example.com>, relay=local, delay=0.01, delays=0.01/0/0/0, dsn=2.0.0, status=sent (delivered to maildir) Jul 15 14:17:12 fc17-64a postfix/qmgr[804]: 26DC240126: removed Jul 15 14:17:12 fc17-64a amavis[1154]: (01154-03) Passed CLEAN, <user1@example.com> -> <user2@example.com>, Message-ID: <20120715071703.C55DA3FFDE@fc17-64a.example.com>, mail_id: UIOm3DzmIwNu, Hits: 1.766, size: 418, queued_as: 26DC240126, 8359 ms Jul 15 14:17:12 fc17-64a postfix/smtp[8196]: C55DA3FFDE: to=<user2@example.com>, orig_to=<user2>, relay=127.0.0.1[127.0.0.1]:10024, delay=8.4, delays=0.01/0/0.01/8.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 26DC240126) Jul 15 14:17:12 fc17-64a postfix/qmgr[804]: C55DA3FFDE: removed
ทดสอบการสแกนไวรัสด้วยไฟล์ EICAR
แนะนำให้ใช้ google หาคำว่า “EICAR test file Wikipedia” จะพบลิ้งค์เข้าไปในเว็บไซต์ของ wikipedia ในหน้านี้จะเห็นเนื้อหาในไฟล์ EICAR ให้ copy มาแล้วสร้างไฟล์บนลีนุกซ์
ตัวอย่างไฟล์ eicar.txt (แทนที่อักษรบางตัวออกไปด้วย …)
[user1@fc17-64a ~]$ cat eicar.txt X5O!P%@AP...$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
ใช้คำสั่ง cat เพื่อนำเนื้อหาในไฟล์นี้ส่งอีเมล์ไปให้ user2
[user1@fc17-64a ~]$ cat eicar.txt | mail user2
ตัวอย่างข้อความแสดงการตรวจจับไวรัสในไฟล์ /var/log/maillog ในที่นี้โปรแกรม clamd เป็นตัวตรวจเจอไวรัส แล้วฟ้องกลับมายัง amavis รายงานชื่อไวรัสที่ตรวจเจอ
ดีฟอลต์คอนฟิกของ amavisd-new แล้ว อีเมล์ที่มีไวรัสจะไม่ถูกส่งต่อไป (Blocked INFECTED) ผู้รับปลายทาง user2 จะไม่ได้รับอีเมล์นี้ และไม่ส่งย้อนกลับไปยังผู้ส่ง user1 ด้วย ป้องกันการปลอมชื่ออีเมล์ต้นทาง
[root@fc17-64a ~]# tail -f /var/log/maillog Jul 15 14:21:47 fc17-64a postfix/pickup[803]: 097F73FFDE: uid=1001 from=<user1> Jul 15 14:21:47 fc17-64a postfix/cleanup[8503]: 097F73FFDE: message-id=<20120715072147.097F73FFDE@fc17-64a.example.com> Jul 15 14:21:47 fc17-64a postfix/qmgr[804]: 097F73FFDE: from=<user1@example.com>, size=475, nrcpt=1 (queue active) Jul 15 14:21:47 fc17-64a amavis[1155]: (01155-03) Blocked INFECTED (Eicar-Test-Signature), <user1@example.com> -> <user2@example.com>, Message-ID: <20120715072147.097F73FFDE@fc17-64a.example.com>, mail_id: a9aTji9YyOTi, Hits: -, size: 475, 68 ms Jul 15 14:21:47 fc17-64a postfix/smtp[8505]: 097F73FFDE: to=<user2@example.com>, orig_to=<user2>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.1, delays=0.02/0.01/0/0.07, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=01155-03 - INFECTED: Eicar-Test-Signature) Jul 15 14:21:47 fc17-64a postfix/qmgr[804]: 097F73FFDE: removed
ทดสอบการตรวจจับอีเมล์สแปมด้วยไฟล์ GTUBE
แนะนำให้ใช้ google หาคำว่า “GTUBE test file Wikipedia” จะพบลิ้งค์เข้าไปในเว็บไซต์ของ wikipedia ในหน้านี้จะเห็นเนื้อหาในไฟล์ GTUBE ให้ copy มาแล้วสร้างไฟล์บนลีนุกซ์
ตัวอย่างไฟล์ gtube.txt (แทนที่อักษรบางตัวออกไปด้วย …)
[user1@fc17-64a ~]$ cat gtube.txt XJS*C4JDBQ...GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
ใช้คำสั่ง cat เพื่อนำเนื้อหาในไฟล์นี้ส่งอีเมล์ไปให้ user2
[user1@fc17-64a ~]$ cat gtube.txt | mail user2
ตัวอย่างข้อความแสดงการตรวจจับสแปมในไฟล์ /var/log/maillog แสดงระดับเนื้อหาสแปม (Hits)
ดีฟอลต์คอนฟิกของ amavisd-new แล้ว อีเมล์ที่มีระดับสแปม (Hits) มากกว่าค่าที่กำหนดไว้ จะไม่ถูกส่งต่อ (Blocked SPAM) ผู้รับปลายทาง user2 จะไม่ได้รับอีเมล์นี้ และไม่ส่งย้อนกลับไปยังผู้ส่ง user1 ด้วย ป้องกันการปลอมชื่ออีเมล์ต้นทาง
[root@fc17-64a ~]# tail -f /var/log/maillog Jul 15 14:22:24 fc17-64a postfix/pickup[803]: 7B3AB3FFDE: uid=1001 from=<user1> Jul 15 14:22:24 fc17-64a postfix/cleanup[8503]: 7B3AB3FFDE: message-id=<20120715072224.7B3AB3FFDE@fc17-64a.example.com> Jul 15 14:22:24 fc17-64a postfix/qmgr[804]: 7B3AB3FFDE: from=<user1@example.com>, size=475, nrcpt=1 (queue active) Jul 15 14:22:24 fc17-64a clamd[1116]: SelfCheck: Database status OK. Jul 15 14:22:25 fc17-64a amavis[1154]: (01154-04) Blocked SPAM, <user1@example.com> -> <user2@example.com>, Message-ID: <20120715072224.7B3AB3FFDE@fc17-64a.example.com>, mail_id: r4hdJyntYoiL, Hits: 1001.767, size: 475, 1098 ms Jul 15 14:22:25 fc17-64a postfix/smtp[8505]: 7B3AB3FFDE: to=<user2@example.com>, orig_to=<user2>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, delays=0.05/0/0/1.1, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=01154-04 - SPAM) Jul 15 14:22:25 fc17-64a postfix/qmgr[804]: 7B3AB3FFDE: removed