昨今流行するVirusたちの感染ルートの複雑化と巧妙化に加え、このサーヴァでメイルを利用しているユーザが仮に感染をしたら自分がサポートしないと復旧できなそうな方が数名いることと、自分のアドレスに対して「ゆみこです♪久しぶり！」などというタイトルのうざい業者からのメイルが増えつつあるので、よい頃合であると判断しそれ対策を行った。

今までのメイルシステムはPostfix+qpopperにsmtp-auth用にdracをくっつけた仕組みだったわけだけど、AMaViSで添付ファイルの抽出を行って中身をClam AntiVirusに渡して判定するようにして、且つ最後にはprocmail経由でSpamassassinに渡して、SPAMスコアが7以上ならばSubjectに[SPAM]と強制挿入するようにしてみた。Spam判定されたものは、/dev/null行きか、{ApacheのDocumentRoot}/spams/行きで晒し上げしても良かったのだけど、いまいち判定に不安が残るのでSubject改造してそのまま配送は行う。Clam AntiVirusはFREEだし、ちゃんと定義ファイル更新を常駐プログラムが行ってくれるすぐれものくさい。

SPAMの試しにSubjectに[未承諾広告※]とか書いて、本文に無料とかFREEとかそれらしい言葉を入れたメイルを送ってみると、

X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.63 (2004-01-11) on bach
X-Spam-Level: ************
X-Spam-Status: Yes, hits=12.0 required=7.0 tests=CONTENT_TYPE_PRESENT,

と見事に12点をゲットしてSPAM判定される。判定部分は↓な感じ。

X-Spam-Report:
* -0.1 CONTENT_TYPE_PRESENT exists:Content-Type
* 2.0 KOUKOKU KOUKOKU
* -0.1 ISO2022JP_CHARSET ISO-2022-JP message
* 1.0 STAR *
* 2.8 JAPANESE_UCE_SUBJECT Subject contains a Japanese UCE tag
* 2.0 MISYOUDAKU Misyoudaku
* -0.1 ISO2022JP_BODY BODY: ISO-2022-JP message
* 0.5 MURYOU BODY: Muryou
* 4.0 MISYOUDAKUKOUKOKU MISYOUDAKU && KOUKOKU && STAR

んで、あと肝心のVirusだけど、実験用Virusをeicar.comから取得して送信してみると以下のように判定が。

A virus (Eicar-Test-Signature) was found.
Scanner detecting a virus: Clam Antivirus-clamd
The mail originated from:
According to the 'Received:' trace, the message originated at:
202.221.xxx.xxx (SquirrelMail authenticated user xxx)
The message WILL NOT BE delivered to:
xxx@netstart.to:
250 2.7.1 Ok, discarded, id=01637-01 - VIRUS: Eicar-Test-Signature

なかなかウマく動いているじゃないか。ちなみにVirusなメイルは元のTO宛には配送されません。これで多少は安心できるかな。