Articles

Scan email realtime dengan ClamAv di cPanel

Pencegahan tentu lebih baik daripada pengobatan, begitu dalam penanganan virus dan malware. Dalam penanganan virus kita juga harus mengedepankan pencegahan daripada pembersihan virus. Oleh karena penanganan virus sebelum memasuki sever kita adalah cara yang paling baik daripada menanggulangi setelah virus menyebar ke mana-mana. Berikut ini kita akan membahas bagaimana melakukan konfigurasi antivirus ClamAv bekerja saat email datang.

Langkah-langkah pengaktifan scanning email saat masuk server cPanel kita adalah

  1. Pastikan kita sudah menginstal ClamAv antivirus seperti telah dibahas sebelumnya

  2. Konfigurasi
    Silahkan masuk ke WHM - Service Configuration - Exim Configuration Manager - Basic Editor - Security dan aktifkan:
    a. Scan messages for malware from authenticated senders
    b. Scan outgoing messages for malware 


  3. Melihat log ClamAv
    Kita akan melihat hasil kerja ClamAv dengan melihat log yang ada di exim_rejectlog dengan filter virus seperti contoh berikut ini
    [/var/log]# cat exim_rejectlog | grep virus
  4. Contoh server pengirim diaktifkan
    Kita telah membuat simulasi mencoba mengirim email pada mail server yang sudah diaktifkan realtime mail scan.
    Email tidak akan dikirim dan berikut lognnya pada server yang digunakan untuk mengirim
    [/var/log]# cat exim_rejectlog | less
    2016-10-13 12:08:31 1buYFp-0007w0-8n H=(webmail.----co.id) [127.0.0.1]:59991 F=<ar--@----co.id> A=dovecot_login:aris@----.co.id rejected after DATA: This message contains a virus or other harmful content (Win.Trojan.SdBot-8284)
    Envelope-from: <ari--@p---.co.id>
    Envelope-to: <ari--@metr---.co.id>
    P Received: from [127.0.0.1] (port=59991 helo=webmail.-----.co.id)
            by server4.------.com with esmtpa (Exim 4.87)
            (envelope-from <ar--@---.co.id>)
            id 1buYFp-0007w0-8n
            for arisg@metrindo.co.id; Thu, 13 Oct 2016 12:08:29 +0700
    P Received: from 182.253.214.--- ([182.253.214.---]) (proxying for
     182.253.214.--)
            (SquirrelMail authenticated user ar--@----.co.id)
            by webmail.pr----.co.id with HTTP;
            Thu, 13 Oct 2016 12:08:29 +0700
    I Message-ID: <7016731553ae5639e86f65234d0d65eb.squirrel@webmail.------.co.id>
      Date: Thu, 13 Oct 2016 12:08:29 +0700
      Subject: Contoh bervirus
    F From: "Ar-- Gun---" <aris@----.co.id>
    T To: ari--@me---.co.id
      User-Agent: SquirrelMail/1.5.2 [SVN]
      MIME-Version: 1.0
      Content-Type: multipart/mixed;boundary="----=_20161013120829_13900

  5. Contoh server pengirim tidak diaftifkan tetapi server penerima diaktifkan
    Kita akan membuat simulasi di mana server pengiriman tidak ada pengecekan, tetapi server penrima ada pengecekan.
    Email bisa dikirimkan tetapi ditolak di server penerima. Log pada server penerima adalah seperti berikut ini
    [/var/log]# cat exim_rejectlog | less
    2016-10-13 12:12:33 1buYJi-0002gq-S6 H=server4.-----[43.245.---.---]:60428 X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no F=<ar--@---.co.id> rejected after DATA: This message contains a virus or other harmful content (Win.Trojan.SdBot-8284)
    Envelope-from: <ar--@--.co.id>
    Envelope-to: <ar--@me---.co.id>
            (envelope-from <aris@---.co.id>)
            for ar--@----.co.id; Thu, 13 Oct 2016 12:12:31 +0700
            (envelope-from <ar--@p---.co.id>)
            for ar--@---.co.id; Thu, 13 Oct 2016 12:12:29 +0700
            (SquirrelMail authenticated user --@---.co.id)
    F From: "Ar-- Gun--" <a--@---.co.id>
    T To: a---@---.co.id
      X-Get-Message-Sender-Via: server4.---.com: authenticated_id: ar--@---.co.id
      X-Authenticated-Sender: server4.---.com: ---@----.co.id
  6. Manual mengkarantina mail bervirus
    Berikut script untuk mengkarantina email-email yang ada divirusnya pada suatu account. Pastikan folder tujuan ada ya
    /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/user/mail  --move=/backup/karantina/user >> /backup/karantina/user.txt&
    Untuk mengecek apakah proses masih berjalan:
    ps -ef | grep clamscan
    Mengetahui 10 baris terakhir hasil karantina
    cat /backup/karantina/user.txt | tail -10
    Mengetahui 10 baris pertama hasil karantina
    cat /backup/karantina/user.txt | head -10

Informasi lebih lanjut silahkan mengunjungi

1. https://documentation.cpanel.net/display/ALD/Configure+ClamAV+Scanner .
2. http://askubuntu.com/questions/250290/how-do-i-scan-for-viruses-with-clamav .
3. https://linux.die.net/man/1/clamscan .
4. http://www.clamav.net/ .

Kunjungi www.proweb.co.id untuk menambah wawasan anda.

Other Email Best Practice Articles:
Memindahkan sebuah account cPanel
Pengertian Zero Day Protection
Pengertian MagicSpam perlindungan terhadap spam
Memilih webmail pada cPanel
Pengaturan IP SMTP pada cPanel
Scan email realtime dengan ClamAv di cPanel
Scan virus dan malware di cPanel dengan ClamAv
Pengertian antivirus ClamAV
Pengertian greylisting cPanel
Mengaktifkan SpamAssassin pada cPanel
Setting SpamAssassin pada server cPanel