Paris, France

Installation de RadicalSpam Community Edition

RadicalSpam est livré pré-configuré pour obtenir de très bon résultat dès le départ mais il est tout de même nécessaire de personnaliser votre serveur avec les indications ci-après.

  • L’installation et le lancement de radicalspam doivent être réalisé en compte root
  • Vous n’avez pas besoin de créer d’utilisateur pour lancer RadicalSpam
  • Radicalspam doit absolument se trouver dans /var/rs pour fonctionner (vous pouvez utiliser un lien symbolique)
  • Vous devez disposer de 2 interfaces réseaux (2 physiques ou 1 physique/1 virtuelle)
  • RadicalSpam prend environ 370 Mo sur le disque mais il faut prévoir la place pour les mails.

Téléchargement (108 Mo environ) :

[root@linux /]$ cd /tmp
[root@linux /]$ wget http://download.radicalspam.org/releases/radicalspam-server-stable.tar.gz
[root@linux /]$ wget http://download.radicalspam.org/releases/radicalspam-server-stable.tar.gz.md5
[root@linux /]$ md5sum -c radicalspam-server-stable.tar.gz.md5

Installation dans le répertoire standard :

[root@linux /]$ cd /var
[root@linux /]$ tar --numeric-owner -xzf /tmp/radicalspam-server-stable.tar.gz
[root@linux /]$ rm -f /tmp/radicalspam-server-stable.tar.gz*

Installation dans un autre répertoire :

[root@linux /]$ cd /home
[root@linux /]$ tar --numeric-owner -xzf /tmp/radicalspam-server-stable.tar.gz
[root@linux /]$ rm -f /tmp/radicalspam-server-stable.tar.gz*
[root@linux /]$ ln -sf /home/rs /var/rs

Installation du service init :

Sur presque toutes les distributions :

[root@linux /]$ ln -sf /var/rs/etc/scripts/radicalspam /etc/init.d/radicalspam
[root@linux /]$ cd /etc/rc3.d/
[root@linux /]$ ln -sf ../init.d/radicalspam S99radicalspam
[root@linux /]$ ln -sf ../init.d/radicalspam K01radicalspam

Ubuntu :

# Si votre installation est conforme, vous devez être en runlevel 2
[root@linux /]$ ln -sf /var/rs/etc/scripts/radicalspam /etc/init.d/radicalspam
[root@linux /]$ cd /etc/rc2.d/
[root@linux /]$ ln -sf ../init.d/radicalspam S99radicalspam
[root@linux /]$ ln -sf ../init.d/radicalspam K01radicalspam

Configuration de Syslog :

Après l’installation vous devez configurer syslog ou syslog-ng. Syslog et Syslog-NG fournissent un moyen simple de donner un accès aux applications d’un environnement chroot en créant un socket /dev/log supplémentaire dans le répertoire désigné. Après la modification de syslog/syslog-ng, vous disposerez du socket standard /dev/log et d’un socket supplémentaire dans /var/rs/dev/log.

Syslog – Systèmes Redhat et compatibles :

  • Editez le fichier de configuration de Syslog :
[root@linux /]$ vi /etc/sysconfig/syslog
  • Remplacez :
SYSLOGD_OPTIONS="-m 0"
  • Par :
SYSLOGD_OPTIONS="-m 60 -r -a /dev/log -a /var/rs/dev/log"
  • Relancez syslog :
[root@linux /]$ /etc/init.d/syslog restart

Syslog / Syslog-ng – Suse :

  • Editez le fichier de configuration de Syslog :
[root@linux /]$ vi /etc/sysconfig/syslog
  • A la fin du fichier, ajoutez :
SYSLOGD_ADDITIONAL_SOCKET_RADICALSPAM="/var/rs/dev/log"
  • Relancez syslog :
[root@linux /]$ /etc/init.d/syslog restart

Syslog-ng Gentoo :

  • Editez le fichier de configuration de Syslog-ng :
[root@linux /]$ vi /etc/syslog-ng/syslog-ng.conf
  • Remplacez :
source src { unix-stream("/dev/log"); internal(); };
  • Par :
source src {
   unix-stream("/dev/log");
   internal();
   unix-stream("/var/rs/dev/log");
};
  • Relancez syslog-ng :
[root@linux /]$ /etc/init.d/syslog-ng restart

Syslog-ng CentOS :

  • Editez le fichier de configuration de Syslog-ng :
[root@linux /]$ vi /etc/syslog-ng/syslog-ng.conf
  • Remplacez :
source s_sys {
    file ("/proc/kmsg" log_prefix("kernel: "));
    unix-stream ("/dev/log");
    internal();
    # udp(ip(0.0.0.0) port(514));
    # tcp(ip(0.0.0.0) port(514));
};
  • Par :
source s_sys {
    file ("/proc/kmsg" log_prefix("kernel: "));
    unix-stream ("/dev/log");
    internal();
    # udp(ip(0.0.0.0) port(514));
    # tcp(ip(0.0.0.0) port(514));
    unix-stream("/var/rs/dev/log");
};
  • Relancez syslog-ng :
[root@linux /]$ /etc/init.d/syslog-ng restart

Syslog Ubuntu :

  • Editez le fichier de configuration de Syslog :
[root@linux /]$ vi /etc/default/syslogd
  • Remplacez :
SYSLOGD=""
  • Par :
SYSLOGD="-m 60 -r -a /dev/log -a /var/rs/dev/log"
  • Relancez syslog :
[root@linux /]$ /etc/init.d/sysklogd restart

Modification du PATH :

  • Cette modification vous permettra d’utiliser le script “radicalspam” comme une commande standard.
[root@linux /]$ vi /root/.bashrc

# Ajoutez en fin de fichier :
export PATH=/var/rs/etc/scripts:$PATH
  • Si vous utilisez le Postfix intégré, afin d’utiliser les commandes Postfix vous pouvez également ajouter :
export PATH=/var/rs/etc/scripts:/var/rs/addons/postfix/scripts:$PATH
  • Utilisez la commande suivante pour que les modifications de l’environnement soient prises en compte immédiatement :
. /root/.bashrc

Débugage du script RadicalSpam :

Le mode DEBUG est activé par défaut depuis la version 3.5.3. Il vous permet de visualiser les problèmes éventuels d’excution dans le fichier /var/rs/var/log/radicalspam-debug.log.

Pour activer/désactiver le mode DEBUG, tapez la commande suivante :

[root@linux /]$ radicalspam debug

Configuration des options de RadicalSpam :

Une configuration correcte du nom d’hôte est capitale pour le bon fonctionnement de la plateforme. N’oubliez pas d’utiliser un nom FQDN (complètement formé hote.domain.xxx) et dans la mesure du possible, le nom correspondant au MX dont RadicalSpam sera le support.

  • Editez le fichier radicalspam.conf :
[root@linux /]$ vi /var/rs/etc/radicalspam.conf
Remplacez la valeur par le nom FQDN de votre MX :
MY_HOSTNAME="radicalspam.localhost.org"
  • Vérifier le fonctionnement de RadicalSpam avec la commande suivante :
[root@linux /]$ radicalspam status

Configuration de base du Postfix intégré :

La configuration du Postfix est prévu pour gérer la plupart des besoins d’un relais SMTP avec filtrage.

Les modifications des paramètres postfix doivent être ABSOLUMENT gérées à partir des fichiers config-postfix.sh et master.cf

  • Remplacez la commande /usr/sbin/sendmail :
[root@linux /]$ mv /usr/sbin/sendmail /usr/sbin/old-sendmail
[root@linux /]$ ln -sf /var/rs/addons/tools/bin/mini_sendmail /usr/sbin/sendmail
  • Attention, sur certains système, vérifiez d’abord à quoi correspond /usr/sbin/sendmail :
Exemple avec CentOS :
[root@linux /]$ ln -sf /var/rs/addons/tools/bin/mini_sendmail /etc/alternatives/mta
[root@linux /]$ ln -sf /etc/alternatives/mta /usr/sbin/sendmail

Regardez d'abord avec 'ls /usr/sbin/sendmail' si la commande est déjà un lien symbolique.
  • Editez le fichier master.cf pour adapter les adresses IP :
[root@linux /]$ vi /var/rs/addons/postfix/etc/master.cf
  • Adaptez les adresses IP :
# WAN - ETH0 - Interface pour les mails en provenance d'internet
127.0.0.2:smtp      inet  n       -       n       -       -      smtpd
   ...

# LAN - ETH1 - Interface pour les mails en provenance du LAN
127.0.0.3:smtp      inet  n       -       n       -       -      smtpd
   ...
  • Configuration des domaines, de l’anti-relais et du routage :
Le scénario :
- Votre domaine internet : domain.com
- L'adresse IP de votre messagerie locale (domino/exchange/autres) : 192.168.10.10
- Vous laissez passer tous les mails entrants à destination de votre domaine
  • Allez dans le répertoire de configuration de Postfix :
[root@linux /]$ cd /var/rs/addons/postfix/etc
  • Editez chaque fichier en respectant la syntaxe sur l’écriture du domaine :
[root@linux /]$ vi local-relays
domain.com    OK

[root@linux /]$ vi local-transport
domain.com    relay:[192.168.10.10]:25

[root@linux /]$ vi local-directory
@domain.com   OK

[root@linux /]$ vi local-filters
domain.com    FILTER smtp-amavis:[127.0.0.1]:10024

[root@linux /]$ vi local-mynetworks-lan
192.168.10.10 # Serveur Domino1

[root@linux /]$ vi local-spoofing
domain.com    REJECT ANTI-SPOOFING
  • Fournissez une adresse email normal en alias du compte root :

Le système ainsi que différentes applications (cron/logrotate/etc…) génèrent des mails à l’attention du compte root. Si vous ne fournissez pas une correspondance, ces mails risquent d’être perdus.

[root@linux /]$ vi aliases
root:         mon_adresse@exemple.net
  • Rafraichissez la configuration de Postfix :
[root@linux /]$ radicalspam postfix_refresh

AVERTISSEMENT :

Avant de lancer les phases suivantes (razor_init, update_clamav, update_sa), il faut impérativement que la résolution DNS fonctionne dans l’environnement CHROOT de RadicalSpam.

  • Si vous utilisez le Bind intégré à RadicalSpam, lancez :
[root@linux /]$ radicalspam start_bind
  • Si vous utilisez un autre serveur DNS, vérifiez le fichier /var/rs/etc/resolv.conf :
[root@linux /]$ vi /var/rs/etc/resolv.conf
  • Pour vérifier que la résolution DNS fonctionne dans le contexte CHROOT :
(Doit renvoyer l'adresse IP du serveur Web de !RadicalSpam)
[root@linux /]$ chroot /var/rs /addons/bind/bin/host www.radical-spam.org

Résolution DNS

Remarque : RadicalSpam est configuré pour interroger un serveur DNS local. Si vous ne disposez pas d’un DNS installé sur la même machine et si vous n’utilisez pas l’addons bind fourni à partir de RadicalSpam 3.5, vous devez renseigner le fichier /var/rs/etc/resolv.conf en reprenant les mêmes informations que le fichier /etc/resolv.conf du système hôte.

  • Editez le fichier resolv.conf et adaptez l’adresse à votre configuration :
[root@linux /]$ vi /var/rs/etc/resolv.conf
  • Contenu par défaut :
nameserver 127.0.0.1

Initialisation de Razor :

  • Cette phase, génère la configuration de Razor qui se trouvera dans /var/rs/addons/amavis/var/amavis/.razor
[root@linux /]$ radicalspam razor_init

Mise à jour des signatures de Clamav :

  • Les signatures de Clamav sont stockés dans /var/rs/addons/clamav/var/db
[root@linux /]$ radicalspam update_clamav

Mise à jour des règles SpamAssassin :

  • Télécharge des nouvelles règles de filtrage ainsi que des mises à jour à partir de plusieurs serveurs qui sont configurés dans le fichier /var/rs/etc/radicalspam.conf (SPAMASSASSIN_CHANNEL).
[root@linux /]$ radicalspam update_sa

Lancement de RadicalSpam :

  • Il est normal qu’une erreur s’affiche pour Bind si il est déjà lancé, n’en tenez pas compte.
[root@linux /]$ radicalspam start

Installation des tâches Cron :

  • Mise à jour automatique des signatures de Clamav :
[root@linux /]$ ln -sf /var/rs/addons/rs-tools/cron/rs-clamav-update.cron /etc/cron.d/rs-clamav-update
  • Mise à jour automatique des règles SpamAssassin :
[root@linux /]$ ln -sf /var/rs/addons/rs-tools/cron/rs-sa-update.cron /etc/cron.d/rs-sa-update

Exploitation et prise en main

Maintenant vous êtes prêts pour affiner la configuration et prendre en main RadicalSpam.