Для подключения проверки антивирусной программой ClamAV всей почты, приходящей на наш домен выполняем следующие шаги. 

Установленные ClamAV, Exim собранный с поддержкой CONTENT_SCAN, настроенное обращение почты в домене и наружу. 

Выполняем следующие шаги: 

В конфигурацию почтовика добавляем следующие строчки: 

После блока с 

идет строчка 

Тут в конфиге пишется строка, задающая сокет clamd: (в разных источниках (в зависимости от разных конфигов) указано просто clamd, вместо clamd.sock, поэтому нужно проверить наличие таких файлов: 

Файл есть. Теперь эксим знает, что использовать в качестве антивирусного сканнера. Далее будем писать набор действий для того, чтобы он знал, что делать, если пришло письмо с зараженным вложением: 

Находим в конфиге секцию под названием acl_check_data. Добавим сюда следующий блок: 

Что делает этот набор правил? 

Выдает сообщение в лог о том, что найдено вирусное ПО: 

Вирусный сканер не может самостоятельно обработать MIME контейнеры, поэтому надо воспользоваться строчкой: 

Строчка должна стоять ДО СТРОЧКИ с 

Это необходимо для того, чтобы сначала раскрывался MIME, затем производилась проверка на вирусы. Значок «*» в строке с malware означает, что проверяться будет всё подряд, а строчка с "defer_ok”принимает сообщения, если антивирусный сканер не может по каким=то причинам обработать сообщение. 

Последняя строчка с set acl_m2 = $malware_name, в принципе, даже и не нужна, она просто присваивает acl_m2 значение $malware_name. Это будет использовано в роутере. Будьте внимательны, если вы уже используете acl_m2, вам необходимо сменить m2 на другой, подходящий для вас номер. 

Если же мы хотим просто отлупать все письма, которые содержат вирус, то вместо блока правил, начинающегося с warn используйте deny. То есть правила будут выглядеть примерно так: 

Теперь найдем секцию роутеров. Обычно, она начинается с блока вроде: 

В начало этой секции добавим новый роутер для того, чтобы зараженные письма пересылались на нужный нам адрес, для последующего анализа. Можно сделать конечно, чтобы вложения ещё и удалялись, но я предпочитаю знать всё для полноты картины. Внимание ! Этот роутер необходимо поставить ПЕРВЫМ В СПИСКЕ РОУТЕРОВ, иначе он не будет прорабатываться! 

Итак, что видим здесь: 

Используется драйвер redirect – он будет пересылать письма на адрес, указанный в data. Выполняться будет при условии выполнения condition – если найден вирус. Строка с «headers_remove = Subject» удаляет тему письма, а строка «headers_add = Subject: [CLAMAV: $acl_m2] $h_Subject» добавит в тему письма слова [CLAMAV: $acl_m2] и допишет старую тему. В качестве $acl_m2 будет подставлено название вируса, который обнаружил антивирусный сканер. 

Вот простейший пример файла (описано здесь http://ru.wikipedia.org/wiki/EICAR-Test-File), на который реагируют все антивирусы: 

Это com-файл, который при запуске выводит сообщение: EICAR-STANDARD-ANTIVIRUS-TEST-FILE! Все антивирусы реагируют на это. Отключаем свой антивирус, создаем файл с таким содержанием, аттачим его на веб-почте, пишем тему, например «OLOLO» и присылаем себе на адрес, например на richter@firma.ru. Результаты у меня следующие: 

Письмо отсылалось на richter@firma.ru, однако сработал роутер check_malware, и письмо попало на admin@firma.ru. В теле письма остались все вложения, в тему письма было внесено изменение и теперь, вместо «OLOLO» она выглядит так: 

Итог: вся зараженная почта сыпется на админский ящик. 

Необходимо добавить обновления антивирусных баз, за это отвечает freshclam. Добавим их в кронтаб: 

и включаем строчку: 

Каждые два часа будет происходить обновление антивирусных баз. 

Ещё один хинт: 

Также я добавил в конфигурацию отлуп для писем, содержащих расширения com, vbs, bat, pif, scr. Добавляется в раздел acl_check_data. 

Список используемой литературы: 

Блок в официальной документации EXIM по поводу антиврусного сканирования: