No Money No Honey » MailScanner

Mailscanner取回隔離區的信-Releasing mail from the quarantine

Roger Lin — Tue, 01 Mar 2011 05:57:32 +0000

Releasing mail from the quarantine – queue files

For the purposes of this, I’m assuming you have set up a single (safe!) postfix instance, with messages going to the HOLD queue, before being processed by MailScanner and sent to the INCOMING queue. You also need to be saving whole messages as queue files.

In MailScanner.conf ensure that you have

# When you quarantine an entire message, do you want to store it as
# raw mail queue files (so you can easily send them onto users) or
# as human-readable files (header then body in 1 file)?
Quarantine Whole Messages As Queue Files = yes

Quarantined emails are by default kept in /var/spool/MailScanner/quarantine and sorted into subdirectories by date. With any luck it will be dead easy to find, as MailScanner will have sent a message including text along the lines of either:

A: If it’s a quarantined virus, or other dangerous content.

“Note to Help Desk: Look on the  in /var/spool/MailScanner/quarantine/20050309 (message
6BC5E368497.3C3A6).”

MailScanner keeps such quarantined emails in their own directories, thus the directory containing the quarantined message will be (in this example): /var/spool/MailScanner/quarantine/20050309/6BC5E368497.3C3A6. In this directory, you should see the original queue file, named as a 10 digit hex number matching the name of the directory. There should also be copies of any attachments that may have been picked up by the virus scanning engine or file filtering.

B: If it’s a quarantined spam

"Your system administrators will need the following information:
Server name: 
Message id: 46EE0E18151.CE630
Date code: 20080509"

MailScanner keeps all spam on a given day in the same directory, thus the directory containing the quarantined message will be (in this example): /var/spool/MailScanner/quarantine/20080509/spam.

If you want to check the original message use:

# postcat

Releasing an email from quarantine is a simple matter of replacing the queue file back into the Postfix queue, so that it gets sent. The permissions on the file are wrong, however and must be changed.

# chmod 700

The file must now be moved into /var/spool/postfix/incoming. There may be 16 directories in there (Collectively referred to as ‘hashed queue files’) each corresponding to a hexadecimal digit, depending which version of Postfix you are running. First check if you have hashed queue files by:

# ls /var/spool/postfix/incoming

If no directories are listed then follow the instructions below but do not add the trailing letter/ number.

The file must be placed in the directory which corresponds to the first digit of the filename. So in the example above, it must go into /var/spool/postfix/incoming/6. We must also be sure to preserve the ownership and permissions of the file when moving it, so we use “cp -p”. If the message is a spam, we must also remove the trailing 6 characters.

Thus for the example above:

# cp –p 6BC5E368497 /var/spool/postfix/incoming/6

or for the example quarantined spam

# cp –p 46EE0E18151.CE630 /var/spool/postfix/incoming/4/46EE0E18151

The email will disappear from the queue and be delivered.

Thanks to Joshua Hirsh for the details and Stef Morrell for writing the document

Releasing mail from the quarantine – with a bash script

Maybe it’s too circuitous for you to do all the steps in the section above to release a mail. For this I wrote a tiny script to release very easily. To use this script you should set the MailScanner environment identically to the article above.

To use this script copy it to a file and make it executable.

The Syntax: release.sh (e.g. release.sh 5B604228086.932F0)

#!/bin/sh

if [ -z "$1" ]; then
        echo "Syntax: release.sh  i.e. 5B604228086.932F0 (case sensitive)"
        exit
fi

#change in the quarantine folder
folder=`find /var/spool/MailScanner/quarantine/ -name $1`
cd $folder

#set the mailfile executable
mailname=`echo $1 | cut -d . -f 1`
chmod u+x $mailname

#lets get the first character
char=`echo $1 | cut -b 1-1`

#copy the mail
cp -a $mailname /var/spool/postfix/incoming/$char/

echo Mail $mailname released

Releasing mail from the quarantine – message files

If you don’t quarantine the complete queue file, but instead have the rfc822 message file, releasing messages are actually a bit simpler (for postfix) than the above, since you can use the postfix sendmail convenience program.

In MailScanner.conf you have

Quarantine Whole Messages As Queue Files = no

and in the quarantine directory you have a file called message (this is the complete human-readible message, but without the envelope info). Just do

cd /path/to/quarantine/dir
sendmail -t -i < message

to send the message to the recipient(s) as found in the message file, or

cd /path/to/quarantine/dir
sendmail -i alternate_recipient@example.net < message

to send the message to an alternate recipient (of course you can combine them). The -i option is to avoid terminating the message prematurely on a spurious single “.” on a line in the message file.

If you use MailWatch, this can also release the message iff you don’t quarantine the whole message file as the queue file, although this uses a different method to release messages from the GUI.

Releasing mail from the quarantine – queue files postfix (again)

In a larger environment with many hosts and thousands of quarantined emails per day, we’ve found it impractical to reply to each email released or deleted from a queue, and simply process it without fanfare. The code below is modified from the release.sh above to accomodate moving the released mail back into postfix using the original mail ID. In addition, our postfix install required us to rename the queue file to its shortname, that is, the 10 or 11 character filename before postfix would accept the email into the queue.

The Syntax: release.sh (e.g. release.sh 5B604228086.932F0)

#!/bin/sh

if [ -z "$1" ]; then
        echo "Syntax: release.sh  i.e. 5B604228086.932F0 (case sensitive)"
        exit
fi

#change in the quarantine folder
folder=`find /var/spool/MailScanner/quarantine/ -name $1 | sed -e "s/$1//g"`
cd $folder

#set the mailfile executable
mailname=`echo $1 | cut -d . -f1`
chmod u+x $1

#lets get the first character
char=`echo $1 | cut -b 1-1`

#copy the mail
cp -a $1 /var/spool/postfix/incoming/$char/$mailname

The following is for recent postfixes (2.3, 2.4) which seem to have a flat incoming directory:

#!/bin/sh

# this is the final destination for the mail to be released:
# postfix's incoming queue
POSTFIX_DEST=/var/spool/postfix/incoming

# check for valid parameters
if [ -z "$1" ]; then
        echo "Syntax: release.sh "
        echo "Example: release.sh 678362AC.9CFE7"
        exit
fi

# find the specific mail in the quarantine folders
folder=`find /var/spool/MailScanner/quarantine/ -name $1`

mailname=`echo $1 | cut -d . -f1`

# copy the mail
if [ -e $POSTFIX_DEST/$mailname ] ; then
        echo "ERROR: $mailname already in $POSTFIX_DEST! EXITING"
        echo "This should not happen"
        exit 255
fi

cp -avi "$folder/$mailname" "$POSTFIX_DEST/$mailname"

# make it 0700 so that the mail is deemed ready
chmod 0700 $POSTFIX_DEST/$mailname

Releasing mail from the quarantine – the one liner

sudo install -m 0700 -o postfix /var/spool/postfix/incoming

Releasing mail from the quarantine – alias with intelligence

integrate() {
  # integration: antonym of quarantine
  # Pass the message ID as obtained from user's email as $1
  DEST=$(postconf queue_directory | cut -d= -f2)/incoming
  SOURCE=$(find /var/spool/MailScanner/quarantine -name "$1")
  install --verbose --mode=0700 --owner=postfix $SOURCE $DEST
}

Updated bash script

Line 9 on initial bash script returned filename with full path and not folder, as expected. Instructions at the top also used the cp -p option, and not -a. Instead of cd’ing to quarantine folder, this will do the copy and preserve permissions.

#!/bin/sh

if [ -z "$1" ]; then
        echo "Syntax: release.sh  i.e. 5B604228086.932F0 (case sensitive)"
        exit
fi

#find the quarantined file and set permissions
quarantined_file=`find /var/spool/MailScanner/quarantine/ -name $1`
chmod u+x $quarantined_file

#truncate the filename
mailname=`echo $1 | cut -d . -f 1`

#lets get the first character
char=`echo $1 | cut -b 1-1`

#copy the mail, destination is the truncated filename
cp -p $quarantined_file /var/spool/postfix/incoming/$char/$mailname

echo Mail $mailname released

使用Mailscanner 的 Archive Mail 備份郵件

Roger Lin — Thu, 04 Nov 2010 01:45:16 +0000

最近MAIL常出現主旨為 : Problem Messages

內容為:

Archive:
Number of messages: 5
Tries Message Last Tried
===== ======= ==========
6 3553C24D80D2.A0925 Sat Oct 30 04:57:38 2010
6 10ED024D80EC.AC79E Sat Oct 30 04:56:25 2010
6 2FF5D24D80D7.AD62C Sat Oct 30 04:53:05 2010
6 DC7FD24D80BD.AC95D Sat Oct 30 04:43:07 2010
6 73A4D24D80C2.A16DF Sat Oct 30 04:42:41 2010

找著找著找到了Mailscanner 的 Archive 用法

文章出處:http://i-yow.blogspot.com/2009/07/archive-mailby-mailscanner.html

=====================================================

邪惡的Archive Mail備份郵件(By MailScanner)
MailScanner有一個邪惡又好用的功能：『Archive Mail』
這個比Forward還要厲害的功能，當你想要存留(備份)用戶收、發的信件時，用這就就對了~

1.啟動Archive功能
vim /etc/MailScanner/MailScanner.conf
Archive Mail = /etc/MailScanner/archive.rule

2.編輯Archive規則
vim /etc/MailScanner/archive.rule
基本規則如下：
FromOrTo: User@mail.com* yes forward Admin@mail.com.tw
(收件者或寄件者) (關鍵字，可配合萬用字元) (yes，啟用規則) (forward，動作) (Forward的目標)

※Archive Mail不但可以過濾到本機網域的帳號，也可以以外部帳號作為關鍵字，只要有經過MailScanner掃描的都可以做處理。
※以上只是簡單的例子，Archive Mail還有許多變化跟應用

======================================================

Winmail.dat -TNEF格式文件

Roger Lin — Thu, 28 Oct 2010 02:00:51 +0000

今天看mail server log看到這樣的訊息:

Message C187524D806E.A9FB1 has had TNEF winmail.dat removed : 1 Time(s)

再查MAILLOG看到:

Oct 27 12:14:35 mail MailScanner[28827]: New Batch: Scanning 1 messages, 50620 bytes
Oct 27 12:14:35 mail MailScanner[28827]: Expanding TNEF archive at /var/spool/MailScanner/incoming/28827/C187524D806E.A9FB1/winmail.dat
Oct 27 12:14:35 mail MailScanner[28827]: Message C187524D806E.A9FB1 has had TNEF winmail.dat removed
Oct 27 12:14:35 mail MailScanner[28827]: Virus and Content Scanning: Starting
Oct 27 12:14:36 mail MailScanner[28827]: Requeue: C187524D806E.A9FB1 to 5610124D80C9

然後GOOGLE一下:TNEF找到下面文章，文章出處:http://translate.google.com.tw/translate?hl=zh-TW&sl=zh-CN&u=http://moment.blog.51cto.com/1125796/330328&ei=HNfITMaCLIGivQPW7tiVCQ&sa=X&oi=translate&ct=result&resnum=9&ved=0CFUQ7gEwCA&prev=/search%3Fq%3DTNEF%26hl%3Dzh-TW%26sa%3DG%26biw%3D1280%26bih%3D905

Winmail.dat -TNEF格式文件

今天看到有個同事收到的郵件，裡邊有個奇怪的附件Winmail.dat不知道怎麼打開，信裡也沒別的有效內容了，沒辦法，只好動用法寶先用記事本強制打開發現含有IPM. Microsoft Mail.Note之類的信息。再動用google才了解到，原來這是微軟的Email傳輸不確定封裝格式，直接用MS Office Outlook收取才能打開，如果用其它終端收取再用MS Office Outlook 也無法識別打開。後來在網上找到了好幾個開這種附件的軟件，發現這個Winmail Opener最好用。放在這裡，方便大家，下載地址： http://www.eolsoft.com/download/winmail_opener.exe

順便介紹一下相關知識：
TNEF
Exchange Server 2003 使用傳輸不確定封裝格式(TNEF) 將MAPI 郵件轉換為RFC 822 格式。 TNEF 以application/ms-tnef 類型的MIME 附件的形式出現在郵件中。該附件的名稱為Winmail.dat。它包含完整的郵件內容以及所有附加文件。只有MAPI 客戶端（如Outlook）能夠對Winmail.dat 附件進行解碼。非MAPI 客戶端無法對TNEF 進行解碼，並且可能將Winmail.dat 顯示為典型但無用的文件。
Note :
在以下幾種可能的Exchange 對Exchange 傳輸情形下，必須進行MAPI 到RFC 822 的轉換：
收件人在同一路由組中的Exchange 服務器上Exchange Server 2003 將MAPI 郵件轉換為Summary-TNEF (S/TNEF) 格式，這是一種特殊的傳輸不確定封裝格式(TNEF)，沒有純文本部分，並且以八位的二進制格式傳送。 S/TNEF 郵件僅僅包含Winmail.dat。 Note :
收件人在另一個路由組中的Exchange 服務器上，並且Exchange 組織在純模式下工作Exchange Server 2003 將MAPI 郵件轉換為Summary-TNEF (S/TNEF) 格式，因為純模式下的Exchange 組織只能包含支持二進制MIME 的Exchange 2000 Server 服務器和Exchange Server 2003 服務器。
收件人在另一個路由組中的Exchange 服務器上，並且Exchange 組織在混合模式下工作在混合模式下，有可能將Exchange Server 5.5 的Internet 郵件服務用作SMTP 連接器，但是Internet 郵件服務不支持二進制MIME。由於S/TNEF 的RFC 822 表示（由IMAIL 產生）是二進制MIME，因此Internet 郵件服務無法傳輸S/TNEF 郵件。由於Exchange 分類程序無法預先檢測到郵件將採用什麼路由路徑，因此在混合模式下，分類程序不為本地路由組外部的服務器上的收件人進行郵件轉換，也就是不將郵件轉換為S/TNEF 。為了在傳輸路徑中容納可能的Internet 郵件服務實例，Exchange 分類程序將郵件轉換為純文本部分以及舊版TNEF 格式附件。舊版TNEF 格式是Internet 郵件服務能夠傳輸的七位MIME。
收件人是本地Exchange 組織之外的MAPI 收件人用戶和管理員可以為外部郵件環境中使用Outlook 的收件人啟用跨本地Exchange 組織邊界的TNEF 傳輸。由於收件人不在本地Exchange 組織中，Exchange 分類程序無法確定郵件傳輸中涉及到的所有SMTP 主機是否都支持二進制MIME。因此，Exchange 分類程序將郵件轉換為純文本部分以及舊版TNEF 格式的附件。

Note :
發送到公用文件夾中的MAPI 郵件發送到公用文件夾中的郵件始終以舊版TNEF 格式中繼。本節後面提供了有關公用文件夾郵件處理的詳細信息。
通過SMTP 發送到展開服務器的MAPI 郵件如果郵件包含通訊組列表，並且明確指定的展開服務器不是本地服務器，郵件將以舊版TNEF 格式轉發到展開服務器（如果使用SMTP 傳輸郵件）。在這種情況下，會將一個屬性放入郵件傳輸信封中通過XEXCH50 傳輸。該屬性通知展開服務器最初通過Exchange 存儲驅動程序收到郵件的時間。展開服務器上的分類程序展開通訊組列表後，必須分別對每個收件人應用有效的RFC 822 郵件格式。分類程序使用Exchange 存儲驅動程序將郵件複製到Exchange 存儲中，IMAIL 再從Exchange 存儲中讀取TNEF 數據並用原始郵件的提交時間構建MAPI 郵件。之後，SMTP 傳輸子系統便能夠從存儲中讀取符合收件人格式要求的RFC 822 格式MAPI 郵件。
可以通過添加以下註冊表項，控制發送郵件的TNEF 格式行為。數字nn 代表此計算機的虛擬服務器實例。
位置HKey_Local_Machine\Software\Microsoft\Exchange\StoreDriver\Exchange\ nn \EnableTnef
值Disabled
類型REG_DWORD
數值數據0×0
描述如果值為0×0，則禁用TNEF，不使用TNEF 生成郵件。如果值為0×1，則使用舊版TNEF 生成郵件，此時通常生成S/TNEF。值為0×2 則沒有任何影響，因為這是默認行為。

Mailscanner 檔案規則設定成不同User或不同Domain對應不同的規則

Roger Lin — Wed, 02 Dec 2009 01:14:03 +0000

還沒實驗證實，但是如果真的可以，就太好用啦!!!!

文章出處：http://www.mamu.com.tw/blog/2007/09/19/%E5%B7%A5%E4%BD%9C%E5%BF%83%E5%BE%97-mailscanner-filename-for-different-domain/

MailScanner Filename for different Domain

這個設定可以讓MailScanner針對不同的Domain或User做附件的檢查

環境

OS：CentOS 4.4

Software：mailscanner-4.54.6-1

Step 1

在 /etc/MailScanner/ 新增 filename.rule 與 filetype.rules 兩個檔案

內容就是你想單獨設定的Domain與預設值

example

FromOrTo:       default                                     /etc/MailScanner/filename.rules.conf
FromOrTo:       *@domain1.com.tw       /etc/MailScanner/filename.domain1.rules.conf
FromOrTo:       *@domain2.com.tw     /etc/MailScanner/filename.domain2.rules.conf

*中間的空格要用Tab喔

格式的語法變化請參考 /etc/MailScanner/rule/EXAMPLES 中有詳細的敘述

Step 2

Copy filename.rules.conf 成你指定的檔案

cp filename.rules.conf filename.domain1.rules.conf

cp filename.rules.conf filename.domain2.rules.conf

並分別修改成符合你要的規則

也就是說當信符合*@domain2.com.tw他的Attachment Filename Rule 會套用filename.domain2.rules.conf中的規則

Step 3

修改 MailScanner.conf 中的 Filename Rule 選項修改成你的檔名

Filename Rules = %etc-dir%/filename.rules

Filetype Rules = %etc-dir%/filetype.rules

Step 4

最後記得重新啟動MailScanner

service MailScanner restart

到這裡就大功告成囉，可以試著寄一些檔案給自己測試看看

昨天晚上裝了MailWatch結果不管怎麼試黑白名單就是無法生效，試到讓我有點抓狂…..

有閒工夫再研究吧，最近會設定這些實在是因為管MAIL管到快要煩死了！

MailScanner 中文設定說明

Roger Lin — Tue, 06 Oct 2009 05:51:32 +0000

mailscanner对垃圾邮件的控制

所有的設設值都包含在/opt/mailscanner/etc/mailscanner.conf這個檔案中(隨各個套件設定而有所不同)，每一個都會以下的內容進行說明，如果要使用不同的設置檔，請修改MailScanner的命令列。空白列會被忽略，和一開頭延伸至之後的空白格意思是一樣的，而註釋則是由開頭為『#』的符號開始，之後的一整行都為註釋，所以的選項的格式都如下所示：option = value許多的選項中的規則設定也可能是包含在特定的檔案中，可以用來控制使用資訊位址(address of messages)，或是從哪個IP Address來的message的功能，你將會在MailScanner安裝目錄中的 etc/rules 目錄中發現一些MailScanner規則的範例及說明。在以下的說明中，這些選項都被使用類型分類，並列表出來，而且同樣的依順序排列在mailscanner.conf中。假若您覺的這些看起來非常多的話，先不用擔心，mailscanner.conf提供了很多實用的預設值，你也許只需要修改些許部份就可以開始使用MailScanner了。

系統設定(System Settings)
Max Children Default: 5
MailScanner會使用你的伺服器在同一時間內有效的進行好幾個行程來處理(processing)郵件，這個設定就是設置同時進行的行程數，假設你處理非常多的郵件，調高這個數字會對你的伺服器性能會有改變，一個好的數字會被設定成每個CPU可同時處理5個行程，所以假設你擁有四個CPU的話，可以設定為20。

Run As User Default不要改變此使用者
提供給Exim的使用者(絕不要使用 root 作為 sendmail 的使用者)，這個選項是改變運行 MailScanner 的使用者。

Run As Group Default 不要改變此群組
提供給Exim的使用者(絕對不要使用 root 作為 sendmail 的使用者)，這個選項是改變運行 MailScanner 的群組。

Incoming queue dir Default:/var/spool/mqueue.in
MailScanner 該掃描的郵件目錄。

Outgoing queue dir Default:/var/spool/mqueue
MailScanner 所掃描過後的郵件目錄。

Incoming work dir Default:/opt/MailScanner/var/incoming
在進行掃描動作的期間，用來放置被解壓縮的 MIME 訊息的暫存目錄。

Quarantine dir Default:/opt/MailScanner/var/quarantine
一個放置感染病毒的郵件中被隔離附件的目錄。

PID dir Default:/opt/MailScanner/var
存放 MailScanner 行程 id 檔的目錄。

MTA Default:sendmail (sendmail 或 Exim)
指定要使用那個MTA套件。

Sendmail Default:/usr/lib/sendmail
Sendmail 的程式位置。

Sendmail2 Default是 Sendmail這個選項的設置
使用在傳送 outgoing/cleaned 訊息的狀態下(MailScanner有分 incoming 及 outgoing 的模式)。提供給Exim使用者，所以他們可以指定一個不同的exim.conf檔，用來轉送outgoing的佇列。

處理 Incoming (Processing Incoming Mail)
Max Unscanned Bytes Per Scan Default: 100000000
MailSanner 為了效能，以一批為單位來處理訊息(messages)，從 incoming queue 目錄收集資訊(使用嚴格的日期排序)，一次一個直到這個或下面的三個選項到達極限，或是目錄(queue)為空，這個設定限制了每批訊息最大要多少才可不被掃描。

Max Unsafe Bytes Per Scan Default: 50000000
這個設定限制了每一批被掃描的訊息的最大大小。

Max Unscanned Messages Per Scan Default: 100
這個設定限制了每一批訊息的數目要多少才不被掃描。

Max Unsafe Messages Per Scan Default: 100
這個值定義了當一批訊息一塊被處理時的最大大小為何，假如你在你的伺服器上有著處理訊息速度不夠快的問題，你也許可以使用這個選項去改善情況。

Expand TNEF Default: yes
我們該使用一個外部的 TNEF 解譯器嗎? TNEF 解譯器是被建立在 Sophos 和 McAfee 中的，所以說這個選項對於擁有Sophos/McAfee 的使用者應該設定為 "no"，對於其他的使用者應該設定為 "yes"。

Deliver Unparsable TNEF Default: no
一些 Microsoft Outlook版本會產生擁有很多 Text 格式的附件，這些附件目前並不能被完的解譯，將這個選項設定為 "yes" 是使用較早的版本性能去可被允許的相容性，讓這些附件可以被轉送，採用這個方法會使病毒藉由一點輕微的機會，或是附件的片段檔案來藏匿，而不被偵測到，但這個設定也許對於使用大量的 Microsoft Outlook 的用戶是必需的。

TNEF Expander Default:/opt/mailscanner/bin/tnef
MS-TNEF expander/decoder 程式的完整路徑，或者是取代前者，強制選擇使用 Perl Convert::TNEF 模組程式的語法。

TNEF Timeout Default: 120
TNEF 在解譯一個 Microsoft Outlook 附件時，所被允許的最大時間(秒)。

Block Encrypted Messages Default: no
這是預期在正常的狀況下，使用這個設置為 "no" 時，你的用戶不會有隱藏郵件位置來寄信的狀況，因為這個選項會將隱藏郵件位置的信件擋下。

Block Unencrypted Messages Default: no
這是預期在正常的狀況下，使用這個設置為 "no" 時，你的用戶會在寄送前將郵件加密才送出，因為這個選項會將沒有加密的信件擋下。
病毒掃描及弱點測試 (Virus Scanning and Vulnerability Testing)

Virus Scanning Default: yes
掃描郵件病毒嗎? 若將此選項設定為 "no" 會完全關閉病毒掃描的功能。

Virus Scanners Default: none(sophos, mcafee, command, kaspersky, inoculate, inoculan, nod32, f-prot, f-secure, antivir, panda, rav, none)
指定你要使用那個 anti-viurs的套件。
注意：假如你要使用好幾個套件，請用空白鍵將每一個名稱分開。

Virus Scanner Timeout Default: 300
Virus Scsnner 掃描一組訊息的最大時間(秒)。

Deliver Disinfected Files Default: yes
當一個被感染的文件被解毒成功後，是否要將之寄回原來的目的地?

Silent Viruses Default: Klez Yaha−E Bugbear Braid−A WinEvar
當病毒報告的資訊含有以下列表的字時，將會被當成 "靜態病毒(Silent Viruses)" 來對待，不會有任何的郵件傳給原來的收件人，能否轉送這類郵件，是被下一個選項(Still Deliver Silent Viruses)所決定，這個選項的預設值先設定成 "Klez" 及 "Bugbear"，由於這兩種病毒會偽造來源位址，所以寄回警告訊息是毫無意義的，因為在實際上它不會被送回給發
信人。

Still Deliver Silent Viruses Default: yes
如果這個選項設定為 "yes" 的時候，解毒後的郵件還是會傳回給原始的收信人，即使這些位址是被那些被感染的PC使用隨機的方式選出來的，而且並不是那些使用者想寄的，設定此選項為 "yes" 會讓你的使用者知道你的 MailScanner是有在保護他們的，但是如果有許多人抱怨收到太多的病毒通知時，那就設定為 "no" 吧。
移除危險及潛在的攻擊內容 (Removing Dangerous or Potentially Offensive Content)

Allow Partial Messages Default: no
你要允許一個只包含片段附件的不完整的訊息嗎? 不完整的訊息當然不能被掃出有病毒，就如同每次處理都只有片段的資訊，不的有完整的訊息，設定這個選項為 "no" 是一件『非常危險』的事，因為它允許病毒存在內部，但是你可以使用一些規則去設定特定使用者允許這個選項。

Allow External Message Bodiees Default is no
這是一個技巧，但非常少用到，一個郵件訊息可以被包含在遠端的伺服器上，而使用者的應用程式可以將遠端的郵件內容下載並執行，現在只有少數版本的 Netscape 可以支援，而且只有當用戶使用 IETF 時，我們沒有辦法保証這些下載的檔案沒有病毒，因為 MailScanner 無法發現這些存在其中的病毒。設定此選項為 "yes" 是一件『非常危險』的事，因為可能在遠端的伺服器中存有病毒。

Allow IFrame Tags Default: no
你要允許 HTML中的標籤包含在郵件中嗎? 允許各種的 Microsoft Outlook 安全弱點不是一個好的主意，但是如果你的信件中擁有大量此類的信件，也許你必需將此選項設定為 "yes"，否則你的使用者大概會抱怨連連。

Log IFrame Tags Default: no
你也許在當你設定上述選項(Allow IFrame Tags)為 "no" 後，收到你的使用者抱怨說他的 HTML信件無法正常閱讀，所以你可以將前項設定為 "yes"，而將此項設定為 "no"，這樣子 MailScanner會將郵件中的標籤刪除，但是你可以設定一個規則去限定特殊郵件位置才可以被允許使用標籤。

Allow Object Codebase Tags Default: no
你要允許 HTML中的標籤包含在郵件中嗎? 允許各種的 Microsoft Outlook 安全弱點不是一個好的主意，這裡強烈建議你將此選項設定為 "no"，除非有特別理由。

Convert Dangerous HTML To Text Default: no
當或是這些HTML標籤被允許時，你是否要將這些郵件轉換成純文字郵件，這個選項前面的兩個選項是二選一的，打開這個選項會使用戶選擇去閱讀文字內容，而不會暴露潛在的危機或具攻擊性的 HTML內容。

Convert HTML To Text Default: no
假設我的用戶是小孩，而且違反了規定去閱讀情色之類的廣告郵件，你可以藉由轉換所有的 HTML 郵件變成純文字郵件的方法來保護他們，HTML的附件不會被影響到，你可以針對某些使用者來設定這個選項，或是不要轉變一些受信任位址的郵件，這個選項也許是必要的，因為你有責任去關心一些你的使用者。

附件檔的確認 (Attachment Filename Checking)
Filename rules
Default: /opt/MailScanner/etc/filename.rules.conf
Default Linux: /etc/MailScanner/filename.rules.conf
Default FreeBSD: /usr/local/etc/MailScanner/filename.rules.conf
附件檔規則設定的檔案位置。
報告及回應(Reports and Responses)

Quarantine Infections Default: yes
設定存放受感染及危險的郵件附件存放目錄，如果沒有設定，它們會被刪除，由於一些法律保障隱私權，你也許應該將這項選項設定為 "no"。

Quarantine Whole Message Default: no
當一個受感染的郵件存放在 quarantine(隔離區) 時，一個完整拷貝的版本會被存檔下來，除此之外還會將受感染的附件一併存檔。

Quarantine Whole Messages As Queue Files Default: no
當你用任何理由將完整的郵件存在 quarantine (隔離區)時，你要用在 queue 原始的資料檔(被df2mbox程式處理過，可更容易被送至原始收件者)來存檔，或者是你要使用一個包含檔頭的郵件主體的常見訊息?假設先前的那個選項被設定成 "no" 時，只會影響到被存檔的郵件及被隔離的廣告信，但如果先前的選項為 "yes"的話，就會連在隔離區中被感染的檔案也影響到。

Language Strings Default: /opt/MailScanner/etc/reports/en/languages.conf
Default Linux: /etc/MailScanner/reports/en/languages.conf
DefaultFreeBSD:/usr/local/share/MailScanner/reports/en/languages.conf
設定當發現所有的字串時可被以翻譯的語系，這個設定也可以使用檔案去當做一個定義規則的方法，所以你可在不同的郵件中定義不同語系，在預設的檔案中會有簡易的範例。

Deleted Bad Filename Message Repor
Default: /opt/MailScanner/etc/reports/en/deleted.filename.message.txt
DefaultLinux:/etc/MailScanner/reports/en/deleted.filename.message.txt
DefaultFreeBSD:/usr/local/share/MailScanner/reports/en/deleted.filename.message.txt
當一個郵件的附件檔沒有有效的通過檔案過濾的規則而被刪除時，被刪除的檔案會被選項中所設定的檔案所取代，在預設的檔案中會有簡易的範例。

Deleted Virus Message Report
Default: /opt/MailScanner/etc/reports/en/deleted.virus.message.txt
Default Linux: /etc/MailScanner/reports/en/deleted.virus.message.txt
DefaultFreeBSD:/usr/local/share/MailScanner/reports/en/deleted.virus.message.txt
當一個郵件的附件被偵測出含有病毒或其他危險的內容而被刪除時，被刪除的檔案會被選項中所設定的檔案所取代，在預設的檔案中會有簡易的範例。

Stored Bad Filename Message Report
Default: /opt/MailScanner/etc/reports/en/stored.filename.message.txt
Default Linux: /etc/MailScanner/reports/en/stored.filename.message.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/stored.filename.message.txt
當一個郵件的附件檔沒有有效的通過檔案過濾的規則而被刪除時(而且這個被刪除的附件被存在隔離區)，被刪除的檔案會被選項中所設定的檔案所取代，在預設的檔案中會有簡易的範例。

Stored Virus Message Report 當一個郵件的附件被偵測出含有病毒或其他危險的內容而被刪除時(而且這個被刪除的附件被存在隔離區)，被刪除的檔案會被選項中所設定的檔案所取代，在預設的檔案中會有簡易的範例。

Disinfected Report
Default: /opt/MailScanner/etc/reports/en/disinfected.report.txt
Default Linux: /etc/MailScanner/reports/en/disinfected.report.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/disinfected.report.txt
舉個例子來說，當 Microsoft Word 的巨集病毒從一個郵件中被安全的移除後，這個郵件被完整的保留下來，當在寄給原來的收件者時，這個選項的檔案內容會被放在郵件的主體中，用來通知收件者發生了什麼事情。

Inline HTML Signature
Default: /opt/MailScanner/etc/reports/en/inline.sig.html
Default Linux: /etc/MailScanner/reports/en/inline.sig.html
Default FreeBSD: /usr/local/share/MailScanner/reports/en/inline.sig.html
假設 "Sign Clean Messages" 這個選項被啟動，當 MailScanner 完成此郵件的掃描時，會加註簽名在每個郵件的結尾，你可以利用這個選項通知你的使用者，代表這個郵件已經被掃描，你也可增加任何你拒絕從此部伺服器傳送的資訊在此檔中，這個檔案的內容是要符合插入到一個 HTML 檔案中。

Inline Text Signature
Default: /opt/MailScanner/etc/reports/en/inline.sig.txt
Default Linux: /etc/MailScanner/reports/en/inline.sig.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/inline.sig.txt
假設 "Sign Clean Messages" 這個選項被啟動，當 MailScanner 完成此郵件的掃描時，會加註簽名在每個郵件的結尾，你可以利用這個選項通知你的使用者，代表這個郵件已經被掃描，你也可增加任何你拒絕從此部伺服器傳送的資訊在此檔中，這個檔案的內容是要符合插入到一個 Text 檔案中。

Inline HTML Warning Inline Text Warning
當一個郵件的附件被移除了之後，這個選項的檔案內容會被插入到郵件主體的開頭去告知這個收信人閱讀病毒警告附件檔 "VirusWarning.txt"，此檔包含了病毒報告。

Sender Error Report
Default:/opt/MailScanner/etc/reports/en/sender.error.report.txt
Default Linux: /etc/MailScanner/reports/en/sender.error.report.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/sender.error.report.txt
當一個郵件基於一些原因無法完整的被掃描，例如不完整的訊息結構，或者是不能閱讀的 winmail.dat TNEF附件格式，那麼這個選項設定的檔案會被寄回給寄件者，在預設的檔案中會有簡易的範例。

Sender Bad Filename Report
Default: /opt/MailScanner/etc/reports/en/sender.filename.report.txt
Default Linux: /etc/MailScanner/reports/en/sender.filename.report.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/sender.filename.report.txt
當一個郵件的附件被檔案規則所限制時，這個選項的檔案會被寄回給寄件者。

Sender Virus Report
Default:/opt/MailScanner/etc/reports/en/sender.virus.report.txt
DefaultLinux:/etc/MailScanner/reports/en/sender.virus.report.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/sender.virus.report.txt
當一個郵件的附件因為感染病毒而被刪除時，這個選項的檔案會被寄回給寄件者。

Hide Incoming Work Dir Default: yes
當這個選項設定為 "yes" 的時候，病毒在哪個目錄被發現的完整路徑會在回報給使用者的訊息中被移除，這使得這個感染報告會容易了解的多。

改變訊息表頭(Changes to Message Headers)
Mail header Default: X-MailScanner:
當所有的郵件被掃描過後，應該加入額外的表頭檔被加入，你也許要加入你網站的縮寫，所以你可利用 MailScanner來進行這個動作。

Spam Header Default: X-MailScanner-SpamCheck:
在偵測出郵件為廣告信時，加入此封郵件表頭的文字內容。

Spam Score Header Default: X-MailScanner-SpamScore:
假如 "Spam Score" 這個選項被設定為 "yes" 時，就代表這個表頭會使用列表中的字元。

Information Header Default is X-MailScanner-Information:
加入至所有郵件表頭的文字內容，用來提供一個簡單的 URL，或是聯絡資訊，如果你不想要這個表頭，只要把選項空白即可。

Detailed Spam Report Default: yes
如果這個選項設定為 "yes"，你將會收到完整的廣告信報告，如果設定為 "no"，那麼你只會得到一個 "spam" 或者是 "not spam" 的報告，這個實際的內容可以針對你的語系設定在 languages.conf中。

Spam Score Character Default: s
如果選項 "Spam Score" 被設定為 "yes" 的話，那麼這個選項的字元就會被替換在"Spam Score Header" 中。

Clean Header Value Default: Found to be clean
這是當在發現在某些有危險內容的郵件中有病毒，並完全清除後，被加在 "Mail Header" 中的文字。

Infected Header Value Default: Found to be infected
這是當發現在某些危險內容的郵件中被感染病毒時，被加在 "Mail Header" 中的文字。

Disinfected Header Value Default: Disinfected
這是當 MailScanner 把包含了巨集病毒的郵件完全解毒成功後，被加在 "Mail Header" 中的文字，郵件會被完整的寄到原來的收信人。

Information Header Value Default: Please contact the ISP for more information
這是在郵件通過 MailScanner 的掃描後，提供一個資訊給使用者的選項，它是被加在 "Information Header" 的文字，通常是用來提供使用者聯絡 ISP 或是網管人員的資訊。

Multiple Headers Default: append
如果郵件在你的伺服器上通過多個 MailScanner 的套件偵測後，它們會試圖在每封郵件的表頭上加上本身的訊息，這個選項(append)控制著當郵件表頭被被加入其他內容後，會再試圖加入我們的文字資訊在此郵件的表頭中。

Hostname Default: the MailScanner
這是放在送給使用者的訊息中 MailScanner 伺服器的名稱，如果擁有多個 MailScanner 伺服器在同一個站台，你必需要個別的去改變每個伺服器的名稱。

Sign Messsages Already Processed Default: no
當在同一個伺服器中，別的 MailScanner 伺服器已經處理過這封郵件，而且 "Inline HTML/Text Signature" 並不會被再一次的加入到郵件中(當設定為 "no" 時)。

Sign Clean Messages Default: no
如果這個選項被設定為 "yes"，那麼 "Inline HTML/Text Signature" 就會被加入到已被 MailScanner 清除乾淨的郵件中，你可以使用這個選項去通知收信人，說這個郵件已被確認無誤，並可以加入任何合法動作及版權說明。

Mark Infected Messages Default: yes
如果這個選項被設定為 "yes"，那麼當發現郵件中毒而被移除附件時 "Inline HTML/Text Warning" 會被加到每個郵件的開頭，這可以用來通知收信者去閱讀那些替代原本被感染的附件的感染報告檔案。

Mark Unscanned Messages Default: yes
如果這個選項被設定為 "yes"，那些沒被 MailScanner 掃描的郵件，會將包含選項 "Unscanned Header Value" 的字串加入到 "Mail Header" 中，這可用來通知你的使用者不要去使用這個郵件。

Unscanned Header Value Default: Not scanned: please contact your Internet E−Mail Service Provider for details
這是當郵件沒有被掃描時，"Mail Header" 中的訊息，如果 "Mark Unscanned Messages" 選項設定為 "yes" 的話，就會將這個訊息插入到郵件去通知使用者不要使用這個郵件。

Deliver Cleaned Messages Default: yes
當一個感染病毒的郵件被完整的解毒乾淨後，若此選項設定為 "yes"，則還是會將郵件寄給原來的收信人，如果你要使用類似先前的 MailScaner 版本中 "Deliver From Local Domains" 的關鍵字，那麼你就必需設定
一個規則，那就是當設定為 "yes" 時，只能轉送郵件至內部網路， "no" 時只能轉送郵件至外部。

Notify Senders Default: yes
如果這個選項被設定為 "yes"，那就會傳回一個中毒訊息給原寄件人，這個文字會包含 "Sender Reports" 描述，會更容易的了解訊息內容。

Never Notify Senders Of Precedence Default: list bulk
這是一個用空白鍵分開的訊息，並且是 "Precedence:" 表頭值，假如你收到了一個惡意的有毒郵件，當這寄件者被列入 "Precedence:" 表頭列中的話，一般來說 MailScanner 會停止回應給這個寄件人，這通常是用
在當一個伺服器沒人管理時，讓 MailScanner 停止無謂的回應。
改變主旨列(Changes to the Subject: Line)

Scanned Modify Subject Default: no # end
如果這被設定成 "start" 或是 "end"，那麼 "Scanned Subject Text" 這個文字內容就會被插入在開頭，或是結尾的主旨列中了，這只會發生在主旨列沒被其他原因更改的狀況下。

Scanned Subject Text Default:
這是當 "Scanned Modify Subject" 選項被選擇後，插入在開頭或結尾的主旨列中的內容。

Virus Modify Subject Default: yes
如果這個選項被設定為 "yes"，那麼這個被感染病毒的郵件主旨列會被插入選項 "Virus Subject Text" 中的文字，在主旨的開頭。

Virus Subject Text Default:
這是 "Virus Modify Subject" 選項中，插入主旨列開頭的文字內容。

Filename Modify Subject Default: yes
如果這個選項被設定為 "yes"，那麼郵件中有著危險附件，並被移除掉的主旨中，會在開頭被插入 "Virus Subject Text" 的文字內容。

Filename Subject Text Default: yes
這是在選項 "Filename Modify Subject" 設定為 "yes" 插入在主旨列開頭的文字。

Spam Modify Subject Default: yes
如果這個選項被設定為 "yes"，那麼被偵測為廣告信的主旨列都會都被插入選項 "Spam Subject Text" 的文字，在主旨列開頭。

Spam Subject Text Default:
這是選項 "Spam Modify Subject" 設定為 "yes" 時，插入在主旨列開頭的文字。

High Scoring Spam Modify Subject Default: yes
如果這個選項被設定為 "yes"，那麼被定義為廣告信，並且 SpamAssassin 數量大於選項 "High SpamAssassin Score" 時，就都在主旨的開頭插入選項 "High Scoring Spam Subject Text" 的文字。
High Scoring Spam Subject Text
Default:
這是選項 "High Scoring Spam Modify Subject" 設定為 "yes" 時，插入在主旨列開頭的文字。
改變訊息主體(Changes to the Message Body)
Warning Is Attachment Default: yes
當一個郵件中毒的附件被換成感染通知訊息的檔案時，在這個選項設定為 "yes" 時，是用附件的方式，若設定為 "no"，則是直接加入在郵件本文中。

Attachment Warning Filename Default: VirusWarning.txt
當一個郵件中毒的附件被換成感染通知訊息的檔案時，這是加入到郵件中的檔案名稱。

Attachment Encoding Charset Default: us−ascii
這是用來設定 "VirusWarning.txt" 文件中的字元編碼名稱，如果你不是用英語，而是用其他的語言，也許可以使用 "ISO-8859-1"。
郵件存檔及監控(Mail Archiving and Monitoring)

Archive Mail Default:
這個選項提供了一個目錄或是郵件的位置列表，用來複製一分郵件，你可以設定正確設定你要的規則，只有寄出或收信的哪些可靠用戶郵件才會被存檔，注意這牽涉到私人隱私的問題，你必需要知道你在做什麼動作。
通知系統管理者(Notices to System Administrators)

Send Notices Default: yes
每件每感染的郵件都要發通知給系統管理者嗎?

Notices Include Full Headers Default: no
如果這個選項被設定為 "yes"，那麼送給系統管理者的病毒通知將會包含完整的表頭，如果選項設定成 "no"，那麼只有受限格式的表頭包含在病毒通知中。

Hide Incoming Work Dir in Notices Default: no
如果這個選項被設定為 "no"，那麼在寄給系統管理者的病毒通知中就會包含在哪個目錄發現病毒的資訊，這對管理者來說更好了解病毒資訊。

Notice Signature Default: −− \nMailScanner\nEmail Virus Scanner\nwww.mailscanner.info
這個簽名會被放到寄給系統管理者通知的文件底部，會被 MailScanner 使用 "\n" 插入 "line-breaks" or "newline" 空白或換行字元。

Notices From Default: MailScanner
用在可見的郵件通知位址 "From:" 的部份中，而的部份則是被設成選項 "Local Postmaster" 的內容。

Notices To Default: postmaster
這是選項是提供是由哪些位址寄送通知出來的?你可以設定一個規則，用來提供在不同的 domain 使用不同的通知位址。

Local Postmaster Default: postmaster
當一個病毒警告被寄送到任何使用者時，這個寄件郵件都會用 "From:" 放在表頭檔。
定義病毒掃描引擎及廣告信偵測(spam detectors)設定(Definitions of Virus Scanners and Spam Detectors)

Spam List Definitions Default:/opt/MailScanner/etc/spam.lists.conf
Defualt Linux: /etc/MailScanner/spam.lists.conf
Default FreeBSD: /usr/local/etc/MailScanner/spam.lists.conf
這個檔案包含了所有能被偵測為廣告信信來源的 "Spam Lists" (同樣叫做 RBL’s or DNSBL’s)，許多的Spam Lists 都可被加入到這個檔案中，但它一開始已經包含了大部份的廣告信列表(Spam Lists)。

Virus Scanner Definitions
Default: /opt/MailScanner/etc/virus.scanners.conf
Default Linux: /etc/MailScanner/virus.scanners.conf
Default FreeBSD: /usr/local/etc/MailScanner/virus.scanners.conf
這個檔案包含了所有 virus scanner 指令的位置，在啟動 MailScanner 前先確認這個檔案是否正確，否則你的 MailScanner 可能無法啟動。
廣告信偵測及列表(DNS阻檔列表)(Spam Detection and Spam Lists (DNS Blocklists))

Spam Checks Default: yes
如果這個選項被設定為 "yes"，那麼郵件都會被確認是否為廣告信件。

Spam List Default: ORDB−RBL Infinite−Monkeys
這個選項提供了一個用空白鍵來分開的 "Spam Lists"( 或 RBL’s or DNSBL’s)列表，來確認每個郵件是否為廣告信件，這個列表是用 IP Address 來表示是那些位址寄信給你的 MailScanner 伺服器，每個用在這的列表必須被定義在之前被提到的選項 "Spam List Definitions" 檔案中。

Spam Domain List Default:
這個選項提供了一個用空白鍵來分開的 "Spam Lists"( 或 RBL’s or DNSBL’s)列表，來確認每個郵件是否為廣告信件，這個列表是用 domain name 來表示是那些位址寄信給你的 MailScanner 伺服器，每個用在這的列表必須被定義在之前被提到的選項 "Spam List Definitions" 檔案中。

Spam List Timeout Default: 10
這是代表在每個出現在 "Spam List" 列表中的郵件在偵測後能等得的秒數，如果超過這個時間，那麼郵件會被刪除並忽略。

Max Spam List Timeouts Default: 7
如果在偵測 "Spam List" 列表中的郵件超過七次一直沒有成功過時，那麼一般就是 "Spam List" 列表不能被讀取，當 MailScanner 在數小時重新啟動在數小時後，它會再嚐試使用一次這個列表，免得服務剛好恢復了。

Is Definitely Not Spam
Default: /opt/MailScanner/etc/rules/spam.whitelist.rules
Default Linux: /etc/MailScanner/rules/spam.whitelist.rules
Default FreeBSD: /usr/local/etc/MailScanner/rules/spam.whitelist.rules
這個選項通常都是一整個規則，任何郵件通過這個規則的結果若為 "yes" 的話，就不會被記成廣告信件，這個規則通常都是建立一個非廣告信的 "清單(whitelist)"，你也許可以包含一些你自已的站台，在這個規則檔中。

Is Definitely Spam Default: no
這個選項通常都是一整個規則，任何郵件通過這個規則的結果若為 "yes" 的話，就會被記成廣告信件，這個規則通常都是建立一個已知的廣告信的 "黑名單(blacklist)"。

SpamAssassin設定(SpamAssassin)
Use SpamAssassin Default: no
你要使用 SpamAssassin 套件來偵測廣告信件嗎? 你必預先安裝 SpamAssassin 才可以正常的在ailScanner 中使用這個選項。

Max SpamAssassin Size Default: 90000
SpamAssassin 在處理每個郵件就會非常緩慢，反覆的工作是個問題，這個選項提供了每個被SpamAssassin 處理的郵件的最大大小，最大的廣告信目前被發現的大小為 50,000 bytes。

Required SpamAssassin Score Default: 5
這個選項設定了最小的 SpamAssassin 記號值者為廣告信，它取代了 SpamAssassin 擁有的 "required_hits" 數值，所以這個規則可以設定不同值至不同的使用者及 domains。

High SpamAssassin Score Default: 20
當郵件的 SpamAssassin 記號值大於這個選項設定值時，一個不同的 "Spam Actions" 設定會被適用於郵件記錄最小的此值。

SpamAssassin Auto Whitelist Default: no
SpamAssassin 有個特色就是可以測量從不同位址發出的廣告信及非廣告信的比率，如果寄信位的信件大多不為廣告信，系統會自動的增加位址至它本身擁有的非廣告信清單(whitelist)，這個選項開啟了 SpamAssassin 的特色。

SpamAssassin Prefs File
Default: /opt/MailScanner/etc/spam.assassin.prefs.conf
Default Linux: /etc/MailScanner/spam.assassin.prefs.conf
Default FreeBSD: /usr/local/etc/MailScanner/spam.assassin.prefs.conf
pamAssassin 使用了一個 "使用者喜好值" 的檔案，這個檔案可被用來設定各種 SpamAssassin的值，選項中就是此檔案的名稱，這個 RBL/DNSBL/"Spam List" 最有用的特色就是可以利用SpamAssassin 來確認可以關閉那些已經被 MailScanner 確認過一次的郵件過濾選項，避免再被過濾一次。

SpamAssassin Timeout Default: 30
這個選項是設定每個被 SpamAssassin 處理的郵件的最大等待時間(秒)，這可以有效的保護偶而出問題的 SpamAssassin，避它有時可能會用數小時的時間去處理一封郵件。

Max SpamAssassin Timeouts Default: 20
如果數個連續二十次呼叫至 SpamAssassin都超出等待時間，那麼 MailScanner 會決定關閉pamAssassin 使得工作順利，它會因此被關閉數小時直到 MailScaner重新啟動，在這期間它會一直嚐試。

Check SpamAssassin If On Spam List Default: yes
如果已啟動郵件 "Spam List" 過濾列表，那麼 SpamAssassin 就會被跳過不執行，當這個選項在被設定為 "no" 的時候，這可以幫助減少當你使用 SpamAssassin 時所造成的負載。

Always Include SpamAssassin Report Default: no
如果這個選項被設定為 "yes" 時，那麼選項 "Spam Header" 的內容會被包含在每個郵件的表頭中，所以這是出現在當無法過過使用者的廣告信的狀況下。

Spam Score Default: yes
如果一個郵件為廣告信件，而這個選項被設定為 "yes" 時，那麼表頭將會被加入到 pamAssassin 記號中的每一個點含有 1 個特性的資訊。這個允許使用者去選擇他們自已的pamAssassin 記號，用在不同的狀況下，像是存檔或刪除他。
如何處理Spam(What to do with Spam)

Spam Actions Default: deliver
這個選項可以聯合一個或多個之後的關鍵字來達成處理 Spam 的方法。
deliver" — 郵件正常的轉送至原來的收信人。
delete" — 刪除郵件。
store" — 將郵件存放至隔離區。
bounce" — 將郵件退給寄信人。
forward" — 提供一個 forward 的郵件位址給系統，系統會自動轉寄一份。
striphtml" — 將內嵌 HTML 的郵件轉成 Text，你必需要加入 "deliver"，系統才會幫你寄郵件。
High Scoring Spam Actions Default: deliver
這和 "Spam Actions" 選項一樣，但它是針對 SpamAssassin 記錄為 "High Scoring" 的郵件。

Sender Spam Report
Default: /opt/MailScanner/etc/reports/en/sender.spam.report.txt
DefaultLinux:/etc/MailScanner/reports/en/sender.spam.report.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/sender.spam.report.txt
當退信這個動作被 "Spam List" check 及 SpamAssassin 所啟動時，系統會寄一個訊息檔出去。

Sender Spam List Report
Default: /opt/MailScanner/etc/reports/en/sender.spam.rbl.report.txt
Default Linux: /etc/MailScanner/reports/en/sender.spam.rbl.report.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/sender.spam.rbl.report.txt
當退信這個動作被 "Spam List" check 所啟動時，系統會寄一個訊息檔出去。

Sender SpamAssassin Report
Default: /opt/MailScanner/etc/reports/en/sender.spam.sa.report.txt
Default Linux: /etc/MailScanner/reports/en/sender.spam.sa.report.txt
Default FreeBSD: /usr/local/share/MailScanner/reports/en/sender.spam.sa.report.txt
當退信這個動作被 SpamAssassin 所啟動時，系統會寄一個訊息檔出去。
系統紀錄設定(System Logging)

Syslog Facility Default: mail
這是用來啟動 MailScanner 記錄的使用者名稱，如果你不知道怎麼設定，最好是保留，或參考syslogd的 man 手冊。

Log Spam Default: no
如果這個選項被設定為 "yes" 時，那麼每個廣告信的訊息都會被紀錄至 syslog中，如果收到了大量的廣告信，或是伺服器負載很重時，你也許要將這個選項關閉，但是你會在偵測廣告信件時遇到些麻煩，設定為 "yes" 暫時地，可以提供你有效的除錯方向。

Log Permitted Filenames Default: no
如果這個選項被設定為 "yes" 時，每個通過 "filename rules" 的附件檔檔名都會被紀錄至 syslog中，一般來說這是不必要的，但如果你要除錯時，也許這個選項會有用處。
進階設定(Advanced Settings)

Debug Default: no
並非給一般使用者使用，如果設定為 "yes" 的話，會使 MailScanner 進入除錯模式，它會建立些許不同的輸出，而且不會變成一個 daemon。

Always Looked Up Last Default: no
實際上這個選項從未被使用過，但它被認定為最後處理一批郵件的方式，這是被設定用在一個有副作用的自訂連接函數，有時它會是有用的，像是紀錄大量的一批郵件的訊息在一個檔案或是一個 SQL 資料庫中。

Deliver In Background Default: yes
當試圖要轉送任何郵件(當 "Delivery Method = batch")時，sendmail/Exim 命令會在背景執行，所以 MailScanner 不會去等待轉送郵件的命令完成，這裡不建議你將它設定為 "no"。

Delivery Method Default: queue
假如這個選項設定為 "batch" 時，那麼 MailScanner 會試圖用一批為單位來一次處理所有郵件，假如這個選項設定為 "queue" 時，MailScanner 會將郵件放到 queue 目錄中，處理完成後sendmail/Exim 去轉送郵件，這兩個設定對於伺服器的負載會有非常大的影響。

Lockfile Dir Default: /tmp
這個目錄是放置 lock 檔案的位置，是用在當 Virus Scanner 在升級病毒碼時，停止它自本身的動作，如果你改變了這個檔案的位置，那也要去改變 "autoupdate" 檔的設定。

Lock Type
不要對這個檔進行任何的設定，除非你對他有絕對的認知。

Minimum Code Status Default: supported
有些 Virus Scanner 不被 MailScanner 的作者支援，而且他們可能是使用別人提供的程式碼，如果這個選項被設錯了的時候，那麼可能就會在 maillog 中得到錯誤的訊息，在這錯誤訊息中也許會提供你站台的資訊，或是一些描述選項的細節，而且也會告訴你那些 Virsu Scanner 才可以被 MailScanner 所支援。
附件檔名規則(Attachment Filename Ruleset)
這是包含在設定檔中的選項 "Filename rules" 檔案名稱，此檔案中包含了用來判定任何被指定的附件檔是要被接受還是拒絕，不管在此類檔案中是否含有病毒，這不能只是被用在嚴格的測量，像擋住所以像擁有副檔名為 EXE 的檔案，但它可以使用 Perl 的語法來提供功能，像偵測試圖隱藏的檔案名稱。許多 Windows 的郵件程式(例如：Microsoft Outlook)在試圖不要阻礙用戶使用的前提下，都會藏共有文件檔名延伸，這個規則在當一個附件叫做 "Your Document.doc"，被顯示為 "Your Document" 時是有效的，一個更惡意的附件名原本可能為 "Looks Safe.txt.pif"
，而被改成 "Looks Safe.txt"，很多使用者會以為它就是個 TXT 的檔案，而以為它是安全的，所以即使是個有經驗的使用者，也許也會去將這個檔案使用像 Notepad 這個程式去開啟，然而這個檔案卻是一個 Ms-Dos 快捷檔，並且可以執行任何任意的指令，而使用者根本不會知情。
這個規則是按至頭到尾的順序，在此檔中配合，而每個規則則都是使用一個合適的文法，每行可以由空白、註解(開始是 # 符號)組成，可以用 TAB鍵去區分每個部份。
allow / deny
接受或拒絕檔案名稱。
regular expression
此規則將被執行，如果附件檔名符合這個規則的話，它可以隨意使用大量的 "/"符號。
log text
如果符合規則，那麼文字會被放在 syslog中，如果設為 "-" 的話，沒有文字會被紀錄。
user text
如果符合規則，那麼文字會被寄到使用者信箱，如果設為 "-" 的話，不會有文字會被寄送。I設定檔 example 會示範容易使用的文法。

MailScanner 的好幫手 MailWatch

Roger Lin — Tue, 06 Oct 2009 05:38:22 +0000

自己架設後，還滿好用的。

參考出處：http://erichuang89.blogspot.com/2008/12/mailscanner-mailwatch.html

MailScanner 在處理垃圾郵件和病毒信件時它的紀錄都是文字檔 , 紀錄詳細每封信件的處理過程 . 文字敘述的紀錄檔當累積大量的資訊時就很難判讀
MailWatch 就是 MailScanner 的好搭檔 , 它把 MailScanner 的紀錄轉換成WEB 可以很清楚的辨別每一封來信的狀況 , 非常容易判讀 . 如下圖 :

(圖片來源 : 官方網站 http://mailwatch.sourceforge.net/)
它可以看每封信件的判斷狀況 , 讓您更加清楚知道判斷依據如下圖 :

(圖片來源 : 官方網站 http://mailwatch.sourceforge.net/)
安裝步驟 :

1 : 先前須檢查是否有安裝 Apache , MySQL 及 PHP , PHP-gd , PHP-pear , PHP-mysql , PHP-devel 及相關元件
指令 : rpm -qa httpd , rpm -qa php* , rpm -qa mysql

結果如下圖 :

2 : 確認及設定開機啟動 MySQL , httpd 服務
設定開機啟動服務 :
chkconfig http on
chkconfig mysqld on
查看是否有啟動服務 :

ps -ef grep mysql
ps -ef grep httpd
有啟動服務 , 如下圖 :

若無則啟動服務
service mysql start
service httpd start
3 : 若第一次使用 mysql 記得用下列指令變更密碼
/usr/bin/mysqladmin -u root password ‘XXXXXX’
4 : 設定 php.ini
vi /etc/php.ini
修改下列參數
short_open_tag = on
safe_mode = off
register_globals = off
magic_quotes_gpc = on
magic_quotes_runtime = off
session.auto_start = 0
5 : 下載及安裝 MailWatch
下載點 : 官網
下載點 : http://sourceforge.net/project/showfiles.php?group_id=87163
安裝 MailWatch
tar -zxvf mailwatch-x.x.x.tar.gz
6 : 建立 MailWatch 資料庫
以下指令必須使用 root 登入
cd mailwatch-x.x.x
mysql -p <>
7 : 修改 MailWatch.pm 檔案 , 並複製到別的目錄
vi MailWatch.pm
my($db_name) = ‘mailscanner’; (資料庫名稱)
my($db_host) = ‘localhost’; (資料庫位置)
my($db_user) = ‘root’; (使用者帳號)
my($db_pass) = ‘xxxxx…’; (使用者密碼)
cp MailWatch.pm /usr/lib/MailScanner/MailScanner/CustomFunctions/
8 : 新增 mailwatch 網頁的使用者
mysql mailscanner -u root -p
Enter password : xxxxxx
mysql > insert into user values (’root’,md5(’xxxxx’),’root’,'A’,'0′,’0′,’0′,’0′,’0′);
9 : 安裝和設定 MailWatch
在之前解壓縮之後產生的目錄裡有一個子目錄 , 名稱為 mailscanner
mv mailscanner /var/www/html
修改目錄權限
cd /var/www/html/mailscanner
chown root:apache images
chmod ug+rwx images
chown root:apache images/cache
chmod ug+rwx images/cache
10 : 修改 conf.php 設定
cd /var/www/html/mailscanner
cp conf.php.example conf.php
vi conf.php
define(DB_TYPE , ‘mysql’);
define(DB_USER, ‘root’);
define(DB_PASS, ‘XXXXX’);
define(DB_HOST, ‘localhost’);
define(DB_NAME, ‘mailscanner’);
11 : 修改 MailScanner 設定
先暫停 MailScanner
service MailScanner stop
vi /etc/MailScanner/MailScanner.conf
Quarantine User = root
Quarantine Group = apache
Quarantine Permissions = 0660
Quarantine Whole Message = yes
Quarantine Whole Message As Queue Files = no
Detailed Spam Report = yes
Include Scores In SpamAssassin Report = yes
Always Looked Up Last = &MailWatchLogging
11 : 整合黑名單和白名單
在 MailWatch 也可以設定黑白名單
把之前解壓縮的目錄裡的檔案 SQLBlackWhiteList.pm 複製一份到 /usr/lib/MailScanner/MailScanner/CustomFunctions
vi SQLBlackWhiteList.pm
my($db_name) = ‘mailscanner’;
my($db_host) = ‘localhost’;
my($db_user) = ‘root’;
my($db_pass) = ‘xxxxx’;
vi /etc/MailScanner/MailScanner.conf
Is Definitely Not Spam = &SQLWhitelist
Is Definitely Spam = &SQLBlacklist
12 : 修改 MailScanner 目錄下的 spam.assassin.prefs.conf
vi /etc/MailScanner/spam.assassin.prefs.conf
加入下列兩行
bayes_path /etc/MailScanner/bayes/bayes
bayes_file_mode 0660
13 : 建立 bayes 新目錄 , 並把原有 spamassassin 資料庫複製過來
mkdir /etc/MailScanner/bayeschown root:apache /etc/Mailscanner/bayes
chmod g+rws /etc/MailScanner/bayes
cp /root/.spamassasin/bayes_* /etc/MailScanner/bayes
chown root:apache /etc/MailScanner/bayes/bayes_*
chmod g+rws /etc/MailScanner/bayes/bayes_*
14 : 測試 spam.assassin.prefs.conf
spamassassin -D -p /etc/MailScanner/spam.assassin.prefs.conf –lint
15 : 重新啟動 MailScanner
service MailScanner restart && tail -f /var/log/maillog
若看到如下圖的訊息
裡面有一行：
Config: calling custom init function MailWatchLogging
表示安裝成功

可以在瀏覽器網址打 http://xxx.xxxx.xxx/mailscanner

輸入帳號密碼即可看到漂亮的報表

最後隨著時間的增加記錄也會不斷的增加 , 可以用下列的 SQL 指令來刪除過期的資料
delete from maillog where date < ‘xxxx(年)-xx(月)-xx(日)’;

MailScanner阻擋加密的壓縮檔處理方式

Roger Lin — Thu, 24 Sep 2009 03:09:45 +0000

今天公司收到一封別家公司寄來的信，附加檔案是ZIP，但是有加密，發現MailScanner 會直接擋下來，連設定不掃描壓縮檔也是一樣備擋下來，訊息如下：

The following e-mails were found to have: Other Bad Content Detected : Password-protected Archive Detected

最後直接設定放行有加密的壓縮檔案就解決了這個問題了。只是安全性有待考量@@

設定 MailScanner 不掃描壓縮檔案：

=====================================================

修改 vi /etc/MailScanner/MailScanner.conf 內的

# To disable this feature set this to 0.
# A common useful setting is this option = 0, and Allow Password-Protected
# Archives = no. That block password-protected archives but does not do
# any filename/filetype checks on the files within the archive.
# This can also be the filename of a ruleset.
Maximum Archive Depth = 0 (將此設定改為0就可以)

=====================================================

設定 MailScanner 放行有加密過的壓縮檔案：

=====================================================

修改 vi /etc/MailScanner/MailScanner.conf

# Should archives which contain any password-protected files be allowed?
# Leaving this set to "no" is a good way of protecting against all the
# protected zip files used by viruses at the moment.
# This can also be the filename of a ruleset.
Allow Password-Protected Archives = yes

然後重新啟動，即可放行有加密的壓縮檔案。

=====================================================