Регистрация...

Eserv Forum / E4 / Eserv 4 beta / DrWEB - где следы работы?

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Доброго времени суток. Последнее время как-то возрос поток инфицированных писем. Отлавливаются уже на клиентах, Каспером и Вебом, 5 и 6 версий (не везде успели обновить) — получается, что через почтовый сервак проходит? Базы на клиентах обновляются только через внутрисетевое зеркало, то есть не так уж и оперативно — почтарик подключен к интернету и обновляется чаще. В связи с этим вопрос: где проверить работу антивирусника? Нигде отчётов об отловленной заразе я не нашёл, уведомления на почту тоже не приходят... работает вообще антивирь?
 
Комментарии к этой версии (29.06.2010 18:50) [~shajtan] d731667f
АвторДатаТекстtags
pig29.06.2010 20:46
Поищите в логах антиспама письма с классом virus
wikipost
ac29.06.2010 20:58
Отловленные вирусы складируются в DATA\mail\infected\.

Загляните также в лог acFilter.log — как инициализировался Dr.WEB.
wikipost
shajtan30.06.2010 11:09
В DATA\mail\ папки infected нету. В логах антиспама не нашёл ничего с таким классом.

Старт acFilter:
<30>Log started: Wed, 30 Jun 2010 12:06:41 +0300 (ESERV, build 24035, 22.06.2010) LONIIR-ORG\POST3-SERVER$ Boxes: 100 DrWEB key: xxxxxxxxxxxxxxxxxxxxxxx Boxes: 100 Boxes: 100 Eserv key: xxxxxxxxxxxxxxxxxxxxxx Eserv/4 key: xxxxxxxxxxxxxxxxxxxxxxxx DrWEB 5.00 30.6.2010 (1521487 virus records) SP: Base1 OK SP: Interface OK Spamprotexx: xxxxxxxxxxxxxx SP: License check done. SP: Base2: D:\E4\CommonPlugins\acFilter\antispam\spamprotexx\Relearn.esp SP: Base1: D:\E4\CommonPlugins\acFilter\antispam\spamprotexx\Storage.esp SP: Init OK SP: CPC OK SP: CP OK SP: CP.advice OK ========================================================= KAV4:0 KAV5:0 DRWEB:29360128 STOP:0 CLAMAV:0 POPFILE:0 SP:1 SD:0 SA:0 CT:0 ==== Антивирусные и антиспам-проверки тестовых писем: === SP_Prob=0.999937 SP=ok SP_Prob=0.211666 SP=ok D:\E4\CommonPlugins\acFilter\spam_sample.eml drweb:SP: SP_Prob=0.999937 D:\E4\CommonPlugins\acFilter\spam_sample.eml 1 0 0 SP=spam TEST1:spam_sample.eml: spam SP=spam D:\E4\CommonPlugins\acFilter\clear_sample.eml drweb:SP: SP_Prob=0.211666 D:\E4\CommonPlugins\acFilter\clear_sample.eml 1 10000 10000 SP=clear TEST2:clear_sample.eml: clear SP=clear Local mail dir=..\..\DATA\domains ..\..\DATA\domains\.monitoring acFilter init OK.
wikipost
pig30.06.2010 18:06
Пошлите себе письмо с eicar — тормознётся или проскочит?
wikipost
ac30.06.2010 20:34
Я отправил туда eicar, и Eserv его не остановил Там правда перед Eserv'ом какая-то штука стоит, которая вместо приветствия Eserv говорит "220 smtp.passthru". Возможно после такого проброса сессия становится для Eserv'а доверенной и исключается из антиспам- и антивирус- проверок. (?) Интересно, что acFilter скажет про моё письмо в логах (отправлял только что с адреса support@eserv.ru на адрес bkb@).
wikipost
pig30.06.2010 21:19
Всё-таки надо в acFilter разделить мух с котлетами. Нужен отдельный вызов для антивирусной проверки.
wikipost
shajtan30.06.2010 22:21
Штука перед EServ-ом — это IPCOP, работает сейчас как smtp-прокси, и да, была кстати проблема с тем, что EServ принимал от него все соединения как доверенные. Обсуждали в этой теме: http://forum.eserv.ru/E4/Eserv 4 beta/smtpsend4 - плодит процессы#24

Получается, что у меня сейчас антивирусник не обрабатывает вообще никакие письма, потому как всё идёт мимо него, прикидываясь "своим"?

Да, что будет сказано про письмо в логах — смогу ответить только завтра, как на работу приду.
wikipost
ac06.07.2010 04:44
Если можно IPCOP'у сказать выдавать "HELO pop2smtp" в качестве приветствия, то это будет самый простой вариант считать его за чужого и проверять его почту. Либо включить опцию "Antispam[CheckLocalSenders]" (она всегда была в ini, а в сегодняшнем обновлении вынесена в интерфейс — см. http://code.eserv.ru/06.07.2010 ).
wikipost
Работает на Eserv/5.05555 (05.06.2016)