Поставил 3386 и возрадовался...
Все работает, блокировок НЕТ!
Да не тут-то было
8O ПРОХОДЯТ ВИРУСЫ! 8O
(используется проверка BAT-файлом КАВ)
Выглядит это так:
ЕСЕРВ получил подряд 4 письма с вирусами.
3 из них обработались КАВ по всем правилам...
Но одно (3-е по счету) как-то проскочило к получателю
Смотрим лог тоссера: разбирается файл с вирусом, но по логу антивируса этот файл, вроде как, вообще не проверялся!
Хотя в первой строке testvir.bat прописано:
echo %DATE% %TIME% File: %1>> log\testvir.log
Фантастика какая-то...
ВЫВОД: письмо при получении попало не в SPOOL\TO_CHECK, а сразу в SPOOL.
(А кто кроме как ЕСЕРВ мог поместить его в SPOOL...
)
Стоит специально купленный KAV (плагин AVP для ESERVA), недавно обновленный с новыми ключами ESERV+AVP. Антивирусные базы обновляются ежедневно.
Уже 2-ой день отлавливаются в папке \temp файлы *.eml, зараженные Клещем. Причем отлавливает эти файлы ночью AVP-Scaner, а AVP+ESERV пропускает данные письма. Хотя тестовое вирусное сообщение отрабтывает нормально и бросает в \infected.
Раньше такго не было, ловил все...
Так ведь в temp\*.eml файлы попадают ДО проверки антивирусом! Из temp\*.eml они идут в spool, а оттуда в infected или в in в зависимости от проверки. Так что это нормально, если в *.eml находятся вирусы, эти файлы ведь просто протоколы внешних POP3-сессий.
Это могло быть, если Eserv не смог создать файл в to_check, но смог в spool... Вы мне smtp.log не вышлете?
Но в таком случае письма должны попадать в \infected, а их там нет
А посмотреть протоколы обработки антивирусом негде (они вроде как больше не пишутся?)
Файлы .EML из temp вообще никуда не деваются, если вы их принудительно не удаляете.
Хотите сказать, что письма с Клезом туда не попадают? Приведите лог тоссера и соответствующий заражённому .EML .TOSS-файл.
Так оно (судя по toss-файлу) и было! только вирус был забран pop3recv'ом... toss и eml файлы на момент прихода вируса нашел. выслал.
Только толку-то от них?
Уже успел прихватить 34 письма с вирусами
Т.е. тут дело скорее в проверочных bat-файлах. Может, например, очередная проверка не запустилась из-за невозможности записать в testvir.log, куда у вас идут результаты, из-за того что предыдущая проверка не успела "отпустить" этот файл. Уже много здесь писалось о проблемах с проверками на bat-файлах. Собственно потому и перешли на использование родных API антивирусов.
2 pig
Продолжение смотри на антивирусном форуме
Не есть правда!
Привожу содержимое .toss файлов (3-х подряд):
mail\spool\to_check\urato@tatneft.ru!POP3!345330531!1 {OK}
For: user1@mydomain.ru
mail\spool\runar@pisem.net!POP3!345330531!1 {С ВИРУСОМ: а где to_check?}
For: user2@mydomain.ru
mail\spool\to_check\dbs@demos.su!POP3!345330562!1 {OK}
For: user3@mydomain.ru
Да-а-а-а-а-а.....
Так причем здесь тогда БАТ-проверка?
Почему проблем (такого характера) нет с 2,97?
Откуда появляются блокировки на билдах >=2,98?
Вот о чем речь.
Еробот у меня вполне мог остаться старый (от 2,97)!
Кого кроме ЕСЕРВ.exe следует заменять (из агентов) ?
Не считаю это решение рабочим (по крайней мере с КЛАВ)...
+Зачем платить еще 200УЕ за антивирус, корорый вирусы лечить не умеет?
Собственно, дело ТОЧНО не в антивирусе!
Поэтому я пишу именно ЗДЕСЬ а не в соответствующей ветке форума.
Блокировки в версии 2.98+ к BAT-файлам не имеют отношения, это уже внутри тоссера.
Значит, так. Поскольку приведены выдержки из разных TOSS-файлов, могу в порядке бреда предположить, что у вас есть несколько почтовых заданий и две версии Erobot.exe, старая и новая, лежащие в разных каталогах. И как минимум одно задание вызывает для разбора почты старый Erobot.exe. А вообще очень интересно поднять все TOSS-файлы на исследуемый момент — не создавался ли в это время в to_check файл с таким же именем. И за более раннее время — не случалось ли ранее проскакивание писем мимо антивируса.
Второе бредовое предположение — происки KAV Monitor, который не позволил создать файл в to_check, но позволил создать непосредственно в spool.
Агенты имеет смысл обновить все, но вам, похоже, надо специальный вариант pop3toss.cfg, который писал бы в лог более развёрнутую информацию о создании выходных файлов.
Проверил. Все одинаково. ЕРОБОТ один.
Нет не создавался.
Проскакивание было только одно (после установки 3386).
НЕТ ТАКИХ (Monitor).
Это точно
Но почему тогда это случилось именно на 3386?
Erobot v1.8 for Eserv/2.x © 1997-99 A.Cherezov по README
ВОПРОС К АВТОРУ: как запретить ему писать напрямую в SPOOL?
Позволить ему писать в to_check. Он не пишет в to_check, когда при попытке создания файла в to_check получает от Windows код ошибки — тогда он пишет в spool, чтобы письмо не терялось. Почему блокируется запись в to_check — пока загадка. Может вызываемый из BAT антивирус перехватывает API записи в этот каталог на время его проверки... Видимо для обхода этой проблемы придется делать несколько попыток создания файла — ждать пока разрешат. Вы согласны тестировать версии Erobot, которые я вам пришлю?
Юридически, потому что KL считает нарушением лицензии использование других версий для проверки почты на сервере. Технически потому что это лучше чем BAT, как вы сами убеждаетесь на примере этих проблем.
Если бы дело было в антивирусе, то нужно было бы писать не на форумах Етайпа, а на форумах Касперского
Да уж, действительно, придется писать версию Erobot "для работы во враждебно настроенном окружении", т.е. в условиях игнорирования пользователями рекомендаций по использованию наших программ. Ладно, я сам виноват, нужно было изначально расчитывать на условия атомной войны, как делали разработчики TCP/IP. Впредь постараюсь.
На предыдущих билдах прорывов писем с вирусами просто не было.
Только что тестировал 3389 на максимальной нагрузке (какчал по ПОП3 кучу писем с и без вирусов с рабочего ЕСЕРВА, без удаления с оного с интервалом 1)...
Тормоза, однако, ужасные! Но прорывов вирусов не было.
Хотя LOOP(проверку дубликатов) прорвало очень быстро
Такой алгоритм череват плачевными последствмями...
Можно ли ввести ключ, запрещающий прямую запись в SPOOL?
Да. Конечно.
+К вопросу о блокировках.
КАВ Сканер при запуске, как я понимаю, первым делом проверяет память...
Может ли он таким образом блокировать файлы, отображаемые в память, либо что-нибудь еще, что мешает работать есерву?
Eserv в память файлы не отображает. Алгоритм работы KAV-сканера мне неизвестен.
А это, как раз, можно было бы задавать коммандной строкой (с опциональным ключом)!
Примерно так:
Erobot.exe -c agents\pop3toss.cfg -o temp\%TempFile%.toss -i temp\%PrevTempFile%.eml -s {каталог}
И пусть люди сами решают что им важней: уверенность в том, что ВСЯ почта будет проверена АВП (отфильтрована и т.п.), или гарантированная НЕМЕДЛЕННАЯ доставка сообщений.
А переложить письмо ручками (заданием) в спул — задача не супер сложная...