Регистрация...

Eserv Forum / Plugins / Antivirus / Оповещение отправителя вируса (только локального)

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Подскажите, как настроить KAV-плагин к Есерв2, чтобы ПИСЬМО-Оповещение отправителю вируса отсылалось
ТОЛЬКО когда оно(письмо с виром) было послано из моей локалки (LOCAL).
Не хочу отвечать на спам
 
Комментарии к этой версии (02.06.2004 10:58) [~DeBuck] e9de12aa
АвторДатаТекстtags
ac02.06.2004 12:10
Изменить шаблон eserv2\agents\sent_virus.pat

Более гибкое управление антивирусными извещениями — в Eserv/3. По умолчанию вообще не высылаются, т.к. уже давно это бессмысленно, т.к. адрес отправителя у современных вирусов всегда поддельный. Eserv/3 определяет вирус еще во время SMTP-сессии, и поэтому имеет возможность ответить настоящему отправителю вируса сразу — в ответ на команду DATA выдать ошибку с именем вируса.
imported
DeBuck02.06.2004 13:20
ac пишет: Изменить шаблон eserv2\agents\sent_virus.pat

Мне нужно отпрвлять только когда
%VIRUS-NAME% содержит подстроку "LOCAL!".
Это возможно реализовать в шаблоне (как) ?

ac пишет: в Eserv/3. По умолчанию вообще не высылаются, т.к. уже давно это бессмысленно

НЕ СОГЛАСЕН.
К сожалению, есть ложные срабатывания.
Отправитель (локальный) должен знать, что его письмо не было отправлено (и причину сего).
imported
ac02.06.2004 13:45
DeBuck пишет:
ac пишет: в Eserv/3. По умолчанию вообще не высылаются, т.к. уже давно это бессмысленно

НЕ СОГЛАСЕН.
К сожалению, есть ложные срабатывания.
Отправитель (локальный) должен знать, что его письмо не было отправлено (и причину сего).


В случае Eserv/3 отправитель даже не сможет отправить вирус — ему (его Аутлуку или прочему клиенту) тут же сразу Eserv скажет, что "в твоем письме вирус, оставь его себе".
imported
ac02.06.2004 13:49
DeBuck пишет:
ac пишет: Изменить шаблон eserv2\agents\sent_virus.pat

Мне нужно отпрвлять только когда
%VIRUS-NAME% содержит подстроку "LOCAL!".
Это возможно реализовать в шаблоне (как) ?


Вы имели в виду %VIRUS-FILE%?

Чтобы ответить, остается узнать, КОМУ отправлять уведомление? Адреса-то поддельные даже в случае локальной отправки вируса с зараженной машины.
imported
DeBuck02.06.2004 14:00
ac пишет: Чтобы ответить, остается узнать, КОМУ отправлять уведомление? Адреса-то поддельные даже в случае локальной отправки вируса с зараженной машины.

Если поддельные — POSTMASTER-у, например.
Но в большинстве случаев адреса как раз настоящие (макровирусы в офисных документах и т.п.).
И, в любом случае, нужно знать КТО занимается такой рассылкой.
imported
ac02.06.2004 15:27
В eserv2\agents\av.cfg есть такая процедура:

: FROM ( -- addr u ) Senders @ ?DUP IF NodeValue XCOUNT ELSE S" " THEN ;


Её можно заменить на

: FROM ( -- addr u ) VIRUS-FILE S" !LOCAL!" SEARCH NIP NIP IF \ локальный отправитель Senders @ ?DUP IF NodeValue XCOUNT ELSE S" " THEN ELSE \ внешний S" postmaster@local" \ уведомление постмастеру вместо внешнего отправителя THEN ;
imported
DeBuck02.06.2004 16:58
ac пишет: В eserv2\agents\av.cfg есть такая процедура...

Огромное спасибо!
Правда, Вы меня не совсем верно поняли...
Я предлагал перенаправлять предупреждение постмастеру не когда вирус приходит снаружи, а когда вирус приходит с локального IP, но от имени нелокального пользователя (с левого адреса).
А в случае внешней почты, то и извещение вообще не требуется.
Но пусть уж оно лучше валится постмастеру, чем отправляется в никуда...
А все-таки можно сделать алгоритм а-ля:
: FROM ( -- addr u ) VIRUS-FILE S" !LOCAL!" SEARCH NIP NIP IF \ локальный отправитель Senders @ ?DUP IF NodeValue XCOUNT ELSE S" " THEN ELSE \ внешний EXIT \ уведомление не требуется THEN ;
imported
ac02.06.2004 17:55
Если вместо EXIT (выход из процедуры) поставить BYE (выход из Erobot), то примерно так и получится.
imported
DeBuck03.06.2004 10:54
ac пишет: Если вместо EXIT (выход из процедуры) поставить BYE (выход из Erobot), то примерно так и получится.

Вставил BYE.
Получилось так (лог тоссера):

11:33:15 258192 {отправитель}!POP3!4202228859!5
11:33:15 258192 Infected! — {название_вируса}
11:33:15 258192 agents\Erobot.exe -c agents\av.cfg -p1 "{название_вируса}" -p2 {домен} -i "mail\spool\{отправитель}!POP3!4202228859!5" -o temp\av.1.258192.4202232875.txt
11:33:21 258192 {отправитель}!POP3!4202228859!5 — moving to 'infected' folder (1=OK): 1
11:33:21 258192
11:33:27 258193 {получатель}!erobot!4202238875!1
11:33:27 258193
11:33:27 258193 corrupted file
11:33:27 258193 {получатель}!erobot!4202238875!1 — moving to 'loop' folder OK


Файл {получатель}!erobot!4202238875!1 содержит:
For: {получатель}
From: antivirus@{домен}
To: {получатель}
Date: Thu, 3 Jun 2004 11:27:03 +0400
Subject: [Eserv Antivirus] Mail delivery failed (virus detected)
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit

(see English version below)

дПВТЩК ДЕОШ!

уППВЭЕОЙЕ, ПФРТБЧМЕООПЕ чБН У БДТЕУБ


Не дописал робот конец оповещения ...
Отправителю ничего не пишет, но и получателю не получается.
Видимо где-то еще надо av.cfg подправить.
Поможете
imported
DeBuck03.06.2004 12:59
Перенес проверку условия в другое место.
Вроде бы раборает так, как было задуманно.
: ReplyProc S" From:" GetFieldValue Senders ParseRcpt S" To:" GetFieldValue Recipients ParseRcpt Get'From'AddressFromFileName RecvVirus CR VIRUS-FILE S" !LOCAL!" SEARCH NIP NIP IF \ локальный отправитель SentVirus CR THEN ;

Этого достаточно или нужно еще добавлять проверку в место:
: RecvVirus S" agents\recv_virus.pat" PAT ; : SentVirus S" agents\sent_virus.pat" PAT ;

imported
Работает на Eserv/5.05555 (05.06.2016)