Регистрация...

Eserv Forum / Plugins / Antivirus / Уведомление от KAV postmaster-у

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Надо отсылать уведомление о попытке пролета вируса через почтовик тех-службе ну или хотя-бы на postmaster.
Как я понимаю — надо подправить av.cfg и сделать еще один файл-шаблон с сообщением.
Кто-нибудь может помочь с решением данного вопроса?
 
Комментарии к этой версии (21.05.2002 06:12) [~pavlad] 3f0e0080
АвторДатаТекстtags
pig21.05.2002 11:48
Это настолько легко, что сам Форт знать необязательно, достаточно понимания его постфиксности А может, и этого не требуется.

В av.cfg добавляете к SentVirus и RecvVirus по образу и подобию ещё и AdminVirus (как описание процедуры, так и её вызов). А шаблон сделать один из другого ещё проще. Текст по вкусу.
imported
ostrov07.06.2002 08:33
Вот с пониманием как раз и проблемы... , вот бы примерчик... готового решения....
И текст по вкусу — а в какой кодировке его набивать (по русски)? У меня при просмотре файла в FARе каракули...
imported
pig07.06.2002 11:39
Ну смотрите. AV.CFG, отсылающий ТОЛЬКО извещение администратору:

( This is configuration file for Erobot.
    Example of antivirus reply. With this config Erobot will read
    incoming mail messages and create mail for virus sender and
    virus recipient. See the *.pat files for example of robot answers.
)

VARIABLE Recipients ( список получателей )
VARIABLE Senders ( список отправителей )
VARIABLE VirusName

: VIRUS-NAME ( — addr u )
    P1 @ COUNT
;
: VIRUS-FILE ( — addr u )
    INfile @ COUNT 11 — 0 MAX SWAP 11 + SWAP
;
: DOMAIN ( — addr u )
    P2 @ COUNT
;
: FROM ( — addr u )
    Senders @ ?DUP IF NodeValue XCOUNT ELSE S" " THEN
;
: TO- ( — addr u )
    Recipients @ ?DUP IF NodeValue XCOUNT ELSE S" " THEN
;
: DATE- ( — addr u )
    S" Date:" GetFieldValue
;
: SENDER ( — addr u )
    S" From:" GetFieldValue
;
: FileExists ( addr u — flag )
    R/O OPEN-FILE ?DUP
    IF NIP DUP 2 = SWAP 3 = OR 0=
    ELSE CLOSE-FILE THROW TRUE
    THEN
;
: PAT ( addr u — )
    2DUP FileExists
    IF
        TO- NewErobotSpoolFile 2DUP TYPE CR
        R/W CREATE-FILE-NOT-SHARED THROW EvalPattern
    ELSE TYPE ." — not exists" CR THEN
;

\ : RecvVirus S" agents\recv_virus.pat" PAT ;
\ : SentVirus S" agents\sent_virus.pat" PAT ;
: AdminVirus S" agents\virusalert.pat" PAT ;

: Get'From'AddressFromFileName ( — )
    INfile @ ?DUP
    IF COUNT 11 — 0 MAX SWAP 11 + SWAP
2DUP S" !" SEARCH 0= IF 2DROP EXIT THEN
DROP NIP OVER — \ addr u
2DUP TYPE CR
COPYBUFC Senders AddNode
    THEN
;
: ReplyProc
    S" From:" GetFieldValue Senders ParseRcpt
    S" To:" GetFieldValue Recipients ParseRcpt
    Get'From'AddressFromFileName
\ RecvVirus CR
\ SentVirus CR
    AdminVirus CR
;
: MessageEnd
    ['] ReplyProc CATCH .
    ICO @ DELETE-TRAY-ICON DROP
    BYE
;

И шаблон сообщения (virusalert.pat):

For: admins@local
From: "Mailer-Daemon" <postmaster@local>
To: "Administrator" <admins@local>
Date: %DATE-%
Subject: Внимание, вирусы!
Mime-Version: 1.0
Content-Type: text/plain; charset=windows-1251
Content-Transfer-Encoding: 8bit

В поступившем письме (см. mail\infected\%VIRUS-FILE%), отправленном с адреса %FROM% на адрес %TO-%, обнаружен вирус %VIRUS-NAME%

.

admins — это у меня список рассылки, в котором все администраторы прописаны.
imported
ostrov07.06.2002 15:00
С П А С И Б О
imported
laborant19.07.2002 14:36
описанный способ работает для принимаемой почты? или для отправляемой тоже?
imported
pig19.07.2002 14:53
Для всей.
imported
ppppp13.08.2002 10:38
А ведь про это уже писалось ранее:
Предлагался способ более простой — добавление необходимых адресов (хоть сотню, но по строке на каждый, либо на группу) в один из шаблонов, например в recv_virus.pat:

Например:

For: %TO-%
For: postmaster@local
From: antivirus@%DOMAIN%

и тогда копия предупреждения пойдет по указанным адресам
imported
amb13.01.2003 08:17
Как подправить av.cfg чтобы он разбирал не только поле to: которое бывает и пустым, но и служебную позицию For: ?
Что-то полезло много в последнее время всяких червей. Для письма с червяком конечно это неактуально. Но хочется видеть получателя сразу, а не залазя в зараженное письмо.

PS у меня конкретно полезли вирусы с 9 января. Перед этим какое-то затишье было
imported
pig13.01.2003 13:44
Добавить вот такую строчку туда, где анализируются заголовки письма:
S" Received:" GetFieldValue Recipients ParseRcpt(For)


Ко мне тоже 9 посыпались. Что странно — в лидерах Avril.2, хоть он и без автозапуска. Но, похоже, Avril.1 сейчас его догонит и перегонит.
imported
amb13.01.2003 14:12
pig пишет: Добавить вот такую строчку туда, где анализируются заголовки письма:
S" Received:" GetFieldValue Recipients ParseRcpt(For)



Понять не могу куда это вставить. Можно поконкретнее
Я что-то и предполагал подобное
imported
pig13.01.2003 14:31
Вот так:
: ReplyProc S" From:" GetFieldValue Senders ParseRcpt S" To:" GetFieldValue Recipients ParseRcpt S" Received:" GetFieldValue Recipients ParseRcpt(For) Get'From'AddressFromFileName
imported
Работает на Eserv/5.05567 (10.02.2020)