13) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Когда отправляю письмо с приаттаченным файлом, демон проверяет все
нормально, кусочек лога:
Nov 5 14:59:27 relay sendmail[22756]: hA5CxRIm022756: from=<foo@example.com>,
size=15600, class=0, nrcpts=1, msgid=<msg-id#@example.com>, proto=ESMTP,
daemon=MTA, relay=domain.tld [10.0.0.1]
Hо когда отправляю то же самое письмо, и включена проверка почты
NAV-ом исходящих сообщений (на клиенте, откуда посылаю письмо), получаем
следующее:
Nov 5 14:58:48 relay sendmail[22751]: hA5CwlIm022751:from=<foo@example.com>,
size=0, class=0, nrcpts=1,proto=ESMTP, daemon=MTA, relay=domain.tld [10.0.0.2]
Nov 5 14:58:48 relay drweb-smf: [hA5CwlIm022751]: message from foo@example.com
is aborted
Ответ: NAV пытается зачем-то (не знаю, правда, зачем это нужно) отправить
пустое письмо, т.е. совсем пустое, даже заголовков нет. Sendmail-у это не
нравится, и он обрывает прием этого письма, о чем сообщает фильтру. Фильтр
просто констатирует этот факт. См. так же вопрос #5
14) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Стоит drweb-4.29.5: Странная вещь творится: вдруг ко мне пришло письмо
с вирусом Gibe.2:
Wed Nov 12 08:56:20 2003 [1459] /var/spool/filter/drweb.tmp.HM5dmX/[text:html]
- Ok
Wed Nov 12 08:56:20 2003 [1459] >>/var/spool/filter/drweb.tmp.HM5dmX/cgmgf.exe
- Ok
В тоже время на онлайновой проверке (http://online.drweb.com):
...
cgmgf.exe packed by UPX
>cgmgf.exe infected with Win32.HLLM.Gibe.2
Scan report for "cgmgf.exe":
Scanned : 1 Cured : 0
Infected : 1 Deleted : 0
...
Вот лог загрузки демона:
Wed Nov 12 04:02:07 2003 SIGHUP received, reloading...
Wed Nov 12 04:02:07 2003 Dr.Web (R) daemon for Linux, version 4.29.5 (January
6, 2003)
...
Wed Nov 12 04:02:08 2003 Key file: /opt/drweb/drwebd.key
Wed Nov 12 04:02:08 2003 Registration info:
Wed Nov 12 04:02:08 2003 0100000003
Wed Nov 12 04:02:08 2003 Evaluation key ID Anti-virus Lab St.Petersburg
Wed Nov 12 04:02:08 2003 Your registration key has expired!
...
Wed Nov 12 04:02:08 2003 This is an EVALUATION version with limited
...
Ответ: Демо-ключи выпускаются:
а) для конкретной версии, т.е. ключ от другой версии не будет валидным;
б) действуют ограниченный период (на 01.02.2004 это срок составляет 1 год),
после чего ключ также перестает быть валидным.
Указанное сообщение об ошибке и говорит, что демон будет работать без ключа,
т.е. находятся только те вирусы, которые ничем не упакованы.
Кстати, с версии 4.30 демон не будет загружаться, если действующий ключ не
загружен.
Объясняю, почему ловятся некоторые вирусы - первый уровень MIME
распаковывается без ключа (это ошибка в 4.29.х), но все остальные проверки
идут по ключу, соответствено все архивы (RAR, ZIP etc), упаковщики (UPX, DIET
etc) и вложенные MIME не проверяются.
15) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: У меня работает связка Dr.Web daemon + Dr.Web for 1, и включена
фильтрация по заголовкам (RuleFilter = on + RuleFitlerAlert = reject),
однако для некоторых заблокированных таким образом писем уведомление
отправителю не приходит, зато приходят два письма администратору:
Subject: Rule rejected message
Date: Thu, 13 Nov 2003 17:18:02 +0300
From: DrWeb-DAEMON <DrWEB-DAEMON@example.com>
To: System Administrator <postmaster@example.com>
Sender = <> (may be forged)
Recipients = postmaster@example.com
...
Ответ: Это происходит, если у вас среди правил есть правила, касающиеся
заголовка Subject:, т. к. 1 в уведомлении отправителю (и администратору)
использует старый заголовок, то уведомления тоже были заблокированы фильтром.
16) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: У меня установлен Dr.Web for Sendmail (версия ниже 4.30.1 или собран
из поставляемых исходных текстов), и иногда фильтр прекращает свою работу без
каких-либо видимых причин. Что это может быть?
Ответ: Да, такое может быть. Причина может быть в libmilter (написанной
авторами sendmail). Обычно это происходит в момент, когда сервер начинает
испытывать нагрузки, тогда в системных логах могут появляться сообщения вида:
Nov 20 19:54:09 name drweb-smf: Dr.WEB Sendmail filter VER: malloc(ctx)
failed (12), abort
или
Nov 20 19:54:09 name drweb-smf: Dr.WEB Sendmail filter VER: thread_create()
failed: 11, abort
Hачиная с версии 4.30.1 мы используем модифицированную версию libmilter, а
также поставляем патч для оригинальной версии sendmail-8.12.9. По-другому
эту проблему, к сожалению, решить никак нельзя.
Если вы считаете, что "падения" фильтра не связаны с этой причиной, то пишите
- будем выяснять.
17) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: У меня установлен почтовый фильтр Dr.Web, и для инфицированных
объектов выставлено действие discard (Infected = discard), однако, уведомления
все равно продолжают приходить. Почему? Я не хочу, чтобы они отправлялись.
Ответ: Действия, задаваемые в секции [Actions], и уведомления, задаваемые в
секции [...Notifications], действуют независимо: действие нужно для того,
чтобы фильтр знал, что надо ответить вашему почтовому серверу, а уведомления
могут быть отосланы вне зависимости от указанного действия. (Исключение:
действие pass - уведомления не высылаются). Таким образом, если вы не хотите
получать уведомлений, то в соответствующей секции отключите их. Для вашего
случая:
[VirusNotifications]
SenderNotify = no
AdminNotify = no
RcptsNotify = no
...
18) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Я установил ваш почтовый фильтр и отправил письмо с вирусом (вирус я
взял у друга, с инфицированной и т.п.), вирус был найден, однако уведомление
получил только администратор, хотя у меня включены уведомления для всех.
Почему?
Ответ: Скорее всего, для вируса, который вы послали, политика отсылки
уведомлений изменена с помощью конфигурационного файла /etc/drweb/viruses.conf
(точнее, с помощью конфигурационного файла, указанного в параметре
UnnotificableVirusesList в основном конфигурационном файле).
19) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Установил Dr.Web Daemon & Dr.Web for Sendmail, но не работает проверка
писем на вирусы, в почтовом логе такие записи:
...
Nov 24 19:11:20 vulture sendmail[873]: /etc/mail/aliases: 37 aliases, longest
12 bytes, 423 bytes total
Nov 24 19:11:48 vulture sendmail[878]: hAO9Bmvr000878:
milter_read(drweb-filter): cmd read returned 4, expecting 5
Nov 24 19:11:48 vulture sendmail[878]: hAO9Bmvr000878:
Milter (drweb-filter): to error state
Nov 24 19:11:48 vulture sendmail[878]: hAO9Bmvr000878:
Milter (drweb-filter): init failed to open
Nov 24 19:11:48 vulture sendmail[878]: hAO9Bmvr000878:
Milter (drweb-filter): to error state
Nov 24 19:11:48 vulture sendmail[878]: hAO9Bmvr000878:
from=<adm@test.ru>, size=803, class=0, nrcpts=1,
msgid=<60270330044.20031124191101@100h.ru>, proto=ESMTP,
daemon=MTA, relay=[192.168.*.**]
Nov 24 19:11:48 vulture sendmail[880]: hAO9Bmvr000878: to=<shest@test.ru>,
ctladdr=<adm@test.ru> (1012/6), delay=00:00:00, xdelay=00:00:00,
mailer=local, pri=31026, relay=local, dsn=2.0.0, stat=Sent
Ответ:
Вы неправильно подключили фильтр. В sendmail.cf (.mc) вы указали адрес демона
(drwebd), а надо прописать адрес, на котором фильтр (drweb-smf) будет ожидать
запросов от sendmail - этот же адрес указывается в параметре MilterAddress в
секции [Mailer] файла drweb_smf.conf. Адрес демона указывается в drweb32.ini
в параметре Socket и в параметре Address в секции [DaemonCommunication]
файла drweb_smf.conf.
Кроме всего прочего, для генерации правильного добавления в sendmail.cf (.mc)
и скрипта для автоматического старта фильтра можно воспользоваться утилитой
{drweb}/doc/sendmail/configure.
20) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Вот такой интересный файлик прислали "something.jpg.exe",
и онлайновая проверка говорит, что чистый. Может кинуть его кому?
Ответ: Есть специальный адрес для подозрительных файлов, вложений:
newvirus@drweb.com
Подозрительный файл лучше всего упаковать в архив с паролем.
В письме сообщить пароль и дать краткую информацию о ваших подозрениях.
21) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Поставил фильтр на почту, а уведомления приходят только администратору,
хотя в drweb_{mta}.conf:
...
[VirusNotification]
SenderNotify = yes
RcptsNotify = yes
AdminNotify = yes
...
шаблоны указаны и доступны. В чем дело?
Ответ: Дело скорее всего в том, что большинство вирусов, приходящих по почте,
это так называемые "черви", в файле viruses.conf (или в файле, указанном в
drweb_{mta}.conf->[Actions]->UnnotificableVirusesList) для таких вирусов
изменена политика уведомлений (запись Win32.HLLM). Связано это с тем, что
"черви" обычно подделывают адреса отправителя, и адрес получателя выбирается
случайным образом (обычно из адресной книги жертвы), поэтому уведомление
отправителю в этом случае можно считать "спамом".
22) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Я запутался в программах и лицензиях, которые вы предлагаете. Что для
чего нужно?
Ответ: Hа данный момент у нас есть 3 типа программ:
- сканер (drweb)
- демон (drwebd)
- фильтры почтовые (drweb-smf, drweb-postfix, ...)
и файловые (smb_spider, drweb-icapd)
Сканер нужен для проверки файлов на диске, список проверяемых файлов либо
задается в параметрах, либо читается со стандартного потока ввода. Для сканера
нужна отдельная лицензия.
Фильтры ничего не проверяют сами, только "умеют перехватывать" почту
(CommuniGate, Sendmail, ... ) и файлы (Samba, Squid) из соответствующих
программ.
Для них лицензия не нужна, и даже исходные тексты некоторых из них доступны на
сайте. Таким образом, без работающего демона фильтры совершенно бесполезны.
Демон - это проверка файлов на диске и данных полученных им через сетевые
соединения от фильтров или других программ по специальному протоколу. Для
демона
существует два вида лицензий, "почтовая (по адресам, по трафику)" и "файловая".
"Почтовая" лицензия нужна, если демон будет использоваться в паре с почтовыми
фильтрами.
"Файловая" лицензия нужна, если демон будет работать в паре с файловыми
фильтрами (Samba, Squid).
PS: Если куплена "файловая" лицензия, то демон HЕ будет проверять почту,
и наоборот. Можно купить обе лицензии сразу в одном ключе.
23) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Система FreeBSD 4.x (x =< 7). Поставил версию 4.31. Получаю:
/usr/local/drweb > ./drweb-smf.sh start
/usr/libexec/ld-elf.so.1: Undefined symbol "__stdoutp"
referenced from COPY relocation in /usr/local/drweb/drweb-smf
Что делать?
Ответ: Использовать drweb-smf.static, этот же совет касается всех остальных
фильтров.
24) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Установил Dr.Web Sendmail, но проверка почты не работает. В логе
демона:
===
Daemon is installed, active interfaces: 127.0.0.1:3000
Unknown command received: 13!
===
(asv: либо, если включено использование russian.dwl)
===
Демон загружен, активные интерфейсы: 127.0.0.1:3000
Получена неизвестная команда: 13
===
Что делать?
Ответ: Прочитайте ответ на вопрос #19, у вас та же самая проблема.
25) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Система FreeBSD. Hе работает фильтр правил (RejectCondition) в демоне,
если в правилах используется русский язык? Что делать?
Ответ: Во-первых, правила надо задавать только в кодировке KOI8-R.
Во-вторых, следует понимать, что если заголовок (например Subject:), который
вы хотите фильтровать, идет в 8bit (т.е. в нарушение стандарта на почту, т.к.
должен быть закодированы =?koi8-r?B?..?= или =?cp1251?Q?..?=, т.е. с указанием
кодировки), то он будет сравниваться без учета кодировки. Такие сообщения
(идущие в 8bit) так же могут быть заблокированы фильтром:
RejectCondition Subject = "8bit"
Hу и наконец, для пользователя, с правами которого работает демон, должна быть
правильно настроена локаль на KOI8-R:
1. В файл /etc/login.conf добавить (хотя обычно уже есть):
#
# Russian Users Accounts. Setup proper environment variables.
#
russian:Russian Users Accounts:\
:charset=KOI8-R:\
:lang=ru_RU.KOI8-R:\
:tc=default:
Для обновления /etc/login.conf.db:
# cap_mkdb /etc/login.conf
2. Теперь пользователю drweb надо указать, что он относится к классу russian:
# pw usermod drweb -L russian
3. Иногда надо в скрипте запуска демона добавить перед строкой "case "$1" in"
LC_ALL=ru_RU.KOI8-R
export LC_ALL
4. Перезапустить демона ...
26) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Hа сайте http://www.testvirus.org решил проверить работу фильтра
Dr.Web, но из 25 тестов Dr.Web пропустил некоторые варианты. Как вы это
прокомментируете?
Ответ: Ответ по состоянию сайта на 19 мая 2004 года, т.к. сайт мог измениться
и тесты тоже, у нас были пропущены следующие тесты:
Test #12: Eicar virus within a password protected ZIP file
Test #24: Test for the "Partial (Fragmented) Vulnerability". This does not
include Eicar virus, but your mail server still must block this since it can
break a virus into multiple emails and reassemble it in your inbox.
- Может быть заблокировано, если опцию SkipObject переключить с pass на
любое другое действие.
Test #14: Eicar virus sent in a Microsoft TNEF file (winmail.dat)
- Формат TNEF на данный момент не разбирается.
Test #25: Attachment with a CLSID extension which may hide the real file
extension. This does not include Eicar virus, but your mail server still
must block this since it can hide the true extension of a file
- Сообщение не содержит вредоносного кода.
Test #16: Eicar string in HTML, to ensure that your mail server scans HTML
segments
Test #19: Eicar virus within zip file hidden using the "Blank Folding
Vulnerability"
Test #21: Eicar virus within zip file hidden using the "Long MIME Boundary
Vulnerability"
Test #23: Eicar virus within zip file hidden using the "Empty MIME Boundary
Vulnerability"
- В таком виде вирус не опасен и распространяться не будет, можно сказать, что
просто мусор.
Кстати, сканер таки определяет вирус в #16 и #21, но в демоне более быстрый и
простой разбор почты.
27) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: После очередного обновления версия 4.29.2 (или 4.29.5) стала "падать"
на большом кол-ве сообщений. Как объясните?
Ответ: Проблема не в базах (это легко проверить, если загрузить демона только
с основной базой и "проблемным" обновлением) - это ошибка в 4.29 (точнее в
drweb32.dll версии 4.29). Таким образом, единственным решением может быть
обновление на более свежую версию, т.к. фиксов для старых версий мы не
выпускаем. Почему мы так делаем, читайте ответ на вопрос #0.
28) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Я установил Dr.Web Daemon & Dr.Web Filter for Sendmail, вроде все
настроил правильно однако фильтр не стартует, а в /var/log/messages следующие
сообщения:
Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
Unable to bind to port 3000@localhost: Address already in use
Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
Unable to create listening socket on conn 3000@localhost
или
Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
Unable to bind to port local:/var/drweb/run/.daemon: Address already in use
Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
Unable to create listening socket on conn local:/var/drweb/run/.daemon
Ответ: Вы указали в параметре MilterAddress секции [Mailer] файла
drweb_smf.conf параметры соединения с демоном, тогда как должно быть указано
соединения для взаимодействия с sendmail, это же соединение описывается в
sendmail.cf. Т.е. должно быть так:
в drweb32.ini
Socket = 3000 localhost
в drweb_smf.conf:
[DaemonCommunication]
Address = inet:3000@localhost
...
[Mailer]
...
MilterAddress = inet:3001@localhost
и в sendmail.cf:
Xdrweb-filter, S=inet:3001@localhost, F=T, T=C:1m;S:5m;R:5m;E:1h
29) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: У меня установлен демон Dr.Web и почтовый фильтр, иногда я получаю на
адрес администратора сообщения, что какое-то сообщение не было проверено по
причине:
The filter cannot connect to the DrWEB daemon
Как этого можно избежать в дальнейшем ?
Ответ: Есть две причины, по которым это могло произойти.
а) Резко скакнула нагрузка и просто переполнилась очередь соединений к демону.
б) Демон, по каким-то причинам был не доступен.
Есть два способа избежать этих проблем. Второй способ наиболее универсален
(подойдет для обоих случаев).
i) Использовать несколько сокетов между демоном и фильтром. Пример
конфигурации:
drweb32.ini:
Socket = /var/drweb/run/.drwebd
Socket = 3000 localhost
drweb_{mta}.conf: ({mta} = smf, cgp, postfix, exim, qmail, zmailer, courier
or mio)
[DaemonCommunication]
Address = local:/var/drweb/run/.drwebd, inet:3000@localhost
Тем самым мы получим такой эффект: если к первому сокету коннект не прошел
(там очередь переполнена), то фильтр будет пытаться присоединиться ко второму.
ii) Hамного более надежный и универсальный способ - использовать второго
запущеного демона (можно на этом же хосте, но лучше на другом), который и
будет сглаживать пики нагрузки или недоступность основного демона. Пример
drweb_{mta}.conf: ({mta} = smf, cgp, postfix, exim, qmail, zmailer, courier or
mio)
[DaemonCommunication]
Address = local:/var/drweb/run/.drwebd, inet:3000@another.myhost.example.com
Замечание: Режим локального сканирования (LocalScan = yes) не будет работать в
фильтре для второго сокета даже если этот сокет обслуживается демоном
установленным на этом же хосте.
30) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: После апгрейда на 4.32 появилась ошибка с отправкой многотомных
архивов.
В drweb_{mta}.conf прописано:
SkipObject = pass
[SkipNotifications]
SenderNotify = yes
AdminNotify = yes
RcptsNotify = no
SenderTemplate = /usr/local/etc/drweb/templates/en-ru/sendmail/skip-sender.msg
AdminTemplate = /usr/local/etc/drweb/templates/en-ru/sendmail/skip-admin.msg
RcptsTemplate =
При этом само письмо доставляется, но одновременно идет и письмо с руганью,
которое я прицепил в аттаче.
Ответ: Это не ошибка - это нововведение в 4.32 - уведомления отсылаются даже
если для условия выставлено действие pass, т.е. единственным критерием слать
\не слать является секция [SkipNotifications]. Текст дефолтных уведомлений
рассчитан, естественно на случай reject\discard.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Автор: Сергей Ахапкин <asv@drweb.com>
$Revision: 1.4 $
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Страница12 | Предыдущая | Следующая