В статье описан процесс настройки и установки пакета DrWeb для фильтрации почты содержащей вирусы. В качестве MTA используется Sendmail.[[END]]
<p>Использование "порта" drweb-sendmail облегчает процесс инсталляции сводя кропотливую работу по конфигурированию и пересборке sendmail к выполнению команды make && make install.
<p>Drweb, поставляемый с коллекцией портов предоставляется с ознакомительным ключом который накладывает ограничения на работу антивируса. Он не сможет лечить инфицированные файлы, проверять файлы в архивах и почтовых базах, что не помешает ему отловить письмо содержащее вирус, поместить его в специальную папку а получатели и отправителю отправить извещение о данном инциденте.URL: http://fido.gerald.ru/drweb.html
Новость: http://www.opennet.me/opennews/art.shtml?num=1211
"...и отправителю отправить извещение..."угу, вот из-за таких доброжелателей, потом приходится вот такие письма слать:
уберите этот SPAM, plz -- я не рассылаю вирусы... а уведомление по полю
From: суть проявление не очень глубокой мысли о "пользе" таких действий.
Дело в том, что значение в From: подделывается настолько просто, что это
даже трудно назвать подделкой -- его просто можно поставить, практически,
любым. Таким образом это бесполезная трата ресурсов, в том числе, моего и
вашего времени....
И когда думать начнут?...
Скорее всего - это все-же непродумманость антивирусного ПО, разработчики которого, не разобравшись толком в предмете, полезли переписывать свои продукты для фильтрации почты.
Даже страшно представить какой код поддерживает этих страшных монстров с закрытыми исходикими (DrWeb и AVP). Готов поспорить, что рано или поздно, найдут таки лазейку по проделыванию rm -rf / через письмо к антивирусу :-)
А юзерам уведомления слать нужно, иначе юзеры к стенке поставят, за то что письма грохаем без предупреждения.
да, насчет багов согласен -- я тоже не доверяю, почему-то...а насчет писма слать... да что с вами со всеми?
это как бить по морде всех, кто носит серую футболку только потому, что парень, который вам сам двинул когда-то, любил серый цвет...в общем -- НЕТ, НЕТ и еще раз НЕТ. будьте умнее.
Кстати, лучше уж тогда письма не грохать...
>а насчет писма слать... да что
>с вами со всеми?Слать должен не DrWeb, а MTA отправителя, который получит отлуп в момент отправки. Те юзеру придетписьмо от локального MAILER-DAEMON с сообщением о том что письмо не дошло. Это и нужно, сообщить что письмо выкинуто и не достигло отправителя, а то что его DrWeb рассылаеть самостоятельно, это от части и есть непродуманность DrWeb, который занимается проверкой после окончании сессии с удаленным MTA. Просто письмо, молча, грохать нельзя, неправильно это.
>Слать должен не DrWeb, а MTA
>отправителя, который получит отлуп в
>момент отправки. Те юзеру придетписьмо
>от локального MAILER-DAEMON с сообщением
>о том что письмо не
>дошло. Это и нужно, сообщить
>что письмо выкинуто и не
>достигло отправителя, а то что
>его DrWeb рассылаеть самостоятельно, это
>от части и есть непродуманность
>DrWeb, который занимается проверкой после
>окончании сессии с удаленным MTA.
>Просто письмо, молча, грохать нельзя,
>неправильно это.он получит его не в момент отправки, по кр. мере, не всегда так, и не только так.
Схема:
MUA1--MTA1--MTA2--MDA2
(вирус в 1, особо "продвинутый" админ на MTA2 настроил проверку на вирусы)
Вообще, возможных схем обработки множество, рассмотрю наиболее популярные (простые):
1.1) мессаги сначала попадают в queue, а потом происходят проверка и delivery, или 1.2) сражу же, как только message прочитан, идет проверка и на основании этого, сеанс transfer'а заканчивается успешно или нет, в зависимости от результатов проверки. (Кстати, 1.1 схема получше, она создает меньше нагрузки и лучше адаптируется к ней).
итак,
1.1) пришел вирус. delivery не будет, нужно известить об этом автора. До этого все было нормально, но глупость начинается именно отсюда -- вера в From:.1.2) в письме вирус. Мы его не примем! Мы обломаем MTA1, а тот, в свою очередь будет вынужден послать оповещение "отправителю". Если слал вирус, который подделывает From[:], то отлуп вновь получит совершенно левый чел. Но это не столько наша проблема, сколько MTA1, который позволяет кому-угодно (или некоторым) отправлять письма от чужого имени. Хотя, все равно, как-то не хорошо
-- таких MTA1 в Internet оч. много. А вообще эта схема случается реже, в основном все происходит по 1.1**********
Что я бы предложил тем, кто хочет проверять почту на вирусы. (Предположим, мы админим систему 2)Разделять случаи, когда мы полчили вирус из своих сетей или Internet.
Если из "своих", то можно и отправить оповешение, хотя для полного счастья, нужно ввести бы еще и авторизацию пользователей для отправки под своим адресом.Если из Internet, мы не можем быть уверены, что в From: "правильный" адрес, поэтому _молча_ убиваем это письмо, но ответственным за это убийство должен быть тот, к кому это письмо шло, и кто это убийство "санкционировал" (если он _сам_ или политика фирмы, решили, что письма с вирусами не должны попадать в ящик, а "лечения", например нет, или оно принципиально не принято). В таком случае,
в ящик получателю должно попасть уведомление об этом "убийстве", с полной информаций из заголовков письма и ПРЕДУПРЕЖДЕНИЕМ, о том, что адрес "отправителя" может быть поддельным. Ни в коем случае не должно быть автоматического уведомления "отправителя".Вот, что я имею сказать по этому наболевшему вопросу. Надеюсь, что не слишком запутанно выражался.
P.S. А вообще, все ж просто -- не учи Инет жить, максимум, чего ты, вероятно, можешь делать -- учить своих пользователей. И это перекликается с "be conservative in what you send...". Поэтому препятствуйте отправке писем с вирусами своим пользователям, но если заходите дальше и начинаете пряпятствовать приему оных, то не мешайте остальным -- это ваша проблема, что вы получили вирус. А если так хочется докопаться до реального отправителя, то изучайте путь месаджа в заголовках, только не забывайте, что их тоже можно легко подделать.
На этой оптимистичной ноте, я завершаю мое эссе.