К списку форумов К списку вопросов
Блокировка почтового вируса: на этапе коннекта или после приема?
lithium
08.10.2004 - 15:27
Вопрос скорее философского плана... Ситауция такая: при получении сообщения с вирусом есть две модели поведения:
.
1. Классический -- принять пообщение, ответить 250 кодом, положить в спул и отдать антивирусу (или отдать сразу). В случае нахождения вируса, отправить репорты админу и получателю, сообщение в карантин (опционально).
Плюсы: все в курсе всего (получатель, админ), память не занимается при нескольких коннектах и больших пиковых нагрузках.
Минусы: при большом потоке червей приходится настриавать отдельно под них не посылать репорты никому, занимается диск, лищние движения письма внутри системы.
.
2. Альтернативный -- поток данных на этапе DATA перенаправляется антивирусу, в случае обнаружения гадов дается отлуп (типа "550 Message body rejected"), и сессия завершается.
Плюсы:
Не дергается лишний раз никто в случае почтовых червей, диск не занимается лишнией дрянью, не делается лишних движений (сохранение сообщения, продвидежение его внутри системы и пр.), моральное удовлетворение от того, что вирус послали на х... и он в курсе ;), памяти занимается не больше (скорее всего), чем в первом случае.
Минусы: если чел посылает зараженный .doc, то в 50% он по обратному боунсу не поймет, почему его сообщение не дошло и в остальных 50% просто удалит боунс и будет жаловаться, что его пистьмо потерялось.
.
Imho второй случай больше подходит для червей, первый -- для заразных юзеров, однако, по моим наблюдениям доля червей составляет не меньше 99% от общего числа вирусов.
Если у кого есть здравые и конструктивные мысли и аргументы -- просьба высказаться.
Также интересует процентное отношение по вашим наблюдениям (не догадкам!) "черви/зараженные файлы юзеров".
Oracul
1 - 08.10.2004 - 15:33
Следую модели 1. Лучше лишний
135
2 - 08.10.2004 - 15:34
имхо самый крутой и достойный внимания путь - расширение протокола, выделение отдельного номера под ошибку "заражённое письмо" и рубить с этой ошибкой по второму пути.
З.Ы. Вообще уже давно назрела необходимость замены SMTP на новый, защищённый от спама, протокол.
Stepan Razin
3 - 08.10.2004 - 15:35
Ситуация двоякая, согласен. ИМХО, админа точно предупреждать не надо - при потоке писем, как у меня, например - я буду получать столько предупреждений, что вообще атас.
Получателя - неплохо бы, но тоже не всегда нужно - при чайниковских юзерах - они начнут звонить всем своим коллегам, чей адрес был подставлен в качестве обратного и истошно кричать: "У тебя вируууууусс!!!!!"
То же самое с отправителем.
Я предупреждаю только получателя и то, с соответствующими пояснениями.
***
Корпоративный антивирусный монитор на станциях/Файл-серверах просто молча прибивает, никому ничего не сообщая.
Oracul
4 - 08.10.2004 - 15:35
Извиняюсь. Итак. Следую модели 1. Лучше лишний раз дернуться. (строго имхо).
Соотношение примерно 85 - 15 в пользу червяков.
lithium
5 - 08.10.2004 - 15:43
пояснений/дополнения.
второй вариант лучше по соображениям из 3 поста -- получатель не будет лишний раз дергать владельца обратного адреса (подделаного чаще всего), т.к. даже если написать по-русски два раза "адрес получателя может быть подделан" это не помогает (из опыта). Общаться с получателями (отправителями) в моих условиях не вариант.
54321
6 - 08.10.2004 - 15:43
по мне 1 вариант .. но без репортов
все зависит от условий вполне подходит и творой вариант
8-))
7 - 08.10.2004 - 15:59
"налету" - оно, конечно, злобнее, но при этом нет "карантина" на сервере как такового. А он уже несколько раз помогал при неверном распознавании (ну и для отладки тоже).
.
При боунсах видно кто кого и за что именно. Винты нынче недороги... А черви не всегда получая 5хх успокаиваются. Многие продолжают "долбить".
lithium
8 - 08.10.2004 - 16:03
по моим наблюдениям обычно долбятся не больше трех раз (заносил затрояненные машины в свой RBL и смотрел логи). Тем более, с тем злобным патчем для rblsmtpd, про который я тебе говорил, можно арганизовать занесение особо злобных в rbl скриптом, анадизирующим логи... ;)
Про карантин -- это да, факт...
ma[DD]og
9 - 08.10.2004 - 16:05
Согласен и с первым вариантом и со вторым.
Но есть и третий варианнт. Да... ТРЕТИЙ... :-)
В RFC 3251 описывается метод передачи Electricity over IP
Предлагаю утилизировать импульсную энергию поступающих червей на подпитку
корпоративной сети.
tuxer
10 - 08.10.2004 - 16:08
Репорт сендеру точно не нужен (имхо), по этому поводу уже флеймили много в инете. Постмастеру же репорты нужны, но м.б. следует формировать ему письмо периодически (2 раза в день например), или по "запросу" с перечнем почтовой вирусни у его юзеров.
ano
11 - 08.10.2004 - 16:23
Ну, я тут, однако, белая ворона ;-) По мне, так только второй вариант. Причём, до антивирусника должен быть отфильтрован весь остальной спам - на основании ip, helo и т.п., после чего пара sender_ip/sender_email попадает у меня в серый список, и уже после всего этого проверяет антивирусник и ip отправителя вируса попадает на 3 дня в карантин (чтобы, опять же, лишний раз не дёргать). Получается такая картинка:
# grep 'rejected RCPT' /var/log/exim/mainlog | grep -v GreyList | wc -l
    2366
# grep VIRUS /var/log/exim/mainlog | wc -l
     144
lithium
12 - 08.10.2004 - 18:02
"и ip отправителя вируса попадает на 3 дня в карантин" -- это как, типа блеклистишь ip / делаешь лог с ротацией в три дня / или еще что -- не совсем понятно?
ano
13 - 08.10.2004 - 18:23
Я-ж тебе давал ссылочку на струмент, с помощью которого я это делаю.
http://rex.antar.bryansk.ru/~aef/check_log-0.3.tar.bz2
lithium
14 - 08.10.2004 - 18:27
попробую вспомнить...
off: выйди в icq, если можешь, надо спросить один момент.
gloomymen
15 - 13.10.2004 - 15:30
По просьбе одного из участников обсуждения, повторяю сказанное в асе:
На мой взгляд мочить молча, без каких-либо уведомлений, ни админу, ни сендерам, ни адресатам. Будут вопросы - можно лог посмотреть и ответить, но таких будет оч. мало, отлупы от сервера 99% не читают вообще, или понимают единственно, что их письмо не ушло и повторяют до посинения.
BigHarry
16 - 13.10.2004 - 15:43
У нас тоже по второй схеме - Exim дает отлуп после DATA - и пускай голова болит у MTA, засылающей вирус, что дальше делать с этим калом. А складывать вирусные письма куда-то в карантин - имеет смысл разве что только для колекции - а так - нафиг не нужно засорять винты всяким мусором...
lithium
17 - 13.10.2004 - 15:48
тут есть момент ложных срабатываний... жаль, что MTA + плагин не могут давать строку
550 Mesage rejected: Mydoom.M found
,просто посылают...
BigHarry
18 - 13.10.2004 - 15:49
(17) Могут. Именно так и пишут.
lithium
19 - 13.10.2004 - 16:08
не все йогурты одинаково полезны... У меня qmail -- там не получится без заметной переделки кода. Вроде inter7.com весьма активно взялся за это, будем надеяться... пока же самый подходящий вариант -- первый. Нашел нормальный плагин, правда, есть один момент сомнительный, но подправить его -- дело нетрудное, будем надеяться, что автор примет это, а то придется каждую версию патчить ;)
CD 20
20 - 14.10.2004 - 10:44
я использую первый вариант. почему? потому что иногда, когда письмо с зараженным файлом особенно важное, его можно вытащить из карантина и попробовать вылечить. да и вообще, этот подход мне больше импонирует - достаточно правильно настроить антивирус таким образом, чтобы он не отправлял репорты при обнаружении, скажем MyDoom-а, и не клал червивые письма в карантин. никаких лишних движений письма внутри системы у меня не происходит - сразу же после завершения smtp-сеанса, до постановки письма в очередь, письмо передается на растерзание drweb-у.
то есть, мое мнение - при правильном подходе к реализации первой стратегии - она бесконечно близко приближается ко второй. :)
а по поводу статистики - черви бесспорно лидируют со счетом 93:7 из 100. :)
lithium
21 - 14.10.2004 - 11:06
у меня ClamAV, DrWeb сейчас небесплатный, а воровать не хочется... Жаль только, что фильтры под ClamAV не могут некоторых вещей, прям хоть сам пиши...
CD 20
22 - 14.10.2004 - 11:38
а почему бы и не написать, в конце-то концов? :) а какого конкретно функционала тебе не хватает?
ano
23 - 14.10.2004 - 12:01
20: Сохранять заразное письмо никто не мешает в любом варианте.
lithium
24 - 14.10.2004 - 12:08
да оно в каждом есть по чуть-чуть, а в одном... :( сейчас ближе всего к идеалу http://www.fehcom.de/qmail/qmvc.html но там немного неоптимальный алгоритм отдачи файлов clamdscan и отчеты мне не нравятся... А так перечислять -- это надо собраться с мыслями, подумать -- за 5 минут не скажешь.
CD 20
25 - 14.10.2004 - 12:22
#23, а в чем тогда принципиальное различие?

К списку вопросов на форуме Сети

>>