![]() |
![]() |
lithium 08.10.2004 - 15:27 |
Вопрос скорее философского плана... Ситауция такая: при получении сообщения с вирусом есть две модели поведения: . 1. Классический -- принять пообщение, ответить 250 кодом, положить в спул и отдать антивирусу (или отдать сразу). В случае нахождения вируса, отправить репорты админу и получателю, сообщение в карантин (опционально). Плюсы: все в курсе всего (получатель, админ), память не занимается при нескольких коннектах и больших пиковых нагрузках. Минусы: при большом потоке червей приходится настриавать отдельно под них не посылать репорты никому, занимается диск, лищние движения письма внутри системы. . 2. Альтернативный -- поток данных на этапе DATA перенаправляется антивирусу, в случае обнаружения гадов дается отлуп (типа "550 Message body rejected"), и сессия завершается. Плюсы: Не дергается лишний раз никто в случае почтовых червей, диск не занимается лишнией дрянью, не делается лишних движений (сохранение сообщения, продвидежение его внутри системы и пр.), моральное удовлетворение от того, что вирус послали на х... и он в курсе ;), памяти занимается не больше (скорее всего), чем в первом случае. Минусы: если чел посылает зараженный .doc, то в 50% он по обратному боунсу не поймет, почему его сообщение не дошло и в остальных 50% просто удалит боунс и будет жаловаться, что его пистьмо потерялось. . Imho второй случай больше подходит для червей, первый -- для заразных юзеров, однако, по моим наблюдениям доля червей составляет не меньше 99% от общего числа вирусов. Если у кого есть здравые и конструктивные мысли и аргументы -- просьба высказаться. Также интересует процентное отношение по вашим наблюдениям (не догадкам!) "черви/зараженные файлы юзеров". |
Oracul 1 - 08.10.2004 - 15:33 | Следую модели 1. Лучше лишний |
135 2 - 08.10.2004 - 15:34 |
имхо самый крутой и достойный внимания путь - расширение протокола, выделение отдельного номера под ошибку "заражённое письмо" и рубить с этой ошибкой по второму пути. З.Ы. Вообще уже давно назрела необходимость замены SMTP на новый, защищённый от спама, протокол. |
Stepan Razin 3 - 08.10.2004 - 15:35 |
Ситуация двоякая, согласен. ИМХО, админа точно предупреждать не надо - при потоке писем, как у меня, например - я буду получать столько предупреждений, что вообще атас. Получателя - неплохо бы, но тоже не всегда нужно - при чайниковских юзерах - они начнут звонить всем своим коллегам, чей адрес был подставлен в качестве обратного и истошно кричать: "У тебя вируууууусс!!!!!" То же самое с отправителем. Я предупреждаю только получателя и то, с соответствующими пояснениями. *** Корпоративный антивирусный монитор на станциях/Файл-серверах просто молча прибивает, никому ничего не сообщая. |
Oracul 4 - 08.10.2004 - 15:35 |
Извиняюсь. Итак. Следую модели 1. Лучше лишний раз дернуться. (строго имхо). Соотношение примерно 85 - 15 в пользу червяков. |
lithium 5 - 08.10.2004 - 15:43 |
пояснений/дополнения. второй вариант лучше по соображениям из 3 поста -- получатель не будет лишний раз дергать владельца обратного адреса (подделаного чаще всего), т.к. даже если написать по-русски два раза "адрес получателя может быть подделан" это не помогает (из опыта). Общаться с получателями (отправителями) в моих условиях не вариант. |
54321 6 - 08.10.2004 - 15:43 |
по мне 1 вариант .. но без репортов все зависит от условий вполне подходит и творой вариант |
8-)) 7 - 08.10.2004 - 15:59 |
"налету" - оно, конечно, злобнее, но при этом нет "карантина" на сервере как такового. А он уже несколько раз помогал при неверном распознавании (ну и для отладки тоже). . При боунсах видно кто кого и за что именно. Винты нынче недороги... А черви не всегда получая 5хх успокаиваются. Многие продолжают "долбить". |
lithium 8 - 08.10.2004 - 16:03 |
по моим наблюдениям обычно долбятся не больше трех раз (заносил затрояненные машины в свой RBL и смотрел логи). Тем более, с тем злобным патчем для rblsmtpd, про который я тебе говорил, можно арганизовать занесение особо злобных в rbl скриптом, анадизирующим логи... ;) Про карантин -- это да, факт... |
ma[DD]og 9 - 08.10.2004 - 16:05 |
Согласен и с первым вариантом и со вторым. Но есть и третий варианнт. Да... ТРЕТИЙ... :-) В RFC 3251 описывается метод передачи Electricity over IP Предлагаю утилизировать импульсную энергию поступающих червей на подпитку корпоративной сети. |
tuxer 10 - 08.10.2004 - 16:08 | Репорт сендеру точно не нужен (имхо), по этому поводу уже флеймили много в инете. Постмастеру же репорты нужны, но м.б. следует формировать ему письмо периодически (2 раза в день например), или по "запросу" с перечнем почтовой вирусни у его юзеров. |
ano 11 - 08.10.2004 - 16:23 |
Ну, я тут, однако, белая ворона ;-) По мне, так только второй вариант. Причём, до антивирусника должен быть отфильтрован весь остальной спам - на основании ip, helo и т.п., после чего пара sender_ip/sender_email попадает у меня в серый список, и уже после всего этого проверяет антивирусник и ip отправителя вируса попадает на 3 дня в карантин (чтобы, опять же, лишний раз не дёргать). Получается такая картинка: # grep 'rejected RCPT' /var/log/exim/mainlog | grep -v GreyList | wc -l 2366 # grep VIRUS /var/log/exim/mainlog | wc -l 144 |
lithium 12 - 08.10.2004 - 18:02 | "и ip отправителя вируса попадает на 3 дня в карантин" -- это как, типа блеклистишь ip / делаешь лог с ротацией в три дня / или еще что -- не совсем понятно? |
ano 13 - 08.10.2004 - 18:23 |
Я-ж тебе давал ссылочку на струмент, с помощью которого я это делаю. http://rex.antar.bryansk.ru/~aef/check_log-0.3.tar.bz2 |
lithium 14 - 08.10.2004 - 18:27 |
попробую вспомнить... off: выйди в icq, если можешь, надо спросить один момент. |
gloomymen 15 - 13.10.2004 - 15:30 |
По просьбе одного из участников обсуждения, повторяю сказанное в асе: На мой взгляд мочить молча, без каких-либо уведомлений, ни админу, ни сендерам, ни адресатам. Будут вопросы - можно лог посмотреть и ответить, но таких будет оч. мало, отлупы от сервера 99% не читают вообще, или понимают единственно, что их письмо не ушло и повторяют до посинения. |
BigHarry 16 - 13.10.2004 - 15:43 | У нас тоже по второй схеме - Exim дает отлуп после DATA - и пускай голова болит у MTA, засылающей вирус, что дальше делать с этим калом. А складывать вирусные письма куда-то в карантин - имеет смысл разве что только для колекции - а так - нафиг не нужно засорять винты всяким мусором... |
lithium 17 - 13.10.2004 - 15:48 |
тут есть момент ложных срабатываний... жаль, что MTA + плагин не могут давать строку 550 Mesage rejected: Mydoom.M found ,просто посылают... |
BigHarry 18 - 13.10.2004 - 15:49 | (17) Могут. Именно так и пишут. |
lithium 19 - 13.10.2004 - 16:08 | не все йогурты одинаково полезны... У меня qmail -- там не получится без заметной переделки кода. Вроде inter7.com весьма активно взялся за это, будем надеяться... пока же самый подходящий вариант -- первый. Нашел нормальный плагин, правда, есть один момент сомнительный, но подправить его -- дело нетрудное, будем надеяться, что автор примет это, а то придется каждую версию патчить ;) |
CD 20 20 - 14.10.2004 - 10:44 |
я использую первый вариант. почему? потому что иногда, когда письмо с зараженным файлом особенно важное, его можно вытащить из карантина и попробовать вылечить. да и вообще, этот подход мне больше импонирует - достаточно правильно настроить антивирус таким образом, чтобы он не отправлял репорты при обнаружении, скажем MyDoom-а, и не клал червивые письма в карантин. никаких лишних движений письма внутри системы у меня не происходит - сразу же после завершения smtp-сеанса, до постановки письма в очередь, письмо передается на растерзание drweb-у. то есть, мое мнение - при правильном подходе к реализации первой стратегии - она бесконечно близко приближается ко второй. :) а по поводу статистики - черви бесспорно лидируют со счетом 93:7 из 100. :) |
lithium 21 - 14.10.2004 - 11:06 | у меня ClamAV, DrWeb сейчас небесплатный, а воровать не хочется... Жаль только, что фильтры под ClamAV не могут некоторых вещей, прям хоть сам пиши... |
CD 20 22 - 14.10.2004 - 11:38 | а почему бы и не написать, в конце-то концов? :) а какого конкретно функционала тебе не хватает? |
ano 23 - 14.10.2004 - 12:01 | 20: Сохранять заразное письмо никто не мешает в любом варианте. |
lithium 24 - 14.10.2004 - 12:08 | да оно в каждом есть по чуть-чуть, а в одном... :( сейчас ближе всего к идеалу http://www.fehcom.de/qmail/qmvc.html но там немного неоптимальный алгоритм отдачи файлов clamdscan и отчеты мне не нравятся... А так перечислять -- это надо собраться с мыслями, подумать -- за 5 минут не скажешь. |
CD 20 25 - 14.10.2004 - 12:22 | #23, а в чем тогда принципиальное различие? |