LINUX.ORG.RU

я пару лет использую drweb для проверки почты, но что-то как-то стало напрягать этв бодяга с ним. сейчас думаю о переходе. есть у кого какие соображения относительно drweb vs clamav?

HellAngel ★★
()
Ответ на: комментарий от UserUnknown

интересное замечание...
а насколько большой гемор с установкой и настройкой? насколько я помню с доктором все ставилось с некоторым количеством матов и временами работало странно (то формат баз становится несовместим и выпадает в кору то еще чего), хотя сейчас вроде бы все нормализовалось

HellAngel ★★
()
Ответ на: комментарий от UserUnknown

> У меня ClamAV нашел больше живности, нежели дурвеб, хотя я
> приверженец последнего...

Типа, извращенец?

anonymous
()
Ответ на: комментарий от HellAngel

Ставится быстро (быстрее чем ВЭБ). Работает тоже нормально.

OpenStorm ★★★
()
Ответ на: комментарий от HellAngel

Прикрутил ClamAV к procmail примерно за пару часов экспериментов (на живой машине). С тех пор фильтрует каждый день по ~10Мб вирусов в сутки (70Мб в неделю).

Прикрутил без проблем, но по готовому рецепту через сторонний скрипт.

KRoN73 ★★★★★
()
Ответ на: комментарий от Sun-ch

Касперы с Докторами совсем чего-то невменяемую ценовую политику придумали. Хорошо что ClamAV есть.Это позволило послать эти коммерческие поделья нафиг.

Ему бы ещё RAR 3.xx support!

anonymous
()

у меня вообще есть мысль резать большую часть аттачей
пропускать только картинки, зип, doc, ppt, xls ну и еще малость. а все бинарники - в нулл... все равно юзерам по штату не положено программы ставить левые. но все как-то не соберусь

HellAngel ★★
()
Ответ на: комментарий от HellAngel

Ставится amavis-new. В нём прописывается drweb и clamav. В результате, они сканируют по очереди. Да, нагузка больше выходит, что следует иметь в виду.

hdlc
()
Ответ на: комментарий от HellAngel

Из doc можно запустить скрипт, который выкачает бинарь и локально запустит.

Это не вирус, поэтому не обнаруживается.

Sun-ch
()
Ответ на: комментарий от hdlc

LA мне не жалко - сервак не нагружен...
но тогда уж и kav до кучи туда... третьим )))

HellAngel ★★
()
Ответ на: комментарий от HellAngel

drweb упрямо ловил и карантинил *.dbf :( обращение в саппорт никчему не привело. Послал им один dbf - пришло уведомление что я рассылаю вирус :( Поговорил в форуме, вроде приняли этот файл. и тишина...

ушел на clamav.

Sergey

anonymous
()
Ответ на: комментарий от Sun-ch

>> Из doc можно запустить скрипт, который выкачает бинарь и локально запустит. Это не вирус, поэтому не обнаруживается.

естественно. на клиентах стоит kav (хоть он и тормоз конечно, но за последние пару лет косяков особых от него не помню) потому что юзера любят то дискетку принести, то скачать что-нибудь из сети... все не запретишь, а по рукам каждый раз бить - задолбаешься... да и умнее они от этого не становятся :((

HellAngel ★★
()
Ответ на: комментарий от anonymouss

>Нехрен всяких секретарш под админа/рута сажать

А может лутше их не сажать, а укладывать?

Sun-ch
()
Ответ на: комментарий от init

а как в Clamav сделана проверка файлов разных типов? монолитом или можно модули внешние подключать? чтобы можно было без гемора особого всякие разные архивы малоизвестные подключать и прочее.

HellAngel ★★
()
Ответ на: комментарий от anonymouss

а никто их туда и не сажает...
но (поправьте меня если ошибаюсь) были имхо такие вирусы, которые умело пользовались архитектурными особенностями системы главного архитектора и повышали свои привелегии

HellAngel ★★
()
Ответ на: комментарий от HellAngel

>а никто их туда и не сажает... но (поправьте меня если ошибаюсь) были имхо такие вирусы, которые умело пользовались архитектурными особенностями системы главного архитектора и повышали свои привелегии

Так это уже дыры в безопасности. А автообновление у вас включено?

anonymouss
()
Ответ на: комментарий от hdlc

> Ставится amavis-new. В нём прописывается drweb и clamav.

Ставится sendmail, и нафиг не надо лишнего амависа. ;-)

AS ★★★★★
()
Ответ на: комментарий от anonymouss

>> Так это уже дыры в безопасности. А автообновление у вас включено?
вообще все вирусы - это дыры в безопасности. сюрприз? )))

а автообновлению у нас выключено и все фиксы ставятся ручками. я не хочу появившись однажды на работе обнаружить что вся сетка встала раком по неизвестной мне причине. и очень не люблю когда мне звонят домой :)

HellAngel ★★
()
Ответ на: комментарий от anonymouss

UnPAR, может кто знает?

В последних версиях clamscan появилась опция --unrar=/full/patch
это часом не ключ для подключения своего модуля?
И если да - clamd воспринимает? Или он clamscan передает на проверку?

DDDs
()
Ответ на: комментарий от HellAngel

>все не запретишь, а по рукам каждый раз бить - задолбаешься... да и умнее они от этого не становятся :((

конечно не будут, а вот если по карману, то ума не сразу конечно со временем, должно прибавиться, а уж если и это не поможет :)))

Dubrovsky
()
Ответ на: комментарий от Dubrovsky

>> конечно не будут, а вот если по карману, то ума не сразу конечно со временем, должно прибавиться, а уж если и это не поможет :)))

у нас руководство излишне гуманное, как это не дико звучит :))) поэтому - только техническими средствами это дело можно зажать. с известными ограничениями и ошибками

HellAngel ★★
()
Ответ на: UnPAR, может кто знает? от DDDs

> В последних версиях clamscan появилась опция --unrar=/full/patch
> это часом не ключ для подключения своего модуля?

Именно так.

> И если да - clamd воспринимает?

Нет. Аргументируется нежеланием подключать неизвестно что к демону. А-ля безопасность.

> Или он clamscan передает на проверку?

Нет, наоборот. Но, в случае --unrar, clamscan передает clamd уже распакованное.

AS ★★★★★
()
Ответ на: комментарий от AS

Ручник справа внизу.

milter позволит иметь clamav на другом хосте? Не том, где почта?
milter позволит стыковать несколько антивирусов?
milter не запускает новый процесс на каждый delivery?

Zulu ★★☆☆
()
Ответ на: комментарий от anonymous

rar3 это хорошо. Но мне, например, в данный момент больше нужен кламовский спайдер для винды, что-бы заменить им докторовский.

UncleAndy ★★★
()
Ответ на: комментарий от Zulu

>milter позволит иметь clamav на другом хосте? Не том, где почта? >milter позволит стыковать несколько антивирусов? >milter не запускает новый процесс на каждый delivery?

1. позволит. вы можете иметь clamd на другом хосте. 2. через Milter API вы можете подключать несколько антивирей, если это так необходимо. 3. milter работает в multithread режиме, на каждое SMTP соединение организуется нить.

Имхо, милтеры это одна из самых классных фичей сендмыла :)

anonymous
()
Ответ на: комментарий от anonymous

Дополню. :-)

> 1. позволит. вы можете иметь clamd на другом хосте.

Это фича к SM оношения не имеет, это особенность связки clamav-milter и clamd. Но сам SM к clamav-milter тоже вполне себе ходит через tcp сокет, если сказать. Как и к любому другому milter-фильтру, если это есть в последнем. С 8.11, кстати, если не с 8.10 вообще... ;-)

> 2. через Milter API вы можете подключать несколько антивирей, если это так необходимо.

Ну почему антивирей ? Любых фильтров.

> 3.

тут комментировать нечего, правильно. ;-)

4. milter-фильтр может прервать обработку сообщения на любом этапе с выдачей 5xx отправителю. С точки зрения трафика это не выигрыш для антивируса (что не скажешь о спам-фильтре по helo/mail from/rcpt to), но боунс тому, кто во from, будет от имени сервера отправителя приходить и по ушам за спам получать будет тот постмастер, который себе антивирус не поставил вовремя.

5. SM может быть настроен так, что будет игнорировать какой-нибудь (или все) не очень важный milter-фильтр в случае проблем с доступом к фильтру. Если, к примеру, основная задача сервера почту не проверить, а доставить.

6. Если работает цепочка фильтров, то они все по очереди получают доступ к информации на каждой стадии. То есть, сначала все отработали connect, затем, helo, потом mail from, потом rcpt to, потом header, потом... Впрочем, дальнейшие части не важны - это уже DATA. И даже если спам-фильтр по helo/mail from/rcpt to стоит после антивируса, антивирус не получит DATA, если сообщение зареджектит спам-фильтр.

AS ★★★★★
()
Ответ на: комментарий от HellAngel

> есть мысль резать большую часть аттачей
тебе готовый скриптик к procmail прислать?
он режет все исполняемые на виде файлы типа scr.

mumpster ★★★★★
()

Прикрутил у себя в конторе сей субж - офигительная вещь! Автообновление баз каждые 2 часа + integrity check каждый час. У нас на серваке используется QMAIL. Поставил дополнительно к ClamAV'у небольшой шелл-скрипт (ClamAssassin) который увязывает ClamAV и procmail. И после небольшой доработки procmailrc все пришедшие вирусы отправляются прямиком в /dev/null с небольшой записью в лог (когда, от кого, кому, чем заражено письмо). Весьма рекомендую!

SkyKiller
()

Clamav до сих пор ловит лицензию GPL? :)

anonymous
()
Ответ на: комментарий от HellAngel

> HellAngel (*) (18.10.2004 17:32:33)
>пропускать только картинки, зип, doc, ppt, xls
а ты никогда не видел вирусов и не только их в картинках?

anonymous
()
Ответ на: комментарий от AS

>Ставится sendmail, и нафиг не надо лишнего амависа. ;-)

Вот, вот. А как его таким же образом к postfix прикрутить? В доках его начисто игнорируют. Про кумыло хоть что-то написано...

anonymous
()

Отправил clamav team через сайт 12 штук троянов и вирусов, которых не ловит clamav. Прошёл месяц. В базы добавлено только 2 из 12. Кто-нибудь может прояснить ситуацию?

abramoff
()
Ответ на: комментарий от UncleAndy

>Им надо продавать продукт.

А раньше они его разве не продавали?

Что изменилось?

Те которые раньше покупали так и будут дальше покупать, а кто не покупал

тот и не будет никогда.

А вот в глазах обчества они обделались по самые уши.

Sun-ch
()
Ответ на: комментарий от anonymous

в портах FreeBSD или на сайте clamav.net в contrib берём clamscan и всё. или, если потом писем небольшой (30 в минуту и меньше), тупо через procmail.

anonymous
()
Ответ на: комментарий от anonymous

>Вот, вот. А как его таким же образом к postfix прикрутить?

тут всё равно нужен внешний proxy. Если не хочется amavis, можно взять smtpprox. Правда, придётся его немного дописать.

abramoff
()
Ответ на: комментарий от anonymous

> A как изящнее всего прикрутить Clamav к Exim3 ? (debian stable)

Если я не ошибаюсь, Exim сам clamd ходить умеет. Вот только я в версиях эксимов не ориентируюсь. Не знаю, с какой.

AS ★★★★★
()
Ответ на: комментарий от AS

> Если я не ошибаюсь, Exim сам clamd ходить умеет. Вот только я в версиях эксимов не ориентируюсь. Не знаю, с какой.

Это может exim4 + exiscan. А третий exim лучше вообще не использовать потому как в сравнении с четвертым он выглядит явно убого.

anonymous
()
Ответ на: комментарий от HellAngel

>у меня вообще есть мысль резать большую часть аттачей >пропускать только картинки, зип, doc, ppt, xls ну и еще малость. а все >бинарники - в нулл... все равно юзерам по штату не положено программы >ставить левые. но все как-то не соберусь > >

а у меня так уже давно.... добавлю.... у меня ещё все ехе-шники, т.е. все винтовые запускалки и в зипах режутся нафик....

G_Luck
()
Ответ на: комментарий от qwe

>Специально для этого: >http://memberwebs.com/nielsen/software/clamsmtp/

Пардон, только что попробовал. Все эти примочки - до одного места двери!!!!!!!! Когда у меня намедни гавкнул ключ к дрвеб, то я смог по телефону обычному ламеру рассказать как его быстро отключить и восстановить работу postfix. А здесь все на таких соплях сваяно. Люблю спокойно спать и не искать геморрой на свою задницу... Пока его нельзя будет подключить к сабжу так же легко, как к сендмылу - пошли они нафиг. Непонятно, вообще кто еще этим сендмылом пользуется, что специально для него антивирусы разрабатываются.... Бегают тут у меня под боком пару таких... Жалко их, честно скажу.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.