Kaspersky Mail Gateway 5.5 для Linux/Unix

Использовал 5.1 в связке с комунигейтом у местного провайдера на потоке 50к\сутки. Фильтровал почту на входе. Да, ловит вирусняки, да лечит. Но я отказался от его использования по причине ненужности. Заражённых писем, которые можно вылечить приходит очень и очень мало- 1-2 в день и после приделывания к серваку cgpav+clamav вопрос с антивирусной проверкой отпал.

общее впечатлене - больше отрицательное, так как глюки есть и доки мало. Одно хорошо - служба поддержки работает довольно оперативно.

>Продукт предназначен для защиты пользователей Windows от вирусов, приходящий по почте

- Как-то по китайски написано, переводим на русский:

Продукт приходящий по почте предназначен для защиты пользователей от Windows :)))

Главное в антивирусе это частота выхода обновлений баз и их надежность + тех. поддержка. Поэтому clamav нервно курит в сторонке - с таким количеством ложных срабатываний жить нельзя. Так что лучше все же использовать коммерческие антивирусы известных комнаий. В данном случае даже можно поддержать отечественного производителя (похоже единственного вменяемого). ВотЪ!

Расскажите мне, дураку, что такое "вирусы, приходящие по почте". Серьезно не понимаю. Будучи начинающим "хакиром", помнится, увлекался статьями соответсвующего журнала, в которых описывались способы заражения через javascript в теле письма и дырки разные.

Но, во-первых, с тех пор много воды утекло (странно, если такие дыры еще остались), а во-вторых, не проще ли просто резать все лишнее?

Если же речь идет о "вирусах" типа файлов "договор.doc .exe", то это даже не смешно. Зачем тут антивирус? Разве кто-то действительно нуждается в пересылке исполнимых файлов?

Если кто рубит в теме и не лень ответить - буду признателен.

Бывали всякие переполнения буфера (при чтении JPG, например) -- но это уже история, да и работают лишь на некоторых версиях некоторых мейл-клментов. Чаще всего - именно "договор.doc .exe" (с кучей пробелов). Между прочим, я лично знаю одну лам^Hстудентку (училась на программиста!!!), которая так заразила свой комп.

Ну во первых ест куча дыр в том же Outlook'е при разборе MIME'а которые позволяют запустить файл/скрыть его и т.д. вообщем могут ввести в заблуждение пользователся и тот благополучно откроет вложение. Да и не перевелись юрезы которые октрывают все подряд. Нестандартный MIME может обмануть и сервер, который будет резать все лишнее - тот вовсе не заметит вложение. Антивирус как правило все такие ситуации обрабатывает. Вирус может быть где угодно - в том же Word'е или Excel'е - их тоже резать? Нельзя же отзерать все свложения, так ведь?

>Поэтому clamav нервно курит в сторонке - с таким количеством ложных срабатываний жить нельзя.
Пример файла, не являющегося вирусом, на который ругается clamav в студию.
Один я знаю, идет в поставке clamav и определяется как тестовая сигнатура :-)
ClamAV-Test-File FOUND

Кстати обновления к clamav выходят 12 раз в сутки. По крайней мере это дефолтная частота обновления его антивирусных баз. Как правило обновление доступно через 15-20 минут после репорта об инциденте.

> Расскажите мне, дураку, что такое "вирусы, приходящие по почте". Серьезно не понимаю. Будучи начинающим "хакиром", помнится, увлекался статьями соответсвующего журнала, в которых описывались способы заражения через javascript в теле письма и дырки разные.

нахе^w зачем спрашивается, дырки разные. Где то тут недавно пробегал отчем мелкомагких, по поводу статистики способов заражения винды. Так там на первом месте самая серьезная дыришша - пользователь ОС.

Я тут по доброте душевной врема от времени помогаю узерам вычисчать зоопарки с их компютеров. Спрашиваю: - когда это у тебя началось? - Дык, пришло письмо. Там атачмент - запароленый архив. В теле письма "тут для тебя важная инфа. Пароль: @ъ$%4576SDFGFfs. Срочно прочти". Ну я ж не дурак - архивы с паролями открывать умею.

>Разве кто-то действительно нуждается в пересылке исполнимых файлов?

Я ОЧЕНЬ часто пересылаю.

>Я ОЧЕНЬ часто пересылаю.

Дык ты же их не кому попало отправляешь. Да и в самом письме наверняка нечто осмысленное есть, что позволяет его отличить от спама.

Хотя возможно я действительно черезчур хорошо думаю о юзерах, и работу по чтению почты лучше все-таки поручать антивирусу.

>Хотя возможно я действительно черезчур хорошо думаю о юзерах

Есть юзеры (в основном женщины за 40). Чтобы им не пришло они откроют и запустят. Со словами "Ну это же мне прислали...". :) Я серьезно.

> Пример файла, не являющегося вирусом, на который ругается clamav в >студию. Use Google. Например в свое время он ругался на gaim и ethereal. Я конечно понимаю, что если написать в клам что они ложно срабатывают - они конечно исправят - кто спорит. Речь идет про изначальное качество сигнатур. Я думаю мало приятно будет если сначала clam грохнет какой-нибудь backup, а потом для него выпустят исправленную сигнатуру. Именно за это Symantec и McAfee дерут такие бабки... и именно по этому они лидеры а не клам.

>Use Google. Например в свое время он ругался на gaim и ethereal.
Кто там о программах по почте говорил?
>Я конечно понимаю, что если написать в клам что они ложно срабатывают - они конечно исправят - кто спорит.
Значит, вопрос исчерпан. Два срабатывания - это не аргумент. Тот же симантек может сработать на отладчиках, к примеру.
>Я думаю мало приятно будет если сначала clam грохнет какой-нибудь backup, а потом для него выпустят исправленную сигнатуру.
А у тебя clamav настроен на немедленное удаление? И кто тебе ссзб?
>Именно за это Symantec и McAfee дерут такие бабки... и именно по этому они лидеры а не клам.
У них четырехцветная майка

Хрень все это. Вменыемый мейл-клиент и архиватор под винду запрещают запуск/распаковку файлов по маскам. Нормальный антиаспам опять же вирусы должен резать. Ну и права урезать пользователю - лучшая защита в любой системе :) И вообще ClamAv лучше - обновляется всегда нормально, в отличие от коммерческого софта, котрый может вдруг разлюбить твой честно купленный ключ...

А вирусы (рассылающиеся п опочте), которые не буду ловятся текущими антивирусмам - всегда были и будут. Сам видел студенческую посылку, ничем из имеющегося не детектировалась, внутри архива - как обычно, экзешник...

> Так что лучше все же использовать коммерческие антивирусы известных комнаий. В данном случае даже можно поддержать отечественного производителя (похоже единственного вменяемого). ВотЪ!

... писано из домена kaspersky-labs.com... Не позорились бы, а? ;)

> .. писано из домена kaspersky-labs.com... Не позорились бы, а? ;)

Не очень понятно в чем позор - у людей работа такая и им за это деньги даже наверное платят :) Вот представь себе - на пост в форуме о твоей любимой программе "XXXXaaXX" ты оставил коментарий, и наверное уж он был не ругательный. Позор? А вот теперь представь что тебе за это еще и деньги платят? (пусть даже программа и не любимая) Позор? :) Нормальная практика всех компаний отвечать на посты по разным форума. Ты так не считаешь?

Ну а уж мнение у каждого свое может быть, с этим никто не спорит. Я к примеру не пользую антивирь ваще, и у меня не возникает желание посмотреть с какого домена был сделан пост и тут же написать что это позор? :)

Вопрос можно? Ты антивирус дома используешь на линухе? А если прикунуть корпоративную сеть юзвером на 1000-1500? Без SLA кто-ниюудь работать разрешит, как думаешь? Особенно на каком-нибудь производстве, где каждай минута простоя стоит x$? Видел когда-нибудь ситуации когда корпоративная сеть ложится за 15 минут и потом ее 1.5 дня поднимают? Про убытки, упущенную выгоду и репцутация - вообще молчу :) Я видел, но правда это было в россии и на пиратском симантеке :)

Зачем защищать пользователей Windows, пусть себе заражаются а мы будем злорадствовать.

чувствуется что 99% данный продукт не юзало и в глаза видели тока кашпировского в других обличьях.

это ГЕТЕВЕЙ!!!! как отправляльщик почты он да очень даже ничего, но вот как антивирус на входе - это полная жопа. нахватает он кучу писем , которые потом основной сервак отпнёт (с неверным адресом в домене, а проверить он могёт тока) и крутится эта очередь из 5-10 тысяч писем и тормозит обработку всей почты. однажды из за глюка он у меня зажрал почту за два дня и не переслал её дальше. - было очень весело. для корпоративной почты пожайлуста ставте каспера во все его проявлениях, но у прова кламава хватает за глаза что отсеч поток "открой меня красивого exe файла".

для особо желающих померяться "размерами" антивирусника советую глянуть на стоимость лицензии на 5000 ящиков для каспера и оценить экономическую целесообразность его применения.

> Заражённых писем, которые можно вылечить приходит очень и очень мало- 1-2 в день и после приделывания к серваку cgpav+clamav вопрос с антивирусной проверкой отпал.

Как у нас в ClamAV дела с несколькими сотнями форматов EXEpacker-ов? А как с RARv3? А с другими форматами архивов?

Раз уж тут тусят господа из касперски-лаб к ним щекотливый вопросик:

Ребята, вы лицензии, используемого в Вашем комплексе опен-сорс, читали? Почему в вашем комплексе постфикс (испольщуемый в гейтвее (про новый комплекс утверждать не буду, но тот что имеется лицензионный с антиспамом - точно ) поставляются без исходников? Что то у Вас дано видимо не было скандала и чёрного пиара.... Может про Вас в FSF настучать? Да вы пиратите причём в наглую называя чужие разработки своим комплексным продуктом... Однако в этом комплексе использованы продукты опен-соурс без соблюдения лицензии (речь про мейлер-фильтр, веб-интерфейс)

Хоть и не из касперски и ко, отвечу - они обязаны его предоставить по ПЕРВОМУ требованию ....дальше ход мыслей надеюсь будет правильным ;-)

> В данном случае даже можно поддержать отечественного производителя (похоже единственного вменяемого).

"единственный вменяемый" - это касперский что-ль? не смешите мои тапочки! касперского - фтопку! ну можно, конечно, использовать в качестве наказания или пытки... :-)

//wolf

В каком комплексе, ты о чем? Какой мейл-фильтр, что ты за пургу гонишь. Какой веб-интерфейс, webmin? Там перловый исходник лежит в комплекте.

Насчет постфикса это ты о каком-то древнем антиспаме говоришь. Не говоря уже о том, что ты давно текст лицензии GPL не читал. Исходники компания не обязана поставлять вместе с продуктом - достаточно выдавать их по запросу. Причем не всем подряд, а только тем кто продукт купил. В общем, очередной красноглазый пионЭр.

> .. писано из домена kaspersky-labs.com... Не позорились бы, а? ;) (ivlad)

Сразу понятно, какая у этого анонимуса мотивация :)

> Не очень понятно в чем позор - у людей работа такая и им за это деньги даже наверное платят. [...] Нормальная практика всех компаний отвечать на посты по разным форума. Ты так не считаешь? (anonymous)

Я так не считаю (с ударением на "Я"). Вернее, я соглашаюсь, что это нормальная практика и это имеет место, но я считаю, что нормальной практикой софтверных компаний должно быть изготовление качественного продукта в первую очередьи и пиар во вторую. Касперский поступает наоборот (как, впрочем, и многие другие, то тут разговор именно о нём). Более того, тут даже не пиар, а откровенное обгаживание конкурирующего продукта, причём многие слова даже необоснованы (напр., "удаление бэкапов"). Так что полностью согласен с ivlad, стыдно должно быть.

> Вопрос можно? Ты антивирус дома используешь на линухе? А если прикунуть корпоративную сеть юзвером на 1000-1500? Без SLA кто-ниюудь работать разрешит, как думаешь? Особенно на каком-нибудь производстве, где каждай минута простоя стоит x$? Видел когда-нибудь ситуации когда корпоративная сеть ложится за 15 минут и потом ее 1.5 дня поднимают? Про убытки, упущенную выгоду и репцутация - вообще молчу :) Я видел, но правда это было в россии и на пиратском симантеке :) (anonymous)

Чушь полная. Я видел (и ежедневно любуюс ею) сеть из сотен и даже тысяч пользователей, вся обслуживается clamav, и никаких проблем: пользователи очень довольны, clamav работает отлично, сеть работает бесперерывно и не испытывает никаких проблем из-за вирусов, а кроме того нет никакого гемороя с ключами авторизации, нищей документацией и т.д. И платить никому не надо - это тоже немаловажно.

Ты бы хоть зарегистрировался бы, а? Анонимно тяфкать здесь многие горазды, а так хоть знать будем в следующий раз, с кем имеем дело. Касперщики ходят на ЛОР анонимно пиарить свои продукты, LOL!

так же как и у касперского/drweb с форматом zip - хреново
cat clean.exe(info-zip zip sfx с "чистым" файлом) virus.zip(info-zip zip с вирусом) > virus.exe(info-zip zip sfx с вирусом)

ни kav ни drweb не обнаружит вирус до извлечения его на диск - они найдут чистый файл и дальше проверять не будут

ps
и clamav перестал обнаруживать тоже после 0.82

Если ты увидишь кто еще пишет на ЛОРе с этого айпи, тебе станет страшно ;)

Исполняемые файлы, бывают, пересылаются по почте. И резать все нельзя. Если кто-то собирается резать всё - ну так спрос на красногзаых "обменистраторов за 300 баксов" ещё есть - кто таких хочет использовать, пусть не жалуется, что они обрезают всё, с чем не могут справиться.

> ... писано из домена kaspersky-labs.com... Не позорились бы, а? ;)

Предлагаю теперь грохнуть сообщение этого анонимуса по причине 4.2 и 4.6, в также забанить касперов по ip :)

А мне бабушка говорила, что сие поделие лицензируется (будет лицензироваться) на количество пользователей. И тормозное оно, похлеще кламава будет. В топку!

>антивирусная обработка почтового трафика SMTP,

хлокой чтоли посыпает?

>Главное в антивирусе это частота выхода обновлений баз и их надежность >+ тех. поддержка. Поэтому clamav нервно курит в сторонке - с таким >количеством ложных срабатываний жить нельзя. Так что лучше все же >использовать коммерческие антивирусы известных комнаий. В данном случае >даже можно поддержать отечественного производителя (похоже >единственного вменяемого). ВотЪ!

В очко засунь свою техподдержку и прочее. В прошлом году испортили мне отпуск когда вдруг перестал опознаваться ключ. И не смей тявкать против clamav!!!!!!!!!!!

> Ну а уж мнение у каждого свое может быть, с этим никто не спорит. Я к примеру не пользую антивирь ваще...

Те кто работают на колбасном заводе, никогда не едят колбасы...

:-)

>Как у нас в ClamAV дела с несколькими сотнями форматов EXEpacker-ов? А >как с RARv3? А с другими форматами архивов?

При желании переслать exe в документации рекомендуют создавать архив с паролем. А сраный маланский рар могут рекламировать только сраные маланцы от касперского.

Кстати, господа из ЛК, прокомментируйте плиз:

Hello.

This file is clear.

Sincerely yours,
Pavel Zelensky
Virus analyst

Kaspersky Lab Ltd
Moscow, Russia
Tel/Fax: +7 (495) 797-8700
E-mail: newvirus@kaspersky.com
Internet: http://www.kaspersky.com, http://www.viruslist.com


> > Attachment: !!!Steam Account Cracker NEW!!!.rar
__________________



ну ладно, успокоили, файл с фтп стирать не стал.

Через сутки юзеры пишут:

!!!Steam Account Cracker NEW!!!.rar -Trojan-PSW.Win32.Steam.q

спрашивается, что за нафиг?

Сколько лет работаем с касперами, а проблем не было ни у нас, ни у клиентов. В последние 1,5 года все продукты очень сильно подтянули они. Раньше и тормозило и глючило, а сейчас стало крепко лучше.

>Раньше и тормозило и глючило, а сейчас стало крепко лучше.

т.е. оно или глючит или тормозит? :)

> И резать все нельзя.

строго говоря, практика показывает, что _ничего_ резать нельзя. во избежании головной боли it-отдела не в последнюю очередь.

если в письме вирус (или, допустим, незапакованый .exe файл, которые мы в свете локальной полтики не принимаем, хоть это и спорно) -- его надо не ``лечить'', не удалять attachment, а честно говорить 5xx на письмо.

на самом деле, потеря информации -- гораздо более тяжкий грех в корпоративном мире, чем возвращение письма отправителю от его почтового сервера с пометкой ``проверься на вирусы''.

---vk

> Если ты увидишь кто еще пишет на ЛОРе с этого айпи, тебе станет страшно ;) (Demetrio)

Интересно было бы посмотреть :)

http://mailscanner.info/

Хех!

А я хитрее всех зверей полевых. Я на почтовый шлюз поставил CLAMAV с убиванием на месте файлов .exe, .com, .bat, .vsb и еще нескольких. На рабочих станциях Symantec.

Юзвери знают о ограничениях, а так же о том почему они введены. По вопросам "ой мне тут послали, а не пришло" не звонят уже года три.

По качеству clamav: Да, было у меня 2-3 случая, когда приходил явный вирус и грамотный юзверь его мне пересылал. Я засовывал его в он-лайновую проверку уважаемых контор, в том числе и каспера. Они мне говорил, мол все хорошо. Тогда я посылал этот файл создателям чудодейственных антивирусных софтин. Через 5-6 часов приходил ответ мол да, вирус, сигнатура сделана и доступна. Однако глядя на логи clamav я видел, что он уже часа 2-3 успешно письма с этим вирусом убивает.

По поводу ложного срабатывания на ethereal. Дам ссылку без коментариев: http://www.wireshark.org/ Вниметельно смотрим новость от 4 июля.

Так шта уважаемый ананимус, не все славно в датском королевстве, а особенно у комерческих антивирусных продуктов.

Вы, уважаемый, ситуацией не владеете и несете полную пургу. Всем остальным я желаю держать вилку на готове и орудовать ей смелее, когда появляются такие вот бессовестные падонки.

Всем спасибо за внимание.

>на самом деле, потеря информации -- гораздо более тяжкий грех в >корпоративном мире, чем возвращение письма отправителю от его почтового >сервера с пометкой ``проверься на вирусы''.

Как меня умиляют эти глюкоделатели, когда рекламируя свои недолугие быдлотворения прикрываюся громкими фразами типа "корпоративного мира"... Кто сказал, что clamav их возвращает или обрезает. Складывает аккуратненько в карантин и уведомляет об этом.

поверьте, меня тоже умиляют люди, отвечающие мне, но не прочитавшие то, на что отвечают. =)

а про 5xx -- это default поведение clamav-milter, если вы не в курсе. очень разумное, кстати.

---vk

> "Продукт предназначен для защиты пользователей Windows от вирусов, приходящих по почте".

Разуте глаза! Где в оригинальной новости сказано про пользователей Windows?

> Вирус может быть где угодно - в том же Word'е или Excel'е - их тоже резать? Нельзя же отзерать все свложения, так ведь?

Word И Excel надо резать безусловно.

А что тут смотреть? Приглядись к первому сообщению, например :)

нет ничего глупее неаргументированных заявлений в таком безаппеляционном тоне. хреновый из тебя пиарщик

>>строго говоря, практика показывает, что _ничего_ резать нельзя. во избежании головной боли it-отдела не в последнюю очередь.

Строго говоря, писмеццо должно прийти юзверю в НЕИЗМЕННОМ виде. Либо не прийти вообще, о чем опять же его неплохо было бы уведомить. Возможно со ссылкой на отстойник и предупреждением ненажиМАТЬ.

>>на самом деле, потеря информации -- гораздо более тяжкий грех

Полностью поддерживаю. И ежели кто-то хочет получить вирус (спам) он должен иметь возможность его получить в том виде в котором его послали.

Вопрос не о том, кто и как фильтрует мыло, а в том что с этой задачей легко справляется бесплатный кламав при любой корпоративной политике безопасности. И нефиг из банального фильтра делать навороченную лечилку.