clamav - wykrywa wirusa, amavis - nie...

Andrzej Zawadzki zawadaa w wp.pl
Czw, 11 Mar 2004, 14:21:16 CET


Jacek Konieczny wrote:
> On Thu, Mar 11, 2004 at 12:13:25PM +0100, Andrzej Zawadzki wrote:
> 
>>>I zdajesz sobie sprawę że duża część tych wielki strat spowodowanych
>>>przez wirusy (o których trąbiono w mediach) spowodowana była nie przez
>>>same wirusy, ale przez te wspaniałe powiadomienia nadawcy o złapaniu 
>>>wirusa?
>>
>>Oczywiście zgadzam się z Tobą, ale to raczej wynik złej konfiguracji, a 
>>nie samego powiadomienia.
> 
> 
> No właśnie. Złej konfiguracji - takiej jaka przychodzi domyślnie. Skąd
> admin ma wiedzieć jakie wirusy do listy dopisać? Oczywiście zakładając,
> że o tej liście wie i pamięta.

Troszkę wysiłku to kosztuje + system wnioskwania ;-) :

dużo wirusów przychodzi -> patrzę co to za wirus -> fake sender -> dopisuję
Ale od miesiąca to doprawdy nie ruszałem tego wpisu w amavisd.conf.

> A może ktoś w PLD będzie czuwał nad
> aktualnością konfiga.

My? :-)

>>>Powiadamianie nadawcy jest be i musi być domyślnie wyłączone!
>>>
>>>Inna sprawa powiadamianie niedoszłego odbiorcy
>>
>>Przy wirusach/automatach/fake senders to też kompletna bzdura. - IMHO 
>>nic nie daje.
>>Chyba, że Pani A chce mieć pretekst do wykonania telefonu ;-)
> 
> 
> Wolę jak mi pan X będzie dzwonił że dziwne wiadomości dostaję (wtedy mu
> tłumaczę, że powinien się cieszyć że dziwna wiadomość a nie wirus), niż
> gdyby mnie pan Y podał do sądu, że mu pocztę blokuję.

Hmm Fakt może patrzę ze swojego pkt widzenia - poczta firmowa wewnętrzna 
+ współpracujące agencje w całej Polsce - i nie chce mi się tłumaczyć, 
że to naprawdę Pan Y nie wysyłał tego listu...
I tak już przez te źle pokonfigurowane serwery słyszę - "mam wirusa!!!"

> Zresztą odrzucanie poczty bez powiadamiania nadawcy (według adresu na
> kopercie) to już jest naciąganie protokołu SMTP, niestety konieczne.

Czasy się zmieniają ;-)

>>>lub administratora.
>>>Wiadomość nie powinna znikać bez śladu.
>>
>>Mi się przydaje co opisałem - do tego czasem (BTW muszę to oskrypcić) 
>>porównuję IP z jakiego przyszedł wir z IP /var/log/secure logowań do 
>>POP3 i wtedy piszę do placówki współpracującej o tym, że mają wira - 
>>taki ze mnie miły człowiek ;-)
> 
> 
> Ja przestałem pisać/dzwonić jak kilka razy usłyszałem od "informatyków":
> "co my możemy z tym zrobić?".
> 
> A co ma POP3 do wysyłania wirusów? Przecież one po SMTP się wysyłają,
> a co lepsze nie umieją się uwierzytelnić, więc z mojego serwera raczej
> nigdy nie wychodzą.

Tak tak ja też mam SMTP-Auth i też raczej nie sieję, a co do POP3 to 
zobacz: porównuję IP i widzę, że placówka, która się logowała do POP3 z 
IP xxx teraz nawala wirusami - więc dzwonię/piszę (mam templejta ;-) i 
mówię co mają zrobić (to w końcu moi partnerzy w interesach :-) - tych z 
innych openrelayów to nie ruszam.

>>>U mnie każdy user może
>>>powiadamiania dla siebie wyłączyć.
>>
>>Jak to robisz? Nie mam kont shelowych
> 
> 
> Ja też nie. Po prostu korzystam z możliwości amavisd-new czytania
> ustawień z SQL i zrobiłem ludziom formularz konfiguracji konta w Zope po
> https. Wpisują adres e-mail i hasło, a potem mogą sobie zmieniać
> ustawienia antywirusa i filtrów antyspamowych, a ja mam sumienie czyste,
> bo każdy może sobie wszystkie filtry powyłączać.

Ekstra!

-- 
Andrzej Zawadzki



Więcej informacji o liście dyskusyjnej pld-users-pl