faqs.org.ru

 Главная > Программное обеспечение > Антивирусы >

Doctor Web UNIX FAQ

Секция 2 из 2 - Предыдущая - Следующая

и наоборот. Можно купить обе лицензии сразу в одном ключе.

23) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Система FreeBSD 4.x (x =< 7). Поставил версию 4.31. Получаю:
/usr/local/drweb > ./drweb-smf.sh start
/usr/libexec/ld-elf.so.1: Undefined symbol "__stdoutp"
    referenced from COPY relocation in /usr/local/drweb/drweb-smf
Что делать?

Ответ: Использовать drweb-smf.static, этот же совет касается всех остальных
фильтров.

24) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Установил Dr.Web Sendmail, но проверка почты не работает. В логе
 демона:
===
Daemon is installed, active interfaces:  127.0.0.1:3000
Unknown command received: 13!
===
(asv: либо, если включено использование russian.dwl)
===
Демон загружен, активные интерфейсы:  127.0.0.1:3000
Получена неизвестная команда: 13
===
Что делать?

Ответ: Прочитайте ответ на вопрос #19, у вас та же самая проблема.

25) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Система FreeBSD. Не работает фильтр правил (RejectCondition) в демоне,
если в правилах используется русский язык? Что делать?

Ответ:  Во-первых, правила надо задавать только в кодировке KOI8-R.
Во-вторых, следует понимать, что если заголовок (например Subject:), который
вы хотите фильтровать, идет в 8bit (т.е. в нарушение стандарта на почту, т.к.
должен быть закодированы =?koi8-r?B?..?= или =?cp1251?Q?..?=, т.е. с указанием
кодировки), то он будет сравниваться без учета кодировки. Такие сообщения
(идущие в 8bit) так же могут быть заблокированы фильтром:
RejectCondition Subject = "8bit"
Ну и наконец, для пользователя, с правами которого работает демон, должна быть
правильно настроена локаль на KOI8-R:

1. В файл /etc/login.conf добавить (хотя обычно уже есть):
#
# Russian Users Accounts. Setup proper environment variables.
#
russian:Russian Users Accounts:\
        :charset=KOI8-R:\
        :lang=ru_RU.KOI8-R:\
        :tc=default:

Для обновления /etc/login.conf.db:
# cap_mkdb /etc/login.conf

2. Теперь пользователю drweb надо указать, что он относится к классу russian:
# pw usermod drweb -L russian

3. Иногда надо в скрипте запуска демона добавить перед строкой "case "$1" in"

LC_ALL=ru_RU.KOI8-R
export LC_ALL

4. Перезапустить демона ...

26) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: На сайте http://www.testvirus.org решил проверить работу фильтра
Dr.Web, но из 25 тестов Dr.Web пропустил некоторые варианты. Как вы это
прокомментируете?

Ответ: Ответ по состоянию сайта на 19 мая 2004 года, т.к. сайт мог измениться
и тесты тоже, у нас были пропущены следующие тесты:

Test #12: Eicar virus within a password protected ZIP file
Test #24: Test for the "Partial (Fragmented) Vulnerability". This does not
 include Eicar virus, but your mail server still must block this since it can
 break a virus into multiple emails and reassemble it in your inbox.

- Может быть заблокировано, если опцию SkipObject переключить с pass на
любое другое действие.

Test #14: Eicar virus sent in a Microsoft TNEF file (winmail.dat)

- Формат TNEF на данный момент не разбирается.

Test #25: Attachment with a CLSID extension which may hide the real file
 extension. This does not include Eicar virus, but your mail server still
 must block this since it can hide the true extension of a file

- Сообщение не содержит вредоносного кода.

Test #16: Eicar string in HTML, to ensure that your mail server scans HTML
 segments
Test #19: Eicar virus within zip file hidden using the "Blank Folding
 Vulnerability"
Test #21: Eicar virus within zip file hidden using the "Long MIME Boundary
 Vulnerability"
Test #23: Eicar virus within zip file hidden using the "Empty MIME Boundary
 Vulnerability"

- В таком виде вирус не опасен и распространяться не будет, можно сказать, что
 просто мусор.
Кстати, сканер таки определяет вирус в #16 и #21, но в демоне более быстрый и
 простой разбор почты.

27) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: После очередного обновления версия 4.29.2 (или 4.29.5) стала "падать"
 на большом кол-ве сообщений. Как объясните?

Ответ: Проблема не в базах (это легко проверить, если загрузить демона только
с основной базой и "проблемным" обновлением) - это ошибка в 4.29 (точнее в
drweb32.dll версии 4.29). Таким образом, единственным решением может быть
обновление на более свежую версию, т.к. фиксов для старых версий мы не
выпускаем. Почему мы так делаем, читайте ответ на вопрос #0.

28) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: Я установил Dr.Web Daemon & Dr.Web Filter for Sendmail, вроде все
настроил правильно однако фильтр не стартует, а в /var/log/messages следующие
сообщения:

Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
 Unable to bind to port 3000@localhost: Address already in use
Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
 Unable to create listening socket on conn 3000@localhost

или

Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
 Unable to bind to port local:/var/drweb/run/.daemon: Address already in use
Jun 10 13:24:04 host drweb-smf: Dr.Web (R) Filter for sendmail ver.4.32:
 Unable to create listening socket on conn local:/var/drweb/run/.daemon

Ответ: Вы указали в параметре MilterAddress секции [Mailer] файла
drweb_smf.conf параметры соединения с демоном, тогда как должно быть указано
соединения для взаимодействия с sendmail, это же соединение описывается в
sendmail.cf. Т.е. должно быть так:
в drweb32.ini
Socket = 3000 localhost

в drweb_smf.conf:
[DaemonCommunication]
Address = inet:3000@localhost
....
[Mailer]
....
MilterAddress = inet:3001@localhost

и в sendmail.cf:
Xdrweb-filter,  S=inet:3001@localhost, F=T, T=C:1m;S:5m;R:5m;E:1h

29) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: У меня установлен демон Dr.Web и почтовый фильтр, иногда я получаю на
адрес администратора сообщения, что какое-то сообщение не было проверено по
причине:
The filter cannot connect to the DrWEB daemon
Как этого можно избежать в дальнейшем ?

Ответ: Есть две причины, по которым это могло произойти.
а) Резко скакнула нагрузка и просто переполнилась очередь соединений к демону.
б) Демон, по каким-то причинам был не доступен.
Есть два способа избежать этих проблем. Второй способ наиболее универсален
(подойдет для обоих случаев).
i) Использовать несколько сокетов между демоном и фильтром. Пример
конфигурации:
drweb32.ini:
Socket = /var/drweb/run/.drwebd
Socket = 3000 localhost

drweb_{mta}.conf:  ({mta} = smf, cgp, postfix, exim, qmail, zmailer, courier
 or mio)
[DaemonCommunication]
Address = local:/var/drweb/run/.drwebd, inet:3000@localhost

Тем самым мы получим такой эффект: если к первому сокету коннект не прошел
(там очередь переполнена), то фильтр будет пытаться присоединиться ко второму.

ii) Намного более надежный и универсальный способ - использовать второго
запущеного демона (можно на этом же хосте, но лучше на другом), который и
будет сглаживать пики нагрузки или недоступность основного демона. Пример
drweb_{mta}.conf:  ({mta} = smf, cgp, postfix, exim, qmail, zmailer, courier or
 mio)
[DaemonCommunication]
Address = local:/var/drweb/run/.drwebd, inet:3000@another.myhost.example.com

Замечание: Режим локального сканирования (LocalScan = yes) не будет работать в
фильтре для второго сокета даже если этот сокет обслуживается демоном
установленным на этом же хосте.


30) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Вопрос: После апгрейда на 4.32 появилась ошибка с отправкой многотомных
архивов.
В drweb_{mta}.conf прописано:
SkipObject = pass

[SkipNotifications]
SenderNotify = yes
AdminNotify = yes
RcptsNotify = no
SenderTemplate = /usr/local/etc/drweb/templates/en-ru/sendmail/skip-sender.msg
AdminTemplate = /usr/local/etc/drweb/templates/en-ru/sendmail/skip-admin.msg
RcptsTemplate =

При этом само письмо доставляется, но одновременно идет и письмо с руганью,
которое я прицепил в аттаче.

Ответ: Это не ошибка - это нововведение в 4.32 - уведомления отсылаются даже
если для условия выставлено действие pass, т.е. единственным критерием слать
\не слать является секция [SkipNotifications]. Текст дефолтных уведомлений
рассчитан, естественно на случай reject\discard.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Автор: Сергей Ахапкин <asv@drweb.com>

$Revision: 1.4 $
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Секция 2 из 2 - Предыдущая - Следующая

Вернуться в раздел "Антивирусы" - Обсудить эту статью на Форуме
Главная - Поиск по сайту - О проекте - Форум - Обратная связь

Проверенный интернет магазин шин Dunlop

© faqs.org.ru