1.1, pev2000 (??), 11:08, 09/11/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что то как то сложно... во первых как мне показалось - вирусы сами стучатся на 25 порт сервера получателя, обходя этим самым настройки всяких Outlook'ов.
Не проще ли сделать на маршрутизаторе заворот на 25 порт локального smtp сервера(на маршрутезаторе BSD сделано "ipfw add fwd 127.0.0.1,25 tcp from any to any 25 in via fxp0" и все радуются жизни) где антивирус проверяет проходящую почту и отправляет его либо напрямую на сервер получателя, либо на smtp провайдера | |
|
2.2, BlackSir (??), 11:37, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
Согласен, я пользуют прозрачное проксирование всего исходящего SMTP-траффика средствами natd (+пару правил в ipfw естественно) в локальный Exim+ClamAV:
/sbin/natd -p 8669 -proxy_only -proxy_rule port 25 server x.y.z.t:25 -reverse
Все замечательно работает, машинка с P3-1133 максимум за день хавала ~100тыс писем с вирусами. Не подавилась и практически не тормозила. Обдумываю вариант поставить в качестве frontend security/clamsmtp дабы избавить Exim от грязной работы. | |
|
3.7, Аноним (-), 16:03, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
А каким это, интересно, боком такая машинка может пропускать столько писем с вирьем, откуда его вообще стлько? У меня основной релэй тянет от половины до одного мегаписьма в сутки, при этом вирья, по репортам, всего несколько килописем. В дни эпидемии - до нескольких десятков килописем. Но откуда обьемы около ста килописем в сутки с вирусами ? Что у тебя за сетка, в которой столько завирусованных маших ? Или ты их специально разводишь ?
Смахивает на что-то левое. | |
|
4.11, BlackSir (??), 16:44, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
Отвечаю: Если стоит прозрачное проксирование то вири при обращении напрямую к ЛЮБОМУ серваку попадают на мой релей, соответсвенно ВЕСЬ вирусный траффик обрабатывается моим сервером. Второе: я не обязан и не буду лечить машины клиентов(могу только на мозги им капать), а вот манагеры не дают их отлючать от инета :-(
все еще сомневаешься? mailto:blacksir@number.ru | |
|
5.14, Spark (?), 20:06, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
я понимаю что к ЛЮБОМУ СЕРВАКУ.
Так бы и сказал что у тебя релей | |
5.15, Spark (?), 20:08, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
я понимаю что к ЛЮБОМУ СЕРВАКУ.
Так бы и сказал - что это сервер ISP. Я про корпоративный MTA говорю. | |
|
|
|
2.9, Ilya Evseev (?), 16:38, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
> вирусы сами стучатся на 25 порт сервера получателя,
> обходя этим самым настройки всяких Outlook'ов.
Не всегда, это только один из вариантов.
В статье написано - автор имел счастье наблюдать,
как вирус рассылал спам через местный SMTP-сервер.
> антивирус проверяет проходящую почту
Антивирус - не панацея.
Предложенное решение (которое тем более не панацея) его дополняет.
Кроме того, вирус может рассылать не только себя, но и спам. | |
|
3.17, pev2000 (??), 22:29, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
> через местный SMTP-сервер.
что значит местный? (это тот который прописан в оутлуке?) да если у меня все оутлуком пользуются - стандарт корпоративный, даже если кто то не пользуется им, а пользуется чем то вроде Мыши... сам подумай контора - была ну так 20-50 юзеров, предположим ты облетел всех и настроил им оутлук и альтернативный... но потом вы начали рости-рости и выросли до 1000 машин? всех настраивать будешь? всех обучать будешь?
да и потом, если мы хотим защитить мир от нас-зараженых тогда закрыть всем доступ на 25 порт-99% панацея, если уж на то пошло =)
возмем к примеру новомодный вирус I-Worm.Bagle.at для отправки почты червь использует прямое подключение к SMTP-серверу получателя. взято с >>>
http://www.viruslist.com/ru/viruslist.html?id=146123472
и таких примеров этому виру море большинство идут напрямую на сервер получателя - либо блочить все конекты на не местные 25-е, либо использовать заворот на сервер с антивиром(у меня локальный он же), да если от пользователя идет много писем - 100 к примеру за минуту то его можно смело блочить(если маленькая конторка) и идти стучать в бубен пользователю, либо сидеть и смотреть дальше =) | |
|
4.19, Ilya Evseev (?), 19:46, 10/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
> да если у меня все оутлуком пользуются - стандарт корпоративный,
В статье рассмотрено несколько решений для разных вариантов,
в том числе и такого, при котором нужен именно Аутлук, и только он.
Решение - вместо фальшивого почтового клиента и сервера используется фальшивая запись в локальном WAB'е,
а на сервере - срабатывание по приходу писем на этот адрес.
> но потом вы начали рости-рости и выросли до 1000 машин?
Вот для этого и нужен аналог WabTool с интерфейсом командной строки.
> да и потом, если мы хотим защитить мир от нас-зараженых,
> тогда закрыть всем доступ на 25 порт-99% панацея
Не только и не столько перекрыть ему кислород,
сколько помочь обнаружить его присутствие в дополнение к уже существующим средствам. | |
|
|
|
1.3, Spark (?), 12:07, 09/11/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Проблема только в том, что кламав не все вирусы отлавливает. Как-то архивы с паролями и т.д.%D%A%D%AРеализовывал такую схему, когда при обращении к внешнему смтп, делался REDIRECT на локальный smtp, но больно неудобно разбирать почту вирусную в ручную. А без разбора - понту ее ловить. Потому - все таки вернулся к схеме - заблокирован smtp в FORWARD, вся исходящяя почта сканируеться kavd - зараженная складывается в папку админу, где проходят проверку на вшивость. | |
|
2.4, BlackSir (??), 12:33, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>Проблема только в том, что кламав не все вирусы отлавливает.
На самом деле - практически все, а насчет архивов с паролями есть опция:
# Mark encrypted archives as viruses (Encrypted.Zip, Encrypted.RAR).
# Default: disabled
#ArchiveBlockEncrypted
>А без разбора - понту ее ловить.
А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(
Лечить клиентские машины в моем случае нельзя. Можно только раз в неделю(или чаще, пока не надоест) звонить клиентам и напоминать что у них де, злёбный вирус поселился. Зато когда на mail.ru, mtu-net.ru и т.п. почта перестает ходить они первые будут звонить - ругацца. | |
|
3.8, Аноним (-), 16:06, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нах, и будут включены после того, как все у себя почистят. А если не так, то виноваты в этом манагеры, слишком активно лижущие клиентам задницу и заставляющие тем же заниматься и технарей. | |
3.10, Ilya Evseev (?), 16:41, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>> Проблема только в том, что кламав не все вирусы отлавливает.
> На самом деле - практически все, а насчет архивов с паролями есть опция:
Всегда найдётся архив, который понимает рабочая станция с Windows, но не поймёт сервер с Юнихом.
Всегда найдётся вирус, не успевший попасть в базу.
Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
или принесённый пользователем на флэшке файл. | |
|
4.18, pev2000 (??), 22:38, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
> Всегда найдётся вирус, не успевший попасть в базу.
Да такое бывает обносляеся чаще!!!
> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
Уважаемый! Вы сами имели честь читать статью? (если коротко: "Там обисан способ отлова писем которые хотят во внешний мир, то есть защита мира от нас (от наших клиентов) завирусованых")
Выход вира через отправку с Веб-страницы %-) я снимаю свою панаму, перед этим вирусо-писателем =)
> или принесённый пользователем на флэшке файл.
Да бывает такие печальные случаи когда новый "I-Worm.Mydoom" приносят на дискетке ;-) и просят его поглядеть: "Что то прислали - не открывается"
| |
|
5.20, Ilya Evseev (?), 19:53, 10/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>> Всегда найдётся вирус, не успевший попасть в базу.
> Да такое бывает обносляеся чаще!!!
А если вирус атаковал вас раньше, чем Clam успел выпустить обновление?
>> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
> Уважаемый! Вы сами имели честь читать статью?
Не только читал, но и написал её тоже я.
>Выход вира через отправку с Веб-страницы %-)
Имелся в виду не выход вируса от нас во внешний мир,
а его проникновение из внешнего мира к нам.
Разве не может вирус распространяться через Веб,
чтобы рассылать спам через мыло?
Clam интегрируется со Сквидом, но, насколько мне известно,
решение ещё не настолько обкатанное, как с SMTP-сервером.
К тому же Веб-клиент может получать с вирусом страницу кусками/многопоточно/etc. - тут антивирус на проксе не поможет.
| |
|
|
3.16, Spark (?), 20:13, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
Снова таки - для корпоративного антивиря кламав не подходит - хоть убейте.
Если у тебя почты от 5000 пользователей - и доля не блокированных вирусов 2-3 процента - действительно немного. Но когда почты не много (пусть 30 мег в день) и есть возможность смотреть всю почту вручную (просматривать отлупы и т.д.) то 2-3 неотловленных вируса - это бедствие.
>А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(
не доводилось, доводилось выводить незадачливых клиентов из блеклистов.
Но снова таки, перед нами разные задачи стоят. У Вас сервер ISP, у меня корпоративный почтовик.
согласен с Вашими методами, в Вашем случае. | |
|
|
1.5, Дмитрий Ю. Карпов (?), 13:16, 09/11/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей, релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую - а в ответ тишина... :) | |
|
2.6, BlackSir (??), 13:22, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей,
С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(
>релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую -
>а в ответ тишина... :)
Ммм... а если вирус захочет послать себя на mail.ru? | |
|
3.22, Дмитрий Ю. Карпов (?), 22:55, 10/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
BlackSir:
> С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(
В договор с клиентом пишем пункт, по которому клиент отвечает кошельком за рассылку вирусов. После этого клиент сам просит заблокировать port:25.
Остальные просто сдают провайдеру список используемых ими релеев (чтобы не возиться, port:25 для этих релеев открывается всем клиентам сразу).
BlackSir:
> Ммм... а если вирус захочет послать себя на mail.ru?
А там его ждёт антивирус. :)
Фишка в том, чтобы закрыть вирусам путь на серверы маленьких контор, где нет антивирусов.
Ilya Evseev:
> мало блокировать, надо ещё ставить в известность администратора.
Утречком попил кофе, почитал логи ipfw (он это умеет). Потом взял бензопилу из Doom и пошёл к юзеру с криком: "какой $%& тут пытался отправлять почту, минуя мой релей?". :)
Ilya Evseev:
> как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя?
Давить антивирусом.
Ilya Evseev:
> но где гарантия, что через него всё-таки никто не просочился и не просочится?
Гарантий нет. Есть лишь способ снизить количество вирусов.
Ilya Evseev:
> современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом.
Большиснтво сапм-машин работают напрямую - ту-то блокировка работает лучше, чем перенаправление.
Аноним:
> Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нах
Не "нах", а только "по порту:25" - этого достаточно. | |
|
2.12, Ilya Evseev (?), 16:44, 09/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
Во-первых, мало блокировать, надо ещё ставить в известность администратора.
Во-вторых, как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя? | |
|
3.13, BlackSir (??), 16:49, 09/11/2004 [^] [^^] [^^^] [ответить] | +/– | Зацени SMTP-server inet vnii number ru virus report 2004-09-30 Total rejected v... большой текст свёрнут, показать | |
|
4.21, Ilya Evseev (?), 19:56, 10/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>Зацени:
>SMTP-server inet.vnii.number.ru virus report 2004-09-30
>Total rejected viruses: 70554
> ...
Впечатляющий список, но где гарантия, что через него всё-таки никто не просочился и не просочится?;-)) Кроме того, исходящий спам тоже ловится? Ведь современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом. | |
|
3.26, bob (??), 16:10, 11/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
Прекрасная статья, большое Вам спасибо. Правда, по прочтении у меня возник дурацкий вопрос. Вот наша корпорация юзает Бат, SMTP на нестандартном порту - это значит, что "питательная среда" для вируса отсутствует. Зачем же тогда создавать ее своими руками? Ну пришел юзеру вирус, ну запустил его юзер. Размножиться он (вирус) не может, благо окружение нестандартное. Максимум проблем - отформатированный юзерский хард:) Но от этого предложенная Вами система все равно не спасет.
| |
|
4.29, Ilya Evseev (?), 03:50, 14/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
> Размножиться он (вирус) не может
Один и тот же вирус может уметь размножаться не только по почте,
а многими способами. Среди них могут быть и те, которые работают
только в локальной сети, например, эксплойты в SMB,
или заражение DOC-файлов в общих папках на сервере.
> Максимум проблем - отформатированный юзерский хард
> Но от этого предложенная Вами система все равно не спасет.
Если он сначала пытается размножиться по почте,
и попадётся в почтовую ловушку,
то у сисадмина появится время этому помешать. | |
|
|
|
1.23, pazke (?), 10:00, 11/11/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А не проще ли сделать так:
- настраиваем на почтовом сервере SMTP авторизацию;
- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.
Поскольку практически 100% вновь появляющихся почтовых червей рассылают письма прямиком на серверы получателей, все они получат отлуп. Если же попадется какой-то старинный вирь использующий MUA для рассылки себя, так его скосит установленный на почтовике clamav. А чтобы капать на мозги пользователям зараженных компьютеров можно легко соорудить анализатор логов почтовика, например на базе logcheck'a. И никаких извращений...
| |
|
2.28, Ilya Evseev (?), 03:45, 14/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>А не проще ли сделать так:
Не надо путать две задачи:
1) обнаружить вирус,
2) пресечь его деятельность.
Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую. | |
|
3.30, pev2000 (??), 11:53, 14/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>>А не проще ли сделать так:
>Не надо путать две задачи:
>1) обнаружить вирус,
>2) пресечь его деятельность.
>Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую.
Брррр... ерудна какая та, если уж случилось первое(обнаружили мы вирус) почему бы нам не сделать второе(пресечь его разпространение) и правильно сказали соорудить маленький анализатор логов и все пучком, а если у меня будет в сети такая настройка то _большинство_ виров уйдет ровно через шлюз и чихать им на настройки оутлука... а может потому что он у меня отсутствует? =)
если вдруг случилось что одна из машин заразилась неизвестной заразой, тогда один из клиентов начинает бурную деятельность в логи это пишится а после N-го коннекта клиент блочиться до разбора полетов
| |
|
2.31, pev2000 (??), 12:46, 14/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>А не проще ли сделать так:
>- настраиваем на почтовом сервере SMTP авторизацию;
>- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
>- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.
>
вот-вот! правильное решение, но тут один "но!" - это отправка через "например" mail.ru? а у нас стоит заворот на сервер с авторизацией и клиент получит отлуп, тут придется применять еще кучу приблуд или для довереных клиентов разрешать посылку без авторизации
Кстати! spamassassin бывает пресекает вирусы еще до того как они дойдут до антивуриса, так что уважаемый Ilya Evseev не думаю что хоть некоторые конторы согласятся терпеть два сервера =) а тем более(еще раз повторюсь) не каждый админ будет городить такой огород!
Тем более если у меня есть в сети клиент который по ряду причин использует оутлук и не может использовать что либо другое, тогда нужно будет настроить его оутлук на правильный сервер, при получении этим клиентом вируса | |
|
1.25, Kiev1.org (?), 14:14, 11/11/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Так spamassassin на порядок лучше ловит и неизвестные вирусы - зачем антивирус - я вообще не понимаю - правильно баес настроить, правила подкрутить и все | |
|