Fórumok
Sziasztok!
ISPConfig-ot használok többek között levelező kiszolgálónak is, ez dovecot, postfix, clamav stb. megvalósítás.
Egész jó a Clamav, de lenne igény komolyabb szűrésre, ez már mindenképp kereskedelmi termék lesz.
Tud esetleg valaki ajánlani Debian alatt szépen működő, Postfix-el összekapcsolható víruskeresőt?
Hozzászólások
Kaspersky mukodott Linux alatt, kb. 8-10 evvel ezelott Debian+postfix kombinacioval, azota nem tudom mi a helyzet, gondolom nem romlott :)
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ezt én is hallottam régebben, de licence kicsit módosult.
Jelenleg 100 Mailbox 1 Year $2,340.00
Szerk. Ok a kereskedelmi termék, ezt ingyen nem várja az ember, de ésszerű keretek közt. Magyar cégek mentalitásáról ne indítsunk vitát.
Nem tudom, hogy Exchange-hez olcsobb-e, plusz ott az op.rendszer arat is kifizeted es cserebe klikkelhetsz :)
https://en.wikipedia.org/wiki/Comparison_of_antivirus_software#Linux_di…
Ezek lehet, hogy desktop viruskeresok, de aki csinal Linux desktopra az lehet, hogy csinal Linux szerverre is.
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
http://www.eset.com/me/home/products/antivirus-linux/
ez desktop. Van nekik ilyen: ESET Mail Security for Linux/BSD 100 postafiók 250e nettó körül.
Ez szerver:
http://www.eset.com/us/business/server-antivirus/mail-security-linux/
ha minden igaz, ez komplett antispam is egyben. Par eve teszteltem, meglepoen jol felismerte a spameket...
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Ennyiért komplett utm szokot lenni korlátlan user számmal.
az arat nem tudom, nincs eset reszvenyem sem. Neked mennyit mondtak, es abbol milyen utm is jon ki?
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Elég sok van és a jobbaknak vannak virtual utm appliance verziói is ami NEked kellhet. Sophos, Cyreberoam, WatchGuard ... és nem csak egy vírusszűrőt kap az ember a pénzéért.
Mókás dolog az ESET, amavisd-new -al párosítva pl. Ha esetleg maga az ESET daemon elhalt valamiért, akkor gyakorlatilag simán eldroppol mindent a amavis, amit kb. utána vissza se tudsz szedni. Bár azóta lehet javult ez valamit, ~4 éve volt ilyen esetem.
Ha csak annyi kell, hogy a bejövő levelekben csak kártevőt (SPAM-et nem) keressen akkor a desktop is jó lehet. Amavissal működik.
Avast, avg es bitdegender free linuxos licence sértő mokolas volt scrollout f1 alá ami debianra épül. A mokolas mar nincs fenn, de működött.
Jó a clam, de csak akkor jó bármelyik is, ha rendszeresen keresel vele a fiokokban is. A kód polimorfizacio perces nagyságrendű, a minta létrehozás meg órás, vagyis majdnem mindegy.
Hmm az AVG-t még fejlesztik linuxra? A FAQ-jukba egyébként benne van a Commercial Use varázsszó.
nem akarlak lebeszélni semmilyen pénzköltésről, de teszteltem már párhuzamos működéssel
alap: postfix+clamav+Mailscanner+SPAMassassin
kontra: Ironport, Symantec
a fizetős eszközöket/termékeket a gyártó biztosította, a pilot idejére full licence (azaz minden funkció működött, frissítések felkerültek, stb)
konfigok természetesen átadva a demo eszközökre
eredmény: minden tekintetben jobban működött a free megoldás (tényleges vírus találat, fals pozitiv jelzés, SPAM jelölés)
az eredmény minden esetben több hetes párhuzamos működés után került értékelésre, valamint a free megoldás kizárólag free listákból dolgozott, míg a demo eszközök természetesen használták az összes (számukra elérhető) fizetőst is
az SA-t sokan szeretik (foleg mert ingyenes), de azert egy eleg kozepszeru versenyzo az elerheto megoldasok kozul. Btw. az ironport-ot en vagy 5 eve teszteltem, nem volt rossz...
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Köszi. Fentebb írták és én erre nem is gondoltam ebben a helyzetben, hogy a vírus megjelenés és felismerés közt eltelt időben csúszik be a sok. Desktop esetében mindig felhívom erre az emberek figyelmét, de itt most nem jutott eszembe, pedig volt is ilyen esetem nemrég. A kapott és elszabadult cuccot alig ismerték fel a nagyok is a virustotal szerint. A fájlrendszeren indított keresés elég szépen kiszedett egy rakat mailt utólag.
en mar nem terhelem ezzel a mailszervert, sajat statisztikaim szerint az assp az emailban erkezo virusok ~85+% -at clamav nelkul megfogja.
idonkent a kiszedett mintakat checkelem a virustotalon, es mar nem lep meg, ha ott a kethetes-egyhonapos ajandekot az otvenvalahany virusirtobol csak 8-10 detektalja. akkor meg minek ?
Az a baj, hogy az a ~15%, az pont a kritikus 15% (ami 0-2 napja jelent meg). Meg amikor küldi a poliform vírusos .pdf-et, .doc-ot, .zip-et a féreg, amire a buta júzernek csak rá kell kattintani, hogy elkezdje elkódolni a vinyóját.
Az már más tészta, hogy melyik kergető is tudja megfogni ezeket...
És nem, nem jó megoldás, hogy tiltsuk ki a vérbe az attachmenteket (vagy "csak" a legelterjedtebb pár formátumot), mert a felhasználók felkoncolnak.
A virusok elobb keszulnek el minthogy a viruskeresok detektalnak oket, tehat a 0 naposok ellen mindig is vedtelen leszel.
Nem lenne jobb a klienseken csokkenteni a karokozas merteket ha fennall a lehetosege, hogy bekaptok egy ilyet?
Pl. nincs admin jog, rendszeres backup (heti es havi is, hogy a virus elindulasa utan masnap ne arra keljetek, hogy az osszes backup is titkositott allomanyokbol all).
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
tehat a 0 naposok ellen mindig is vedtelen leszel.
-1
Mar sok eve, hogy hallottam a commtouch 0 day protection modszererol, ami nem az attachment tartalmanak atszkennelese alapjan mukodik...
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Ezzel azt akarod mondani ha valaki azt az engine-t hasznalja akkor nem fog kapni virust/malware-t email-en keresztul?
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
nem.
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Akkor nem ertem miert -1, hulyeseget mondtam? :)
Tokeletes viruskereso nincs, tobb ertelme van a lehetseges belepesi pontokat lezarni mint a csatolmanyokat scannelni. Persze az is kell, de nem erdemes csodat varni tole.
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Akkor nem ertem miert -1, hulyeseget mondtam? :)
azt :-) Hint:
"mindig is vedtelen leszel" = beszopod az osszes 0 day-t
"akkor nem fog kapni virust/malware-t email-en keresztul" = a 0-day vedelem 100.00% hatekonysaggal megved mindenfel, -fajta malware-tol
Egyik allitas sem igaz.
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Nem ertem teljesen mire akartal ramutatni.
"A virusok elobb keszulnek el minthogy a viruskeresok detektalnak oket, tehat a 0 naposok ellen mindig is vedtelen leszel."
Itt mi az ami hulyeseg? Ha kiragadom a "mindig is vedtelen leszel" szavakat az tenyleg furan hangzik :)
A masodik postomban volt egy kis ironia. Termeszetesen nem igaz, hogy a 0-day vedelem minden 0-day virustol megved.
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Itt mi az ami hulyeseg?
az, hogy csak virusirtoban tudsz gondolkozni :-) Nyilvan van egy atfutasi ido, amig az x AV termek elkesziti az uj malware szignaturajat (ha nem akarjuk komplikalni a kepletet). De mi van, ha a vedelemhez (ill. pontosabban a felismereshez) nem kell az x malware-bol keszitett szigno? Akkor meguszod az atfutasi idot.
A commtouch zero hour protection vedelmenel is van egy delay, de az (legalabbis szerintuk) 5 perc korul van, nem pedig sok ora. Szoval ezert nem all meg az, hogy a 0 day malware-t mindig be fogod szopni. Egy sima AV termeknel igen, ha csak smtp idoben scanneled a leveleket. Ezert is erdemes a desktopon is atnezni a leveleket egy (lehetoleg) masik AV termekkel...
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
A feljebb lapozol lathatod, hogy eppen azt javasoltam, hogy a klienseken is kell vedelem, nem feltetlenul (csak) viruskereso. Az altalad emlitett commtouch technologia, ugy latom mostmar "Virus Outbreak Detection"-nek hivjak a tomeges elemzesre epul. Jo kiegeszito dolog. Ha a virus/malware celzott tamadasra van beallitva akkor nem veszi eszre, de ez nem is varhato el.
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
"nem az attachment tartalmanak atszkennelese alapjan mukodik..."
Hanem?
--
Blog | @hron84
Üzemeltető macik
deny: all
www.abox.com/pdfm/Zero%20Hour%20virus.pdf
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
-deduplicated-
es ? amig a szignature adatbazisban nem jelenik meg, addig a jo esellyel virnyakkergeto sem fogja meg. na az is van 0-2 nap. neha tobb.
ellenben az assp statisztikai szuroje magatol kb. fel nap alatt rajon, hogy mely tipusu levelet nem kene tovabbitani.
"És nem, nem jó megoldás, hogy tiltsuk ki a vérbe az attachmenteket "
ez valoban nem. de par jellemzot azert lehet.
en peldaul tiltom a ( teljesseg igenye nelkul, csak ami eszembejut ) pdf.zip, doc.zip, docx.zip meg a klasszikus cab, pif kiterjeszteseket. mar nem is tudom miota, es erre meg senki nem panaszkodott, hogy na azt pont nem kapta meg.
*szerk : beleneztem a kozelmultba, most eppen a PDF.jar a meno, szerintem felteszem ezt is a blocklistre.
Az ezzel a gond, hogy cab, pif, exe, és hasonló szarok nélkül nagyon jól meg lehet élni, azonban a pdf, a doc, és ezek zippelt verziója nélkül nem. Mint írtam, akkor jönne a lázadás - teljes joggal. Szóval ez a "megoldás", ez nem megoldás a probléma lényegére. Ennyi erővel amúgy a windows-t is kikúrhatnánk, és szintén meg lenne oldja a probléma, ugye.
en meg nem lattam embert, aki a pdfet csatolas elott bezippelte volna.
biztos van ilyen is, csak meg nem kerult a latokorombe. de igerem ha kapok reklamaciot, majd ujraertekelem ezt.
En lattam mar. Meg en magam is csinaltam olyat, hogy veletlenul csak egy pdf-et jeloltem ki tomoritesre, es az okos fajlkezelo fajl.pdf.zip alaku fajlnevet alakitott ki, aztan csak beledobaltam a hianyzo pdf-eket, mert lusta voltam ujraalkotni.
--
Blog | @hron84
Üzemeltető macik
hint: "en meg nem lattam embert,"... ;-)
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Ez igaz is marad, nem hiszem, hogy a kozeljovoben talalkoznank f2f. :-)
--
Blog | @hron84
Üzemeltető macik
tessek, ezt most fogta egy oraja a spamfilter.
3 oraja mar valaki elemezte, 5/55 jott ki, de a korrektseg kedveert ujra rauszitottam a virtustotalt.
https://www.virustotal.com/hu/file/b7fce7643d3ae075b93f30143f14dc53db5b…
javulas van, mar 8 virusirto ismeri.
*jobban utananezve, az elso peldanyt 10:01 -kor dobta el.
ma ez a docm volt a meno, ugy reggel 10 -tol kapdossa ki az assp, es mar ismeri is 12 kergeto.
irto jok na.
olyat lattatok mar, aki nagy docm kuldo ?
es ne feledkezzunk meg a del korul erkezett ace filerol, 1/55
siralmas.
amugy ez egy zip file, a kibontott exe-t mar harom is elkapja.
pompas pazar, remek, csodas, stb ; nemkivant torlendo.
Az ASSP azért szűri ki ezeket, mert csatolmány van a levélben, vagy mert spamnek jelöli, vagy kimondottan vírust szűr?
spamnak jeloli. pontosabban ezeket dobja is kifele, a bayes szuro trenirozasahoz felretett mintabol szoktam kimazsizni.
Ez így nem túl izgalmas. 3x is említetted az ASSP-t, de ez esetben bármelyik spamszűrő ugyanúgy kiszűri a rosszul küldött vírusokat.
valoszinuleg tobb statisztikai szuro is kifogja a virusokat is, de mivel en mar regota kizarolag assp -t hasznalok, ezert errol tudok ertekezni.
ha spamassassint hasznalnek, akkor azt emlitettem volna, szoval varjuk az SA hasznalok tapasztalatait.
És hogy használod fel tanításra, a spamnek jelölt leveleket? Ezeket alapértelmezetten is tanulja a statisztikai szűrő.
ha mar spamnek jelolte, akkor miert kellene tanulja?
--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)
Ha az ASSP (mint egész) jelölte spamnek, az nem jelenti, hogy a bayesian modulja is spamnek gondolja a levelet, azaz lehet tanítani. Ez egy jól automatizálható folyamat. De ezek nem derültek ki pontosan, csak az, hogy milyen sok vírust kiszűr.
nekem ugytunik, pont a bayes modul miatt fogja meg, rbl, uribl, rwl es tarsai co. persze besegitenek, de az nem lenne eleg, hogy ennyit fogjon.
azert az assp sem tevedhetetlen.
a tevesen kategorizalt mintakat idonkent celszeru attolni az ellenkezo csoportba, aztan rebuildspamdb -vel ujraepittetni a bayes adatbazist.
tehat peldaul ha szolnak, hogy x@y -tol nem jon meg level, vagy allandoan spamnak jeloli, akkor egyreszt teszem whitelistre a forrascimet, masreszt a spam alatt futtatok egy keresest az adott emailcimre, es az ott hevereszo mintakat atrugdosom a helyukre.
halistennek ritkan van erre az eljarasra szukseg.
Így van. Ha jól emlékszem 4x-es súllyal veszi figyelembe a rosszul felismert, de helyére rugdosott leveleket.
Hogy ne neked kelljen manuálisan fehérlistára tenni a leveleket, megoldható, hogy egy speciális email címre továbbítják a kollégáid a problémás levelet, és automatikusan fehér listára kerül a feladó. De ez igaz a feketelistára, és a rosszul felismert spam/nem spam levelekre is.
Szerintem a rebuildspamdb cronból való hívogatása kiváltható már valósidejű tanulással is, de erről csak olvastam, és soha nem próbáltam. De igazából az egészhez csak felületesen értek.
rebuildspamdb.pl -t mar egy ideje nem kell kivulrol cronbol hivogatni, a 2.4.x -hez kell telepiteni egy perl Schedule::Cron modult, es a beallitasokban megadhatod, hogy mikor epitkezzen.
ebben a verzioban mar nincs is kulon script.
Igen, de ettől még továbbra is csak hajnalban vagy óránként,... tanul és nem valós időben.
ezt a pici hibajat elnezem neki, amig igy teljesit :)
Tipp: nezz meg egy Amavis peldakonfigot olyan gepen, ami nem Debian/Ubuntu. Egesz csunya hosszu lista van a Linuxos viruskergetokrol benne.
--
Blog | @hron84
Üzemeltető macik
clamav-hoz használsz sanesecurity signature-öket is?
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
subscribe