SMTP vírus szűrés

Web, mail, IRC, IM, hálózatok

Sziasztok!

ISPConfig-ot használok többek között levelező kiszolgálónak is, ez dovecot, postfix, clamav stb. megvalósítás.

Egész jó a Clamav, de lenne igény komolyabb szűrésre, ez már mindenképp kereskedelmi termék lesz.

Tud esetleg valaki ajánlani Debian alatt szépen működő, Postfix-el összekapcsolható víruskeresőt?

  • 8149 megtekintés

( pirate | 2015. 08. 06., cs – 13:58 )

Kaspersky mukodott Linux alatt, kb. 8-10 evvel ezelott Debian+postfix kombinacioval, azota nem tudom mi a helyzet, gondolom nem romlott :)

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Nem tudom, hogy Exchange-hez olcsobb-e, plusz ott az op.rendszer arat is kifizeted es cserebe klikkelhetsz :)

https://en.wikipedia.org/wiki/Comparison_of_antivirus_software#Linux_di…
Ezek lehet, hogy desktop viruskeresok, de aki csinal Linux desktopra az lehet, hogy csinal Linux szerverre is.

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

( freeoli v | 2015. 08. 06., cs – 17:10 )

Avast, avg es bitdegender free linuxos licence sértő mokolas volt scrollout f1 alá ami debianra épül. A mokolas mar nincs fenn, de működött.
Jó a clam, de csak akkor jó bármelyik is, ha rendszeresen keresel vele a fiokokban is. A kód polimorfizacio perces nagyságrendű, a minta létrehozás meg órás, vagyis majdnem mindegy.

( newman | 2015. 08. 07., p – 12:17 )

nem akarlak lebeszélni semmilyen pénzköltésről, de teszteltem már párhuzamos működéssel

alap: postfix+clamav+Mailscanner+SPAMassassin
kontra: Ironport, Symantec

a fizetős eszközöket/termékeket a gyártó biztosította, a pilot idejére full licence (azaz minden funkció működött, frissítések felkerültek, stb)

konfigok természetesen átadva a demo eszközökre

eredmény: minden tekintetben jobban működött a free megoldás (tényleges vírus találat, fals pozitiv jelzés, SPAM jelölés)

az eredmény minden esetben több hetes párhuzamos működés után került értékelésre, valamint a free megoldás kizárólag free listákból dolgozott, míg a demo eszközök természetesen használták az összes (számukra elérhető) fizetőst is

Köszi. Fentebb írták és én erre nem is gondoltam ebben a helyzetben, hogy a vírus megjelenés és felismerés közt eltelt időben csúszik be a sok. Desktop esetében mindig felhívom erre az emberek figyelmét, de itt most nem jutott eszembe, pedig volt is ilyen esetem nemrég. A kapott és elszabadult cuccot alig ismerték fel a nagyok is a virustotal szerint. A fájlrendszeren indított keresés elég szépen kiszedett egy rakat mailt utólag.

( hokuszpk | 2015. 08. 07., p – 16:19 )

en mar nem terhelem ezzel a mailszervert, sajat statisztikaim szerint az assp az emailban erkezo virusok ~85+% -at clamav nelkul megfogja.
idonkent a kiszedett mintakat checkelem a virustotalon, es mar nem lep meg, ha ott a kethetes-egyhonapos ajandekot az otvenvalahany virusirtobol csak 8-10 detektalja. akkor meg minek ?

Az a baj, hogy az a ~15%, az pont a kritikus 15% (ami 0-2 napja jelent meg). Meg amikor küldi a poliform vírusos .pdf-et, .doc-ot, .zip-et a féreg, amire a buta júzernek csak rá kell kattintani, hogy elkezdje elkódolni a vinyóját.
Az már más tészta, hogy melyik kergető is tudja megfogni ezeket...

És nem, nem jó megoldás, hogy tiltsuk ki a vérbe az attachmenteket (vagy "csak" a legelterjedtebb pár formátumot), mert a felhasználók felkoncolnak.

A virusok elobb keszulnek el minthogy a viruskeresok detektalnak oket, tehat a 0 naposok ellen mindig is vedtelen leszel.
Nem lenne jobb a klienseken csokkenteni a karokozas merteket ha fennall a lehetosege, hogy bekaptok egy ilyet?
Pl. nincs admin jog, rendszeres backup (heti es havi is, hogy a virus elindulasa utan masnap ne arra keljetek, hogy az osszes backup is titkositott allomanyokbol all).
-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Akkor nem ertem miert -1, hulyeseget mondtam? :)
Tokeletes viruskereso nincs, tobb ertelme van a lehetseges belepesi pontokat lezarni mint a csatolmanyokat scannelni. Persze az is kell, de nem erdemes csodat varni tole.

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Akkor nem ertem miert -1, hulyeseget mondtam? :)

azt :-) Hint:

"mindig is vedtelen leszel" = beszopod az osszes 0 day-t

"akkor nem fog kapni virust/malware-t email-en keresztul" = a 0-day vedelem 100.00% hatekonysaggal megved mindenfel, -fajta malware-tol

Egyik allitas sem igaz.

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

Nem ertem teljesen mire akartal ramutatni.

"A virusok elobb keszulnek el minthogy a viruskeresok detektalnak oket, tehat a 0 naposok ellen mindig is vedtelen leszel."
Itt mi az ami hulyeseg? Ha kiragadom a "mindig is vedtelen leszel" szavakat az tenyleg furan hangzik :)

A masodik postomban volt egy kis ironia. Termeszetesen nem igaz, hogy a 0-day vedelem minden 0-day virustol megved.

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Itt mi az ami hulyeseg?

az, hogy csak virusirtoban tudsz gondolkozni :-) Nyilvan van egy atfutasi ido, amig az x AV termek elkesziti az uj malware szignaturajat (ha nem akarjuk komplikalni a kepletet). De mi van, ha a vedelemhez (ill. pontosabban a felismereshez) nem kell az x malware-bol keszitett szigno? Akkor meguszod az atfutasi idot.

A commtouch zero hour protection vedelmenel is van egy delay, de az (legalabbis szerintuk) 5 perc korul van, nem pedig sok ora. Szoval ezert nem all meg az, hogy a 0 day malware-t mindig be fogod szopni. Egy sima AV termeknel igen, ha csak smtp idoben scanneled a leveleket. Ezert is erdemes a desktopon is atnezni a leveleket egy (lehetoleg) masik AV termekkel...

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

A feljebb lapozol lathatod, hogy eppen azt javasoltam, hogy a klienseken is kell vedelem, nem feltetlenul (csak) viruskereso. Az altalad emlitett commtouch technologia, ugy latom mostmar "Virus Outbreak Detection"-nek hivjak a tomeges elemzesre epul. Jo kiegeszito dolog. Ha a virus/malware celzott tamadasra van beallitva akkor nem veszi eszre, de ez nem is varhato el.

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

"És nem, nem jó megoldás, hogy tiltsuk ki a vérbe az attachmenteket "

ez valoban nem. de par jellemzot azert lehet.
en peldaul tiltom a ( teljesseg igenye nelkul, csak ami eszembejut ) pdf.zip, doc.zip, docx.zip meg a klasszikus cab, pif kiterjeszteseket. mar nem is tudom miota, es erre meg senki nem panaszkodott, hogy na azt pont nem kapta meg.

*szerk : beleneztem a kozelmultba, most eppen a PDF.jar a meno, szerintem felteszem ezt is a blocklistre.

Az ezzel a gond, hogy cab, pif, exe, és hasonló szarok nélkül nagyon jól meg lehet élni, azonban a pdf, a doc, és ezek zippelt verziója nélkül nem. Mint írtam, akkor jönne a lázadás - teljes joggal. Szóval ez a "megoldás", ez nem megoldás a probléma lényegére. Ennyi erővel amúgy a windows-t is kikúrhatnánk, és szintén meg lenne oldja a probléma, ugye.

tessek, ezt most fogta egy oraja a spamfilter.
3 oraja mar valaki elemezte, 5/55 jott ki, de a korrektseg kedveert ujra rauszitottam a virtustotalt.

https://www.virustotal.com/hu/file/b7fce7643d3ae075b93f30143f14dc53db5b…

javulas van, mar 8 virusirto ismeri.

*jobban utananezve, az elso peldanyt 10:01 -kor dobta el.

azert az assp sem tevedhetetlen.
a tevesen kategorizalt mintakat idonkent celszeru attolni az ellenkezo csoportba, aztan rebuildspamdb -vel ujraepittetni a bayes adatbazist.
tehat peldaul ha szolnak, hogy x@y -tol nem jon meg level, vagy allandoan spamnak jeloli, akkor egyreszt teszem whitelistre a forrascimet, masreszt a spam alatt futtatok egy keresest az adott emailcimre, es az ott hevereszo mintakat atrugdosom a helyukre.
halistennek ritkan van erre az eljarasra szukseg.

Így van. Ha jól emlékszem 4x-es súllyal veszi figyelembe a rosszul felismert, de helyére rugdosott leveleket.
Hogy ne neked kelljen manuálisan fehérlistára tenni a leveleket, megoldható, hogy egy speciális email címre továbbítják a kollégáid a problémás levelet, és automatikusan fehér listára kerül a feladó. De ez igaz a feketelistára, és a rosszul felismert spam/nem spam levelekre is.
Szerintem a rebuildspamdb cronból való hívogatása kiváltható már valósidejű tanulással is, de erről csak olvastam, és soha nem próbáltam. De igazából az egészhez csak felületesen értek.

( Dwokfur v | 2015. 08. 11., k – 00:04 )

clamav-hoz használsz sanesecurity signature-öket is?

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."