10 ответов в этой теме

[GrayCat]

Доброе время суток всем !

 

Пришло стандартное письмо счастья:

 

Уважаемый администратор!

Данное сообщение не было доставлено, так как содержит объект, нарушающий установленные для архивов ограничения.

 

и далее

 

>/var/drweb/msgs/in/3/00013473/b3/=82=A8=A4=A5=AE=AA=AE=AD=E4=A5=E0=A5=AD=E6=A8=EF\=82=91=85 =93=97=80=91=92=8D=88=8A=88.docx ОК
>/var/drweb/msgs/in/3/00013473/b3/=82=A8=A4=A5=AE=AA=AE=AD=E4=A5=E0=A5=AD=E6=A8=EF\=AF=E0=A5=A7=A5=AD=E2=A0=E6=A8=A8\=84=A0=A2=EB=A4=AE=A2 =80=AD=A4=E0=A5=A9 =8D=A8=AA=AE=AB=A0=A5=A2=A8=E7 =91=A0=AC=83=92=93 =8D=A0=E3=E7=AD=EB=A5 =E0=A0=A7=E0=A0=A1=AE=E2=AA=A8 =91=A0=AC=83=92=93.ppt слишком большой файл, не проверен
>/var/drweb/msgs/in/3/00013473/b3/=82=A8=A4=A5=AE=AA=AE=AD=E4=A5=E0=A5=AD=E6=A8=EF\=AF=E0=A5=A7=A5=AD=E2=A0=E6=A8=A8\=8F=E0=A5=A7=A5=AD=E2=A0=E6=A8=EF_=80=91=8A.ppt архив POWERPOINT

 

Возникло несколько вопросов:

1) Какое именно ограничение сработало, и в котором конфиге его искать ?

2) Можно ли настроить шаблон так, чтобы сразу было видно, кто и что нарушил ?

3) Можно ли что-нибудь сделать с чтением русских имён ?

 

если надо:

# aptitude search drweb | grep ^i
i A drweb-agent - Dr.Web Agent (REL-6.0.2.4-1310221701)
i A drweb-agent-es - Dr.Web Agent (REL-6.0.2.4-1310221701) - Ad
i A drweb-bases - Dr.Web Bases (REL-6.0.2.8-1407231344)
i A drweb-boost147 - Boost, third party C++ libraries needed fo
i A drweb-common - Dr.Web Common Files (REL-6.0.2.4-131121133
i A drweb-daemon - Dr.Web Antivirus Daemon (REL-6.0.2.4-13112
i A drweb-gperftools0 - Google performance analysis tools needed f
i A drweb-libs - Essential third party libraries needed for
i A drweb-libs32 - Essential third party libraries needed for
i A drweb-libvaderetro - Dr.Web VadeRetro antispam (REL-6.0.2.8-140
i A drweb-mail-servers-gateways-doc - Dr.Web mail server and mail gateways docum
i A drweb-maild - Dr.Web Mail Daemon (REL-6.0.2.8-1407221411
i A drweb-maild-common - Dr.Web Mail Daemon (REL-6.0.2.8-1407221411
i A drweb-maild-plugin-drweb - Dr.Web Mail Daemon (REL-6.0.2.8-1407221411
i A drweb-maild-plugin-headersfilte - Dr.Web Mail Daemon (REL-6.0.2.8-1407221411
i A drweb-maild-plugin-modifier - Dr.Web Mail Daemon (REL-6.0.2.8-1407221411
i A drweb-maild-plugin-vaderetro - Dr.Web Mail Daemon (REL-6.0.2.8-1407221411
i A drweb-maild-postfix - Dr.Web Mail Daemon (REL-6.0.2.8-1407221411
i A drweb-maild-web - Dr.Web Maild Web Interface (REL-6.0.2.1-12
i A drweb-monitor - Dr.Web Monitor (REL-6.0.2.3-1212061311)
i drweb-postfix-av-as - Dr.Web for postfix mail servers with antiv
i A drweb-scanner - Dr.Web Antivirus Scanner (REL-6.0.2.2-1207
i A drweb-updater - Dr.Web Updater (REL-6.0.2.7-1405161638)

 

заранее большое спасибо !

 

[v.martyanov]

А какой размер ppt, кстати?

[Alexander Batyukov]

Добрый день.

Ограничение из drweb32.ini Daemon/MaxFileSizeToExtract, из-за него сработало действие из plugin_drweb.conf Antivirus/ArchiveRestriction.
Кто нарушил должно быть видно из письма, которое прилетело, разве там нет адресов?

Насчет русского - там в письмо вставляется кусок лога, как он есть. К сожалению, русские буквы (это cp866, закодированный в quoted-printable) берутся так, как они представлены в письме, и в логе выглядят именно так.

Сообщение было изменено Alexander Batyukov: 30 Январь 2015 - 12:01

[GrayCat]

Если кому интересно - внутри rar-архива размером ~47Мб виден один (!) файл презентации объёмом ~55Мб.

Поэтому в самом письме нет никакого "cp866, закодированного в quoted-printable".

В отчёте - чистая отсебятина дрвеба (который по вполне понятным причинам воспринял файл с презентацией как ещё один "архив").

 

Да, я понимаю, что у rar-архивов проблемы с русскими буквами.

Поэтому хочется хотя бы на размер файла ориентироваться - если это возможно, конечно.

[Alexander Batyukov]

Имя файла - в заголовках multipart части, оно там именно в quoted-printable и есть.

 

По вопросу - так файл "Видеоконференция презентации..." размера 55Mб действительно превысил лимиты?

[GrayCat]

Имя файла - в заголовках multipart части, оно там именно в quoted-printable и есть.

это в заголовке - имя аттача (т.е. архива), разве нет ?

 

а вот в отчёте - имя некоего файла, который является частью презентации, которая запакована в рар-архив, который приаттачен к письму.

 

А размер действительно оказался превышен, но самим файлом с презентацией сразу, а не одной из своих составляющих (ограничение было в 40960, вроде бы это "умолчальное").

[Alexander Batyukov]

GrayCat, про имя Вы правы, посмотрю

[pig]

IMHO, "архив POWERPOINT" - это нормально. Объект реально составной (контейнер) и потому подлежит разбору на уровне мелких медвежат.

[GrayCat]

"архив POWERPOINT" - это нормально

угу

Проблема только в том, что нарушение ограничений вызывает почему-то не сам "архив POWERPOINT" сразу после распаковки из "архива RAR", хотя он уже должен был вызвать срабатывание триггера.

И в итоге в отчёте дрвеба мы видим по факту не то, что файл из rar-архива нарушил ограничение, а "некая запчасть" этого файла, да ещё и с зубодробительным именем.

Типа, "пойди туда, сам не знаю куда, и найди то, сам не знаю что".

Ладно, тут всего один файл внутри rar-архива, и это было выяснено легко просто потому, что письмо с архивом отправлялся одним из моих подчинённых.

А если бы это был "технически-грамотный пользователь" ?

[pig]

Из процитированного следует, что ограничения по размеру нарушил как раз сам блаблабла.ppt. И не проверялся вообще. А тот, что распознан как "архив POWERPOINT" - следующий из того же архива, вероятно. У него с размером всё хорошо, потому и проанализирован.

[GrayCat]

ограничения по размеру нарушил как раз сам блаблабла.ppt.

у самого "блаблабла.ppt" нету расширения ppt

 

---

>7z t "бла-бла-архив.rar"

7-Zip [64] 9.20 Copyright © 1999-2010 Igor Pavlov 2010-11-18

Processing archive: бла-бла-архив.rar

Testing бла-бла-содержимое-архива

Everything is Ok

Size: 58102672
Compressed: 49635774

---

 

т.е. там один файл, и без расширения (либо с пустым расширением)

никаких "ppt"