Секция [rule] в Maild_sendmail.conf в 5-ой версии
#22
Отправлено 11 Март 2011 - 19:01
а подумать?Полный лог не помещается
остаток лога Medlar :
-------------------------
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 CheckMime: end check kTypeMultipart; num=2Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 GetLocal: request for index = 3 name=AddXHeadersMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 *** DwRulesSection::Find: req=3 1 4Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ruMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ruMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ruMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ruMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:@anrb\.ruMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: skip check other conditions due to m_only_defaultMar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 Add X-Headers...Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 DwIHeadersObject::Add: name=X-Antivirus val=Dr.Web ® for Unix mail servers drweb plugin ver.5.0.0.3Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 DwIHeadersObject::Add: name=X-Antivirus-Code val=0x180120Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 Success add X-HeadersMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.report DEBUG 000B6DEA/p2BEOd58007740 AddBlockedObjects: plugin=drweb, from=consiglio@anrb.ru, num of blocked objects=1 ip=127.0.0.1 md_client= nbw=0Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild INFO 000B6DEA/p2BEOd58007740 Msg was accepted by plugin drweb; time=574 msMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 SaveAllChanges: save modified envelope...Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 SaveHeaders was calledMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 make rebuild msg...Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild mime_t=1 ct=3 sub_ct=20 cte=0 size=61804 childs=2 at_file=0 headers_num=16Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild mime_t=2 ct=3 sub_ct=21 cte=0 size=760 childs=2 at_file=0 headers_num=1Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild mime_t=3 ct=2 sub_ct=10 cte=5 size=8 childs=0 at_file=0 headers_num=2Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild_mime: encode body to size 18 from 8Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild mime_t=4 ct=2 sub_ct=13 cte=5 size=381 childs=0 at_file=0 headers_num=2Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild_mime: encode body to size 439 from 381Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild mime_t=5 ct=5 sub_ct=51 cte=6 size=0 childs=0 at_file=1 headers_num=3Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 rebuild_mime: encode body to size 2 from 0Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 success rebuild msg to file /var/drweb/msgs/in/A/000B6DEA/.msgMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 msg is accepted: send it by filterMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 DwBlockedMsgStat: success send stat about msgMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 return 0xe01 to clientMar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.ipc INFO enqueue processor return -> { res=3585, smtp answer= } for request -> { 000B6DEA }Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter.ipc INFO 000B6DEA/p2BEOd58007740 got response 3585 for enqueue request -> { msg_id=000B6DEA } smtp answer = Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter INFO 000B6DEA/p2BEOd58007740 drweb-maild return pass actionMar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Envelope was changed: need update...Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 ******* ENVELOPE *********Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 FROM: <consiglio@anrb.ru>Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 TO: <terrapin@anrb.ru>Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 ****** END ENVELOPE ******Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Body was changed: need update...Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 ReadBody: success loaded msg body with size = 2321Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Top headers was changed: need update...Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(0) - Received: from mail.anrb.ru ( localhost.localdomain [127.0.0.1] ) ^M ^Iby mail.anrb.ru (Dr.Web ® milter module ver.5.0.0.3)^M ^I; Fri, 11 Mar 2011 19:24:39 +0500Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(1) - Received: (from root@localhost) ^Iby mail.anrb.ru (8.14.4/8.14.4/Submit) id p2BEOdd1007739 ^Ifor terrapin@anrb.ru; Fri, 11 Mar 2011 19:24:39 +0500Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(2) - Received: from static-213-115-69-58.sme.bredbandsbolaget.se ( static-213-115-69-58.sme.bredbandsbolaget.se [213.115.69.58] ) ^Iby mail.anrb.ru (Dr.Web ® milter module ver.5.0.0.3) ^I; Fri, 04 Mar 2011 23:06:58 +0500Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(3) - Message-Id: 8e3401cbda9f$ceb2a320$2920a8c0@w001Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(4) - From: "DHL notification system" <support5boc@dhl.com>Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(5) - To: <terrapin@anrb.ru>Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(6) - Subject: DHL notification 4861Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(7) - Date: Fri, 4 Mar 2011 19:10:27 +0100Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(8) - MIME-Version: 1.0Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(9) - Content-Type: multipart/mixed; ^Iboundary="----=_NextPart_C4C_B9A3_DAD431FA.8D55145F"Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(10) - X-Priority: 3Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(11) - X-MSMail-Priority: NormalMar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(12) - X-Mailer: Microsoft Outlook Express 5.00.2919.6700Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(13) - X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6700Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(14) - X-Antivirus: Dr.Web ® for Unix mail servers drweb plugin ver.5.0.0.3Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Load header(15) - X-Antivirus-Code: 0x180120Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 LightHeadersLoading: success loaded 16 fields from file /var/drweb/msgs/in/A/000B6DEA/.headerMar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Success add header X-Antivirus: Dr.Web ® for Unix mail servers drweb plugin ver.5.0.0.3Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 Success add header X-Antivirus-Code: 0x180120Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter DEBUG 000B6DEA/p2BEOd58007740 RemovePotentiallyNotEmptyDir: success remove dir [/var/drweb/msgs/in/A/000B6DEA/]Mar 11 19:24:40 mail drweb-milter.real: [3015117680] milter INFO 000B6DEA/p2BEOd58007740 processing message [from: <consiglio@anrb.ru>; to:<terrapin@anrb.ru>] is overMar 11 19:24:40 mail sendmail[7739]: p2BEOdd1007739: to=terrapin@anrb.ru, ctladdr=consiglio@anrb.ru (0/0), delay=00:00:01, xdelay=00:00:01, mailer=relay, pri=91635, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (p2BEOd58007740 Message accepted for delivery)Mar 11 19:24:40 mail sendmail[7751]: p2BEOd58007740: to=<terrapin@anrb.ru>, ctladdr=<consiglio@anrb.ru> (1370/210), delay=00:00:01, xdelay=00:00:00, mailer=local, pri=32411, dsn=2.0.0, stat=SentИ на этом все. И никаких уведомлений.
---------------------
Сообщение было изменено userr: 11 Март 2011 - 19:08
#23
Отправлено 11 Март 2011 - 19:33
Прикрепленные файлы:
#24
Отправлено 14 Март 2011 - 11:53
1. случайно drweb-notifier не остался версии 4.44?
2. Вы случайно не удалил часть лога, добавляя туда свои "!!!"?
3. Notifier/RulesLogLevel установлен в debug?
4. сообщение с вирусом сохранилось в карантине под именем
/var/drweb/infected/def/drweb/A/000B6DEA.maild.LVtHan
его можно скопировать себе оттуда, что бы потом легко можно было воспроизвести ситуацию, отправив письмо в ручную (на другого получателя, конечно).
#25
Отправлено 14 Март 2011 - 14:15
>1. случайно drweb-notifier не остался версии 4.44?
drweb-notifier.real --v
drweb-notifier - version 5.0.0.3
>2. Вы случайно не удалил часть лога, добавляя туда свои "!!!"?
Я убрала из лога ту часть, где идет сравнение текущих отправителя-получателя с адресами и доменами исключений, определенный в конфиге.
Засвечивать реальные email-адреса пользователей на весь ИНтернет недопустимо.
Если вы укажете адрес, то я вышлю полный лог.
>3. Notifier/RulesLogLevel установлен в debug?
Так точно!
>4. сообщение с вирусом сохранилось в карантине под именем
>/var/drweb/infected/def/drweb/A/000B6DEA.maild.LVtHan
>его можно скопировать себе оттуда, что бы потом легко можно было воспроизвести ситуацию, отправив письмо в ручную (на другого получателя, конечно).
Сообщение сразу же было сохранено, воспроизвести ситуацию можно.
#26
Отправлено 14 Март 2011 - 16:01
#27
Отправлено 14 Март 2011 - 18:00
Для того, чтобы специалистам было удобнее читать лог, хотелось бы оптимизировать секцию [Rules], сократив число строк.
Не получается эти строки
sender:root@mail.anrb.ru cont scan=all:-drweb:-vaderetro
sender:root@ns1.anrb.ru cont scan=all:-drweb:-vaderetro
sender:root@liguria.anrb.ru cont scan=all:-drweb:-vaderetro
sender:drwebmaster@anrb.ru cont scan=all:-drweb:-vaderetro
sender:postmaster@anrb.ru cont scan=all:-drweb:-vaderetro
sender:postmaster@ufaras.ru cont scan=all:-drweb:-vaderetro
записать одной строкой
"sender:regex:(root|(post|drweb)master)@((mail|ns1|liguria)\.)?(anrb|ufaras)\.ru" cont scan=all:-drweb:-vaderetro
Что не так?
Сообщение было изменено Medlar: 14 Март 2011 - 18:01
#28
Отправлено 14 Март 2011 - 18:14
"sender:regex:^(root|(post|drweb)master)@((mail|ns1|liguria)\.)?(anrb|ufaras)\.ru$" cont scan=all:-drweb:-vaderetro
и все должно работать:
$ drweb-maild --sender root@mail.ufaras.ru
...
Mon Mar 14 18:11:19 2011 [140096698238752] maild.rules DEBUG scan : all:-drweb:-vaderetro
...
$ drweb-maild --sender fake@mail.ufaras.ru
...
Mon Mar 14 18:12:54 2011 [139692592482080] maild.rules DEBUG scan : all
...
#29
Отправлено 16 Март 2011 - 12:11
В 6.0 будет введена система гибкого изменения счета и можно будет заранее уменьшить счет для всех клиентов из защищаемой сети, что избавит от необходимости писать такие грубые белые списки.
Что-то у меня энтузиазм иссяк ... Последняя двухдневная война с конфигом убедила меня в том, что конструкции с "|" не обрабатываются правильно.
Нормально воспринимаются только простые конструкции типа адрес целиком или домена по одному на каждой строке.
Думаю, раз в 6 версии синтаксис будет другой, может, не стоит разбираться с этой версией, а лучше потихоньку перебираться на новую версию ...
Но на всякий случай последний результат прикладываю.
ДЛя чистоты эксперимента из конфига были убраны все белые списки и оставлены лишь 4 строки, разрещающие присылать извещения о зараженных и вылеченных письмах.
160311_1.log - кусок maillog'a при вкл. debug-логировании
check.log - вывод команды /opt/drweb/drweb-maild --sender terrapin@anrb.ru
Прикрепленные файлы:
#30
Отправлено 16 Март 2011 - 15:12
анализируя
sender:regex:.*@anrb.ru cont notify.Virus = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Virus = allow(admin:rcpt)
sender:regex:.*@anrb.ru cont notify.Cured = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Cured = allow(admin:rcpt)
сверх вниз он находит совпадение с sender:regex:.*@anrb.ru cont notify.Virus = allow(admin:sender) и дальше уже не ищет по правилам. так как в этой строке нет cured, то используется его значение заданное в [Rule] по-умолчанию (т.е. notify.Cured = block). и для второго случая аналогично.
что бы это исправить надо поместить их в одну строку:
sender:regex:.*@anrb.ru cont notify.Virus = allow(admin:sender), notify.Cured = allow(admin:sender) rcpt:regex:.*@anrb.ru cont notify.Virus = allow(admin:rcpt), notify.Cured = allow(admin:rcpt)
в версии 6.0 это изменено и проверяются все правила в поисках решения (объединяя значение настройки) так что будет работать и Ваш вариант.
p.s.
ошибка при сохранении файла в карантине. надо смотреть структуру файлов в /var/drweb/infected/def - есть ли нужные права и т.п., а так же может есть какие ошибки при запуске maildMar 16 13:25:43 mail drweb-maild.real: [1945471856] maild ERROR 000B9751/p2G8Phc8016613 can`t open temp file /var/drweb/infected/def/drweb/1/000B9751.maild.VLop9g: No such file or directory
Mar 16 13:25:44 mail drweb-maild.real: [1945471856] maild ERROR 000B9751/p2G8Phc8016613 quarantine: can`t create temp file in directory /var/drweb/infected/def/drweb/1/
#31
Отправлено 16 Март 2011 - 16:41
Ясно, вот почему в случае с неизлечиваемым вирусом извещение все-таки приходилоспасибо за оба лога - теперь понятно почему отчеты по cured не отправляются.
анализируясверх вниз он находит совпадение с sender:regex:.*@anrb.ru cont notify.Virus = allow(admin:sender) и дальше уже не ищет по правилам. так как в этой строке нет cured, то используется его значение заданное в [Rule] по-умолчанию (т.е. notify.Cured = block). и для второго случая аналогично.sender:regex:.*@anrb.ru cont notify.Virus = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Virus = allow(admin:rcpt)
sender:regex:.*@anrb.ru cont notify.Cured = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Cured = allow(admin:rcpt)
Да, потихонечку начну переползать ...в версии 6.0 это изменено и проверяются все правила в поисках решения (объединяя значение настройки) так что будет работать и Ваш вариант.
Да нет, я структура сразу проверила -все на месте и права 775 и drweb.drwebp.s.
ошибка при сохранении файла в карантине. надо смотреть структуру файлов в /var/drweb/infected/def - есть ли нужные права и т.п., а так же может есть какие ошибки при запуске maildMar 16 13:25:43 mail drweb-maild.real: [1945471856] maild ERROR 000B9751/p2G8Phc8016613 can`t open temp file /var/drweb/infected/def/drweb/1/000B9751.maild.VLop9g: No such file or directory
Mar 16 13:25:44 mail drweb-maild.real: [1945471856] maild ERROR 000B9751/p2G8Phc8016613 quarantine: can`t create temp file in directory /var/drweb/infected/def/drweb/1/
Ошибки при запуске maild посмотрю.
СПасибо!
#32
Отправлено 16 Март 2011 - 16:45
#33
Отправлено 16 Март 2011 - 16:54
... cont scan=all:-drweb
можно будет писать так же
... cont drweb/use = off
самые главные изменения при миграции:
1) возможно лучше перейти на использование наших новых репозиториев и пакетов - это упростит в дальнейшем обновление
2) карантин теперь индексируется во внутренней БД. в комплекте есть скрипт который мигрирует старый формат карантина в новый (его надо запускать при запущенном новом MailD 6.0 - он может уже и под нагрузкой быть).
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых