32 ответов в этой теме

[Medlar]

Возникла необходимость срочной переустановки системы, поэтому было решено поставить новую версию DrWeb
Установка 5-ой версии прошла без проблем, но с конфигом возникли проблемы.
Синтаксис в [Rule] здорово изменился, а документации в части [Rule] не стала понятней по сравнению с предыд. версией, так что мне без вашей помощи быстро не разобраться.

Подскажите, пожалуйста, как теперь должны выглядеть мои прежние наборы:
[Rule]
notify = block
notify.Virus = block
notify.Virus = allow(admin:sender) if sender:@anrb\.ru
notify.Virus = allow(admin:rcpt) if rcpt:@anrb\.ru

[Rule:viruses-MR1]
notify = block
notify = allow(any) if @anrb\.ru
quarantine = no

[Users]
sender:drwebmaster@anrb\.ru scan=all:-drweb:-vaderetro
rcpt:promexpo@bvkexpo\.ru scan=all:-vaderetro

[Viruses]
"Win32\.Klez" rule=viruses-MR1

Заранее спасибо.

[Anton Ivanov]

примерно так:

[Rule]
notify = block
notify.Virus = block

[Rule:viruses-MR1]
notify = block
quarantine = no

[Rules]

sender:regex:@anrb\.ru cont notify.Virus = allow(admin:sender)
rcpt:regex:@anrb\.ru cont notify.Virus = allow(admin:rcpt)

sender:drwebmaster@anrb.ru cont scan=all:-drweb:-vaderetro
rcpt:promexpo@bvkexpo.ru cont scan=all:-vaderetro

block:Win32.Klez cont rule=viruses-MR1
regex:@anrb\.ru && block:Win32.Klez cont notify = allow(any), rule=viruses-MR1

[Medlar]

[Rules]
sender:drwebmaster@anrb.ru cont scan=all:-drweb:-vaderetro
rcpt:user@bvkexpo.ru cont scan=all:-vaderetro

Не получается избавить целиком почтовый домен от проверки.
Конкретный адрес, так как вы написали, избавить получается.

С доменом пробовалось следующее:
sender:@anrb.ru cont scan=all:-vaderetro
sender:@anrb\.ru cont scan=all:-vaderetro
sender:anrb.ru cont scan=all:-vaderetro
sender:*@anrb.ru cont scan=all:-vaderetro

Результата нет.

[Anton Ivanov]

результата нет потому что теперь по-умолчанию используются непосредственно значения, а не регулярные выражения как было в 4.44. Это отражено в документации и скрипт миграции пытается выполнить соответствующие изменения. В Вашем случае надо явно указать использование регулярных выражений:

sender:regex:.*@anrb\.ru cont scan=all:-vaderetro


В 6.0 будет введена система гибкого изменения счета и можно будет заранее уменьшить счет для всех клиентов из защищаемой сети, что избавит от необходимости писать такие грубые белые списки.

[Medlar]

Спасибо большое, работает и так
sender:regex:.*@anrb\.ru cont scan=all:-vaderetro
и так
sender:regex:@anrb\.ru cont scan=all:-vaderetro

А обеление IP и сетей возможно?

[Anton Ivanov]

да. в правилах есть условие client-ip. например:

client-ip:10.0.1.0/24 cont scan=all:-vaderetro

[John Q. Smith]

да. в правилах есть условие client-ip. например:

client-ip:10.0.1.0/24 cont scan=all:-vaderetro

Мигрируем с sendmail+spamassasin, активно использовали конструкции вида:

whitelist_from_rcvd            user@domain.ru mx.domain.ru

Т.е. обеляется почта от user@domain.ru пришедшая с релея mx.domain.ru
Возможно ли осуществлять такие же проверки средствами drweb?
В документации к сожалению описания подобного функционала не нашел.

[John Q. Smith]

Разобрался.
[codebox](client-ip:1.1.1.1 || client-ip:2.2.2.2 || client-ip:3.3.3.3/27) && (sender:regex:.*@lalala.ru) cont scan=all:-vaderetro[/codebox]

[Medlar]

[code=auto:0][Rule]
notify = block
notify.Virus = block

[Rule:viruses-MR1]
notify = block
quarantine = no

[Rules]
sender:regex:@anrb\.ru cont notify.Virus = allow(admin:sender)
rcpt:regex:@anrb\.ru cont notify.Virus = allow(admin:rcpt)

Уведомления все равно не рассылаются.

Oct 25 12:10:57 mail sendmail[27250]: o9P6AoiP027250: from=<sender@anrb.ru>, size=814269, class=0, nrcpts=1, msgid=<1781348218.20101025120619@anrb.ru>, proto=ESMTP, daemon=MTA, relay=[1.2.32.51]

Oct 25 12:10:57 mail drweb-milter.real: [2989489008] milter INFO 0006A249/o9P6AoiP027250 success save mail to /var/drweb/msgs/in/9/0006A249/
Oct 25 12:10:57 mail drweb-maild.real: [1945107312] maild INFO 0006A249/o9P6AoiP027250 skip plugin vaderetro for: from=<sender@anrb.ru>; to=<recipient@dom.ru> size=825008/0
Oct 25 12:10:57 mail drweb-maild.real: [1945107312] maild INFO 0006A249/o9P6AoiP027250 Attach msg to plugin drweb...
Oct 25 12:10:57 mail drweb-maild.real: [1945107312] maild INFO 0006A249/o9P6AoiP027250 quarantine: success save msg to /var/drweb/infected/def/drweb/9/0006A249.maild.k1BaLB
Oct 25 12:10:57 mail drweb-maild.real: [1945107312] maild INFO 0006A249/o9P6AoiP027250 send notification 'cured' for msg /var/drweb/msgs/in/9/0006A249 ...
Oct 25 12:10:57 mail drweb-notifier.real: [3037723504] notifier INFO start processing msg: [from: <sender@anrb.ru>; to:<recipient@dom.ru>]
Oct 25 12:10:57 mail drweb-maild.real: [1945107312] drweb INFO 0006A249/o9P6AoiP027250 file is infected with known virus(es) for 6a249, apply: [cure, quarantine, notify]
Oct 25 12:10:57 mail drweb-maild.real: [1945107312] maild INFO 0006A249/o9P6AoiP027250 Msg was accepted by plugin drweb; time=323 ms
Oct 25 12:10:57 mail drweb-milter.real: [2989489008] milter INFO 0006A249/o9P6AoiP027250 drweb-maild return pass action

Oct 25 12:10:58 mail sendmail[27253]: o9P6AoiP027250: to=<recipient@dom.ru>, ctladdr=<sender@anrb.ru> (1027/210), delay=00:00:08, xdelay=00:00:01, mailer=esmtp, pri=934269, relay=dom.ru. [1.1.1.3], dsn=2.0.0, stat=Sent (Ok: queued as 5CEF9F5394B)

plugin_drweb.conf:
Infected = cure, quarantine, notify

maild_sendmail.conf:
notify = block
notify.Virus = block
notify.Cured = block
notify.Skip = allow(admin)
notify.Archive = allow(admin)
notify.Error = allow(admin)
notify.Rule = allow(admin)
notify.License = allow(admin)
notify.Malware = allow(admin)

[Rules]
sender:regex:.*@anrb.ru cont notify.Virus = allow(admin:sender)
sender:regex:.*@bvkexpo.ru cont notify.Virus = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Virus = allow(admin:rcpt)
rcpt:regex:.*@bvkexpo.ru cont notify.Virus = allow(admin:rcpt)
# rcpt:regex:.+@(anrb|ufaras|bvkexpo|next02)\.ru cont notify.Virus = allow(admin:rcpt)

sender:regex:.*@anrb.ru cont notify.Cured = allow(admin:sender)
sender:regex:.*@bvkexpo.ru cont notify.Cured = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Cured = allow(admin:rcpt)
rcpt:regex:.*@bvkexpo.ru cont notify.Cured = allow(admin:rcpt)

[Anton Ivanov]

кому именно уведомления не рассылаются? отправителю, администратору, получателю? Судя по натройкам уведомления должны идти администратору и отправителю.
+ можно увидеть полный debug лог?

[Medlar]

кому именно уведомления не рассылаются? отправителю, администратору, получателю? Судя по натройкам уведомления должны идти администратору и отправителю.
+ можно увидеть полный debug лог?

Уведомления не рассылаются никому.
Лог уровня debug смогу предоставить только после повторения события.

[Medlar]

Какой именно лог нужно будет предоставить?

[Anton Ivanov]

весь лог по конкретному сообщению для которого не пришли уведомления. получить так можно например (для 0006A249 из лога выше):
grep -i 6A249 /file/with/log > ./saved_log

при этом желательно установить следующие настройки:

Logging/Level = debug
Logging/IpcLevel = info
Maild/RulesLogLevel = debug
Notifier/RulesLogLevel = debug

+ конфигурационный файл MailD на всякий случай.

[Medlar]

Так как вирусы приходят редко, а использование рекомендованных вами значений уровней логирования значительно увеличивает объем логов ( что естественно),
то ваши рекомендации пока не были исполнены.
Но появилась дополнительная информация. Может, эта она наведет на след?

DrWeb не извещает меня о ВЫЛЕЧЕННОМ вирусе.
ЕСли же вирус не поддается лечению, то извещения приходят всем, кто указан в конфиге.

Письмо заражено, вирус не лечится, письмо отвергнуто:
oBAG6ilu008286
Dec 10 21:06:50 mail sendmail[8286]: oBAG6ilu008286: from=<essafti@ucam.ac.ma>, size=182460, class=0, nrcpts=1, msgid=<201012101604.oBAG40px007428@manar.ucam.ac.ma>, proto=ESMTP, daemon=MTA, relay=3.ucam.marwan.ma [196.200.176.3] (may be forged)
Dec 10 21:06:50 mail drweb-milter.real: [3015900016] milter INFO 00084ABA/oBAG6ilu008286 success save mail to /var/drweb/msgs/in/A/00084ABA/
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] maild INFO 00084ABA/oBAG6ilu008286 Attach msg to plugin vaderetro...
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] vaderetro INFO 00084ABA/oBAG6ilu008286 SpamState = 0; SpamScore = 80; Version=Vade Retro 01.297.08 AV+AS Profile: <none>; Bailout: N/A;
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] maild INFO 00084ABA/oBAG6ilu008286 Msg was accepted by plugin vaderetro; time=16 ms
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] maild INFO 00084ABA/oBAG6ilu008286 Attach msg to plugin drweb...
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] maild INFO 00084ABA/oBAG6ilu008286 quarantine: success save msg to /var/drweb/infected/def/drweb/A/00084ABA.maild.6wbTWr
---
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] maild INFO 00084ABA/oBAG6ilu008286 send notification 'virus' for msg /var/drweb/msgs/in/A/00084ABA ...
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] drweb INFO 00084ABA/oBAG6ilu008286 file have virus(es) and can not be cured for 84aba, apply: [reject, quarantine, notify]
---
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] maild INFO 00084ABA/oBAG6ilu008286 plugin drweb block msg; time=592 ms
Dec 10 21:06:50 mail drweb-maild.real: [1943010160] maild INFO 00084ABA/oBAG6ilu008286 msg is rejected
Dec 10 21:06:50 mail drweb-milter.real: [3015900016] milter INFO 00084ABA/oBAG6ilu008286 drweb-maild return reject action
Dec 10 21:06:50 mail drweb-milter.real: [3015900016] milter INFO 00084ABA/oBAG6ilu008286 processing message [from: <essafti@ucam.ac.ma>; to:<gatling@anrb.ru>] is over
Dec 10 21:06:50 mail sendmail[8286]: oBAG6ilu008286: Milter: data, reject=554 5.7.1 Command rejected
Dec 10 21:06:50 mail sendmail[8286]: oBAG6ilu008286: to=<gatling@anrb.ru>, delay=00:00:02, pri=212460, stat=Command rejected

oBAG6o9V008291 oBAG6o3o008292:
Dec 10 21:06:50 mail sendmail[8291]: oBAG6o9V008291: from=<drwebmaster@anrb.ru>, size=1933, class=-100, nrcpts=1, msgid=<201012101606.oBAG6o9V008291@mail.anrb.ru>, relay=drweb@localhost
Dec 10 21:06:50 mail sendmail[8292]: oBAG6o3o008292: from=<drwebmaster@anrb.ru>, size=2169, class=-100, nrcpts=1, msgid=<201012101606.oBAG6o9V008291@mail.anrb.ru>, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Dec 10 21:06:50 mail drweb-milter.real: [2997877616] milter INFO /oBAG6o3o008292 notification with valid secure-hash - pass without check
Dec 10 21:06:50 mail drweb-milter.real: [2997877616] milter INFO /oBAG6o3o008292 processing message [from: <drwebmaster@anrb.ru>; to:<gatling@anrb.ru>] is over
Dec 10 21:06:50 mail sendmail[8291]: oBAG6o9V008291: to=<gatling@anrb.ru>, ctladdr=<drwebmaster@anrb.ru> (112/501), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=211933, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (oBAG6o3o008292 Message accepted for delivery)
Dec 10 21:06:50 mail drweb-sender.real: [3030383472] sender.pipe INFO abswurh8V success send msg [from: <drwebmaster@anrb.ru>; to:<gatling@anrb.ru>; size=1945]
Dec 10 21:06:50 mail sendmail[8296]: oBAG6o3o008292: to=<gatling@anrb.ru>, ctladdr=<drwebmaster@anrb.ru> (1338/210), delay=00:00:00, xdelay=00:00:00, mailer=local, pri=212437, dsn=2.0.0, stat=Sent


oBAG6oX2008288 oBAG6oRp008289
Dec 10 21:06:50 mail sendmail[8288]: oBAG6oX2008288: from=<drwebmaster@anrb.ru>, size=1887, class=-100, nrcpts=1, msgid=<201012101606.oBAG6oX2008288@mail.anrb.ru>, relay=drweb@localhost
Dec 10 21:06:50 mail sendmail[8289]: oBAG6oRp008289: from=<drwebmaster@anrb.ru>, size=2130, class=-100, nrcpts=1, msgid=<201012101606.oBAG6oX2008288@mail.anrb.ru>, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Dec 10 21:06:50 mail drweb-milter.real: [2997877616] milter INFO /oBAG6oRp008289 notification with valid secure-hash - pass without check
Dec 10 21:06:50 mail drweb-milter.real: [2997877616] milter INFO /oBAG6oRp008289 processing message [from: <drwebmaster@anrb.ru>; to:<postmaster@anrb.ru>] is over
Dec 10 21:06:50 mail drweb-sender.real: [3021994864] sender.pipe INFO absSktP8h success send msg [from: <drwebmaster@anrb.ru>; to:<postmaster@anrb.ru>; size=1899]
Dec 10 21:06:50 mail sendmail[8288]: oBAG6oX2008288: to=<postmaster@anrb.ru>, ctladdr=<drwebmaster@anrb.ru> (112/501), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=211887, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (oBAG6oRp008289 Message accepted for delivery)
Dec 10 21:06:50 mail sendmail[8294]: oBAG6oRp008289: to=consiglio, ctladdr=<drwebmaster@anrb.ru> (1338/210), delay=00:00:00, xdelay=00:00:00, mailer=local, pri=212405, dsn=2.0.0, stat=Sent

В отчете DRWeb имеем "Reports sent: 1 (3.69 KB)"
MailD: report for 10.12.10 00:00:00 - 10.12.10 23:59:59

*** Plug-in vaderetro ***
Actions taken:
Passed: 1547 (388.80 MB)
Rejected: 0 (0 byte)
Discarded: 83 (2.18 MB)
Tempfail: 0 (0 byte)
Moved to quarantine: 0 (0 byte)
Redirected: 0 (0 byte)
Reports sent: 0 (0 byte)

------------------------------
Total of checked messages: 1630 (390.98 MB)
Percentage of messages blocked: 5% (2.18 MB)
Total check time: 59s 46ms (~36ms per message)

*** Plug-in drweb ***
Top 20 of blocked objects:
Trojan.IframeExec - 1 ( 100% )

Top 20 of blocked senders:
essafti@ucam.ac.ma - 1 ( 100% )

Top 20 blocked IP addresses:
196.200.176.3 - 1 ( 100% )

Actions taken:
Passed: 2654 (1.29 GB)
Rejected: 1 (180.82 KB)
Discarded: 0 (0 byte)
Tempfail: 0 (0 byte)
Moved to quarantine: 1 (180.82 KB)
Redirected: 0 (0 byte)
Reports sent: 1 (3.69 KB)

------------------------------
Total of checked messages: 2655 (1.29 GB)
Percentage of messages blocked: 0% (180.82 KB)
Total check time: 03m 19s 559ms (~75ms per message)


Следующее зараженное письмо. Вирус вылечен, письмо принято, последующих уведомлений нет.
Jan 7 06:45:21 mail sendmail[8283]: p071jGUX008283: from=<magent@corp.mail.ru>, size=142581, class=0, nrcpts=1, msgid=<0009-01cbade7-4e629cf0-a44f6ec1@localhost>, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=relay10.onet.net.ua [193.93.160.82]
Jan 7 06:45:21 mail drweb-milter.real: [2970614640] milter INFO 00090C5E/p071jGUX008283 success save mail to /var/drweb/msgs/in/E/00090C5E/
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] maild INFO 00090C5E/p071jGUX008283 Attach msg to plugin vaderetro...
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] vaderetro INFO 00090C5E/p071jGUX008283 SpamState = 1; SpamScore = 250; Version=Vade Retro 01.297.08 AV+AS Profile: <none>; Bailout: N/A; apply: [pass];
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] maild INFO 00090C5E/p071jGUX008283 Msg was accepted by plugin vaderetro; time=21 ms
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] maild INFO 00090C5E/p071jGUX008283 Attach msg to plugin drweb...
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] maild INFO 00090C5E/p071jGUX008283 quarantine: success save msg to /var/drweb/infected/def/drweb/E/00090C5E.maild.WPleNH
---
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] maild INFO 00090C5E/p071jGUX008283 send notification 'cured' for msg /var/drweb/msgs/in/E/00090C5E ...
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] drweb INFO 00090C5E/p071jGUX008283 file is infected with known virus(es) for 90c5e, apply: [cure, quarantine, notify]
---
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] maild INFO 00090C5E/p071jGUX008283 Msg was accepted by plugin drweb; time=243 ms
Jan 7 06:45:21 mail drweb-milter.real: [2970614640] milter INFO 00090C5E/p071jGUX008283 drweb-maild return pass action
Jan 7 06:45:21 mail drweb-milter.real: [2970614640] milter INFO 00090C5E/p071jGUX008283 processing message [from: <magent@corp.mail.ru>; to:<thorn@anrb.ru>] is over
Jan 7 06:45:22 mail sendmail[8287]: p071jGUX008283: to=12345@yandex.ru, delay=00:00:02, xdelay=00:00:01, mailer=esmtp, pri=31941, relay=mx.yandex.ru. [93.158.134.89], dsn=2.0.0, stat=Sent (Ok: queued on mxfront3.mail.yandex.net as gWEOnQg8-gWEG6tdo)

Причем интересно, что в отчете DrWeb cообщается: Reports sent: 2 (0 byte) (выше была приведена выдержка из лога только про одно зараженное вылеченное письмо)
Почему 0 byte?

MailD: report for 07.01.11 00:00:00 - 07.01.11 23:59:59

*** Plug-in vaderetro ***
Actions taken:
Passed: 732 (78.89 MB)
Rejected: 0 (0 byte)
Discarded: 33 (1.11 MB)
Tempfail: 0 (0 byte)
Moved to quarantine: 0 (0 byte)
Redirected: 0 (0 byte)
Reports sent: 0 (0 byte)

------------------------------
Total of checked messages: 765 (80.00 MB)
Percentage of messages blocked: 4% (1.11 MB)
Total check time: 26s 649ms (~34ms per message)


*** Plug-in drweb ***
Top 20 of blocked objects:
Trojan.MulDrop.64589 - 1 ( 50% )
Trojan.PWS.SpySweep.17 - 1 ( 50% )

Top 20 of blocked senders:
magent@corp.mail.ru - 1 ( 50% )
myadmin@shchelkovo-net.ru - 1 ( 50% )

Top 20 blocked IP addresses:
109.72.240.5 - 1 ( 50% )
193.93.160.82 - 1 ( 50% )

Actions taken:
Passed: 833 (102.26 MB)
Rejected: 0 (0 byte)
Discarded: 0 (0 byte)
Tempfail: 0 (0 byte)
Moved to quarantine: 2 (224.54 KB)
Redirected: 0 (0 byte)
Reports sent: 2 (0 byte)

[Anton Ivanov]

понятно.
а в настройке
Infected в файле plugin_drweb.conf
есть notify?

[Medlar]

ЧТо-то уведомление о новом сообщении в теме не пришло ...

Итак, egrep notify plugin_drweb.conf:

Infected = cure, quarantine, notify
Suspicious = reject, quarantine, notify
Incurable = reject, quarantine, notify
CureFail = reject, quarantine, notify
Adware = reject, quarantine, notify
Dialers = reject, quarantine, notify
Jokes = reject, quarantine, notify
Riskware = reject, quarantine, notify
Hacktools = reject, quarantine, notify
ArchiveRestriction = reject, quarantine, notify
BlockByFilename = reject, quarantine, notify

Выдержка из maild_sendmail.conf:
[Rule]
# ===============================================================================
# = [Rules] section of Dr.Web MailD configuration file. =
# = =
# = Detailed information about Rules is available in Dr.Web MailD documentation =
# ===============================================================================
notify = block
notify.Virus = block
notify.Cured = block
notify.Skip = allow(admin)
notify.Archive = allow(admin)
notify.Error = allow(admin)
notify.Rule = allow(admin)
notify.License = allow(admin)
notify.Malware = allow(admin)
html = no
scan = all

[Rule:viruses-MR1]
notify = block
quarantine = no

[Rules]
sender:regex:.*@anrb.ru cont notify.Virus = allow(admin:sender)
sender:regex:.*@bvkexpo.ru cont notify.Virus = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Virus = allow(admin:rcpt)
rcpt:regex:.*@bvkexpo.ru cont notify.Virus = allow(admin:rcpt)
# This does not work ... rcpt:regex:.+@(anrb|ufaras|bvkexpo|next02)\.ru cont notify.Virus = allow(admin:rcpt)
#
sender:regex:.*@anrb.ru cont notify.Cured = allow(admin:sender)
sender:regex:.*@bvkexpo.ru cont notify.Cured = allow(admin:sender)
rcpt:regex:.*@anrb.ru cont notify.Cured = allow(admin:rcpt)
rcpt:regex:.*@bvkexpo.ru cont notify.Cured = allow(admin:rcpt)
#
### Whitelists for emails
sender:drwebmaster@anrb.ru cont scan=all:-drweb:-vaderetro
[skip]

# Viruses block & notify
regex:@anrb\.ru && block:Win32.Klez cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:VBS.Generic.348 cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:VBS.Generic.95 cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:Win32.Klez cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:Win32.Hazafi cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:Win32.Funlove cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:Valhala cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:Dumaru cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:Mail cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:HLLM cont notify = allow(any), rule=viruses-MR1
regex:@anrb\.ru && block:Grum cont notify = allow(any), rule=viruses-MR1

# client-ip:10.0.1.0/24 cont scan=all:-vaderetro
client-ip:212.193.132.0/22 cont scan=all:-vaderetro

ИНтересно то, что в maillog drweb записывает действия правильно, и вроде как запись о высланном отчете присутствует:
an 7 06:45:21 mail drweb-maild.real: [1935670128] maild INFO 00090C5E/p071jGUX008283 send notification 'cured' for msg /var/drweb/msgs/in/E/00090C5E ...
Jan 7 06:45:21 mail drweb-maild.real: [1935670128] drweb INFO 00090C5E/p071jGUX008283 file is infected with known virus(es) for 90c5e, apply: [cure, quarantine, notify]

[Medlar]

МНе, наверное, придется попытаться перехватить следующее зараженное письмо, пока оно лежит в карантине, потом включть полное логирование и послать письмо снова.

[Anton Ivanov]

да - пока ничего не понятно. было бы здорово если бы Вы сняли лог с такого зараженного письма включив так лог:

Logging/Level = debug
Logging/IpcLevel = info
Maild/RulesLogLevel = debug
Notifier/RulesLogLevel = debug

[Anton Ivanov]

# This does not work ... rcpt:regex:.+@(anrb|ufaras|bvkexpo|next02)\.ru cont notify.Virus = allow(admin:rcpt)

это не работает, так ка не заключены в кавычки. из документации:

Если в значении параметра содержатся пробелы или символы "|&)(!=", то его
надо заключать в кавычки.

должно быть так:

"rcpt:regex:.+@(anrb|ufaras|bvkexpo|next02)\.ru" cont notify.Virus = allow(admin:rcpt)

[Medlar]

Пришло зараженное письмо, DrWEb его вылечил и сохранил в карантине. Уведомления нет.
Из явных ошибок в логе вижу это -
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG can`t load file /var/drweb/msgs/in/A/000B6DEA/.logstopreason: No such file or directory
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG can`t load file /var/drweb/msgs/in/A/000B6DEA/.logsave: No such file or directory

Полный лог не помещается. Значимая часть:
[codebox]Mar 11 19:24:39 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 MsgHandle::Accept call
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 CheckMime: end check kTypeMultipart; num=2
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 CheckMime: check body
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb.ipc INFO 000B6DEA/p2BEOd58007740 Pool::CreateClientConnection - an established connection (fd->24, local->local:, server->local:/var/drweb/run/.daemon)
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 set local scan = 1 is_file=1
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 daemon return for a /var/drweb/msgs/in/A/000B6DEA/b5 0x180120
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 File &#39;/var/drweb/msgs/in/A/000B6DEA/b5&#39; was deleted: restore empty file
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb.ipc INFO 000B6DEA/p2BEOd58007740 Pool::ICloseConnection - connection (fd->24, local->local:, server->local:/var/drweb/run/.daemon)
Mar 11 19:24:39 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 report :
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 DrWeb Plugin:...[7522] /var/drweb/msgs/in/A/000B6DEA/b5 infected with Trojan.Botnetlog.zip
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 DrWeb Plugin:...[7522] /var/drweb/msgs/in/A/000B6DEA/b5 - deleted!
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 Following viruses/malware was found
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 infected with Trojan.Botnetlog.zip
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 ext codes :
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 0x20 : 1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 0x100 : 1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 0x80000 : 1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 0x100000 : 1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 CheckMime: end check body
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 For str [[7522] /var/drweb/msgs/in/A/000B6DEA/b5 infected with Trojan.Botnetlog.zip]: file [/var/drweb/msgs/in/A/000B6DEA/b5] code=18 opt=Trojan.Botnetlog.zip
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 AddReport: object=/var/drweb/msgs/in/A/000B6DEA/b5 code=18 verdict=Trojan.Botnetlog.zip
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 For str [[7522] /var/drweb/msgs/in/A/000B6DEA/b5 - deleted!]: file [/var/drweb/msgs/in/A/000B6DEA/b5] code=58 opt=
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 AddReport: object=/var/drweb/msgs/in/A/000B6DEA/b5 code=58 verdict=
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb DEBUG 000B6DEA/p2BEOd58007740 For str [infected with Trojan.Botnetlog.zip]: file [] code=18 opt=Trojan.Botnetlog.zip
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 AddBlockObject: object=Trojan.Botnetlog.zip
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 clear cache
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 AddStat: code=33 num=1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 AddStat: code=36 num=1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 AddStat: code=45 num=1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 AddStat: code=46 num=1
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 GetLocal: request for index = 15 name=Infected
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 *** DwRulesSection::Find: req=3 1 16
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 regex: compare consiglio@anrb.ru (12) and .*@anrb.ru (10)
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRoleAndLookups::Check: find match from [<consiglio@anrb.ru>] with regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 regex:.*@anrb.ru [1]

Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 regex: compare terrapin@anrb.ru (13) and .*@anrb.ru (10)
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRoleAndLookups::Check: all rcpts match with regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 regex:.*@anrb.ru [1]

Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 regex: compare consiglio@anrb.ru (12) and .*@anrb.ru (10)
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRoleAndLookups::Check: find match from [<consiglio@anrb.ru>] with regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 regex:.*@anrb.ru [1]

Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 MsgHandle::SetModified: set flag
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 MsgHandle::Accept call
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 MsgHandle::Quarantine call
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 *** DwRulesSection::Find: req=3 -1 4
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:@anrb\.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: skip check other conditions due to m_only_default
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 *** DwRulesSection::Find: req=3 -1 7
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:@anrb\.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: skip check other conditions due to m_only_default
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 *** DwRulesSection::Find: req=3 -1 8
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition to: regex:.*@anrb.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: check from cache condition from: regex:@anrb\.ru
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.rules DEBUG 000B6DEA/p2BEOd58007740 DwRulesSection::Find: skip check other conditions due to m_only_default
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild INFO 000B6DEA/p2BEOd58007740 quarantine: success save msg to /var/drweb/infected/def/drweb/A/000B6DEA.maild.LVtHan
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 MsgHandle::Notify call to name=cured
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 SaveContainer: success save 2 record(s) to file /var/drweb/msgs/in/A/000B6DEA/.p_report
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 SaveContainer: success save 1 record(s) to file /var/drweb/msgs/in/A/000B6DEA/.p_blocklist
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 SaveContainer: success save 4 record(s) to file /var/drweb/msgs/in/A/000B6DEA/.p_stat
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild INFO 000B6DEA/p2BEOd58007740 send notification &#39;cured&#39; for msg /var/drweb/msgs/in/A/000B6DEA ...
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 SaveHeaders was called

Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.ipc INFO 000B6DEA/p2BEOd58007740 send notify request -> { msg_id=/var/drweb/msgs/in/A/000B6DEA, name=cured, settings=C=127.0.0.1;I=p2BEOd58007740;, opt=0, time=0 }
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier.ipc INFO got enqueue request -> { msgid=/var/drweb/msgs/in/A/000B6DEA, name=cured, settings=C=127.0.0.1;I=p2BEOd58007740;, opt=0, timeout=0, pdu=0x8233840 }
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG Success load 14 records from file /var/drweb/msgs/in/A/000B6DEA/.header

!!!
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG can&#96;t load file /var/drweb/msgs/in/A/000B6DEA/.logstopreason: No such file or directory
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG can&#96;t load file /var/drweb/msgs/in/A/000B6DEA/.logsave: No such file or directory

Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG Success load 4 records from file /var/drweb/msgs/in/A/000B6DEA/.p_stat
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG Success load 1 records from file /var/drweb/msgs/in/A/000B6DEA/.p_blocklist
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG LoadDI: file_name=[/var/drweb/msgs/in/A/000B6DEA/b5] code=18 opt=[Trojan.Botnetlog.zip]
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG LoadDI: file_name=[/var/drweb/msgs/in/A/000B6DEA/b5] code=58 opt=[]
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier DEBUG Success load 2 records from file /var/drweb/msgs/in/A/000B6DEA/.p_report
Mar 11 19:24:40 mail drweb-notifier.real: [3046112112] notifier.ipc INFO notify processor return -> { res=1; size=0; email not empty=0} for request -> { /var/drweb/msgs/in/A/000B6DEA }
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild.ipc INFO 000B6DEA/p2BEOd58007740 got response 1 with 0 size for notifier request; have body=0 -> { msg_id=/var/drweb/msgs/in/A/000B6DEA }

!!! size=0
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] maild DEBUG 000B6DEA/p2BEOd58007740 success send request for msg /var/drweb/msgs/in/A/000B6DEA to drweb-notifier component; size=0
!!!
Mar 11 19:24:40 mail drweb-maild.real: [1941961584] drweb INFO 000B6DEA/p2BEOd58007740 file is infected with known virus(es) for b6dea, apply: [cure, quarantine, notify]
[/codebox]
Продолжение в след.посте.

Сообщение было изменено userr: 11 Март 2011 - 19:06