Повторюсь дополнительно - это всего лишь пример в документации, вы должны настраивать свою систему согласно своим критериям.

Извиняюсь, дело в том, что я модуль vaderetro не настраивал (или настраивал давно) и совсем забыл что там есть какие-то баллы. Какие правила и их обработку в Exim'е мне нужно написать, если ранее в plugin_vaderetro.conf было:

 

Предлагаю поступить следующим образом - вы напишите чего вы хотите достичь от связки Exim c нашим продуктом, а мы постараемся привести примеры (а если use cases будут здравыми/полезными, то и добавим их в документацию).

 

У меня нет каких-то конкретных пожеланий. Например из примера я понял, что если Drweb нашёл какой-то вирус то сработает правило 

SpamdRuleSet0 = threat_category in (KnownVirus,VirusModification, UnknownVirus)

И я понимаю, что это безусловно вирус, и такое письмо нужно блокировать (deny - на языке Exim'а)

А вот как со спамом бороться? В 6-ой версии этим занимался модуль VadeRetro, если не ошибаюсь. И требовалось только "скрестить" Drweb + Exim. Drweb сам неплохо справлялся с задачей отлова спама. А теперь на основе каких критериев мне блокировать спам? На каждое слово типа "купи" писать правило? Или, например, как в конфиге по умолчанию:

MailD.RspamdRuleSet7 = total_spam_score gt 0.80 : REJECT

Здесь не указан description есть только некая переменная, которую возвращает Drweb ASE. Если я правильно читаю это выражение, здесь проверяется значение переменной total_spam_score, больше она 0.80 или нет. Но непонятно 0.80 - это много или мало. Что делать с таким письмом? 0.80 - это некий порог когда письмо с очень высокой вероятностью спам? С какой?

Или опять же из документации:

SpamdRuleSet1 = body match (".*купи.*") : REJECT "This is a SPAM message" 

Вроде как это письмо однозначно можно квалифицировать как спам, однако далее в примере к письму с таким description Exim применяет действие не deny, а warn:

warn spam = nobody:true 
  add_header = X-Spam_score: $spam_score 
     X-Spam_score_int: $spam_score_int 
     X-Spam_bar: $spam_bar 
     X-Spam_report: $spam_report 
  condition = ${if match {$spam_report}{SPAM}} 

Добрый день.

Писал в техподдержку, но там уже неделю никто не отвечает, может тут подскажут.
Пытаюсь настройку связку Exim 4.89 + DrWeb для почтовых серверов. ОС FreeBSD 11.1 х64. 
Вопрос такой: правильно ли я понял из документации, что при использовании интерфейса сопряжения spamd/rspamd, Drweb сам не отвергает письма, а только сообщает Exim'у, что с письмом "что-то не так". И делается это с помощью правил, в которых должно присутствовать действие REJECT. Например: 
SpamdRuleSet1 = body match (".*купи.*") : REJECT "This is a SPAM message" 
А как Exim должен отвергать такие письма? По какому-то слову в параметре <description>? 
Положим в документации указано, что для настройки Exim'а нужно добавить следующие строки: 
 

warn spam = nobody:true 
  add_header = X-Spam_score: $spam_score 
     X-Spam_score_int: $spam_score_int 
     X-Spam_bar: $spam_bar 
     X-Spam_report: $spam_report 
  condition = ${if match {$spam_report}{SPAM}} 
deny spam = nobody:true 
  condition = ${if match {$spam_report}{THREAT}} 
 

То есть письмо отвергается если переменная $spam_report содержит "THREAT", а если $spam_report содержит "SPAM" - письму добавляются баллы, . 

В документации есть примеры правил: 
SpamdRuleSet0 = threat_category in (KnownVirus,VirusModification, UnknownVirus) : REJECT "The message contains a THREAT" 
SpamdRuleSet1 = body match (".*купи.*") : REJECT "This is a SPAM message" 
То есть на основе слова THREAT из фразы: "The message contains a THREAT" Exim должен отвергнуть письмо,

а на основе слова SPAM из фразы: "This is a SPAM message" Exim должен распознать письмо как спам. Так? 

А почему тогда после установки в правилах отсутствует параметр <description>: 
drweb-ctl cfshow | grep RspamdRule 
MailD.RspamdRuleSet0 = 
MailD.RspamdRuleSet1 = : set MailTemplatesDir = "rspamd" 
MailD.RspamdRuleSet2 = 
MailD.RspamdRuleSet3 = threat_category in (KnownVirus, VirusModification, UnknownVirus, Adware, Dialer) : REJECT 
MailD.RspamdRuleSet4 = 
MailD.RspamdRuleSet5 = url_category in (InfectionSource, NotRecommended, OwnersNotice) : REJECT 
MailD.RspamdRuleSet6 = 
MailD.RspamdRuleSet7 = total_spam_score gt 0.80 : REJECT 
MailD.RspamdRuleSet8 = 
Этот параметр надо задавать самому? И так же самому описывать действие в MTA (access, warn, deny. ...). Если так, то может поделитесь в таком случае примерами к описанным правилам и быть может ещё какие-то наиболее распространенные есть? 

Тогда уж совсем раскрою карты: это не чистая FreeBSD, это nas4free установленная в режиме Full. Последняя её версия основана на версии FreeBSD 10.2 x64 с вшитой в неё самбой 4.2.9. Выковыривать из nas4free одну самбу и устанавливать другую - дело неблагодарное, да и я думаю ненужное. Мне нужен лёгкий файловый сервер с минимумом сервисов и простой графической управлялкой, иначе я бы конечно мог поставить поставить обычную FreeBSD с обычной Samba, какой-нибудь Webmin прикрутить к этому...

Что никак не подружить теперь всё это? 

Igorn: Попробуйте лучше собрать модуль самостоятельно

Вот это мне кажется интересный вариант, а можно поподробней?

P.S. опять туплю - в документации есть. Пошёл читать.

Собственно как я и думал после перезагрузки файлового сервера сервер централизованной защиты снова рапортует, что нет вирусных баз. Приведу тогда более детальную информацию:

Файловый сервер (FreeBSD 10.2 x64):

ОС: uname -a

Дико извиняюсь, невнимательно прочёл документацию, в которой есть специальная глава посвященная этому.

А вопрос то забыл написать: а вообще реально сервером централизованной защиты версии 10 управлять Drweb'ом для файловых шлюзов версии 6

Немного не в тему. С файловым сервером вроде разобрались или по крайней мере понятно куда копать. Теперь пытаюсь "пришить" к серверу централизованной защиты Drweb для интернет шлюзов FreeBSD. Вроде сделал всё по мануалу (внёс соответствующие изменения в секцию EnterpriseMode файла agent.conf и изменил параметр в файле monitor.conf). Рестартовал на всякий случай монитор, а на сервере не видно "новичка"

Ну вообще то всё по мануалу и было настроено:

1. Создана символическая ссылка

/usr/local/lib/shared-modules/vfs/smb_spider.so@ -> /usr/local/libexec/drweb.com/lib64/samba/libsmb_spider.so.4.2.0

2. В конфигурационном файле в секции разделяемого каталога добавлено:

vfs objects = shadow_copy2 zfsacl recycle aio_pthread smb_spider

Хм, чудеса. Запустил консольный сканер файла. Проверка прошла. Теперь в списке приложений:

Серьезность   |   Источник   |   Сообщение

Минимальная |   Агент        |     ОК

А теперь всегда надо будет при перезагрузке или сбое каком такие танцы с бубном совершать (консольно сканировать файл)?

Нашёл интересную зацепку: на запрос команды drweb-se -v или drweb-se -h выводилось

ELF interpreter /libexec/ld-elf.so.1 not found

хотя сам файл есть. Нашёл в инете упоминания, что не хватает 32-битных библиотек на х64 системе. Скачал. Установил.

Теперь:

Вообще то этот компонент работает:

Что же мне делать? Все признаки указывают, что файловый сервер находится в режиме управления центральным сервером, нужные компоненты запущены, а в центре управления описанная выше проблема.

zirro.s, а лицензионный ключ добавили в центре управления в менеджере лицензий?

Посмотрите, загружены ли базы на станции, это можно сделать командой

$drweb-ctl ba

Добрый день.

Вопрос в следующем. Для одного из филиалов приобрели озвученные в топике продукты. Чтобы удобней и наглядней было управлять антивирусом на файловом сервере решил его подключить к "серверу централизованной защиты". Судя по мануалу ничего сложного в этом нет: перенести на файловый сервер публичный ключ и выполнить команду вида:

# drweb-ctl esconnect <server_address> --Key /path/to/server_public_key_file

Всё сделал как написано в мануале. В центре управления появилась новая станция, я её "разрешил" и привязал к группе Everyone (в общем всё как обычно, с той лишь разницей что обычно это  рабочими станциями Windows). Стал ждать когда обновятся базы и прочие компоненты. Смотрю "Состояние" - там ошибка: 

Серьезность      | Источник | Сообщение

 Максимальная | Агент       |Вирусные базы не найдены

Попытался исправить: принудительно обновил сбойные компоненты - без результата. В общем уже несколько часов никаких изменений в состоянии. Пункт "Вирусные базы" сообщает

Название   |    Версия  |     Выпущена  |Записей

Думал может где в настройках агента указать путь к базам, тем более что в папке "/var/drweb.com/bases" лежат какие-то, пусть и старые базы, но не нашёл в мануале соответствующих настроек.

Уже, я этого и ждал для создания темы.

толь выложить смогу только завтра.

Добрый день.

Не знал как корректно назвать тему, попробую в теле более подробно изложить. После перехода с ES 6 на ES 10 периодически стали обращаться пользователи (не все), что у них всё тормозит, выдаётся ошибки типа: "закончилось место на системном разделе", при попытке сохранить файл: "нет свободного места на диске" и прочие. Расследование показывает, что в каталоге c:\windows\temp имеется файл вида dwX (X - некая произвольная цифра) размером 28-30 Гб. Учитывая что системный раздел всего 60Гб, естественно такой файл "отжирает" всё свободное место (мне даже кажется, будь этого места больше и файл бы дальше рос в размерах). Сперва боролись простым удалением файла, но через какое-то время ситуация повторяется и это уже начинает заставлять задуматься (мягко говоря). Есть подозрения, что это как-то связано с процессом обновления антивируса на машине. Но вроде центр управления показывает, что проблем со станцией нет, базы актуальны и т.п.

Все верно, только пока не до конца понятно, как и где должен сработать спайдер, чтобы остановить шифровальщика. Почему у вас только сетевой путь смонтированный на S: оказался зашифрован, тоже непонятно, может быть разновидность шифровальщика такая, что начала в обратном порядке следования дисков. А может быть все-таки есть зараженная тачка с зашифрованными файлами.

И то и то может быть, только нет подтверждения никакой из версий. Ну и может зря я сразу не обратился сюда или в ТП, может по горячим следам и нашли бы чего. Просто на тот момент важно было запуститься поскорей (всем после НГ видимо поработать захотелось), а так как после восстановления файлов проблема рассосалась, то я и не стал "поднимать шум" .

Я может не догоняю что. Вы имеете в виду: "А если шифрование начнется не на локальном, а сетевом диске, доступ к которому спайдер не проверяет?"

По моим представлениям (и по прошлому горькому опыту) шифровальщик начинает своё "грязное" дело с локальных дисков (а точнее идёт по алфавиту), потом за сетевые берётся. У меня шифровальщик сработал только на шаре (или я не смог найти его следы на других компах)

Или: "Защищать нужно все компы иначе всегда будет брешь, лечить по сети компы бесполезно " - так у меня и есть.

Или что? 

"но вот что привело к шифрованию файлов ТОЛЬКО на шаре (в остальных "нерасшаренных" папках сервера файлы были не зашифрованы) мне непонятно."

Какой-то пораженный ПК имел доступ к этим шарам. Возможно, кто-то пришлый, с ноутбука?

Всунутая флэшка тоже могла помочь.

Ну нет же, почитайте, пожалуйста. Опрошены все, кто пришёл в офис первыми и они же заметили процесс шифрования. Кроме них никого не было на тот момент. Они НЕ пользовались почтой, НЕ втыкали флешки. Конечно всё это со слов людей, которые от меня 700 км. Поражённый ПК так и не был выявлен. Буду рад подсказкам как его найти. Хотя, на данный момент, без каких-либо действий с моей стороны проблема разрешилась сама: файлы восстановлены, но не шифруются.

А кстати, какие настройки безопасности на шарах настроены? Группа "Все" на полный доступ?

А вот в соседней ветке как раз по вашему вопросу : http://forum.drweb.com/index.php?showtopic=323667

По настройкам - грубо говоря да. Филиал мизерный. Точнее не всё, а содержимое конкретной папки, которая подключена как сетевой диск у пользователей 

В соседней ветке говорится об удалении вредоносного ПО после 10 (ДЕСЯТИ!!!) зашифрованных файлов.

1. Положим шифровальщик был на сервере: там зашифрованных файлов было, если не ошибаюсь тысяч 15 (поздновато опомнился Drweb).

2. Если шифровальщик был на станции и Drweb его удалил после того как "увидел" 10 зашифрованных файлов на локальном диске, но сами то шифрованные файлы бы остались.

 

А ни на одной станции не было файлов *.neitrino. На сервере эти файлы были только в расшаренной папке.

 

К серверу есть доступ по RDP? Если есть - меняйте пароли на сложные. Есть разновидности шифровальщиков, которые именно так и проникают на сервера - путем взлома RDP вручную. Может быть это ваш случай.

 

Положим он так и проник на сервер, но почему шифровал то только файлы в расшаренной папке?

 

А ни на одной станции не было файлов *.neitrino. На сервере эти файлы были только в расшаренной папке.

 

К серверу есть доступ по RDP? Если есть - меняйте пароли на сложные. Есть разновидности шифровальщиков, которые именно так и проникают на сервера - путем взлома RDP вручную. Может быть это ваш случай.

 

Да есть. Спасибо за совет, пожалуй воспользуюсь. А вообще там уже нет особой необходимости в RDP, может и вообще прикрою.

 

А самый ранний .neitrino?
Файлов *decrypt* или другого с инструкцией куда обращаться за расшифровкой нигде не было?
По-моему, лучше не трогать эти .neitrino и обратиться в ТП, если нужна расшифровка.

 

По времени так и не смог привязаться к какому либо событию. 1 компьютер вообще на ночь не выключается. Потом пришли те самые 3 человека примерно. Если судить по временным отметкам файлов neitrino, то началось всё через несколько минут после включения первых компьютеров. Но пользователи КЛЯНУТСЯ, что почту вообще не открывали (и уж тем более письма с непонятными вложениями) и флешками не пользовались. И повторю в 3 раз - на компах пользователей никаких следов. 

В общем ни почему это началось ни почему закончилось - непонятно.

Файлы с инструкцией были. Я даже тему схожую нашёл http://forum.drweb.com/index.php?showtopic=322766. Содержание инструкции практически один в один, только ID другой и срок.

Шифрованные файлы я уже удалил и восстановил из резервной копии нормальные. Кстати, в последующем посте Vladimir K говорит о том зашифроваться могло ночью - резервная копия была сделана ночью, в ней всё нормально.

Ну и шифрование также прекратилось странно. По времени сейчас поминутно не восстановлю, но примерно в 8 перезагрузили сервер и включили в локалку и начали потихоньку работать, из всех файлов *.neitrino самый поздний был 8:30 (оба времени примерные)