4 ответов в этой теме

[slonopotamus]

Здравствуйте, Игорь

Я пользуюсь "Dr.WEB для почтовых серверов" начиная с беты 4.33, закупаю для нашей организации, начиная с 4.33.

Уже несколько лет доступны unix/linux сборки Dr.WEB, но всем им присуща одна и та же неприятная особенность:
антивирус неспособен разбирать контейнеры в формате MS-TNEF.
то же самое и с крайней, 5й веткой.

Позвольте поделиться своим мнением.
На мой взгляд, неспособность антивируса, установленного на почтовом шлюзе,
разбирать один из популярных почтовых контейнеров вызывает сомнения в смысле такой инсталляции.
Последнее время всё чаще приходят инфицированные сообщения именно в этом формате, в том числе и
Trojan.Fakealert.*, который в вирусном топе сайта drweb.com занимает две из первых трёх позиций.

Само собой, будучи распакованными, инфицированные файлы отлавливаются клиентскими антивирусами,
но на то он и антивирус для почтовых шлюзов, чтоб не пропускать заражённый почтовый трафик внутрь...

Честно говоря, переходя на 5ю версию антивируса, я был немало удивлён отсутствием поддержки TNEF.
Простейший тест - я взял тестовый EICAR.COM и упаковал его в этом формате.
Приведу результат проверок на virustotal.com:
проверки "голого" EICAR.COM - 40 из 41 антивирусов
проверка EICAR.COM в контейнере MS-TNEF - 23 из 41

Ситуация удручающая.
Только 23 из 41 самых известных антивирусов способны разобрать TNEF.
Практически половина, к сожалению, неспособна, в том числе и Dr.WEB.
Особенно неприятно, когда используемый тобой антивирус оказывается среди "неспособных".
Хочу обратить внимание, что прямые конкуренты Dr.WEB, например NOD32 и KAV смогли обработать архив.

Вопросов к Вам, Игорь, и к другим разработчикам, собственно, два:
первый скорее риторический: с какими сложностями связано отсутствие поддержки контейнеров в формате TNEF?
ведь во-первых, существует масса средств разборки, в том числе и open source, а во-вторых, ваши конкуренты это делают.

Второй - самый главный: когда ожидается поддержка упомянутого формата?

Заранее спасибо за ответ.

[Eugeny Vasiliev]

Попробую от лица разработчиков.
Задача разбора TNEF до сих пор не считалась приоритетной, поскольку ранее никто из пользователей акцента на этом формате не ставил. (За исключением одной просьбы от октября 2005 года.) Видимо, потому, что протокол используют лишь клиенты Outlook (Microsoft Office) и Microsoft Exchange Client.
Технически задача не представляет сложности. В новой версии ядра Dr.Web были поддержаны почтовые базы Outlook и Outlook Express, на порядок более сложной структуры.
Мы учтем ваши пожелания и обеспечим разбор данных TNEF.
Был бы признателен, если бы Вы помогли нам в подготовке тестовых данных.

[slonopotamus]

рад буду содействовать, отпишите (наверное, лучше в личку), чем я могу вам помочь.

но хотел бы отметить, что клиентов, использующих Outlook и Microsoft Exchange Client немало, особенно в корпоративном сегменте.
на этом фоне отсутствие поддержки формата по причине "неприоритетности" такой задачи кажется странным.

очень рассчитытываю на поддержку формата tnef в ближайшее время.

[Borka]

рад буду содействовать, отпишите (наверное, лучше в личку), чем я могу вам помочь.
но хотел бы отметить, что клиентов, использующих Outlook и Microsoft Exchange Client немало, особенно в корпоративном сегменте.
на этом фоне отсутствие поддержки формата по причине "неприоритетности" такой задачи кажется странным.
очень рассчитытываю на поддержку формата tnef в ближайшее время.

slonopotamus, http://bugs.drweb.com/, создайте в проекте "Core engine" feature request на разбор Tnef.

[Makleking]

Очень жаль, что DrWeb не определяет вирусы в письмах, отправленных помощью Microsoft Outlook 2007 в формате RTF или HTML (присутствует заголовок X-MS-TNEF-Correlator).
Уже близиться 12-год, а движок до сих пор не реализован...
Тех. поддержка пишет, что сроки реализации неизвестны.