3 ответов в этой теме

[Medlar]

Документация гласит:
X-Drweb-SpamState-Num: s. s - результаты классификации письма библиотекой
VadeRetro. s может принимать четыре
значения: 0, 1, 2 и 3. 0 - письмо не
спам, 1 - письмо является спамом, 2 -
письмо содержит вирус, 3 - сообщение
является уведомлением о невозможности
доставки письма. Этот заголовок
добавляется только в том случае, если для
параметра AddXDrwebSpamStateNumHeader
данного сообщения установлено значение
yes.


В логах имеем:
maild_sendmail.conf
[Filters]
# =============================
# = Plug-in general settings. =
# =============================

# BeforeQueueFilters = {List} ()
# List of plugins to process message before it is moved to queue or mail
# database.
BeforeQueueFilters = vaderetro,drweb

plugin_vaderetro.conf
# UnconditionalSpamThreshold = {Digital}
# If message score is greater than or equal to this parameter value, message is
# regarded as unconditional spam.
UnconditionalSpamThreshold = 700

# UnconditionalAction = {Action}
# Mandatory values: pass, reject, discard, tempfail
# Optional values: quarantine, redirect, add-header
# Action to be applied to unconditional spam.
UnconditionalAction = discard

Вопрос: почему данное письмо имеет статус 2?
Mar 2 04:12:53 mail sendmail[2495]: q21MClCn002495: from=<info@hi5.com>, size=300392, class=0, nrcpts=1, msgid=<201203012212.q21MClCn002495@mail.anrb.ru>, proto=ESMTP, daemon=MTA, relay=server103.subnet3.tescilet.org [31.192.209.103]
Mar 2 04:12:53 mail drweb-milter.real: [2969971568] milter INFO 0002A3D2/q21MClCn002495 success save mail to /var/drweb/msgs/in/2/0002A3D2/
Mar 2 04:12:53 mail drweb-maild.real: [2989099888] maild.rules INFO 0002A3D2/q21MClCn002495 FindAndSet: find match value scan as
Mar 2 04:12:53 mail drweb-maild.real: [2989099888] maild.rules INFO 0002A3D2/q21MClCn002495 scan : all
Mar 2 04:12:53 mail drweb-maild.real: [2989099888] maild INFO 0002A3D2/q21MClCn002495 Attach msg to plugin vaderetro...
Mar 2 04:12:53 mail drweb-maild.real: [2989099888] vaderetro INFO 0002A3D2/q21MClCn002495 SpamState = 2; SpamScore = 9999; Version=Vade Retro 01.342.17 AV+AS Profile: <none>; Bailout: 300; apply: [discard];
Mar 2 04:12:53 mail drweb-maild.real: [2989099888] maild INFO 0002A3D2/q21MClCn002495 plugin vaderetro block msg; time=3 ms
Mar 2 04:12:53 mail drweb-milter.real: [2969971568] milter INFO 0002A3D2/q21MClCn002495 drweb-maild return discard action. score=9999
Mar 2 04:12:53 mail drweb-milter.real: [2969971568] milter INFO 0002A3D2/q21MClCn002495 processing message [from: <info@hi5.com>; to:<terrapin@anrb.ru>] is over
Mar 2 04:12:53 mail sendmail[2495]: q21MClCn002495: Milter: data, discard
Mar 2 04:12:53 mail sendmail[2495]: q21MClCn002495: discarded

Разве discard на этапе проверки письма VadeRetro не означает отказ от проверки заведомо ненужного письма антивирусом? Если данное письмо все-таки зачем-то было проверено антивирусом, и в нем обнаружен вирус, почему лог об этом молчит?

Вопрос второй.
maild_sendmail.conf
[Reports]
# ====================
# = Report settings. =
# ====================

# MaxStoreInDbPeriod = {Time}
# Maximum period of time to store statistics in reports database.
# 29.02.2012 MaxStoreInDbPeriod = 31d
MaxStoreInDbPeriod = 366d
Почему при этом значении в /var/log/vaderetro записываются файлы только за 1 месяц?

[Anton Ivanov]

1. У антиспама vaderetro есть отдельный функционал по проверке на вирусы (он инкак не связан с антивирусным движком dr.web). Именно vaderetro нашел вирус и он же отбросил сообщение. В настройках антиспама есть отдельная настройка по отключению этого функционала (как и по коррекции действия на найденный вирус).

2. в /var/log/что_угодно судя по названию каталога пишется лог. а настройка MaxStoreInDbPeriod определяет время хранения статистики во внутренней БД и это никак не связано с логом.

[Medlar]

1. В plugin_vaderetro.conf нашла опцию CheckForViruses = yes.
Коррекция действия на найденный вирус - это, надо полагать, весьма витиеватые опции секций Rule & Rules в maild_sendmail.conf.

2. Как увеличить срок хранения файлов статистики, находящихся в директории /var/log/vaderetro?
ls:
vaderetro-vrspamstate-20120229.log
vaderetro-vrspamstate-20120301.log
vaderetro-vrspamstate-20120302.log
vaderetro-vrspamstate-20120303.log
vaderetro-vrspamstate-20120304.log
vaderetro-vrspamstate-20120305.log
vaderetro-vrspamstate-20120306.log
vaderetro-vrspamstate-20120307.log
vaderetro-vrspamstate-20120308.log
vaderetro-vrspamstate-20120309.log
vaderetro-vrspamstate-20120310.log
vaderetro-vrspamstate-20120311.log
vaderetro-vrspamstate-20120312.log
vaderetro-vrspamstate-20120313.log
vaderetro-vrspamstate-20120314.log
vaderetro-vrspamstate-20120315.log
vaderetro-vrspamstate-20120316.log
vaderetro-vrspamstate-20120317.log
vaderetro-vrspamstate-20120318.log
vaderetro-vrspamstate-20120319.log
vaderetro-vrspamstate-20120320.log
vaderetro-vrspamstate-20120321.log
vaderetro-vrspamstate-20120322.log
vaderetro-vrspamstate-20120323.log
vaderetro-vrspamstate-20120324.log
vaderetro-vrspamstate-20120325.log
vaderetro-vrspamstate-20120326.log
vaderetro-vrspamstate-20120327.log
vaderetro-vrspamstate-20120328.log
vaderetro-vrspamstate-20120329.log
vaderetro-vrspamstate-20120330.log

[GrayCat]

Medlar, скорее всего "бэкапить скриптом по крону"
%-(