8 ответов в этой теме

[petol777]

Добрый день!

 

Кому-нибудь удалось подключить drweb версии 11.1 к rspamd?

Перепробовал все варианты, ничего не помогает.

RspamdHttpSocket не отвечает на стандартные запросы типа nPING, zINSTREAM и т.п.

 

Куда копать?

[Alexander Novikov]

Добрый день!

Слишком мало подробностей, какие именно варианты пробовали?

Настраивали согласно документации https://cdn-download.drweb.com/pub/drweb/unix/mail/11.1/documentation/html/ru/index.html?mta_integration.htm ?

[petol777]

Рад хоть какой-то реакции 

 

Сделал конфиг rspamd по аналогии с ClamD:

/etc/rspamd/local.d/antivirus.conf:

drweb {
  symbol = "DRWEB_VIRUS";
  type = "drweb";
  servers = "127.0.0.1:8081";  
  whitelist = "/etc/rspamd/antivirus.wl";
}

Скопировал скрипт /usr/share/rspamd/lualib/lua_scanners/clamav.lua в /usr/share/rspamd/lualib/lua_scanners/drweb.lua, заменив все символы clamav на drweb.

 

Установил в конфигурации MailD сокет 127.0.0.1:8081

 

RspamdHook в конфигурации MailD пока не менял.

rspamd.log:

2023-09-19 11:30:19 #16625(normal) <6f1f0e>; lua; common.lua:110: clamav: result - virusfound: "Win.Test.EICAR_HDB-1 - score: 1" 
2023-09-19 11:30:19 #16625(normal) <6f1f0e>; lua; drweb.lua:117: drweb: failed to scan, maximum retransmits exceed
2023-09-19 11:30:19 #16625(normal) <6f1f0e>; lua; common.lua:110: drweb: result - FAILED with error: "failed to scan and retransmits exceed - score: 0"

Заметьте, clamav отрабатывает корректно.

 

Почему-то в веб-конфигураторе drweb движок Dr.Web ClamD отключается после перезагрузки, хотя в редакторе ini для Dr.Web ClamD явно указано: Start = Yes.

 

Не создается сокет ClamdSocket. Нужно ли явно указывать этот параметр в конфигурации?

Может ли Dr.Web ClamD создавать TCP-socket?

Сообщение было изменено petol777: 19 Сентябрь 2023 - 11:40

[petol777]

Добрый день!

Слишком мало подробностей, какие именно варианты пробовали?

Настраивали согласно документации https://cdn-download.drweb.com/pub/drweb/unix/mail/11.1/documentation/html/ru/index.html?mta_integration.htm ?

 

Инструкцию внимательно прочитал несколько раз, по-русски и по-английски.

В приведенной ссылке нет подробной инструкции интеграции с rspamd.

[petol777]

Пробую в редакторе ini для Dr.Web ClamD в веб-интерфейсе добавить строку:

Endpoint.drweb-clamd.ClamdSocket = "127.0.0.1:8082"

 

При попытке сохранить дает ошибку:

Cледующие параметры имеют недопустимые значения: InterceptHook

Сообщение было изменено petol777: 19 Сентябрь 2023 - 11:53

[petol777]

В документации читаем:

Endpoint.<тег>.ClamdSocket

{IP-адрес | UNIX-сокет}

Определяет точку подключения с именем <тег> и сокет (адрес IPv4 или адрес сокета UNIX) для клиентов, желающих проверять файлы на наличие угроз.

Для одной точки <тег> может быть задан только один сокет.

Значение по умолчанию: не задано

 

Как это понимать? Где это писать?

[petol777]

В командной строке выполнил команды:

 

# drweb-ctl cfset ClamD.HeuristicAnalysis Off
# drweb-ctl cfset ClamD.Endpoint -a unix
# drweb-ctl cfset ClamD.Endpoint -a tcp
# drweb-ctl cfset ClamD.Endpoint.unix.ClamdSocket /run/drweb/clamav.sock
# drweb-ctl cfset ClamD.Endpoint.tcp.ClamdSocket 127.0.0.1:8082
# drweb-ctl cfset ClamD.Endpoint.tcp.HeuristicAnalysis On
 

Вроде бы сокеты созданы.

 

В логе rspamd появилось:

2023-09-19 12:05:06 #26410(normal) <9e8bc6>; lua; common.lua:110: drweb: result - virusfound: "EICAR Test File (NOT a Virus!) - score: 1"

[Alexander Novikov]

Почему-то в веб-конфигураторе drweb движок Dr.Web ClamD отключается после перезагрузки, хотя в редакторе ini для Dr.Web ClamD явно указано: Start = Yes.

 

Необходимо предварительно создать тэг, затем в тэге указать сокет, после этого включать компонент.

[petol777]

Спасибо за помощь!

Разобрался, работает.

 

Также можно использовать фильтрацию всего входящего трафика, письма с вирусами идут в отказ, но при этом в логах почтовой системы нет никаких записей, только в syslog, трудно вылавливать ложные срабатывания.

 

Было бы очень респектабельно, если команда поддержки детально опишет процесс интеграции DrWeb в rspamd.