39 ответов в этой теме

[osipovsv]

Добрый день!
Сегодня в логах почты увидел следующее:
Dec 16 10:12:20 titan drweb-milter: [0x8131700] milter INFO 0006853E/pBG6CEE3037300 success save mail to /var/drweb/msgs/in/E/0006853E/
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] maild INFO 0006853E/pBG6CEE3037300 Attach msg to plugin vaderetro...
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] vaderetro INFO 0006853E/pBG6CEE3037300 SpamState = 0; SpamScore = -10; Version=Vade Retro 01.337.35 AV+AS Profile: <none>; Bailout: 300;
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] maild INFO 0006853E/pBG6CEE3037300 Msg was accepted by plugin vaderetro; time=10 ms
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] maild INFO 0006853E/pBG6CEE3037300 Attach msg to plugin drweb...
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] maild INFO 0006853E/pBG6CEE3037300 quarantine: success save msg to /var/drweb/infected/def/drweb/E/0006853E.-10.maild.GYQQi3
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] maild INFO 0006853E/pBG6CEE3037300 send notification error for msg /var/drweb/msgs/in/E/0006853E ...
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] drweb INFO 0006853E/pBG6CEE3037300 daemon error on check this file for 6853e, apply: [reject, quarantine, notify]
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] maild INFO 0006853E/pBG6CEE3037300 plugin drweb block msg; time=119 ms
Dec 16 10:12:20 titan drweb-maild: [0xaf67b00] maild INFO 0006853E/pBG6CEE3037300 msg is rejected
Dec 16 10:12:20 titan drweb-milter: [0x8131700] milter INFO 0006853E/pBG6CEE3037300 drweb-maild return reject action. score=-10
Dec 16 10:12:20 titan drweb-milter: [0x8131700] milter INFO 0006853E/pBG6CEE3037300 processing message [from:</none>

Сообщение было изменено osipovsv: 16 Декабрь 2011 - 10:02

[userr]

osipovsv,
версии drweb-maild, drweb-milter, почтового сервера укажите

[Anton Ivanov]

еще покажите пожалуйста логи drwebd

[Ivan Kuznetsov]

Здравствуйте!

Аналогичная проблема. Доставка многих вполне корректных писем откладывается (у меня настроено tempfail на проблемы плагинов MailD)
В логах выглядит так:

drwebd.log:
Fri Dec 16 04:10:17 2011 [22793] DATA[22793] - archive MAIL
Fri Dec 16 04:10:17 2011 [22793] >DATA[22793]/3.part - Ok
Fri Dec 16 04:10:17 2011 [22793] >DATA[22793]/ - read error!
Fri Dec 16 04:10:17 2011 [22793] DATA[22793] - archive MAIL
Fri Dec 16 04:10:17 2011 [22793] >DATA[22793]/3.part - Ok
Fri Dec 16 04:10:17 2011 [22793] >DATA[22793]/ - read error!

maild.log:
Fri Dec 16 04:10:17 2011 [2959076240] milter INFO 008EC3A8/ success save mail to /var/drweb/msgs/in/8/008EC3A8/
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A8/E8AC152E804C Attach msg to plugin headersfilter...
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A8/E8AC152E804C Msg was accepted by plugin headersfilter; time=0 ms
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A8/E8AC152E804C Attach msg to plugin drweb...
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A8/E8AC152E804C quarantine: success save msg to /var/drweb/infected/def/drweb/8/008EC3A8.maild.4Jbkhd
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A8/E8AC152E804C send notification 'error' for msg /var/drweb/msgs/in/8/008EC3A8 ...
Fri Dec 16 04:10:17 2011 [3044641680] notifier INFO start processing msg: [from: <>; to:<manager-bounces@solvo.ru>]
Fri Dec 16 04:10:17 2011 [3044641680] notifier.rules WARN can not find notify action for error/3
Fri Dec 16 04:10:17 2011 [3044641680] notifier.rules WARN can not find notify action for error/2
Fri Dec 16 04:10:17 2011 [1949658000] drweb INFO 008EC3A8/E8AC152E804C daemon error on check this file for 8ec3a8, apply: [quarantine, notify, tempfail]
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A8/E8AC152E804C plugin drweb block msg; time=6 ms
Fri Dec 16 04:10:17 2011 [2959076240] milter INFO 008EC3A8/ drweb-maild return tempfail action
Fri Dec 16 04:10:17 2011 [2959076240] milter INFO 008EC3A8/ processing message [from: <>; to:<manager-bounces@solvo.ru>] is over
Fri Dec 16 04:10:17 2011 [2959076240] milter WARN message [] is aborted
Fri Dec 16 04:10:17 2011 [2959076240] milter WARN message [] is aborted
Fri Dec 16 04:10:17 2011 [3013155728] milter INFO 008EC3A9/ success save mail to /var/drweb/msgs/in/9/008EC3A9/
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A9/4AA1752E804C Attach msg to plugin headersfilter...
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A9/4AA1752E804C Msg was accepted by plugin headersfilter; time=0 ms
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A9/4AA1752E804C Attach msg to plugin drweb...
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A9/4AA1752E804C quarantine: success save msg to /var/drweb/infected/def/drweb/9/008EC3A9.maild.KCk8j2
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A9/4AA1752E804C send notification 'error' for msg /var/drweb/msgs/in/9/008EC3A9 ...
Fri Dec 16 04:10:17 2011 [3055131536] notifier INFO start processing msg: [from: <>; to:<manager-bounces@solvo.ru>]
Fri Dec 16 04:10:17 2011 [3055131536] notifier.rules WARN can not find notify action for error/3
Fri Dec 16 04:10:17 2011 [3055131536] notifier.rules WARN can not find notify action for error/2
Fri Dec 16 04:10:17 2011 [1949658000] drweb INFO 008EC3A9/4AA1752E804C daemon error on check this file for 8ec3a9, apply: [quarantine, notify, tempfail]
Fri Dec 16 04:10:17 2011 [1949658000] maild INFO 008EC3A9/4AA1752E804C plugin drweb block msg; time=21 ms
Fri Dec 16 04:10:17 2011 [3013155728] milter INFO 008EC3A9/ drweb-maild return tempfail action
Fri Dec 16 04:10:17 2011 [3013155728] milter INFO 008EC3A9/ processing message [from: <>; to:<manager-bounces@solvo.ru>] is over

Началось вчера, примерно в 17:50 после обновления антивирусных баз.
Dr.Web ® daemon for Linux v5.0.1.4
Dr.Web ® maild v5.0.1.1

Проблема массовая, задержанных писем - десятки тысяч.
Нужно срочное решение!!!

С уважением, И.А.Кузнецов

[Ivan Kuznetsov]

Ага, а вот и причина:

Thu Dec 15 17:50:28 2011 SIGHUP received, reloading...
Thu Dec 15 17:50:28 2011 Dr.Web ® daemon for Linux v5.0.1.4
Thu Dec 15 17:50:28 2011 Copyright © Igor Daniloff, 1992-2009
Thu Dec 15 17:50:28 2011 Doctor Web, Moscow, Russia
Thu Dec 15 17:50:28 2011 Support service: http://support.drweb.com
Thu Dec 15 17:50:28 2011 To purchase: http://buy.drweb.com
Thu Dec 15 17:50:28 2011 Shell version: 5.0.0.10060 <API:2.2>
Thu Dec 15 17:50:28 2011 Engine version: 7.0.0.11250 <API:2.2>
Thu Dec 15 17:50:28 2011 Loading /var/drweb/bases/drwtoday.vdb - Ok, virus records: 1556
Thu Dec 15 17:50:28 2011 Loading /var/drweb/bases/dwf70000.vdb - Ok, virus records: 1
Thu Dec 15 17:50:28 2011 Loading /var/drweb/bases/drwdaily.vdb - Ok, virus records: 6264
Thu Dec 15 17:50:28 2011 Loading /var/drweb/bases/drw70008.vdb - Ok, virus records: 49580
Thu Dec 15 17:50:28 2011 Loading /var/drweb/bases/drw70007.vdb - Ok, virus records: 45195
Thu Dec 15 17:50:29 2011 Loading /var/drweb/bases/drw70006.vdb - Ok, virus records: 175536
Thu Dec 15 17:50:30 2011 Loading /var/drweb/bases/drw70005.vdb - Ok, virus records: 170820
Thu Dec 15 17:50:30 2011 Loading /var/drweb/bases/drw70004.vdb - Ok, virus records: 171279
Thu Dec 15 17:50:31 2011 Loading /var/drweb/bases/drw70003.vdb - Ok, virus records: 170253
Thu Dec 15 17:50:32 2011 Loading /var/drweb/bases/drw70002.vdb - Ok, virus records: 170291
Thu Dec 15 17:50:33 2011 Loading /var/drweb/bases/drw70001.vdb - Ok, virus records: 170501
Thu Dec 15 17:50:34 2011 Loading /var/drweb/bases/drw70000.vdb - Ok, virus records: 353582
Thu Dec 15 17:50:36 2011 Loading /var/drweb/bases/drwebase.vdb - Ok, virus records: 852776
Thu Dec 15 17:50:36 2011 Loading /var/drweb/bases/dwrtoday.vdb - Ok, virus records: 784
Thu Dec 15 17:50:36 2011 Loading /var/drweb/bases/dwntoday.vdb - Ok, virus records: 1673
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/drwrisky.vdb - Ok, virus records: 26456
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/drwnasty.vdb - Ok, virus records: 74279
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/dwp70000.vdb - Ok, virus records: 1
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/drw5009h.vdb - skipped
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/drw5009g.vdb - skipped
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/drw5009f.vdb - skipped
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/drw5009e.vdb - skipped
Thu Dec 15 17:50:37 2011 Loading /var/drweb/bases/drw5009d.vdb - skipped

Какой-то ммм... умник догадался выставить Dr.Web Engine 7 и базы от семерки в обновления для Linux-версии


С уважением, И.А.Кузнецов

[Ivan Kuznetsov]

Точнее, засунули update.drl от 7 версии в зону для 5

Thu Dec 15 16:52:04 2011 {I} updater [16930] update.drl has been downloaded (CRC32=FE202E75)

и при следующем запуске updater "обновил" все базы, попутно убив работавшие базы от 5 версии

Коллеги, у кого остался правильный .drl от 5 версии?

[osipovsv]

ОС: freebsd 7.1, sendmail Version 8.14.3.

drwebd -v
Shell version: 6.0.0.10060 <API:2.2>
Engine version: 7.0.0.11250 <API:2.2>

drweb-milter -v
drweb-milter - version 6.0.0.1

Похоже Иван прав, вот это было до появления проблем..

Dec 15 16:33:45 titan drwebd: Shell version: 6.0.0.10060 <API:2.2>
Dec 15 16:33:45 titan drwebd: Engine version: 5.0.2.3300 <API:2.2>

Что делать-то?

[Ko6Ra]

Коллеги, у кого остался правильный .drl от 5 версии?

Увы, сейчас он не сильно поможет, т.к. снова "приедет" дрл для 7-х зон.
Нужно обновляться до 6.0.2.

[osipovsv]

Скиньте ссылку на обновления...

[Ivan Kuznetsov]

Ivan Kuznetsov, 16 December 2011 - 11:09, написал:
Коллеги, у кого остался правильный .drl от 5 версии?
Увы, сейчас он не сильно поможет, т.к. снова "приедет" дрл для 7-х зон.
Нужно обновляться до 6.0.2.

Не понял. Это такой метод продвижения новых продуктов??? Поддержка Dr.Web for unix 5.0 прекращена?

[sergeyko]

Для решения данной проблемы правильнее всего обновиться до 6.0.2, там ее не существует.
Обнаружился баг при обработке демоном почтовых файлов в режиме нелокального сканирования.
Если обновление для вас не вариант, в качестве обходного пути можно использовать режим локального сканирования демоном (параметр LocalScan=yes в конфигах клиентов).
DRL c областью для даунгрейда на 5.0 мы выложим чуть позднее, но мы не рекомендуем даунгрейдиться, так как качество вирусной фильтрации 7го движка намного выше.

Сообщение было изменено sergeyko: 16 Декабрь 2011 - 11:35

[Ivan Kuznetsov]

Обновление в данный момент невозможно, т.к. в свое время при тестировании перехода 5.0->6.0 были выявлены проблемы, связанные с используемой для карантина БД и ее обвязкой. Для их решения пока нет ресурсов. Почта же у нас должна функционировать 24x7x356, "окно" для апгрейда более нескольких десятков минут невозможно

Решение с LocalScan проверю ASAP

[mak_]

не помогает, LocalScan стоит по жизни.
plugin_drweb.conf:LocalScan = yes

[Ivan Kuznetsov]

Решение с LocalScan проверю ASAP

Установил в /etc/plugin_drweb.conf
LocalScan=Yes

Не помогает
Проблема по-прежнему остается, проявления без изменений

[sergeyko]

Решение с LocalScan проверю ASAP

Установил в /etc/plugin_drweb.conf
LocalScan=Yes

Не помогает
Проблема по-прежнему остается, проявления без изменений

Сейчас будет DRL. Разбираться, почему не помогло будем позже

[Mikhail Khokhlov]

Решение с LocalScan проверю ASAP

Установил в /etc/plugin_drweb.conf
LocalScan=Yes

Не помогает
Проблема по-прежнему остается, проявления без изменений

Версия MailD 5.0.1 ?

[Ivan Kuznetsov]

MailD 5 может взаимодействовать с drwebd 6? API не поменялось?

Попробую для эксперимента поднять параллельно еще один drwebd, новый. Где его можно скачать под Enterprise Linux 5? На ftp.drweb.com лежат только .run-файлы >100Мб

P.S. Пока вынужден полностью отключить плагин drweb

[Ivan Kuznetsov]

Версия MailD 5.0.1 ?

Dr.Web ® daemon for Linux v5.0.1.4

[sergeyko]

MailD 5 может взаимодействовать с drwebd 6? API не поменялось?

Да, может, не поменялось.

[Mikhail Khokhlov]

MailD 5 может взаимодействовать с drwebd 6? API не поменялось?

Попробую для эксперимента поднять параллельно еще один drwebd, новый. Где его можно скачать под Enterprise Linux 5? На ftp.drweb.com лежат только .run-файлы >100Мб

P.S. Пока вынужден полностью отключить плагин drweb

ftp://ftp.drweb.com/pub/drweb/unix/release/Linux/components/

вот тут можно взять отдельно покомпонентно из тарболлов.

http://officeshield.drweb.com/drweb/el5/6.0.2/
а тут лежат rpm-ы, но в случае них могут проблемы с библиотечными зависимостями появиться между разными вариантами поставки разных версий