6 ответов в этой теме

[Oreshkin]

Здравствуйте,

На нашем почтовом сервере под Linux RedHat Enterprise 4.1 уcтановлены drweb 4.44.1 и sendmaill 8.13.1
До сих пор все работало, но в последние несколько дней drweb временами, несколько раз в час выдает сообшение
вида :

---------------------------------------------------------------------------
Следующее сообщение не было проверено антивирусным
фильтром по причине сбоя.
The filter fails to pass object to the DrWEB daemon
-------------------------------------------------------------------------

При этом я не делал никаких изменений в конфигурации и не ставил новых версий софта.



То есть пользователи иногда не могут отправить или получить почту
В логах я вижу сообщения вида:.

/var/log/maillog:

Jun 28 04:09:45 mail sm-mta[21390]: n5S09ht3021390: Milter: data, reject=554 5.7.1 Command rejected
Jun 28 04:09:45 mail sm-mta[21390]: n5S09ht3021390: to=<dfedorov@pnpi.spb.ru>, delay=00:00:00, pri=31298, stat=Command rejected

В /var/drweb/log/drwebd.log:

Mon Jun 29 17:11:57 2009 Scanning child 22459 not responding. Terminate him!



Конфигурация drweb такая:

/etc/opt/drweb32.ini

PreFork = Yes
MaxChildren = 6
FileTimeout = 120

/etc/drweb/drweb_smf.conf
Timeout = 180
Socket = "/var/run/drweb/drwebd.sock" 0660
SocketTimeout = 60

В /etc/mail/sendmail.cf
Xdrweb-filter, S=local:/var/run/drweb/drweb-smf.sock, F=T, T=C:1m;S:5m;R:5m;E:1h


После этого я изменил параметр PreFork = yes на PreFork = No

После этого сообщения вида
Mon Jun 29 17:11:57 2009 Scanning child 22459 not responding. Terminate him!
исчезли из лога /var/drweb/log/drwebd.log

Но все остальные сообщения остались и временами почта также временами отвергается.

В чем может быть причина ? Как это определить ?

[Ivan Kuznetsov]

Очень похоже на баг #27544, правда там был postfix и MailD.
Суть в том, что проверка некоторых писем drwebd в режиме "почта" вызывает зависание сканирующего потомка, который потом отстреливается родительским drwebd. Если есть возможность вынуть такие письма из очереди, можно проверить, скормив его drwebd'у вручную: drwebdc -v -e -f файл_с_письмом. Если соединение с демоном на этом сразу рвется, то это оно

В версии 5.0 не проявляется, а 4.44 чинить уже не будут. У себя собрал "ежика" из DrWebd 5.0 и MailD 4.44, проблема ушла, uptime ~1.5мес

[Oreshkin]

А где взять DrWeb 5.0 для Linux RedHat Enterprise 4 ? Я не нашел на сайте www.drweb.com.

[Anton Ivanov]

скорее всего обновились базы и на некоторых сообщениях мы стали зацикливаться/падать. лучше локализовать такие письма и отправить их наишим аналитикам на просмотр.

[Oreshkin]

Не проходят письма совершенно простые, например состоящие из одной строки.
Вот пример тела письма:

------------------------------
Privet Sasha, 4-66-72
------------------------------

Потом я это письмо посылаю еще раз и оно уходит.

Поэтому посылать Вам для анализа не имеет смысла.
Я все же хочу попробовать поставить drweb 5.

Где можно скачать DrWeb 5 для Linux RHEL 4 ?

[Ivan Kuznetsov]

Не проходят письма совершенно простые, например состоящие из одной строки.

Ну это вам так кажется, что из одной строки. Там еще, как минимум, заголовки есть
Насколько я понимаю, проблема была не в собственно тексте (текст у "моих2 проблемных писем был тоже примитивный) , а в неком сочетании MIME-частей письма.

Потом я это письмо посылаю еще раз и оно уходит.

Ну это уже будет другое письмо, с иным Message-Id
Попробуйте все же вынуть подобное письмо из очереди sendmail'а и скормить drwebd'у, как я описал выше.

Где можно скачать DrWeb 5 для Linux RHEL 4 ?

Официально комплект для почты еще не выложен, но можно попробовать вынуть drwebd из пакетов, лежащих на ftp://ftp.drweb.com/pub/drweb/unix/Linux/EPM/50/

[Oreshkin]

Я установил drweb 5.0 и сообщения вида

Следующее сообщение не было проверено антивирусным
фильтром по причине сбоя.

исчезли. Надо еще понаблюдать, чтобы сделать окончательный вывод.