Почтово-вирусное

[nepilsonis]

В дополнение к доктору вебу, исправно проверявшему всю почту, но на днях утратившему лицензию, поставил хвалёный clamav. Он, или, точнее, кусочек, нужный для работы через milter, не хотел собираться, пока не покорячил ему makefile. Ну, да ладно. В общем, заработал. И вот тут-то и всплыла лёгкая, но таки подстава:
при обнаружении в письме вируса он письмо убивает, а по адресу получателя и местного постмастера отсылает такое письмо:

From: MAILER-DAEMON@firm.com
To: postmaster@firm.com
Cc: <user@firm.com>
Subject: Virus intercepted
X-Virus-Scanned: clamd / ClamAV version 0.70-rc, clamav-milter version 0.70
Content-Length: 144
Status:   

A message sent from <webmaster@msn.com> to
	<user@firm.com>
contained a virus and has not been delivered.
	stream: Worm.SomeFool.Gen-1 FOUND

когда-то, когда я был более молодым и менее разочарованным в человечестве, я был категорически против установки антивируса на почтовом сервере. Постепенно прогресс вирусов и антивирусов убедили меня в необходимости этого шага. Поначалу пользователи тоже получали уведомления о каждом убиенном письме... Но за 2 месяца нам не пришло ни одного осмысленного заражённого письма - тоест такого, которое нужно было вылечить и отдать адресату. А вот пользователи приходили и требовали вернуть «то, что им пренадлежит» — да ещё и грозя Карами за превышение полномочий и введение цензуры. С тех пор пользователи узнавали о существовании вирусов только когда авторы баз опаздывали за новой заразой, и некоторое время таковая проникала в контору.

А потом появился вирус, присылающий себя в запароленном архиве... Эти битвы сильного с умным... Начальники отделов, и даже управлений, настаивающие на своём праве открыть секртный документ, посланный им незнакомым параноидальным потенциальным клиентом, и требующие, чтобы я немедленно всё поправил и таки открыл им их письмо... Трудные были деньки... К счастью, идиоты у нас выше начальников отделов не поднимаются.. А то было бы гораздо труднее...

Да, что-то я отвлёкся.

Так вот — известен ли коллективному разуму способ управления фактом рассылки уведомлений, а также, желательно, и формой оной? Как минимум, желаю прекратить отсылку уведомления пользователю, установить для этих уведомленийй отправителя, по которому потом буду откладывать в специальный ящик, а так же желаю видеть заголовок письма со всеми служебными атрибутами, особенно — путём.

Гугль что-то на мысль не натолкнуд. Хотя, не исключено, что я не о том спрашивал...

Comments

[thx4zmemories.livejournal.com]

Переходим на IMAP, все подозрительные письма - в папку Quarantine. SPAM в SPAM. Всё остальное - в Inbox.

[nepilsonis.livejournal.com]

Жуть какая.
А юзеры всё одно не справятся. Потому что сейчас, когда спам им сортирует мозилла, они не справляются. Ну не могут они понять, как надо проверит подозрительное, и как со спамом обращаться. Не все, конечно - но довольно многие.

[hamalet.livejournal.com]

man clamav-milter

-Q, --quarantine=EMAILADDRESS
If this e-mail address is given, messages containing a virus or worm are redirected to it.

далее
vi /usr/local/etc/rc.d/clamav-milter.sh (на BSD ... ну или какая там у тебя операционка)

[hamalet.livejournal.com]

и еще :
-H, --headers
Include all headers in the content of emails generated by cla-mav-milter. This is useful for systems administrators who may want to look at headers to check if any of their machines are infected.

-P, --postmaster-only
When the --quiet option is not given, send a notification to the postmaster. Setting this flag will include the ID of the message which can ease searching through system logs if the administrator believes it is a locally sourced virus.
-U, --quarantine-dir=DIR
If this option is given, infected files are left in this directory. The directory must not be publically readable or writeable, if it is, clamav-milter will issue an error and fail to start. Note - this option only works when using LocalSocket.

-p, --postmaster=EMAILADDRESS
Sets the e-mail address to send notifications to when the --quiet option is not given.

man rulezzzz

[nepilsonis.livejournal.com]

Yo, DJ!!!
Друг спас жизнь другу!
Именно man я как-то забыл... Видимо, потому что часа два протрахался с компиляцией...

Вот теперь-то мы заживём!

Да ещё и дохтура веба купим!

[hamalet.livejournal.com]

Подо что собирал ?

[nepilsonis.livejournal.com]

линуз.
они там makefile поломали - мильтер не собирается.

[nepilsonis.livejournal.com]

Больному стало значительно легче. Однако изменить адрес отправителя уведомлений, а так же сабжект — нельзя.
А ещё авторы продукта довольно странно (на мой взгляд) понимают, что же такое "all headers in the content of emails". Потому что в него, как правило, не входит "Received:" — ради которого, собственно, я и хотел смотреть на полный заголовок. Хотя изредка он всё же входит... Лажа какая-то...

[hamalet.livejournal.com]

Протащи все это дело через Formail :)

[nepilsonis.livejournal.com]

Эээ... простите, вы не могли бы чуть-чуть подробнее?

[hamalet.livejournal.com]

по поводу Subject и адрес отправителя - тебе нужен файл clamav-milter.c - в нем можешь subject и From поправить....

fputs("From: MAILER-DAEMON\n", sendmail);

fputs("Subject: Virus intercepted\n\n", sendmail);


или скидывать все это дело в какойнить ящик с хитрым именем к которму чере mail aliases прицеплен pipe с formail - им и меняй что хочешь в заголовке письма

[nepilsonis.livejournal.com]

уууу, шайтан-арба.
Пожалуй, лучше сыреш поправлю.

[hamalet.livejournal.com]

с Received я пока тоже логики не понял.... копать исходники глубоко лениво....