DrWeb - как за каменной стеной!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-088-3

Drweb прекрасно взаимодействует с CommuniGate. Для этого нужно скачать специальный клиент, который выложен по адресу ftp://ftp.drweb.ru/pub/unix/drweb-cgp-4.29.12-E-linux.tar.gz. Распаковываем и вручную раскидываем директории на их законные места (разработчики поленились даже положить специальный install-скрипт). В бинарной директории мы найдем клиента drweb-cgp и краткую документацию по его работе. Нас больше интересует файлы в /etc/drweb. Там находится, собственно, конфиг клиента, пара конфигов, которые служат для пластичной фильтрации пользователей, нуждающихся в проверке. И напоследок база с вирусами, в которую ты можешь добавить любое запрещенное или разрешенное имя файла.

Остановимся подробнее на конфиге. Дело в том, что конфигурационный файл для всех почтовых фильтров практически одинаковый, поэтому, если ты поймешь один конфиг, с другим у тебя проблем не возникнет. В таблице я укажу лишь особые параметры, которые важны для понимания. Остальные можешь оставить как есть.

НАЗВАНИЕ: Конфигурационный файл mail-фильтра

[DaemonCommunication]

Address = inet:3000@localhost

[Scanning]

## Параметр указывает, что сервер висит на 3000 порту адреса localhost. По умолчанию это действительно так.

StripPath = 2

PrefixPath = /chroot/cgate

## Опции, которые нужны, если сервер работает в chroot. StripPath позволяет обрезать указанное число каталогов, начиная с корня, а PrefixPAth автоматически подставляется к пути (например, /some/path/file/viruzz.exe преобразуется в /chroot/cgate/file/viruzz.exe).

ReportMaxSize = 8192

Максимальный размер уведомления. При значении 0 размер не контролируется, но в ряде случаев отчет может достигать нескольких мегабайт. Поэтому рекомендуется выставлять фиксированный размер.

[Actions]

Infected = quarantine

## Параметр Infected означает наличие заразы в письме. Метод quarantine, как было описано выше, помещает вирус в директорию с зараженными файлами (определяется в drweb32.ini).

Suspicious = quarantine

## Данная опция означает наличия файла, подозрительного на вирус. В нашем случае такие бинарники также отправляются в карантин. Для параметра существует метод pass, при котором не происходит никаких действий.

RuleFilterAlert = reject

## RuleFilterAlert означает, что письмо попало под запрещающий фильтр заголовков (про него я говорил выше). Разумеется, логично просто удалить такое сообщение.

EmptyFrom = continue

## Параметр следит за именем отправителя. Если поле пустое, обрабатывается метод, данный для него. В нашем случае continue не блокирует такое сообщение.

SkipObject = pass

## В случае если архив защищен паролем, либо по другим причинам невозможно проверить архив, обрабатывается SkipObject.