Палки в колеса антивируса
22 ноября 2018
В выпуске «Из “почтовой” истории Dr.Web» мы упоминали, что функционал решений для почтовых серверов, шлюзов и частично файловых серверов ограничен и зависит от производителей конкретного ПО.
Дело в том, что то же решение для защиты почтовых сообщений, проходящих или хранящихся на почтовом сервере, является плагином – то есть расширением функционала данного ПО. Нельзя поставить рядом с почтовым сервисом, например, антиспам и вмешиваться в обработку почты, не информируя об этом сам сервис. Добром это не кончится.
Поэтому схема работы выглядит так.
- Почтовый сервер принимает сообщение и обрабатывает его.
- Почтовый сервер передает сообщение или его части для анализа плагину.
- Плагин анализирует переданные данные и модифицирует сообщение, либо просто возвращает его (смотря что ему разрешено – что принимает сервер на выходе из плагина).
Вот для примера схема работы Dr.Web для MS Exchange:
Естественно, схема несколько сложнее, но тем не менее по ней видно, что именно почтовый сервер передает на анализ в антиспам-агент и антивирусный агент. И всё! В итоге, если почтовый сервер (тот же Kerio) не передает сообщения на анализ на наличие спама, компонента Антиспам в решении для этого продукта не будет.
И такие ограничения касаются всех без исключения производителей ПО. Разрешено иметь антивирус, антиспам и «черно-белые» списки — все решения от всех производителей будут их иметь.
Выше описаны не единственные ограничения. Скажем, на анализ может передаваться не все письмо, а только его части: отдельно тело письма, отдельно вложения. Действительно, зачем антиспаму заголовок письма с адресом спамера?
Значит ли это, что качество решений для всех производителей будет одинаковым? Конечно же, нет. Разным будет и функционал, и системные требования. Скажем, если письмо передается в антиспам по частям, то далеко не все антиспамы смогут фильтровать по таким «огрызкам». А мы – можем.
Очень большое значение имеет качество антивирусного ядра. Через сервер проходит огромное количество сообщений, и, если антивирус будет отбирать на себя много ресурсов, сервер просто захлебнется. Мы практически не оказываем влияния на необходимые системные ресурсы и гордимся этим. В настройках Dr.Web нет опций для «тюнинга» ресурсоемкости – например, регулирования количества используемых антивирусных ядер. Нам это не нужно.
Хотя бывает, конечно, всякое. Вспоминается звонок клиента:
- Мы поставили на сервер ваше решение, и все начало жутко тормозить!
- А сколько у вас оперативной памяти?
- 2 Мегабайта.
- (про себя) А как ваш сервер умудрялся до сих пор работать?
Вернемся к ограничениям. Проблема плагинов – зависимость от воли производителей, которые иногда странным образом меняют интерфейсы взаимодействия. Например, тот же MS Exchange.
Мы упоминали о том, что для него есть три основных части решения – антивирус, антиспам и «черно-белые» списки. Вопрос в том, когда в наши модули антивируса и антиспама передаются письма.
Возьмем интерфейс Microsoft Virus Scanning Application Interface (VSAPI). С его использованием антивирусу доступны:
- возможность проверки документов, хранящихся в базе данных, а также проверки при доступе к письму;
- проверка всех почтовых ящиков, включая служебные почтовые ящики SystemMailbox, System Attendant;
- фильтрация и блокировка сообщений в зависимости от вероятности принадлежности их к спаму – по категориям Спам, Вероятно спам и Маловероятно спам;
- запуск задания на фоновую проверку в целях обнаружения ранее не известных вредоносных программ…
Отличные возможности! Периодическая проверка баз обеспечивает анализ на ранее не известное вредоносное ПО, проверка при получении дает возможность принимать только «чистые» письма (а не проверенные сто лет назад при получении).
Но в последних версиях MS Exchange вендор убрал этот интерфейс – видимо, наивно предполагая, что антивирус знает все до одного вредоносные программы с момента их создания.
Можно ли обойти эти ограничения? Можно. Избавившись от почтового сервера. Но об этом – в следующий раз.
#сервер #почта #антивирусная_проверкаАнтивирусная правДА! рекомендует
Читайте документацию, она – «наше все». В документации к Dr.Web все эти нюансы описаны.
Мы эффективно фильтруем и вирусы, и спам на почтовых серверах. Но очень хочется, чтобы нам не ставили палки в колеса.
И вот что еще важно. К сожалению, недобросовестные поставщики до сих пор предлагают клиентам решения для последних версий MS Exchange, якобы поддерживающие VSAPI. Это в принципе невозможно.
И если в документации мы пишем:
Dr.Web для версий Exchange Server 2003/2007/2010 поддерживает интерфейс VSAPI (программный интерфейс приложений вирусного сканирования, разработанный Microsoft для серверов Exchange).
…то это не значит, что мы отказались от поддержки данного интерфейса в более поздних версиях. Это значит, что его нет в природе.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Сергей
20:03:11 2018-11-23
Masha
16:04:41 2018-11-23
Людмила
15:41:59 2018-11-23
"Сегодня вечером несколько часов не получалось зайти на страницу выпуска. Был какой-то сбой? "
повышенная нагрузка из-за чернопятничной акции
Вячeслaв
13:26:55 2018-11-23
Вячeслaв
13:26:08 2018-11-23
razgen
01:49:14 2018-11-23
МЕДВЕДЬ
00:51:34 2018-11-23
I46
23:27:38 2018-11-22
anatol
22:30:55 2018-11-22
Toma
22:21:58 2018-11-22
Lia00
22:21:06 2018-11-22
Toma
22:19:53 2018-11-22
Геральт
22:18:47 2018-11-22
Шалтай Александр Болтай
22:03:48 2018-11-22
orw_mikle
21:56:20 2018-11-22
Любитель пляжного футбола
21:52:18 2018-11-22
konon
19:48:52 2018-11-22
Masha
19:23:21 2018-11-22
Littlefish
19:21:55 2018-11-22
Dvakota
18:24:17 2018-11-22
Денисенко Павел Андреевич
18:08:20 2018-11-22
Дмитрий
18:00:31 2018-11-22
La folle
17:56:40 2018-11-22
Татьяна
17:38:30 2018-11-22
matt1954
16:48:29 2018-11-22
Ruslan
16:44:34 2018-11-22
Dmur
16:30:31 2018-11-22
EvgenyZ
15:22:38 2018-11-22
robot
15:18:54 2018-11-22
kozinka.ru
15:14:32 2018-11-22
«Употребитель! Не злись на продукцию, а изучи, для начала, инструкцию» :))
Damir
14:53:26 2018-11-22
Пaвeл
13:38:58 2018-11-22
vkor
13:38:10 2018-11-22
vinnetou
13:08:16 2018-11-22
dyadya_Sasha
12:55:32 2018-11-22
dyadya_Sasha
12:48:13 2018-11-22
Документация ВО ВРЕМЯ ТОГО - даже, если семи пядей во лбу, есть нюансы;
Документация ПОСЛЕ ТОГО - когда не дочитал ВО ВРЕМЯ ТОГО;
Документация ВМЕСТО ТОГО - когда после ДО ТОГО предъявил аргументы и не нашел понимания. Начинаешь искать новые аргументы или просто мечтать изучая, как было бы, если было.
ТОГО - внедрение, установка, инсталляция и тп.)
Sasha50
12:47:38 2018-11-22
Vlad
12:39:33 2018-11-22
обострение чтоль там?
Sasha50
12:34:13 2018-11-22
Sasha50
12:31:15 2018-11-22
Biggurza
12:19:36 2018-11-22
Когда обрывки писем – в хлам
И бандероли пополам,
Из ящика газеты доставая!
Чудны дела конвертов, что уж тут!
Понятны мне заботы почтальонов,
Виновен в каверзах доставки плут,
И вовсе не открыты обшлага вагонов.
Читай внимательно написанное здесь,
Инструкции и мудрых наставленья.
А то, неровен час, на мир озлишься весь –
Подпортишь невиновным настроенье.
И в страховой случаются понты.
Когда оплату зажимают верно,
Не потому что падал с высоты
А потому что звёзднулся об землю.
Andromeda
12:12:14 2018-11-22
Альфа
12:03:53 2018-11-22
SGES
11:51:08 2018-11-22
Alexander
11:43:14 2018-11-22
Конечно, решения производителей ПО об ограничении функционального сотрудничества с антивирусниками и другими программами-защитниками, - никак не связаны с "наивностью. Всё приземлёно и меркантильно, - это с одной стороны, а с другой, - опасение "как бы чего не вышло". Это может быть и просто юридическое или рекламное ограничение в передаче третьим лицам (например, антивируснику) личных данных пользователей этого почтового сервиса. Вот и в случае с MS Exchange, - вендор "себе на уме".
Но ведь если для защиты почтового сервера пригласили Dr.Web, то он просто обязан не допустить (а иначе и не может!) вредоносную почту к непотребным действиям. Вот и крутится наш Доктор, проявляет чудеса инженерно-программной мысли, обеспечивая надёжную защиту, в том числе и "почтовую". И теперь вот замахнулись на обход ограничений "производителей" избавлением от почтовых серверов. С интересом и любопытством буду ждать продолжения...
А пока, меня и мою почту уверено и надёжно оберегает Dr.Web Security Space.
edgik
11:07:33 2018-11-22
sanek-xf
11:02:25 2018-11-22
Влад
10:35:50 2018-11-22
Раш КХ
10:29:37 2018-11-22
Anna1971
10:18:22 2018-11-22