Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Палки в колеса антивируса

Прочитали: 1249 Комментариев: 74 Рейтинг: 91

В выпуске «Из “почтовой” истории Dr.Web» мы упоминали, что функционал решений для почтовых серверов, шлюзов и частично файловых серверов ограничен и зависит от производителей конкретного ПО.

Дело в том, что то же решение для защиты почтовых сообщений, проходящих или хранящихся на почтовом сервере, является плагином – то есть расширением функционала данного ПО. Нельзя поставить рядом с почтовым сервисом, например, антиспам и вмешиваться в обработку почты, не информируя об этом сам сервис. Добром это не кончится.

Поэтому схема работы выглядит так.

  1. Почтовый сервер принимает сообщение и обрабатывает его.
  2. Почтовый сервер передает сообщение или его части для анализа плагину.
  3. Плагин анализирует переданные данные и модифицирует сообщение, либо просто возвращает его (смотря что ему разрешено – что принимает сервер на выходе из плагина).

Вот для примера схема работы Dr.Web для MS Exchange:

#drweb

Естественно, схема несколько сложнее, но тем не менее по ней видно, что именно почтовый сервер передает на анализ в антиспам-агент и антивирусный агент. И всё! В итоге, если почтовый сервер (тот же Kerio) не передает сообщения на анализ на наличие спама, компонента Антиспам в решении для этого продукта не будет.

И такие ограничения касаются всех без исключения производителей ПО. Разрешено иметь антивирус, антиспам и «черно-белые» списки — все решения от всех производителей будут их иметь.

#drweb

Выше описаны не единственные ограничения. Скажем, на анализ может передаваться не все письмо, а только его части: отдельно тело письма, отдельно вложения. Действительно, зачем антиспаму заголовок письма с адресом спамера?

Значит ли это, что качество решений для всех производителей будет одинаковым? Конечно же, нет. Разным будет и функционал, и системные требования. Скажем, если письмо передается в антиспам по частям, то далеко не все антиспамы смогут фильтровать по таким «огрызкам». А мы – можем.

Очень большое значение имеет качество антивирусного ядра. Через сервер проходит огромное количество сообщений, и, если антивирус будет отбирать на себя много ресурсов, сервер просто захлебнется. Мы практически не оказываем влияния на необходимые системные ресурсы и гордимся этим. В настройках Dr.Web нет опций для «тюнинга» ресурсоемкости – например, регулирования количества используемых антивирусных ядер. Нам это не нужно.

Хотя бывает, конечно, всякое. Вспоминается звонок клиента:

- Мы поставили на сервер ваше решение, и все начало жутко тормозить!

- А сколько у вас оперативной памяти?

- 2 Мегабайта.

- (про себя) А как ваш сервер умудрялся до сих пор работать?

Вернемся к ограничениям. Проблема плагинов – зависимость от воли производителей, которые иногда странным образом меняют интерфейсы взаимодействия. Например, тот же MS Exchange.

Мы упоминали о том, что для него есть три основных части решения – антивирус, антиспам и «черно-белые» списки. Вопрос в том, когда в наши модули антивируса и антиспама передаются письма.

Возьмем интерфейс Microsoft Virus Scanning Application Interface (VSAPI). С его использованием антивирусу доступны:

  • возможность проверки документов, хранящихся в базе данных, а также проверки при доступе к письму;
  • проверка всех почтовых ящиков, включая служебные почтовые ящики SystemMailbox, System Attendant;
  • фильтрация и блокировка сообщений в зависимости от вероятности принадлежности их к спаму – по категориям Спам, Вероятно спам и Маловероятно спам;
  • запуск задания на фоновую проверку в целях обнаружения ранее не известных вредоносных программ…

Отличные возможности! Периодическая проверка баз обеспечивает анализ на ранее не известное вредоносное ПО, проверка при получении дает возможность принимать только «чистые» письма (а не проверенные сто лет назад при получении).

Но в последних версиях MS Exchange вендор убрал этот интерфейс – видимо, наивно предполагая, что антивирус знает все до одного вредоносные программы с момента их создания.

Можно ли обойти эти ограничения? Можно. Избавившись от почтового сервера. Но об этом – в следующий раз.

#сервер #почта #антивирусная_проверка

Dr.Web рекомендует

Читайте документацию, она – «наше все». В документации к Dr.Web все эти нюансы описаны.

Мы эффективно фильтруем и вирусы, и спам на почтовых серверах. Но очень хочется, чтобы нам не ставили палки в колеса.

И вот что еще важно. К сожалению, недобросовестные поставщики до сих пор предлагают клиентам решения для последних версий MS Exchange, якобы поддерживающие VSAPI. Это в принципе невозможно.

И если в документации мы пишем:

Dr.Web для версий Exchange Server 2003/2007/2010 поддерживает интерфейс VSAPI (программный интерфейс приложений вирусного сканирования, разработанный Microsoft для серверов Exchange).

…то это не значит, что мы отказались от поддержки данного интерфейса в более поздних версиях. Это значит, что его нет в природе.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: