[exim-conf] multiple antivirus daemons and defer_ok

Сб Окт 30 10:33:54 EEST 2004

Victor Ustugov wrote:

> Pavel Prikhodko wrote:
> 
>> Тут сегодня вылез глюк или фича - не знаю
>>
>> Вообщем включил я у себя карантин + квитанции и забыл создать файл
>> antivir_notification.txt

>> В результате письмо с вирусом прошло к получателю.
>>
>> # grep 1CNWwK-0004Hh-5x /var/log/exim/mainlog
>> 2004-10-29 16:37:13 1CNWwK-0004Hh-5x H=hotel.farlep.net (irina.com) 
>> [213.130.5.72] Warning: ClamAV found a virus: Worm.Bagle.AT
>>
>> 2004-10-29 16:37:13 1CNWwK-0004Hh-5x <= oborina.lena на mozart-hotel.com 
>> H=hotel.farlep.net (irina.com) [213.130.5.72] P=smtp S=34139 
>> id=zxttkujjwxvhwettjsh на olimpex.od.ua
>>
>> 2004-10-29 16:37:13 1CNWwK-0004Hh-5x original recipients ignored 
>> (system filter)
>>
>> 2004-10-29 16:37:13 1CNWwK-0004Hh-5x => 
>> /usr/local/viruses/ClamAV/Worm.Bagle.AT/1CNWwK-0004Hh-5x 
>> <system-filter> T=address_file
>>
>> 2004-10-29 16:37:13 1CNWwK-0004Hh-5x == >AntiVirus Admin 
>> <postmaster на ferko.com.ua> <system-filter> T=address_reply defer (0): 
>> Failed to open file /usr/local/etc/exim/antivir_notification.txt when
>> sending message from address_reply transport: No such file or directory
>>
>> 2004-10-29 16:40:22 1CNWwK-0004Hh-5x => conan <pavel на olimpex.od.ua> 
>> R=virtual_domains T=delivery_to_virt_domain
>> 2004-10-29 16:40:22 1CNWwK-0004Hh-5x Completed

> переделал я логику системного фильтра по обработке повторных попыток 
> доставки
> 
> теперь если за первую попытку доставки нотификация не доставлена (и 
> сообщение не дискарднуто), то при повторной попытке доставки зараженного 
> сообщения оно будет просто дискардится
> 
> тестировать буду завтра уже

потестил.

это лог с удаленным файлом antivir_notification.txt:

2004-10-30 09:59:10 SMTP connection from [127.0.0.1] (TCP/IP connection 
count = 1)
2004-10-30 10:06:04 1CNnCm-0006GV-UN H=localhost [127.0.0.1] Warning: 
ClamAV found a virus: Worm.Bagle.AT
2004-10-30 10:06:04 1CNnCm-0006GV-UN <= postmaster на corvax.kiev.ua 
H=localhost [127.0.0.1] P=smtp S=27750 id=hyalnkkmmjftglseqsb на falbi.ua
2004-10-30 10:06:04 1CNnCm-0006GV-UN original recipients ignored (system 
filter)
2004-10-30 10:06:04 1CNnCm-0006GV-UN => 
/usr/local/viruses/ClamAV/Worm.Bagle.AT/1CNnCm-0006GV-UN <system-filter> 
T=address_file
2004-10-30 10:06:04 1CNnCm-0006GV-UN == ><corvax на bsd.falbi.kiev.ua>, 
<corvax на corvax.falbi.kiev.ua> <system-filter> T=address_reply defer (0): 
Failed to open file  when sending message from address_reply transport: 
No such file or directory
2004-10-30 10:06:05 SMTP connection from localhost [127.0.0.1] closed by 
QUIT
2004-10-30 10:06:32 1CNnCm-0006GV-UN => discarded (system filter)
2004-10-30 10:06:32 1CNnCm-0006GV-UN Completed

а это лог с существующим файлом antivir_notification.txt:

2004-10-30 10:22:33 SMTP connection from [127.0.0.1] (TCP/IP connection 
count = 1)
2004-10-30 10:29:26 1CNnZP-0006Nx-HV H=localhost [127.0.0.1] Warning: 
ClamAV found a virus: Worm.Bagle.AT
2004-10-30 10:29:26 1CNnZP-0006Nx-HV <= postmaster на corvax.kiev.ua 
H=localhost [127.0.0.1] P=smtp S=27750 id=hyalnkkmmjftglseqsb на falbi.ua
2004-10-30 10:29:26 1CNnZP-0006Nx-HV original recipients ignored (system 
filter)
2004-10-30 10:29:26 1CNnZP-0006Nx-HV => 
/usr/local/viruses/ClamAV/Worm.Bagle.AT/1CNnZP-0006Nx-HV <system-filter> 
T=address_file
2004-10-30 10:29:27 1CNnfz-0006OM-5s <= <> R=1CNnZP-0006Nx-HV U=dovecot 
P=local S=3472
2004-10-30 10:29:27 1CNnZP-0006Nx-HV => ><corvax на bsd.falbi.kiev.ua>, 
<corvax на corvax.falbi.kiev.ua> <system-filter> T=address_reply
2004-10-30 10:29:27 1CNnZP-0006Nx-HV Completed
2004-10-30 10:29:27 1CNnfz-0006OM-5s => corvax 
<corvax на bsd.falbi.kiev.ua> R=virtual_domains T=delivery_to_virt_domain
2004-10-30 10:29:27 SMTP connection from localhost [127.0.0.1] closed by 
QUIT
2004-10-30 10:29:30 1CNnfz-0006OM-5s => corvax на corvax.falbi.kiev.ua 
R=dnslookup T=remote_smtp H=relay.corvax.falbi.kiev.ua [10.0.0.5] 
X=TLSv1:DHE-RSA-AES256-SHA:256
2004-10-30 10:29:30 1CNnfz-0006OM-5s Completed

проверял на свеженьком Win32.HLLM.Beagle.18848 (который Worm.Bagle.AT).
файл antivir_notification.txt восстанавливал последством gmake install.
и еще - если кто-то выполнил gmake sync до 10:30 30.10.2004, выполните 
его еще раз.

-- 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Best wishes Victor Ustugov   mailto:victor на corvax.kiev.ua
public GnuPG/PGP key:        http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 32418694  nic-handle: CRV2-RIPE, CRV-UANIC