Pavel Gulchouck wrote:
> On Tue, Sep 07, 2004 at 04:17:20PM +0300, Victor Ustugov writes:
> VU> >TK> >I've try to setup clamd malware to remote host, and see that it does
> VU> >not
> VU> >TK> >work. As I can see in the sources, STREAM command for clamd does not
> VU> >TK> >implemented, so, exim+exiscan can use only local clamd which has read
> VU> >TK> >access to files in the exim spool directory.
> VU> >TK>
> VU> >TK> Remote AV scanning does not scale. The additional IO overhead eats up
> VU> >TK> the gain in CPU cycles. And since scanning at the DATA phase must the
> VU> >TK> synchronous, you don't even save resources on your SMTP machine.
> VU> >TK>
> VU> >TK> AV scanning should be done on the box where mail is delivered into. If
> VU> >TK> you need to scale, you need multiple SMTP input machines, each with
> VU> >its TK> own AV.
> VU> >
> VU> >In my case CPU performance and LAN traffic is not critical, but single
> VU> >clamd is more simple for supporting and monitoring, updates will be
> VU> >received only once, it may be run under different OS etc.
> VU> >
> VU> >So, clamav has possibility for using remote server, exiscan syntax
> VU> >has possibility for specifying IP of remote clamd, but this feature
> VU> >is not implemented. :( It is implemented for drwebd.
> VU>
> VU> это потому, что поддержку drwebd реализовал не Том Кистнер, а Алексей Миллер
> VU> http://asm.kiev.ua/exim/?sh=drweb> VU>
> VU> сначала он реализовал только работу через UNIX сокет
> VU> позже по просьбе одного из подписчиков exim-users на exim.org.ua он добавил
> VU> работу с TCP сокетами
> VU>
> VU> позже Том включил этот патч в exiscan-acl
>> Я уже думаю, не реализовать ли работу с удаленным clamd самостоятельно.
если есть желание, потестируйте патч:
http://bsd.falbi.kiev.ua/exim-patches/exiscan-acl-4.42-27-malware-clamd/patch-src::malware-clamd.patch
если у вас exiscan-acl 24 и старше, возможно патч не наложится, я тогда
переделаю его
> Причем, IMHO там надо сделать опцию /local как для clamd, так и для
> drwebd, потому что они оба умеют принимать имя локального файла и
> его проверять, а могут получить сам файл.
для передачи clamd только имени файла с письмом:
av_scanner = clamd:localhost 3310:local
для передачи clamd тела файла с письмом:
av_scanner = clamd:localhost 3310
> В данный момент для drweb
> в случае сокета всегда передается имя, а в случае tcpip - всегда
> содержимое, а для clamd в обоих вариантах только имя.
переделывать поддержку drwebd пока желания нет
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Best wishes Victor Ustugov mailto:victor на corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ: 77186900, 32418694 CRV2-RIPE, CRV-UANIC