[sisyphus] Re: Дела почтовые - clamav, exim и прочее

[Vitaly Ostanin]

Victor Forsyuk wrote:
> Приветствую!
> 
> Собирался написать по трем поводам, но все они касаются дел почтовых,
> так что упаковываю всё в одно письмо. :)
> 
> 1. В сизиф уже попала сборка новой версии clamav, 0.67. Авторы выпустили
> новую "стабильную" версию, 0.66, как реакцию на обнаруженную возможность
> DoS - крэш демона clamd некорректным письмом специального вида. Впрочем,
> проверка показала, что под Linux падения демона не происходит, тогда как
> под FreeBSD эксплоит приводил именно к этому. В любом случае, практика
> показывает, что 0.65 не была образцом стабильности и для clamav, похоже,
> имеет смысл использовать даже промежуточные снапшоты, которые зачастую
> более устойчивы, чем предыдущие "стабильные" версии.

Да, это было бы неплохо.

> Должен предупредить, что у clamav (clamd) еще в 0.65 присутствовал весьма
> неприятный глюк. Он приводил к проблемам при использовании clamd в тесной
> интеграции с MTA, при проверке письма в SMTP фазе, до выдачи кода ответа
> после DATA (у меня - в exim+exiscan, но по логике та же картина будет и
> при подобном способе интеграции с postfix). Внешнее проявление: количество
> процессов exim, находящихся в состоянии обработки входящих соединений
> ("TCP/IP connection count") начинает монотонно расти, пока не упирается
> в установленный конфигурацией предел. Естественно, после этого ничего
> больше до вмешательства сисадмина этот почтовый сервер не принимает.
> При этом в каталоге сканирования можно наблюдать большое количество
> каталогов с частями проверямых писем в них. В норме они удаляются сразу
> же по окончании сканирования.
> 
> Особая неприятность глюка в том, что присходит это очень редко и
> непредсказуемо. Как воспроизвести - совершенно непонятно. Однако,
> вспоминая все наблюдавшиеся мной случаи, могу сказать, что как правило
> этот рост числа exim'ов начинался в 4 утра... То есть, похоже после
> обновления антивирусной базы (?!??).
> 
> Есть ли проблема в версиях после 0.65 сказать не могу, прошло слишком
> мало времени. 
> 
> А теперь (в предположении, что кроме меня кто-то еще пользуется сизифовским
> clamav) вопрос: наблюдал ли кто-то этот глюк? И просьба тем, кто пользуется -
> включить выдачу в syslog отладочной информации (опция Debug в clamav.conf).
> Без этого авторам clamav'а кроме смутных подозрений и подземного стука
> сообщать нечего.

Глюка не наблюдал, параметр включил. Правда, эта связка работает 
всего недели 2 (только clamav недавно обновил):

clamav-0.67-alt1
amavisd-new-20030616-alt0.1
postfix-2.0.18-alt1.2

<skipped/>

-- 
Regards, Vyt
mailto:  vyt на vzljot.ru
JID:     vyt на vzljot.ru
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 256 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20040220/36502e61/attachment-0002.bin>