Результаты работы Clamav на моем сервере.


Очередной шажок по улучшению почтового сервера - вопрос в защите от вирусов.

По какой-то статье, возможно этой, поднял clamav, сейчас решил посмотреть на результаты его работы.

В среднем за сутки с понедельника по пятницу у меня проходит около 1гб почты и около 1,5 т писем.

Clamav был начал работать с 18 сентября сего года.

К нему сразу было прикручена блокировка всех архивов с exe,  scr, pif и т.д. таким изуверским способом:

сейчас в основном сыпет довольно тупой вирусняк с exe файлами в zip архиве
clamav далеко не всегда ловит такие вирусы, т.к. просто нет сигнатур.
решением данной проблемы является создание собственного правила
создаёте файл в /var/db/clamav/custom.zmd c содержимым:
block.bat-zippwd:0:\.bat$:*:*:*:*:*:*
block.btm-zippwd:0:\.btm$:*:*:*:*:*:*
block.cmd-zippwd:0:\.cmd$:*:*:*:*:*:*
block.com-zippwd:0:\.com$:*:*:*:*:*:*
block.cpl-zippwd:0:\.cpl$:*:*:*:*:*:*
block.dat-zippwd:0:\.dat$:*:*:*:*:*:*
block.dll-zippwd:0:\.dll$:*:*:*:*:*:*
block.exe-zippwd:0:\.exe$:*:*:*:*:*:*
block.lnk-zippwd:0:\.lnk$:*:*:*:*:*:*
block.msi-zippwd:0:\.msi$:*:*:*:*:*:*
block.pif-zippwd:0:\.pif$:*:*:*:*:*:*
block.prf-zippwd:0:\.prf$:*:*:*:*:*:*
block.reg-zippwd:0:\.reg$:*:*:*:*:*:*
block.scr-zippwd:0:\.scr$:*:*:*:*:*:*
block.url-zippwd:0:\.url$:*:*:*:*:*:*
block.vb-zippwd:0:\.vb$:*:*:*:*:*:*
block.vbs-zippwd:0:\.vbs$:*:*:*:*:*:*
на этом всё. теперь clamav ловит исполняемые файлы в архивах и обозначает их как [CLAMAV: Block.EXE-zippwd.UNOFFICIAL]

Что у нас получилось.

Вирус кол-во писем
Block.SCR-zippwd.UNOFFICIAL 3
Block.EXE-zippwd.UNOFFICIAL 450

Т.е. получается, что или мне везет и все плохое слали архивами, или clamav ничего особо интересного поймать не могет.

В любом случае, почти за 3 месяца задержано около 500 вредных писем - не так уж и плохо.

Тут наткнулся на бесплатный Comodo Linux Antivirus and Mail Gateway, нужно будет подумать, может его прикрутить.

P.S. Обновлена статистика на 24 мая 2015, clamav все равно нашел всего 5 вирусных писем.

1720 (block.exe-zippwd.unofficial).
  43 (block.scr-zippwd.unofficial).
   3 (heuristics.phishing.email.spoofeddomain).
   1 (rar.suspect.filename-rarpwd-4).
   1 (heuristics.phishing.email.ssl-spoof).
   1 (block.pif-zippwd.unofficial).
   1 (block.dat-zippwd.unofficial).
   1 (block.cmd-zippwd.unofficial).