[Карта]                [Начало]                [Sendmail-ссылки]                [Синтаксис]                [Типовые задачки]                  [Задачки по маршрутизации]                  [Задачки по маcкарадингу]                  [SendmailACL]                  [Spamooborona]                  [VadeRetro]                  [Regex]                  [Тонкости]                  [Недок.особен.]                  [Несущ.юзеры]                  [Прячемся!]                  [RFC1893.Цитаты]                  [ТП.Эмоции]                  [Антиспам&Разум]                  [Экзерсисы]                 


Антиспам VadeRetro в сравнении со Спамообороной. VadeRetro - возвращайся ??? Va - одна из форм глагола vai - идти; de - артикль ; retro - обратно, назад Спасибо за участие А.Карачанскому, который, основываясь на лат. изречении "Vade retro, Satanas!", предложил перевести это слово как "отойди". В общем, VADERETRO <=> ИЗЫДИ, СПАМ!!!

I. Сезон 2008-2009.

• 1. Сравнение плюсов.
• 2. Сравнение минусов.
• 3. Дневник проблем.
  • 3.1. Самоостановы.
  • 3.2. Проблема с созданием тредов: thread_create() failed: 11, try again
  • 3.3. Отсутствие номера sendmail-процесса в строках, заполняемых СО
  • 3.4. Непомеченный спам.
  • 3.5. Избыточное потребление памяти -> нехватка памяти на другие сервисы.
• 5. Советы. Тонкости.
• 6. Маниловщина.
• 7. Заключение.
• 8. Обмен опытом.
• 9. Сравнительная таблица возможностей: Спамооборона, VadeRetro, KasperskyAntiSpam. Обновлено 15.09.2008.
• 10. Каскадное тестирование: VadeRetro->Спамооборона. Май-июнь 2008г.
• 11. Каскадное тестирование: Спамооборона->VadeRetro. Апрель-май 2009г.
• 15. Новости.
• 16. И все-таки, почему я выбираю VadeRetro?
• 16.1. Человеческий фактор.
• 16.2. Неизбежность дополнительных фильтров.
• 16.3. Раздвоение академической почты на 2 почтовых домена: anrb.ru & ufaras.ru.
• 16.4. Цена.
• 16.5. У VR значительно меньше ложных срабатываний.
• 16.6. Личное.

II. Сезон 2010-2011.

• 1. 5-ая версия DrWeb. Нововведения.
  • 1.1 Комплексное логирование.
  • 1.2 Номер sendmail-процесса теперь указывается в записях drweb в maillog'е.
  • 1.3 Получатель письма при discard'e указывается в записях drweb.
  • 1.4
  • 1.5
• 2. Дневник проблем.
  • 2.1 Логирование в /var/log.
  • 2.2
  • 2.3
• 3.

III. Сезон 2011-2016.

• 1. В этом сезоне я недовольна VadeRetro.
• 2. Руководство администратора. Настройка и запуск. Конфигурационный файл. Секция Rules. Графическое представление синтаксиса.
• 1.

IV. Обсуждения антиспам-систем.

V. Важное, очень полезное.

VI. ...

X. Обратная связь.

Дано: P4/XEON, 2,66GHz, 256Mb ОЗУ, 512Mb swap; SUSE10.0; sendmail 8.13.6, с апреля 2008г VadeRetro вот в такой связке:
drwebd (drweb-демон, общий и для антивируса, и для антиспама) +
drweb-maild-sendmail (модуль, соединяющий демон, sendmail и фильтры) +
drweb-maild-plugin-vaderetro (антиспам-фильтр)
С 29.05.2008 2Gb ОЗУ.

Поскольку я уже рассказывала об одной антиспам-системе, то на этой странице я попробую сравнить один антиспам с другим.
Прямо по пунктам.

1. Сравнение плюсов

1. Я пока в процессе наблюдения за качеством отлова спама. Инфу об этом выложу позже, как накоплю материал.
VadeRetro (демо-версия) ( связка drweb-4.44.0 + drweb-maild-sendmail-4.44.1 + drweb-maild-plugin-vaderetro-4.44.1 скачана из раздела Dr.Web для Unix-систем / Защита почтовых серверов Unix / Антиспам / ) установлен на mx c бОльшим весом.
Спамооборона - на mx с минимальным весом (на основной mx).
Mx c VadeRetro исключен из списка непроверяемых адресов на основном mx-e, поэтому на основном mx-е возможно подсчитытать количество спам-писем, нераспознанных VadeRetro и оказавшихся спамом по версии Спамообороны.
К сожалению, в отличие от СО в текущей версии VR невозможно указать в теме спам-письма набранный вес, но ТП обещает добавить такую возможность в след. версии.

С 9 июля 2008 лицензионная связка drweb-4.44.0 + drweb-maild-sendmail-4.44.2 + drweb-maild-plugin-drweb-4.44.2 + drweb-maild-plugin-vaderetro-4.44.2 скачана из раздела Dr.Web для Unix-систем / Защита почтовых серверов Unix / Антивирус + Антиспам / и установлена на основной почтовик, и пока могу сказать, что есть незначительное увеличение непомеченного спама. И так же, как и в случае со Спамообороной, большинство пропущенных спам-писем приходит с mail.ru. VadeRetro тоже ему особо доверяет.

2. Пункт второй из плюсов СО для VR не актуален, потому что VR в выбранной мною связке не ведет файл обслуживаемых адресов, а, стало быть, VR не скажет "этот получатель прописан в mailboxes, поэтому я его проверю, а этот - нет, поэтому письмо пройдет со статусом SKIP."

3. Пункт третий "Если спам-вес письма превышает определенное значение, которое можно изменять, то такое письмо можно либо отвергнуть, либо тихо уничтожить" справедлив и для VadeRetro.
Но!!! Невозможно установить индивидуальные пороги отказа. Для меня это большой минус. Хотя ребята из ТП обещают в след. версии добавить такую возможность.
Конечно, существует возможность производить анализ порогов отказа и затем удалять письма, набравшие большой вес, самостоятельно с/п procmail. Но было бы логичнее, если бы это делал сам VR.
02.02.2009. Ну вот как раз на днях один юзер попросил индивидуальный порог отказа. Решаем задачку с.п. procmail.
Необходимо удалять всю его почту, набравшую больше 100 баллов. Я подумала-подумала и решила все-таки не удалять, а складывать в отдельный файл: знаю я эти приколы "где мое письмо от 31 июня 2000 года ???"
Итак, 1) в домашнем дире юзера создаем файл .procmailrc, владельцем указываем этого юзера.
LOGFILE=/var/log/spamlog/terrapin
:0
* ^X-Drweb-SpamScore: [1-9][0-9].+
/var/spool/mail/spam/spam-terrapin
или
/dev/null
2. Создаем лог-файл /var/log/spamlog/terrapin, владелец файла - юзер
3. Создаем спам-файл /var/spool/mail/spam/spam-terrapin, владелец файла - юзер. Обычно эти файлы logrotate'ом обрабатываются с периодом в неделю.

4. Прилагается белый список, черный список. Но!!! Невозможно пока оказаться от проверки письма, если оно идет из локальной сети (белый список по ip-адресам) .
Поэтому приходится использовать вот такую опцию в разделе [Users] в конфиге maild_sendmail.conf, чтобы отказаться от проверки почты с отправителем - моим доменом.
sender:@anrb\.ru=all:-vaderetro
Но ее минус в том, что обратный адрес легко подделывается, и таким образом мы открываем доступ спамерам. Хотя сейчас эта лазейка прикрыта.
Плюс в том, что эта опция может использоваться как безусловный белый список, чего нет у Спамообороны.

5. VR не пишет получателей вовсе. Это плохо. Для составления отчета пользователям мне теперь приходится добавлять через syslog получателя самостоятельно.

5. VR тоже умеет пропускать почту без проверки и отлупов при сбоях.
# ProcessingErrors ={action}
# This parameter defines what action should be applied to messages which
# generate errors at scanning.
# Possible main actions: tempfail, pass, discard, reject.
# Possible optional actions: quarantine, redirect, notify.
ProcessingErrors = pass


2. Сравнение минусов.

2.1-2.2.
В силу п. 1.2 у VR нет ограничений по проверяемым адресам, алиасам, спискам рассылок. Проверено будет все!

2.3. Белый список email-адресов также является условным: письмо будет проверено и в этом случае, но из веса будет вычтено определенное значение. Но! В отличие от Спамообороны есть другая опция , которая позоволяет отказать в проверке письму, пришедшему с определенного электронного адреса(адресов).

2.4. Привязка к почтовому домену есть только в связке drwebd + proxy + VadeRetro.Но она есть.

2.5. Тех.поддержка невероятно и традиционно оперативная. Эта самая быстрая ТП (среди ТП коммерческих продуктов), которую я за свою жизнь видела. Время отклика от 10 минут до суток, но чаще всего отвечают в течение получаса-часа.
И кроме того, ТП чрезвычайно доброжелательная. В этом для меня самая большая загадка :)
Ни разу на мои многочисленные вопросы и пожелания мне не ответили в духе "с трудом представляю, зачем и кому это может быть нужно".
Стиль работы и общения техподдержки создает очень комфортное ощущение "стены за спиной", а это очень важно.

3. Дневник проблем.

3.1. Самоостановы. Самоостановы случились 2 раза. Но что радует. В комплекте имеется monitor, который сам обнаруживает останов демона и сам его перезапускает и извещает меня о конфузе. Самоостановы не были вызван большой нагрузкой, кое-какой маячок обнаружился (т.е., вроде бы причина ребятам ясна).
ТП я известила, ребята поняли, о чем идет речь, и обещали к след. версии подправить.

3.2. Проблема с созданием тредов: thread_create() failed: 11, try again.
По поводу проблемы с созданием тредов, к сожалению, могу констатировать ее наличие и в связке sendmail+VadeRetro. В ближайших планах - наращивание памяти (скорее всего в эти дни). Если наращивание памяти не поможет, то, поскольку мысли по поводу неблагополучия milter, libmilter и всего, что с ними связано, появились еще при общении со Спамообороной и антивирусом ДокторВеб, я начинаю подумывать о тестировании других почтовых систем в связке с анти(вирусами/спамами).
29.05.2008. С сегодняшнего дня ОП - 2Gb. Проблем с созданием тредов не наблюдается.
20.08.2008. И все-таки эта проблема сохраняется.
20.10.2008. Т3р - после двух изменений в конфигурации сервера из предыдущей ссылки пока все спокойно.
26.11.2008. И все-таки проблема с самоостановами есть. И она опять не связана с нагрузкой.
16.12.2008. После выставления в конфиг рекомендованных TП значений, все ОК (т3р).
InPoolStackSize = 2m
OutPoolStackSize = 2m

3.3. Отсутствие номера sendmail-процесса в строках, заполняемых VR.
VR пишет номер sendmail-процесса только в строке drweb-milter, сообщения drweb-maild можно привязать к определенному процессу только через имя директории, в которую складывается сообщение на период обработки.

3.4 Непомеченный спам.
20.01.2009. Когда полгода назад я выбирала между Спамообороной и VadeRetro, значительную, если не решающую, роль сыграла разница в цене. Причем, несмотря на хороший результат пробного тестирования, я обратила внимание заинтересованных сторон на возможное ухудшение качества фильтрации, но это никого не испугало. И до сей поры VadeRetro держался молодцом. В течение последней недели наблюдаю возросшее количество пропущенного спама. В течение дня в мой почтовый ящик попадает до 20 непомеченных спам-писем (с учетом того, что в мой почтовый ящик попадает почта, поступающая на всевозможные административные алиасы)
Спасибо Владимиру Васильеву: 25 спам-писем, пропущенных VR, были отправлены на почтовую систему со Спамообороной. СО пометила спам-меткой 22 письма, из них 19 набрали больше 20 баллов.
Посмотрим, как поведет себя VR дальше.
22.01.2008. Ситуация стабилизировалась. Т3р.
10.02.2009. Сглазила. За последние полмесяца Спамообороне было отправлено 76 не помеченных VadeRetro спам-писем, результат для VR плачевный. Спамооборона не пометила только 16 писем, а это около 20%. :(
17.02.2009. Наблюдается странная вещь: если делать forward (TheBat! вложение исходного письма с сохранением заголовков) письма, то, как правило, Спамооборона не помечает это письмо, при этом оно набирает только до 4-х баллов. А если делать redirect (прежние заголовки не сохраняются, вложения нет) - то почти все спам-письма распознаются.
Пример forward'a. Пример redirect'a.
А в целом, ситуация по VR опять выправилась: в день не более 1-2 непомеченных спам-письма.
Общая статистика по CO: 85 спам-писем помечены СО, 23 непомечены.
10.03.2009. Ситуация с пропущенным спамом нестабильная. То тихо-тихо, то до 10 непомеченных спам-писем. Добавила себе вот такую штуку - часть непомеченного спама c zen.spamhaus.org-dnsbl уходит в папку X-SPAM.
Да, продолжаю непомеченный спам "показывать" Спамообороне. За сегодня из 6 непомеченных VR писем СО пометила только одно. Общий счет за 2 с половиной месяца: 177 спам-писем СО пометила, 54 - нет.

3.5 Нехватка памяти на другие сервисы.
25.03.2009. Дано: ОП 2ГБ, на сервере крутятся DrWeb (drwebd + drweb-maild-sendmail + drweb-maild-plugin-vaderetro), jabber, MySQL. Почтовый трафик небольшой (300-1000 писем в день), но DrWeb-maild занимает порядка 1,2Гб, оставшейся памяти стало не хватать на другие сервисы.
Решение от Kevin. Сегодня уже точно закончил разбор проблем с саппортом, провел много тестов, вроде всё работает, сейчас maild кушает у меня 279м.
Опция решает сколько кушает наш процесс
MaxPoolSize = {численное значение}
Максимальное количество страниц памяти (размером 8 Кб), выделяемых для базы данных. Если значение параметра равно 0, Dr.Web MailD автоматически определяет эту величину, исходя из доступного объема физической памяти. В текущей версии Dr.Web MailD при перезапуске программного комплекса по сигналу SIGHUP изменение данного параметра происходить не может. Значение по умолчанию: 0
Я поставил сейчас 20480. Пока что ошибок в логах нигде не наблюдаю.
Тиккет саппорта - здесь.


5. Советы .

5.1-5.3. Установка проста, советовать тут мне нечего. Разве что, пока ребята не подправили комментарии в конфигах, обратите внимание на то, что названия и местоположение одних и тех же сокетов, которые упоминаются в разных конфигах, должны совпадать.
Ну и для любителей устанавливать все вручную все же скажу, что лучше воспрользоваться родным install.sh: скрипт простой, ничего лишнего не делает, а без него нужно знать права и владельцев веберовских директорий и файлов в /var/drweb. Без правильных прав и владельцев демон не стартует.
20.08.2008. Все-таки нужно читать док-ию и следовать ее указаниям:
readme_sendmail.rus:
Первым следует устанавливать tarball-архив самого Dr.Web MailD, и только после него tarball-архивы плагинов (плагины могут устанавливаться в произвольном порядке). Если до этого были установлены почтовые фильтры антивируса Dr.Web для Unix, то перед установкой Dr.Web MailD их следует удалить (при необходимости предварительно сохранив конфигурационные файлы), подробнее см. в п. 6.
То есть в моем случае важно было сначала запустить install.sh из drweb-maild-sendmail-4.44.2,
затем из drweb-maild-plugin-drweb-4.44.2 и затем из drweb-maild-plugin-vaderetro-4.44.2.
Ну а пакет drweb-4.44.0 нужно просто развернуть вручную, install.sh к нему не прилагается.

5.4&5.5 имеют место и здесь, => тут надо разбираться с SUSE.

5.6 VadeRetro не ведет список белых IP адресов. А, значит, пока невозможно отказатьcя от проверки письма, которое идет, например, из локальной сети.
Нов след. версии это будет в таком виде:
client-ip:127.0.0.1 cont scan=all:-vaderetro

5.7 Обратите внимание на то, что в белых списках должны быть прописаны конвертные отправители. Спамооборона же работает с внутренними отправителями.

5.8 Для VR лучше выбрать 8 уровень логирования: define(`confMILTER_LOG_LEVEL',`8'), иначе в лог пишется лишняя инфа.

При 9 уровне логирования VR напишет небольшое сочинение:
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: from=<davisgil@earthlink.net>, size=2048, class=0, nrcpts=1, msgid=<000401c8b418$026a70e4$ce2203bd@gcghagu>, proto=ESMTP, daemon=MTA, relay=[91.185.11.85]
May 12 16:15:45 apache drweb-milter: [2811445265] milter INFO [m4CAFYKd027197]: success save mail to /var/drweb/msgs/in/E/0001EE0E/
May 12 16:15:45 apache drweb-maild: [114696] vaderetro INFO start processing msg 0001EE0E ...
May 12 16:15:45 apache drweb-maild: [114696] vaderetro INFO Attach msg 0001EE0E to plugin vaderetro...
May 12 16:15:45 apache drweb-maild: [114696] vaderetro INFO SpamState = 1; SpamScore = 900; Version=Vade Retro 01.264.01 AV+AS; apply: [pass]; time=76 ms
May 12 16:15:45 apache drweb-maild: [114696] vaderetro INFO Msg 0001EE0E was accepted by plugin vaderetro
May 12 16:15:45 apache drweb-maild: [114696] vaderetro INFO msg 0001EE0E is accepted: send it by filter
May 12 16:15:45 apache drweb-milter: [2811445265] milter INFO drweb-maild return pass action for msg 0001EE0E
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (4): header: Subject: [VR:SPAM:: ]=?koi8-r?B?yM/Sz9vJxSDTy8nEy8kgzsEgz9TE2cggz9Qg18XE1d3JyCDP0MXSwQ==?=\n\t=?koi8-r?B?1M/Sz9cg8s/T08nJ?=
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (5): header: Date: Mon, 12 May 2008 08:23:36 +0000
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (6): header: MIME-Version: 1.0
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (7): header: Content-Type: text/plain;\n\tcharset="koi8-r"
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (8): header: Content-Transfer-Encoding: 8bit
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (9): header: X-Priority: 3
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (10): header: X-MSMail-Priority: Normal
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (11): header: X-Mailer: Microsoft Outlook Express 6.00.2900.3138
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (12): header: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (13): header: X-Drweb-SpamState: yes
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (14): header: X-Drweb-SpamState-Num: 1
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (15): header: X-Drweb-SpamScore: 900
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter insert (16): header: X-Drweb-SpamVersion: Vade Retro 01.264.01 AV+AS
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header Subject: =?koi8-r?B?yM/Sz9vJxSDTy8nEy8kgzsEgz9TE2cggz9Qg18XE1d3JyCDP0MXSwQ==?=\n\t=?koi8-r?B?1M/Sz9cg8s/T08nJ?=
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header Date: Mon, 12 May 2008 08:23:36 +0000
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header MIME-Version: 1.0
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header Content-Type: text/plain;\n\tcharset="koi8-r"
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header Content-Transfer-Encoding: 8bit
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header X-Priority: 3
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header X-MSMail-Priority: Normal
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header X-Mailer: Microsoft Outlook Express 6.00.2900.3138
May 12 16:15:45 apache sendmail[27197]: m4CAFYKd027197: Milter delete: header X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
May 12 16:15:45 apache drweb-milter: [2811445265] milter INFO [m4CAFYKd027197]: processing message from <davisgil@earthlink.net> is over
May 12 16:15:47 apache sendmail[27332]: m4CAFYKd027197: to=<kuchod@anrb.ru>, delay=00:00:04, xdelay=00:00:02, mailer=smtp, pri=122048, relay=mail.anrb.ru. [212.193.134.2], dsn=2.0.0, stat=Sent (m4CAEbdG014778 Message accepted for delivery)

Если выбрать другой уровень логирования (define(`confMILTER_LOG_LEVEL',`8')), то , на первый взгляд, вывод становится лаконичным:
May 12 15:52:20 apache sendmail[22118]: m4C9qGMx022118: from=<asetobe@earthlink.net>, size=995, class=0, nrcpts=1, msgid=<000401c8b415$05b9882f$748f3f8d@tgktsgr>, proto=ESMTP, daemon=MTA, relay=89-178-154-134.broadband.corbina.ru [89.178.154.134]
May 12 15:52:20 apache drweb-milter: [2794029117] milter INFO [m4C9qGMx022118]: success save mail to /var/drweb/msgs/in/1/0001ED41/
May 12 15:52:20 apache drweb-maild: [131081] vaderetro INFO start processing msg 0001ED41 ...
May 12 15:52:20 apache drweb-maild: [131081] vaderetro INFO Attach msg 0001ED41 to plugin vaderetro...
May 12 15:52:20 apache drweb-maild: [131081] vaderetro INFO SpamState = 1; SpamScore = 900; Version=Vade Retro 01.264.01 AV+AS; apply: [pass]; time=47 ms
May 12 15:52:20 apache drweb-maild: [131081] vaderetro INFO Msg 0001ED41 was accepted by plugin vaderetro
May 12 15:52:20 apache drweb-maild: [131081] vaderetro INFO msg 0001ED41 is accepted: send it by filter
May 12 15:52:20 apache drweb-milter: [2794029117] milter INFO drweb-maild return pass action for msg 0001ED41
May 12 15:52:20 apache drweb-milter: [2794029117] milter INFO [m4C9qGMx022118]: processing message from <asetobe@earthlink.net> is over
May 12 15:52:20 apache sendmail[22141]: m4C9qGMx022118: to=<myrna@anrb.ru>, delay=00:00:00, xdelay=00:00:00, mailer=smtp, pri=120995, relay=mail.anrb.ru. [212.193.134.2], dsn=2.0.0, stat=Sent (m4C9pBFF031515 Message accepted for delivery)

Но на второй взгляд обнаруживается отсутствие строки, отражающей изменение темы письма. Если вы не ведете статистику, то вам она не нужна. А мне очень даже будет нужна, когда будет исполнено обещание техподдержки и спам-метка в теме письма дополнится его весом.

На мой взгляд записывать в лог "Milter insert, Milter delete" смысла нет, вполне достаточно "Milter change", как это делает CO. При одинаковом уровне логирования (9) СО лаконичнее, и вместе с тем, все , что важно для меня, показано.
Вот вы скажете, что я придираюсь, и все такое, а я читаю логи. Да-да-да, ч-и-т-а-ю! Конечно, не все 100 Мб, а выборочно: крон присылает мне по 200 строк лога, и кроме того мои скрипты шерстят лог на наличие нестандартных или критичных записей.
И поэтому для большое значение имеет то, как фильтр отчитывается о проделанной работе:
- не портит ли логику maillog'a;
- вся ли важная информация выводится;
- как много лишней для меня информации, которая мешает нормальному восприятию данных.


5.9 Будьте крайне осторожны с уведомлениями антивируса DrWeb.
Желая высылать уведомления только локальным юзерам, я подправила конфиги соответств. образом и наступила на страшные грабли: во время пиковой нагрузки случился самоостанов DrWeb, почта пошла непроверенная, и я засыпала уведомлениями об этом весь инет и даже попала в некоторые черные списки (не сработал отказ от высылки уведомления нелокальныи юзерам)!
В общем, "и на старуху бывает проруха". Выяснить, что не так было в моем конфиге пока не удалось, а выставлять debug-уровень пока нет времени (за ним же нужно будет следить). Поэтому пока все уведомления вообще отключены.
В свете этого происшествия, я подумываю вовсе отказаться от высылки уведомлений админу, когда почта перестает проверятся при ошибках, потому что в часы пиковой нагрузки это провоцирует дополнительный (в моем случае просто лавинообразный) трафик.
По-моему, лучше написать скрипт, который будет проверять лог на такие события, скажем, раз в 10 минут и извещать меня одним письмом.

15.09.2008. С помощью ТП все же удалось разобраться с синтаксисом секций [Rule], [Users], [Viruses].
Для того, чтобы при получении вируса, уведомления высылались лишь получателям/отправителям моего домена + мне, нужно было выставить такие значения в /etc/drweb/maild _sendmail.conf:
[Rule] # default
notify = block
notify.Virus = block
notify.Virus = allow(admin:sender) if sender:@anrb\.ru
notify.Virus = allow(admin:rcpt) if rcpt:@anrb\.ru
а не
notify.Virus = allow(any) if @anrb\.ru - это вызовет отправку уведомлений и получателю, и отправителю, и админу, потому как означает "notify, если вирус, и, если отправитель ИЛИ получатель из домена anrb.ru", а так как я (ттт3р) - не open relay, то такое условие будет выполняться всякий раз при поступлении зараженного сообщения.
В данном случае меня спутал файл addresses.conf из предыд версии, который описывал
# The file with the list of addresses allows to block notifications
# to specified addresses or group of addresses depending on address role
# in mail transaction.
и то, что мне нужно, вполне описывалось одной строкой:
any !"@(anrb)|(ns1\.anrb)|(magarif)\.ru|(102avto)\.ru"
т.е. блокировать любые уведомления, если они не предназначены для доменов anrb.ru, ns1.anrb.ru, magarif.ru, 102avto.ru.

Ну и для кучи приведу пример секции [Users].
[Users]
Здесь я отказываюсь от действия фильтра VadeRetro, если отправитель из моего домена.
#Отказываюсь от обоих фильтров, если адреса отправителей - мои локальные root'ы + пара masters. Ес-но, предварительно я проверяю достоверность такой почты.
sender:root@mail\.anrb\.ru scan=all:-drweb:-vaderetro
sender:root@apache\.anrb\.ru scan=all:-drweb:-vaderetro
sender:root@ns1\.anrb\.ru scan=all:-drweb:-vaderetro
sender:drwebmaster@anrb\.ru scan=all:-drweb:-vaderetro
sender:postmaster@anrb\.ru scan=all:-drweb:-vaderetro
Кроме того, все отправителям, подписанным моим доменом, разрешаю проходить без проверки спам-фильтром.
sender:@anrb\.ru scan=all:-vaderetro
Если все правильно, то в логе должно быть следующее при приходе вируса:
Sep 16 18:16:36 mail drweb-notifier: [81926] notifier.rules DEBUG GetNotify: success find 'virus' admin = allow
Sep 16 18:16:37 mail drweb-notifier: [81926] notifier.rules DEBUG NotifyValue::Get: 'virus' for role sender NOT match rcpt:[< terrapin@anrb.ru >] with sender =~ "@anrb\.ru"
Sep 16 18:16:37 mail drweb-notifier: [81926] notifier.rules DEBUG NotifyValue::Get: 'virus' for role sender NOT match sender:[< klaretta.fowler@wgint.com >] with sender =~ "@anrb\.ru"
Sep 16 18:16:37 mail drweb-notifier: [81926] notifier.rules DEBUG NotifyValue::Get: 'virus' find val for role sender = block
Sep 16 18:16:37 mail drweb-notifier: [81926] notifier.rules DEBUG GetNotify: success find 'virus' sender = block
Sep 16 18:16:37 mail drweb-notifier: [81926] notifier.rules DEBUG GetNotify: success find 'virus' rcpt = allow
И следующее при отсутствии проверки VR:
Sep 16 19:16:17 mail drweb-maild: [278545] maild INFO CheckMsg: set skip for plugin vaderetro. from=< root@mail.anrb.ru >; to=< gatling@mail.anrb.ru > Sep 16 19:16:17 mail drweb-maild: [278545] maild INFO CheckMsg: set skip for plugin drweb. from=< root@mail.anrb.ru >; to=< gatling@mail.anrb.ru >

5.10. Еcли вы, как и я, используете одновременно и антивирус, и антиспам и при этом указываете заниженный порог отказа письма (например, у меня указан параметр UnconditionalSpamThreshold=400 в plugin_vaderetro.conf), то в файле mail_sendmail.conf в строке BeforeQueueFilters рациональнее указать первым vaderetro, а вторым drweb: так большая часть спама будет уничтожаться, то нет никакой необходимости эту почту сначала проверять антивирусом.

5.11. Не помешает озаботиться резервным сохранением базы данных /var/drweb/lib/libvaderetro.so.cache.
18 сентября в результате скачивания обновления базы VadeRetro работоспособность антиспама была нарушена.
(07.07.2004 по той же причине аналогичное произошло с антивирусом Drweb: dwlib: fd: wait for recv failed - timeout expired.)
Ничего страшного в этом не вижу, тем более, что, когда я обнаружила проблему, то сразу зашла на форум и узнала, в чем дело.
Мне не пришлось изводиться в самостоятельных поисках проблемы и в бесконечном ожидании ответа от ТП, к чему я так и не смогла привыкнуть, когда пользовалась Спамообороной.
Пока ожидала исправления обновления, сильно пожалела, что не сохраняла работоспособные базы за предыдущие дни. В данной ситуации это помогло бы сразу вернуть VadeRetro в нормальное состояние. О чем и сообщила форуму, и практически сразу же последовал ответ с решением от Ivan Kuznetsov. Выкладываю его здесь, надеюсь, автор не будет против :)

#!/bin/bash
# Резервное копирование libvaderetro.so
# Путь к libvaderetro.so
VADERETRO_PATH="/var/drweb/lib/libvaderetro.so.cache"

# Количество поколений резервных копий
COUNT=10

rm -f "$VADERETRO_PATH.backup.$COUNT.gz"

for (( i=$COUNT; i>1; i-- )); do
if [ -f "$VADERETRO_PATH.backup.$(($i-1)).gz" ]; then
mv -f "$VADERETRO_PATH.backup.$(($i-1)).gz" "$VADERETRO_PATH.backup.$i.gz"
fi
done

cp "$VADERETRO_PATH" "$VADERETRO_PATH.backup.1"
gzip "$VADERETRO_PATH.backup.1"

P.S. Еще раз повторю: никаких негативных эмоций у меня эта ситуация не вызвала. Рабочий момент, который у всех когда-либо случается. Нужно просто обождать. Было даже очень приятно, что проблема отражена на форуме. А обеспокоенным повалившим спамом клиентам я отвечала в таком ключе:
"Вот теперь вы представляете, какую адскую работу выполняет VadeRetro, оберегая ваш почтовый ящик от спама?"
"А ведь, действительно, разница колоссальная", - отвечали клиенты и,прощаясь, говорили свое "спасибо", которое я с удовольствием переадресую команде DrWeb.


6. Маниловщина.
6.1 Discard - mx-ам, reject - всем остальным.

Ответ техподдержки:
"...
4. Насколько я понял это можно будет сделать в следующей версии через правила. Например так:
[rules]
client-ip:mx-ip cont VadeRetro/Action = discard
NOT client-ip:mx-ip cont VadeRetro/Action = reject
..."
Что очень радует.

7. Заключение.

Общее впечатление очень хорошее. Самое главное, нет этого ужасного ощущения, что все случающиеся проблемки и проблемы - исключительно мои личные, и, стало быть, решать я их должна самостоятельно, а ведь "один в поле не воин".

Но поскольку многие вещи, важные для меня и моих пользователей, будут реализованы лишь в следующей версии, то сейчас я в раздумьях. Уже который день складываю на весы все плюсы-минусы, но пока принять решение не могу.

02.06.08.=== Уже не в раздумьях. Выбор сделан. Счет подписан. Ждем-с.
На одной стороне весов лежали
- нужные фишки, к-х пока нет в VR;
- ожидаемое лучшее качество фильтрации Спамообороной (ожидание это было основано на том, что при каждом разборе письма СО обращается к yandex-базам, которые, как обещает документация, обновляются оперативно).
На другой стороне
- легкость в установке и обслуживании (поставил и забыл) VadeRetro;
- факт, что "при лицензии на 50 и более почтовых адресов указание конкретных проверяемых адресов в настоящее время не требуется";
- адекватность ТП DrWeb.
Одним cловом, моя душа лежала именно к VR, даже если бы качество фильтрации оказалось несравнимым. Но нужно было думать и об интересах пользователей (вес письма в теме, индивид. пороги отказов, качество фильтрации), поэтому я склонялась было к СО, хотя еще прошлой осенью зареклась иметь с ней дело. Но, когда пришел счет, и оказалось, что VR на 20 т.р. дешевле, сомнений почти не осталось. Ну а последние сомнения рассеяли результаты сравнительного тестирования, благо, что я получила такую возможность.
NB! Я ни в коем случае не расцениваю результаты тестирования как подтверждение того, что один антиспам лучше другого в плане фильтрации. Для меня эти данные означают, что один антиспам в плане фильтрации ничем не хуже другого, а другой - ничем не хуже первого. И я даже рада такому результату. ===

11.11.2008. По истечении полугода могу сказать, что я довольна, и юзеры столько же.
Во-первых, я совершенно напрасно беспокоилась по поводу отсутствия некоторых фишек у VR: юзеры спокойно проглотили отсутствие веса письма в теме.
Во-вторых, из-за отсутствия персональных порогов отказа, я выставила сильно заниженный общий порог (400), и спама стало не то что мало, а вообще очень мало. Ложных срабатываний по этому показателю пока (т3р) не наблюдалось.
В-третьих, количество пропущенных спам-писем стабильно и сильно от пропусков Спамообороны не отличается. Все зависит от спамерской активности. Иногда пусто, иногда 1-2 письма проскочит.
В-четвертых, ваши письма о спаме, дорогие коллеги, продолжают помечаться спам-меткой. Как и в случае со Спамообороной. Ну, тут все понятно и не смертельно. Так что сильно не удивляйтесь, если в теме ответного письма увидите Re:[VR::SPAM]Sendmail.

8. Обмен опытом.

Мне было бы интересно узнать ваше впечатление от VadeRetro, в особенности:
-качество фильтрации
-как на вашей системе ведет себя VR в часы пиковой нагрузки.

9. Сравнительная таблица.

15.09.2008. Спасибо Das-ich за данные по Антиспаму Касперского!

Сравнительная таблица

Функция/Антиспам	Спамооборона	Vade Retro	КАС
Опыт работы с фильтром	2 года (2006-2008)	6 месяцев (с апреля 2008)	СО - 3года, КАС - месяц
Система	Suse	Suse	RH
Установка	От недели (ранние версии) до 4 часов (*)	2 часа(*)	15 минут
Базы данных	Локальная копия доступна только для лицензии свыше 1000 пользователей. Для остальных - обращение за данными к yandex-базам при каждом разборе письма	Локальная копия. Обновление ежедневное.	Локальная копия
Качество фильтрации	Хорошее	Хорошее См. таблицу	Хорошее, и гораздо лучше, чем у СО. Противоположное мнение. И еще одно (см. 3 стр.).
Спам-метка темы	Есть	Есть	Есть
Вес в метке спам-письма	Есть	Нет+	Есть
Отказ от приема письма(тихий/громкий)	Есть	Есть	Есть
Работа с группами	Нет	Нет	Есть
Индивидуальный порог отказа	Есть	Нет+	Есть (с.п. групп)
Белый список для ip&nets	Есть	Нет+	Есть
Белый список для emails	Условный	Условный, но возможность безусловного отказа есть	Условный, (с.п. групп)
Самоостановы	Есть	Есть+	Нет
Контроль за самоостановом	Нет	Есть	Есть
Поведение при пиковой нагрузке	Самоостанов или отказ "thread_create() failed:"(*) При ОП 2Gb за месяц проблем не наблюдалось	Отказ "thread_create() failed:"	Отказ "thread_create() failed:"
Пропуск письма в случае сбоя антиспама	Есть	Есть	Есть
Требовательность к ресурсам системы	CO+DrWeb менее требовательны	VR+DrWeb более требователены(*)	Без тонкой настройки системы в целом - достаточно высокие (*)
Ведение статистики	Есть	Есть	Есть
Дополнительные возможности:	Есть	Есть	Нет
1) фильтрация заголовка письма	Нет	Есть(*)
2) фильтрация тела письма	Есть	Нет+(*)
Тех.поддержка	Без комментариев	Отличная	Пока не приходилось обращаться за помощью напрямую
Форум ТП	Нет	http://new-forum.drweb.com/mod/forum/view/?id=5	http://forum.kaspersky.com
Описание принципов фильтрации в документации	Нет Для чего мне это было нужно...	Нет	Есть (см. п.2.2. Технологии распознавания)
Грамотные специалисты по sendmail	Есть(*)	Есть	См. п. ТП
Бесплатная версия	CO-1024 письма в сутки	Нет	Нет

+ означает "обещано добавить/исправить в след. версии".

Комментарии к установке.
Установка Спамообороны пройдет на "ура" у тех админов, которые используют дистрибутивы "как есть". То есть выбирают установку выбранного дистрибутива по умолчанию или вносят в перечень пакетов минимальные изменения.
Ну, а таким, как я, приходится выбирать ручную установку Спамообороны. А точнее сказать, комбинированную. Потому что несколько конфигурационных файлов заполняются только скриптом. Поэтому приходится изворачиваться, что-то исполнять через install.sh, что-то добавлять вручную, потом еще править "подпорченный" установщиком /etc/rc.d. В общем, после опыта предыдущих установок переход на новую версию в декабре 2007г. занял всего около 4 часов (это прогресс!), а вот первый раз я ставила СО около недели.
Старые версии СО требовали добавлений в конфиг named'a. Ну я добросовестно и исправляла named.conf. Добавляла-добавляла нужные записи, добавляла-добавляла, а толку-то и нет! Через пару дней меня стукнуло: у меня же named в chroot да на отдельном разделе. А что, если СО и не знает о таком варианте, и хочет обращаться только к /etc/named.conf? Так оно и вышло! Создала пустой /etc/named.conf, добавила строчки, нужные для СО, И ВСЕ ЗАРАБОТАЛО. Ну это был не единственный прикол с СО за неделю установки, но самый показательный в том плане, что СО не любит моей самодеятельности.
Да, а каким таким "как я"?
Если вы при установке дистрибутива терпеливо выбираете пакеты, которые действительно необходимы для работы предполагаемого сервера, а ключевые сервисы устанавливаете не из rpm, а самостоятельно собираете и заказываете при этом необходимый функционал, то, возможно, но необязательно, столкнетесь c некоторыми проблемами при установке СО.

На этом фоне установка VadeRetro производит самое приятное впечталение. Сначала немного напрягло непонимание того, какой перечень пакетов мне необходим (см. начало статьи), потом немного подвела моя склонность к самостоятельным установкам: я внаглую скопировала файлы из rpm-ок, подкорректировла конфиги и попыталась было запустить все это хозяйство, но тут оказалось, что над правами и владельцами я не поработала. Поэтому вернула все на место и воспользовалась-таки install.sh (простой рабочий скрипт, без ненужных окошек и прочей мишуры). Ну и прежний опыт работы с антивирусом DrWeb'a тоже помог: что где должно лежать и как выглядеть, я уже знала, а файл drweb32.ini просто скопировала c рабочего сервера. Да, еще пришлось немного поработать с конфигами в плане выправления путей к сокетам и симметричности сокетов. В общем, если бы не моя самодеятельность на этапе установки из rpm-ок, возможно, за часок бы и управилась, включая чтение-разбор новых для меня конфигов к VadeRetro & drweb-sendmail.

16.08.2008. === Только сегодня обнаружила на форуме DrWeb ссылку на документ "Антивирус + Антиспам Dr.Web® и Антиспам Dr.Web® для почтовых серверов Unix (Linux, FreeBSD и Solaris)"
То, что я смогла установить и использовать VR без этого подробного описания, подтверждает простоту установки, настройки и эксплуатации.===


Комментарии к требовательности VR к сист. ресурсам.
20.08.08. После установки связки drwebd + drwebd-maild + vaderetro на основном почтовике всплыла старая проблема с созданием тредов даже при ОП 2,7Gb. Сначала по рекомендации тех. поддержки был увеличен swap-раздел до 5,5Gb. Проблема на время исчезла. При следующем появлении ТП посоветовала увеличить max user processes, что и было сделано (768). Пока (т3р) проблем не наблюдается. Следует отметить, что Спамооборона справлялась с нагрузкой даже при полностью отключенных антиспам-фичах sendmail'a (что создавало дикую нагрузку) и при размере swap 256Мб (почему такой размер - это отдельный раговор) и при max user processes=200.
06.04.2010. Комментарий к проблеме от Сергея Афонина:
"Есть confMAX_DAEMON_CHILDREN, далее добавляется столько же на каждый мильтер. Вот и число процессов. Осталось только проверить /etc/security/limits, только не забывая о том, каким юзерам повышать, в зависимости от того, под какими юзерами какие фильтры пускаются. Ну и запас на забытое."

Комментарии к требовательности КАС к сист. ресурсам.
15.09.2008. Взято отсюда:
"... С sendmail поменялись параметры, отвечающие за прием почты при высоких значениях LA и увеличились значения таймаутов в определении фильтов. Каспер по-умолчанию ставит очень маленькие.
Было
Xkasfilter, S=local:/var/run/kas-milter.socket, T=C:10s;S:20s;R:30s
стало
Xkasfilter, S=local:/var/run/kas-milter.socket, F=, T=C:15m;S:5m;R:5m;E:10m
Увеличены два параметра в конфиге каспера filter.conf
ClientConnectTimeout 100
ClientDataTimeout 100
До этого были умолчальные 40.
Все это вместе позволило избавиться от очередей и поиска сокета, но осталась ошибка с нехваткой потоков:
Aug 26 10:02:48 spam-guard kas-milter[4967]: KAS-Filter: thread_create() failed: 12, try again
Ее удалось устранить увеличением параметра ядра kernel.threads-max до 65536 в sysctl и заданием фильтру kas3-milter при загрузке меньшего размера стека ulimit -s 2048, потому что в rhel5 по-умолчанию задано 10 мегабайт, что быстро сжирало всю память..."

Комментарии к пиковой нагрузке.
1. Отказ "thread_create() failed - это узкое место sendmail, а точнее libmilter.
Если отказ и случится, то ничто не помешает ни СО, ни VR нормально принять следующее письмо, если нагрузка спала.
А вот если случился самоостанов СО, то никто, кроме вас, не поможет ему поднятся.
Нужен скрипт, анализирующий наличие СО-процессов в ps и предпринимающий соответствующие действия.
Напротив, самоостановы VadeRetro не имеют отношение к пиковым нагрузкам, поэтому рестарт VadeRetro не вызывает последующий немедленный самоостанов.

Комментарии к фильтрации заголовков письма.
Имеется отдельный плагин headersfilter. Для тех, кто впадает в ступор при виде sendmail.cf, он будет весьма полезен. Отличием от фильтрации заголовков средствами sendmail.cf является следующее: headersfilter работает через milter, а, стало быть, письмо сначала будет принято, а потом будет произведен анализ заголовков. Фильтрация средствами sendmail.cf позволяет отказаться от письма на этапе smtp-диалога.

Комментарии к фильтрации тела письма. Ответ ТП: " ... Возможно с данной функциональностью будет отдельный плагин..."

Комментарии к пункту "Грамотные специалисты по sendmail".
Я бы, пожалуй, не стала включать этот пункт в данную таблицу, если бы не одно обстоятельство. Ко мне обращался за советом один админ: ТП одной антиспам-системы на запрос некой фичи дала такой ответ, что он решил обратиться ко мне за разъяснениями, что же она (ТП) имела в виду. Прочитав этот ответ и придя в тихий ужас, а также припомнив из своего опыта общения с этой же ТП неспособность справиться с проблемой "cannot alias non-local names" в 2000 году ( "у меня все ходы записаны!" ), я начала особо ценить наличие грамотных sendmail-специалистов в конторе, которая пишет фильтры к sendmail.

Вообще-то, человек не может знать всего, и нет ничего страшного в том, что он пока чего-то не знает. Особенно, если это касается sendmail. Это я к проблеме "cannot alias non-local names". Плохо, когда толпы народа носятся по форумам месяцами и спрашивают, что делать, в то время как ТП тихо отмалчивается и продолжает лепить баг из версии в версию, хотя тогда ТП достаточно было сходить на родной форум sendmail'a, узнать причину и добавить-таки недостающий флаг "А" в определение мэйлера (define(`AVPKEEPER_MAILER_FLAGS',`sPhnu9A') или MODIFY_MAILER_FLAG(`AVPKEEPER',`+A')).

Итак, могу сказать что СО повезло особо. Один раз в 2007г. мне ответил Сева Глущенко - специалист, которого все (ну или почти все) sendmail-админы знают по его антиспам-фильтру. Это был один из первых, если не самый первый российский sendmail-антиспам-фильтр, и он мгновенно разошелся по нашим конфигам.
DrWeb тоже повезло, и тоже особо, потому что с ним работал Сергей Ахапкин. Именно он написал патч к sendmail, решающий проблему "drweb-smf: Dr.WEB Sendmail filter VER: thread_create() failed: 11, abort" Насколько я знаю, Сергей больше не работает в DrWeb, но, уверена, основу для фильтров он заложил крепкую.
В общем, логику sendmail и его конфигов надо понимать очень хорошо, а иначе и не стоит писать к нему фильтры.

О качестве фильтрации.
10. Каскадное тестирование: VadeRetro->Спамооборона. Май-июнь 2008г.

VR тестировался в два периода. Первый - с 16 апреля по 16 мая. Второй период начался 29 июня и будет продолжаться по 29 июня.
29.05.2008. === Уррааа! Эксперимент продолжается! Сегодня я, во-первых, добавила на оба почтовика по 2GB памяти, значит, теперь можно будет убедиться в устойчивости фильтров, а во-вторых, получила демо-ключ на VadeRetro еще на месяц, значит теперь смогу обсчитать качество фильтрации в обоих направлениях.Уррааа! ===

Выложена собранная статистика за 30 дней. Один главный момент - количество писем, не помеченных спам-меткой VR, но распознанных СО - учтен. Другой не менее важный момент (количество писем со спам-меткой VR, не помеченных СО), к моему великому сожалению, был посчитан только за последние два дня первой фазы эксперимента, но зато подсчитывается сейчас.
Меня сбило с толку то, что, если письмо не спам, СО не пишет в лог строку об изменении темы письма, как и должно быть. А если нет этой строки, то я не могу проверить была ли в исходной теме спам-метка VR или нет.

Ну вот это была совершенно непростительная ошибка, потому что кому, как не мне, знать о том, что средствами sendmail.cf можно вывести тему письма в лог. В конце концов я догадалась это сделать, но было уже поздно. Поэтому показатель VR-ONLY доступен только с 16 мая.
Можно было бы брать за этот показатель разницу между помеченной VR почтой на одном почтовике и помеченной СО почтой на другом, но в моем случае опираться на это значение невозможно:
1) для VR это общее значение: VR в демо-версии обслуживает всю почту (вх, исх, без ограничений по обслуживаемым доменам);
2) время ежедневной ротации файлов на этих почтовиках немного отличается, поэтому одно и то же письмо на mx2 может попасть в один файл, а на основном почтовике - в другой, а скрипты обрабатывают логи целиком, а не за точный период с 0 часов до 24 часов;
3)а самое гланое, как в этом случае представить "доказательную базу" - логи пропусков того и другого антиспама?

Итак, на транзитном mx-е 212.193.134.3 установлен VadeRetro. На основном - Спамооборона.
На транзитном почтовике обсчитывалось общее количество обработанных VR писем, далее через тире кол-во писем, помеченных спам-меткой, значение в скобках - discard'ы VR (первый столбец MX2). То есть разница между первым и третьим значениями - это и есть количество писем, отправленных далее, причем не только на основной почтовик.

На основном почтовике стат. обработке подвергались только те процессы, к которым имели отношение sendmail-строки c relay=www.anrb.ru.
ALL - общее количество этих записей, т.е. количество писем, поступивших с транзитного mx-а
SKIP - число писем, вообще не проверенных СО (их получатели не принадлежат обслуживаемого СО-ой домену)
NO - не спам-письма по версии СО, т.е. число писем, набравших вес меньше 7 баллов (начиная именно с этого значения СО помечает письма спам-меткой, рекомендованное разработчиками значение по умолчанию - 9)
DISC - количество писем, набравших большой вес по версии СО (для всех - 40 баллов, для 30 человек - от 15 до 30, рекомендованное разработчиками значение по умолчанию - 50), и поэтому уничтоженных. Во время первого цикла эксперимента я не изменяла значение по умолчанию для discard'a VR (1000 балов), в то время как вес для discard'a СО был уже снижен. Думаю, поэтому данные этого столбца такие внушительные. Во время второй фазы эксперимента discard-порог VR был снижен до 500 балов, но вместе с тем убраны почти все ограничения (DNSBL,connlimit,ratelimit,greet_pause,iptables connlimit). Я ожидала значительного увеличения потока писем с транзитного mx-а, но, как видно, уменьшение discard-порога VR позволило сократить почтовый поток несмотря на отмену многочисленных предпроверок средствами sendmail & iptables. ==>Антиспам-фильтр на транзитном mx-е - это вещь! Но с 02.06 этот порог увеличен до 3500, потому что мне нужно создать трафик, необходимый для пороговой нагрузки СО. Поэтому количество CO-discarded-писем снова возросло, а VR-discard обнулился.
YES - число писем, помеченных спам-меткой CO

SO-ONLY - число писем, не получивших спам-метку VR, но помеченных спам-меткой CO (лог)
(DISC) - число писем из SO-ONLY-писем, получивших к тому же SO-discard-вес. Рекомендуемое значение для discard'a - 50, мое значение по умолчанию - 40, для 30 человек discard-вес составляет от 15 до 30 баллов. Из-за этих 30 человек это значение не столь показательно, как VR-ONLY(DISC).
Я могла бы посчитать количество hits>40 у SO-ONLY-писем, но из-за невозможности привязки напрямую записей СО и sendmail'a, сделать это простым способом невозможно. А скрипт, отлавливающий записи с транзитного mx-a по шаблону "For message from 212.193.134.3 will return" с последующим вычислением номера sendmail-процесса по адресу отправителя, оказался настолько "долгоиграющим" (оказалось, что строки СО & sendmail, имеющие отношение к одному и то му же письму, могут оказаться на расстоянии более 4500 строк(да-да-да, я не опечаталась!)) , что от него пришлось отказаться.
20.06.08. === 10-20-30-40 - кол-во SO-ONLY-писем, набравших от 7 до 10, от 10 до 20, от 20 до 30, от 30 до 40 баллов.===

VR-ONLY - число писем, не получивших спам-метку SO, но помеченных спам-меткой VR (из-за моего тугодумия эти данные доступны только с 16 мая)(лог)
VR-ONLY не может быть больше показателя NO.
(DISC) - число писем из VR-ONLY-писем, получивших к тому же VR-discard-вес (на транзитном mx-е пока discard пока отключен, для того чтобы перенаправлять всю поступившую почту на основной почтовик). Рекомендуемое значение для discard'a - 1000, мое значение по умолчанию - 500, индивидуальные пороги для VR пока невозможны.
20.06.08. === 200-500-999>1000 - кол-во VR-ONLY-писем, набравших от 0 до 200, от 200 до 500, от 500 до 900, от 1000 баллов.===

Логи пропусков спама по всем дням могут быть предоставлены.
* Помечены дни, когда были отменены все ограничения (iptables, /etc/msil/access, sendmail.mc) на почтовый трафик.

01.07.2008. Эксперимент закончен. Результат, как говорится, налицо. То, что CO "сдала" в последние дни эксперимента, связываю с летне-отпускным временем, возможно, базы шинглов СО стали обновляться не столь регулярно. Кстати, именно в эти последние деньки действия лиц. ключа СО стало гораздо больше пропусков спама, а в логе появлялись многочисленные ошибки "ERR_F Could not find rule имя_правила_фильтрации".

MX2	ALL	SKIP	NO	DISC	YES	SO-ONLY	10-20-30-40	VR-ONLY	200-500-999	DATE
						(DISC)		(DISC)	>1000
---	---	---	---	---	---	---	---	---	---	---
	2919	15	29	2129	746	0(0)		16(10)	0-6-5-5	Jun30 04:02-14:00
2708-2686(0)	2694	18	12	2106	558	1(0)	0-0-0-1	10(9)	0-1-8-1	Jun29
2920-2883(0)	2915	18	23	1780	1094	18(3)	0-9-5-1	21(19)	1-1-12-7	Jun28
3989-3875(0)	3985	65	124	2057	1739	49(2)	2-37-5-3	123(109)	0-14-44-65	Jun27
6139-6089(0)	6122	43	42	3834	2203	4(0)	0-3-1-0	39(36)	0-3-19-17	Jun26
6627-6597(0)	6619	24	102	3681	2812	0(0)		97(87)	0-10-37-50	Jun25
6970-6916(0)	6960	43	46	4790	2081	4(0)	2-2-0-0	42(39)	0-3-15-24	Jun24
13393-13312(5)	13374	84	77	6529	6682	0(0)		77(69)	0-8-30-39	Jun23*
5792-5743(0)	5786	53	25	2833	2875	0(0)		24(19)	0-5-6-13	Jun22*
3149-3094(0)	3149	60	29	823	2237	2(0)	2-0-0-0	27(17)	0-10-8-9	Jun21*
8665-8313(5)	8659	76	76	5427	3079	269(145)	2-18-45-59	62(53)	1-8-19-34	Jun20*
12459-11913(5)	12432	67	77	9209	3075	440(118)	28-85-101-108	39(34)	0-5-3-31	Jun19*
7017-6894(0)	7014	25	73	4407	2509	88(14)	7-40-17-10	63(51)	7-5-15-36	Jun18
15217-14975(3)	15178	96	122	11079	3877	150(72)	3-22-24-29	113(93)	0-20-38-55	Jun17*
10683-10024(0)	10681	52	645	6631	3352	45(27)	5-6-2-9	71(62)	2-7-23-39	Jun16*
3281-3238(0)	3278	12	30	2099	1137	27(3)	2-9-6-7	29(26)	0-3-12-14	Jun15
1503-1484(0)	1504	18	40	704	742	0(0)		39(37)	0-2-21-16	Jun14
1745-1686(0)	1740	17	81	691	951	36(5)	1-18-8-4	74(64)	0-10-22-42	Jun13
2475-2409(0)	2478	24	56	1329	1069	37(10)	3-10-8-6	51(28)	0-23-18-10	Jun12
4891-4850(0)	4890	34	89	3057	1710	9(3)	1-0-2-3	86(65)	0-21-35-30	Jun11
6389-6342(0)	6385	46	81	4008	2250	8(3)	0-1-1-3	78(60)	0-18-28-32	Jun10
7653-7470(0)	7615	35	156	4499	2925	124(7)	17-54-28-18	123(72)	1-50-21-51	Jun9
2336-2185(0)	2344	14	78	1331	921	128(17)	8-51-36-16	68(5)	2-61-1-4	Jun8
3470-3296(0)	3459	19	118	1754	1568	151(14)	4-78-36-19	113(59)	1-53-33-25	Jun7
6250-5764(6)	6239	22	162	3757	2295	380(25)	65-166-91-33	74(39)	0-35-28-10	Jun6
11201-10972(3)	10847	35	162	6964	3676	140(28)	26-44-17-25	111(82)	0-29-33-49	Jun5*
14773-14741(3)	14742	58	101	10732	3850	5(0)	3-1-0-1	97(59)	0-38-14-45	Jun4*

---	---	---	--	----	---	----	---	----
MX2	ALL	SKIP	NO	DISC	YES	SO-ONLY	VR-ONLY	DATE
14657-14624(0)	14668	35	128	10626	3879	7	18	Jun3*
14799-14726(5989)	4893	15	57	3385	1436	3	57	Jun2* 17:51-Jun3 04:02
-	989	14	8	542	425	1	4	Jun2 04:02-15:45
7186-7150(6510)	677	16	13	261	387	16	10	Jun1
3519-3502(3134)	385	13	14	86	270	2	14	May31
8273-8232(7475)	787	20	5	340	422	18	2	May30
2577-2555(2127)	409	3	3	224	179	9	3	May29 19:58-May30 04:02
1012-1002(527)	487	12	11	294	170	0	11	May17
3926-3891(2439)	1482	22	20	905	531	3	11	May16
---
MX2	ALL	SKIP	NO	DISC	YES	SO-ONLY	DATE
10926-10894(8100)	2803	22	33	2027	717	2	May15
15292-15254(12596)	2689	22	14	2050	599	7	May14
11776-11468(9368)	2282	14	104	1465	687	113	May13
6549-6332(5133)	1375	26	17	805	526	68	May12
---
MX2	ALL	SKIP	NO	DISC	YES	SO-ONLY	DATE
2773-2593(1577)	1191	12	19	739	421	34	May11
1389-1268(404)	981	11	1	601	368	73	May10
1471-1374(355)	1113	12	35	626	440	49	May9
3729-3695(2371)	1357	16	24	986	331	11	May8
4154-4061(2845)	1308	23	25	627	633	49	May7
4494-4451(3330)	1162	12	15	631	502	27	May6
6382-6341(4883)	1496	24	40	865	563	2	May5
---
MX2	ALL	SKIP	NO	DISC	YES	SO-ONLY	DATE
2935-2911(2148)	784	11	11	362	400	9	May4
3304-3288(2510)	788	11	4	485	287	0	May3
4188-4174(3188)	1004	10	3	728	261	1	May2
3983-3968(2797)	1184	12	1	884	287	2	May1
4005-3983(3098)	903	12	21	361	507	3	Apr30
5231-5193(4220)	996	20	36	354	585	2	Apr29
5696-5583(4117)	1567	14	33	769	748	47	Apr28
---
MX2	ALL	SKIP	NO	DISC	YES	SO-ONLY	DATE
3944-3921(2833)	1110	11	10	744	345	9	Apr27
4298-4281(3375)	921	10	13	362	536	1	Apr26
4059-4019(3156)	898	15	29	227	617	1	Apr25
7773-7736(6401)	1507	23	27	979	477	35	Apr24

11. Каскадное тестирование: Спамооборона->VadeRetro. Апрель - май 2009г.

Вопрос, который я и сама себе в который раз задаю: зачем мне это тестирование нужно. Ведь, если будут деньги, мы купим опять VR, если не будут - начну осваивать SpamAssassin.
Ответ: если вы читали мою страницу про Спамооборону, то наверное уже поняли, что в моей системе координат равнодушие ТП к проблемам пользователей - страшное, ужасное, выбивающее из нормальной колеи зло. Однако мне довелось пообщаться с одним человеком от СО, который не вписывается в общую картину. И поскольку он высказал такое пожелание, мне хочется его исполнить и повторить тестирование. Тем более, что скрипт уже написан, установка для меня знакома, надеюсь, это не займет много времени. А результат мне и самой очень интересен. Мой прогноз: на этот раз VR проиграет.
Это тестирование проводится еще и для очень хорошего человека и большого мастера своего дела - Амира Даутовича Максутова (директор Интернет-центра БашГУ). В сфере IT он настоящий стахановец в первоначальном смысле это тюркского слова ((о/у)ста хан - человек, у которого любое дело спорится, Мастер-золотые руки, умелец и увлеченный своим делом человек). Поскольку он сейчас стоит перед выбором антиспама, то мой опыт ему пригодится.

Конечно жаль, что у меня не хватило времени в апреле, тогда почтовая нагрузка была побольше. А к лету традиционно активность снижается.
22.04.09. Начала установку CO. Застряла. Разбираюсь.
28.04.09. В результате кровопролитных боев Спамооборона все-таки отступила и была запущена в дело. Количество убитых и раненых уточняется.
29.04.2009. Все-таки скрипт пришлось кардинально перписывать. В первый раз была схема MX2->VR->MX1->SO. А теперь наоборот: MX2->SO->MX1->VR. И из-за того, что невозможно без "плясок с бубном" по номеру sendmail-процесса выцепить всю историю данного письма, приходится писать немаленькие такие скрипты для обработки лога.

30.04.2009. Тестирование будет проходить с 28 апреля по 25 мая.
ALL - кол-во писем, пришедших с MX2+CO.
Из них:
SKIP - письма, не подвергавшиеся проверке Спамообороной. Остальная почта была проверена.
N0 - это не спам.
DLVR - письма, которые СО посчитала легальной рассылкой.
YES - это спам.
DISC - в том числе спам, набравший больше 40 баллов.
SO-ONLY(Disc) - кол-во писем, помеченных СО, но не помеченных VR ( кол-во писем, набравшее больше 40 баллов ). Количество ложных срабатываний, наверное, уже не будет определено вовсе, ибо терпение мое на этом закончилось.
VRNO - столько писем из числа ALL VadeRetro не посчитало спамом .
VR-ONLY(DLVR,Disc,FP) - кол-во писем, помеченных VR, но не помеченных CO (из них кол-во писем, имеющее для СО статус DLVR; кол-во писем, набравшее больше 500 баллов по версии VR). Количество ложных срабатываний (FP) было определено вручную только несколько раз, на большее меня не хватило.
VR,SO spam-fails - спам-письма, не помеченные ни одним из фильтров. Определить эти значения вручную у меня терпения не хватило, хотя данные (логи) пока сохраняются.

Позже будет (24.09.2009, а может и не будет) проведен качественный анализ помеченной почты, пропущенной фильтром-соперником, то есть раскладка по спам-весу: ведь если фильтр дал письму почти спам-пороговый вес - это одно, а если письмо набало 0 баллов или даже отрицательное значение (для VR) - то это совсем другое.

14.05.2009. Для того, чтобы собрать почту, помеченную СО и непомеченную VR, вчера настроила с.п. procmail перекладывание писем со спам-меткой Спамообороны в отдельный файл (по предыдущему опыту ложных срабатываний было оч. мало). Сегодня весь день разгребала ложные срабатывания (около 100 штук). Под раздачу попали многочисленные рассылки для Института Химии, Института Биологии, Института Генетики, Института Нефтехимии и Катализа (вывод: химиков и биологов СО не любит, рассылки для остальных институтов не пострадали, к слову VR этим же рассылкам дал от -500 до -1000 баллов), а также не поздоровилось рассылкам от drweb.com, kaspersky.com и от банка ВТБ24. Прокляла все на свете и в первую очередь себя: зачем мне это было нужно ???
21.05.09. А это то, о чем я говорила. После возвращения в конфиг следующих features
FEATURE(`ratecontrol')dnl
FEATURE(`conncontrol')dnl
FEATURE(`greet_pause',`3000')
FEATURE(`dnsbl',`bl.spamcop.net', `Spam blocked see: http://spamcop.net/bl.shtml?$&{client_addr}')
FEATURE(`dnsbl', `cbl.abuseat.org', `"550 Mail from " $&{client_addr} " rejected - see cbl.abuseat.org/lookup.cgi?ip="$&{client_addr}')
FEATURE(`dnsbl', `zen.spamhaus.org', `"550 Mail from " $&{client_addr} " rejected - see zen.spamhaus.org"')
ситуация изменилась.

ALL	SKIP	NO	DLVR	YES	DISC	SO-ONLY(Disc,FP)	VRNO	VR-ONLY(DLVR,Disc,FP)	VR,SO fails	DATE
2144	0	35	26	668	622	20(6)	81	8(0,2)	-	Apr28
10661	3	148	46	10443	8682	84(30)	266	13(0,5)	-	Apr29
2942	0	196	124	2619	2152	71(20)	379	13(2,3)	-	Apr30
3234	0	78	35	3120	2440	41(4)	149	4(0,1)	-	May1
641	0	40	17	584	319	27(4)	81	3(2,2)	-	May2
673	0	38	26	608	365	41(11)	99	6(1,1)	-	May3
7673	0	116	64	7492	6362	75(35)	243	12(1,5)	-	May4
3709	0	229	70	3410	2730	92(22)	372	16(0,6)	-	May5
4097	0	205	80	3807	3068	177(64)	437	24(6,8)	-	May6
6604	0	221	96	6260	4541	127(50)	430	14(2,13)	-	May7
4297	0	179	56	4053	3073	105(40)	333	8(2,2)	-	May8
1259	0	36	24	1198	933	42(21)	101	1(0,1)	-	May9
1252	0	25	24	1202	1001	40(18)	85	4(0,1)	-	May10
4766	0	78	46	4641	3751	50(15)	163	11(0,6)	-	May11
8590	0	270	106	8208	6434	318(158)	679	19(2,5)	-	May12
8836	0	357	145	8329	6488	618(387,50)	1077	44(3,8)	-	May13
10355	3	367	165	9702	7434	618(350,50)	1120	33(4,?)	-	May14
7475	0	438	135	6767	5043	382(181)	941	14(4,?)	-	May15,16
8471	0	107	53	8117	6249	110(47)	262	7(0,?)	-	May17
14951	1	414	160	14153	10394	613(371)	1153	40(13,?)	-	May18
10639	0	443	148	10001	7839	532(314,30)	1083	37(6,10)	-	May19
11991	0	357	105	11481	8103	419(216)	839	46(9,20)	-	May20 before 22:00
dnsbl	+	ratecontrol	+	conncontrol	started	up			-	May20 22:00
1123	0	406	177	532	204	115(12,15)	674	29(3,10)	-	May21
1026	0	378	128	515	248	108(15)	593	24(8,4)	-	May22
447	0	104	49	292	153	53(18)	192	15(6,4)	-	May23
362	0	148	67	145	2	31(0)	201	46(0,39)	-	May24
420	0	244	23	152	4	13(0)	218	62(2,32)	-	May25

Почему VRNO != SKIP+NO+DLVR+SO_ONLY буду разбираться после праздников.

15. Новости.

12.03.2009. Уррра! Белый список IP-адресов, индивидуальные спам-пороги и избирательный discard/reject (в зависимости от IP отправителя), пропуск без проверки писем от smtp-авторизованных пользователй будут в новой пятой версии VadeRetro! И еще многое что другое! Уррра!

16. И все-таки, почему я выбираю VadeRetro?.

16.1. Человеческий фактор.

Когда юзеру приходит много-много спам-писем, ему становится безразлично, помечена она или нет, отложена помеченная почта в спам-ящик или нет. Завидев меня на горизонте, он жалобно ноет: "Чтооо случииилось со спам-фииильтром? СТОЛЬКО СПАААМА!" Я начинаю выяснять, помечена ли спам-почта или нет. Большинство на этот вопрос ответить не могут. Ладно, иду к компу, обнаруживаю спам-паку, забитую помеченными письмами. Спрашиваю, чем недовольны? Спам-фильтр сделал свое дело: обнаружил спам и пометил его. TheBat! сделал свое дело: обнаружил спам-метку в теме и переложил письмо в отдельную папку. Выясняется, что за день человеку приходит, скажем, 5 приличных писем и 50 спам-писем. Поскольку ложные срабатывания никто не отменял, то юзер вынужден просматривать и спам-папку. И какая, говорит он, мне разница, помечена почта или нет, если мне все равно приходится просматривать всю поступившую почту ???
Когда мимо пробегавший супер-мупер-админ (ALTовод, ALTовед, ALT-гуру всех времен и народов), один из первых линуксоидов в Уфе, бросил мне на ходу: "Похоже антиспам перестал ловить мышей - спама много стало", а на мой встречный вопрос:"Спам помеченный или нет?" ответить не смог, мне стало окончательно ясно, что, если спам-писем много, то сам факт мечения спам-писем юзерам безразличен! И качество работы антиспам-фильтра даже для прожженного IT-шника (когда он выступает в роли юзера, а не сисадма) не в том, чтобы не было спам-писем, не помеченных меткой, а в том, чтобы спама было мало вообще! И тогда не важно, помечен он или нет. То есть для них важно, чтобы приличная почта поступала без проблем, вся остальная же была сведена к минимуму.
Итак, у админа и юзера различный подход к оценке эффективности фильтра.
Админ: вся спам-почта должна быть помечена.
Юзер: спама должно быть мало.
Единственное, в чем мы с ними сходимся - это в нежелании ложных срабатываний.
Если спама будет много, то юзеру совершенно безразлично, что я поставила - VadeRetro или Спамооборону. И как качественно метит спам-письма выбранный мной фильтр. Спама много - фильтр плохой, а я так вообще ...
Ну а поскольку все-таки мы работаем для юзеров, приходится идти навстречу их пожеланиям. А значит не обойтись без дополнительных фильтров.

Вы спрОсите, а почему я не использую reject/discard спам-почте при пониженном спам-пороге? Ведь тогда до получателя дойдет гораздо меньше спам-писем?
Ответ: боюсь ложных срабатываний, поэтому не использую discard;
боюсь "лишнего шума", поэтому не использую reject.
А выборочный rejeсt/discard пока ни тот, ни другой фильтр не позволяют, хотя в 5-ой версии VR это будет.

16.2. Неизбежность дополнительных фильтров.

Я много общаюсь по поводу антиспама. И всегда просматриваю соответствующие темы на форумах.
Я еще не видела ни одного человека, который бы похвастался сведением количества спама к самому минимальному минимуму с помощью не важно KAC (см.2-3 стр.) ли, СО ли, VR ли, SpamAssassin ли без привлечения дополнительных фильтров.
То есть, если человек заявляет, что к нему в почтовый ящик в день попадает не более 1-2 помеченных спам-писем, это говорит о том, что перед фильтром у него или собственный фильтр, или dnsbl, или greylist, или SPF или что-то еще.
На период каскадного тестирования я убрала dnsbl-checks из конфига sendmail'a, потому что мне нужно было увеличить почтовый трафик. Кстати, никто из юзеров не пострадал. Они этого даже не заметили (об этом позже).
Если я верну dnsbl-checks на место, то кол-во пропусков спама VR резко уменьшится (может, я это и продемонстрирую в последнюю неделю тестирования). А значит, разница в качестве фильтрации VR & SO будет не столь значительной. Помимо этого такой подход (дополнит. фильтр + спам-фильтр) позволяет экономить ресурсы системы, ведь часть спама не будет доходить до антиспама.

Существенный минус dnsbl - ложные срабатывания. Но я над этим работаю. Наработочки пока такие, такие, такие и такие. Плюс еще куча идей в голове.

16.3. Раздвоение академической почты на 2 почтовых домена: anrb.ru & ufaras.ru.

Поскольку УНЦ РАН пожелал иметь собственный домен, отражающий его принадлежность к РАН, хотя в названии домена anrb.ru, imho, не было ничего зазорного (Academic Network of RB), то в ближайшие лет 5 использование СО становится просто нереальным. Ведь мы не будем покупать лицензию на 800 адресов, вместо привычных 400. А домены anrb.ru & ufaras.ru будут работать симметрично сколь угодно долго. Именно поэтому это раздвоение, а не разделение.
Корни этой проблемы СО здесь. И хотя решение на sendmail-конфе найдено, я не буду его применять сейчас, потому что все-таки двойная отправка одного и того же сообщения в рамках одного почтовика - это конкретный изврат, которого нельзя избежать, если выхода нет, и который нужно обязательно избежать, если выход есть. А он у меня есть - VR.

16.4. Цена.

Ну тут все ясно. VR дешевле.

16.5. У VR значительно меньше ложных срабатываний.

То, что я могу занести в актив VR после второго тестирования: он гораздо тоньше работает с научными рассылками в частности, да и вообще с рассылками в целом. Мне совсем не улыбается в массовом порядке рассылать отложенные procmail (а именно так сейчас работает моя почтовая система, чтобы не допускать попадание помеченной немаленьким весом почты в ящики юзеров) помеченные письма повторно.
То есть между большим количеством помеченной почты и меньшим количеством ложных срабатываний я выбираю второе. Для меня это важнее.

16.6. Личное.

Конечно, в реальности это не имеет никакого значения для выбора, потому что нужно брать то, что оптимально по соотношению цена и качество, а не тот продукт, у которого самая замечательная команда. Но тем не менее повторюсь еще и еще раз, пользоваться VR очень комфортно. Для меня.

16.6.


II. Сезон 2010.

15.03.2010. Дано: P4/XEON, 2CPU 3GHz, 2Gb ОЗУ, 2Gb swap; Sisyphys ServerSpecialEdition; sendmail 8.14.4, пакет drweb-mail-servers-av-as_5.0.1.3-1002031750_linux, из коего я использую:
drwebd (drweb-демон, общий и для антивируса, и для антиспама) +
maild-sendmail (модуль, соединяющий демон, sendmail и фильтры) +
plugin-drweb (антивирус-фильтр) +
plugin-vaderetro (антиспам-фильтр)

1. 5-ая версия DrWeb. Нововведения.
1.1 Комплексное логирование.

В новой версии есть возможность писать логи как в syslog
drweb32.ini: [Daemon]
drweb32.ini: LogFileName = syslog
drweb32.ini: SyslogFacility = Daemon

drweb32.ini: [Scaner]
drweb32.ini: LogFileName = syslog
drweb32.ini: SyslogFacility = User

drweb32.ini: [Updater]
drweb32.ini: LogFileName = syslog
drweb32.ini: SyslogFacility = Daemon

monitor.conf: FileName = syslog
monitor.conf: SyslogFacility = Daemon

agent.conf: FileName = syslog
agent.conf: SyslogFacility = Daemon

, так и напрямую в файлы.
drweb32.ini: LogFileName = /var/log/drweb_daemon.log
drweb32.ini: LogFileName = /var/log/drweb_scanner.log
drweb32.ini: LogFileName = /var/log/drweb_updater.log
monitor.conf: FileName = /var/log/drweb_monitor.log
agent.conf: FileName = /var/log/drweb_agent.log

При выводе логов напрямую в файл возникли трудности c agent'ом и updater'ом, поэтому до их разрешения был найден такой выход:
drweb32.ini:SyslogFacility = Local5
agent.conf:SyslogFacility = Local4

syslog.conf:
local4.*                                             -/var/log/drwebag.log
local5.*                                             -/var/log/drwebupd.log

*.info;mail,local4,local5,auth,authpriv,daemon,cron.none                                    -/var/log/allinfo
*.*;local4,local5,news,mail,auth,authpriv,cron.none;daemon.!=info;daemon.!=alert;daemon.!=err         -/var/log/messages

1.2 Номер sendmail-процесса теперь указывается в записях drweb в maillog'е.

У меня больше не болит голова при составлении отчетов пользователям, так как больше нет нужды писать пространные скрипты для "вылавливания" drweb-записей, относящихся к данному sendmail-процессу.
egrep $sendmail_pid /var/log/maillog при define(`confMILTER_LOG_LEVEL',`8') даст полную информацию по данному процессу:
Mar 15 19:46:40 mail sendmail[8472]: o2FEkZHW008472: from=<apache@ns3.srjmarketing.com>, size=775, class=0, nrcpts=1, msgid=<20100315144046.1131A1625613@ns3.srjmarketing.com>, proto=ESMTP, daemon=MTA, relay=ns3.srjmarketing.com [64.25.11.38]
Mar 15 19:46:40 mail drweb-milter.real: [3007679344] milter INFO 00011461/o2FEkZHW008472 success save mail to /var/drweb/msgs/in/1/00011461/
Mar 15 19:46:40 mail drweb-maild.real: [1946102640] maild INFO 00011461/o2FEkZHW008472 Attach msg to plugin vaderetro...
Mar 15 19:46:40 mail drweb-maild.real: [1946102640] vaderetro INFO 00011461/o2FEkZHW008472 SpamState = 1; SpamScore = 420; Version=Vade Retro 01.290.66 AV+AS Profile: <none>; Bailout: N/A; apply: [discard];
Mar 15 19:46:40 mail drweb-maild.real: [1946102640] maild INFO 00011461/o2FEkZHW008472 plugin vaderetro block msg; time=19 ms
Mar 15 19:46:40 mail drweb-milter.real: [3007679344] milter INFO 00011461/o2FEkZHW008472 drweb-maild return discard action
Mar 15 19:46:40 mail drweb-milter.real: [3007679344] milter INFO 00011461/o2FEkZHW008472 processing message [from: <apache@ns3.srjmarketing.com>; to:<terrapin@anrb.ru>] is over
Mar 15 19:46:40 mail sendmail[8472]: o2FEkZHW008472: Milter: data, discard
Mar 15 19:46:40 mail sendmail[8472]: o2FEkZHW008472: discarded

1.3 Получатель письма при discard'e указывается в записях drweb.

Раньше в логе получатель при discard'e письма отсутствовал:
Feb 20 04:10:58 mail sendmail[21778]: o1JNAsXQ021778: from=<paul_simpon@rediffmail.com>, size=3038, class=0, nrcpts=1, msgid=<20100219192540.97C2D3EA800@mail.sasatechnologies.com>, proto=ESMTP, daemon=MTA, relay=sasatechnologies.com [207.158.2.250]
Feb 20 04:10:58 mail drweb-milter: [117833744] milter INFO [o1JNAsXQ021778]: success save mail to /var/drweb/msgs/in/0/003619E0/
Feb 20 04:10:58 mail drweb-maild: [213005] maild INFO start processing msg 003619E0 ...
Feb 20 04:10:58 mail drweb-maild: [213005] maild INFO Attach msg 003619E0 to plugin vaderetro...
Feb 20 04:10:58 mail drweb-maild: [213005] vaderetro INFO SpamState = 1; SpamScore = 400; Version=Vade Retro 01.290.37 AV+AS Profile: <none>; Bailout: N/A; apply: [discard]; time=47 ms
Feb 20 04:10:58 mail drweb-maild: [213005] maild INFO plugin vaderetro block msg 003619E0
Feb 20 04:10:58 mail drweb-milter: [117833744] milter INFO drweb-maild return discard action for msg 003619E0
Feb 20 04:10:58 mail drweb-milter: [117833744] milter INFO [o1JNAsXQ021778]: processing message from <paul_simpon@rediffmail.com> is over
Feb 20 04:10:58 mail sendmail[21778]: o1JNAsXQ021778: Milter: data, discard
Feb 20 04:10:58 mail sendmail[21778]: o1JNAsXQ021778: discarded

И это вынуждало записывать получателя в лог самостоятельно с помощью правила
# For terrapin's user reports:
Rterrapin<@$=w.>                   $: $(syslog syslog:report: terrapin@$1 $) terrapin<@$1.>
что засоряло лог и увеличивало его объем.
Как видно из предыд. примера, теперь такой проблемы нет.

2. Дневник проблем.

2.1 Логирование в /var/log.
15.10.2010.
Не сразу удалось логировать логи агента и апдейтера в директорию /var/log. И если updater просто не пишет лог, то agent вообще не запускается, что влечет за собой невозможность работы drweb-milter:
mail sendmail[13621]: o2BEbf1e013621: Milter (drweb-filter): local socket name /var/drweb/ipc/drweb-milter.sock unsafe
Хроника боевых действий здесь. Объяснение от DrWeb :
updater и агент не могли вести лог в /var/log так как при попытке создания файла с логомони работали не от пользователя root (в данном случае от drweb). То же самое касается и остальных компонент запускаемых из под монитора (если для них в mmc не прописано работать от root).

III. Сезон 2011-2016.

20.09.2011. Дано: P4/XEON, 2CPU 3GHz, 2Gb ОЗУ, 2Gb swap; Sisyphys ServerSpecialEdition; sendmail 8.14.4, пакет drweb-mail-servers-av-as_6.0.1.2-1106031150_linux, из коего я использую:
drwebd (drweb-демон, общий и для антивируса, и для антиспама) +
maild-sendmail (модуль, соединяющий демон, sendmail и фильтры) +
plugin-drweb (антивирус-фильтр) +
plugin-vaderetro (антиспам-фильтр)

Я недовольна VadeRеtro.
24.02.2012. В мире нет ничего постоянного?
В этом сезоне я недовольна VadeRеtro. Бывают дни, когда я очень недовольна VadeRetro.
Приступила к многоуровневой обработке статистики. Возможно, когда я увижу, какой большой объем спама отсеивается, пропуски спама перестанут меня так сильно раздражать. НО пока ... Пока я недовольна VadeRеtro. В планах поставить вторым фильтром Спамооборону-1024 и оценить работу СО со спамом, пропущенным VR.

Документация.
20.09.2011. Dr.Web для почтовых серверов UNIX. Руководство администратора. Настройка и запуск. Конфигурационный файл.Секция Rules. Графическое представление синтаксиса.
Отчаявшись разобраться в премудростях конфига , составила такую таблицу. Стало немного легче.

20.09.2012. drweb32.key нужно скопировать из agent.key.




IV. Обсуждения антиспам-систем.

Независимое тестирование различных АнтиСпам решений (коммерческие и свободные продукты)

[1]

[2]

[3]

V. Важное, очень полезное.

1 ноября 2012 года. Обновление продуктов Dr.Web для аварийного восстановления системы

Диск аварийного восстановления системы

VI. ...

---

Обратная связь
Страница создана 18 апреля 2008г. Выложена 12 мая 2008г. Последнее обновление: 8 ноября 2012г.
sciurus@mail.ru (тема Sendmail обязательна, иначе я не получу быстрого извещения о письме)
Или постмастеру этого домена.