Проверка тестового вирусного образца
Проверка тестового вирусного образца
Последней проверкой будет имитация заражения сообщения вирусом. Вы можете сделать это, получив тестовый образец вируса EICAR (http:// www.eicar.org) и отправив его Postfix. Любые средства поиска вирусов, в которых этот образец специально не отключен, должны его распознавать. Например, следующая команда отправит вирус по адресу re-cipient@example.com:
# sendmail -f sender@example.com recipient@example.com < eicar.com
Журнальные сообщения выглядят как и раньше до тех пор, пока ama-visd-new не начинает проверять сообщение:
Feb 6 15:48:54 mail postfix/pickup[30051]: 13B9E29AB29: uid=0 from=<sender@example.com>
Feb 6 15:48:54 mail postfix/cleanup[30741]: 13B9E29AB29: message-id=<20040206144854.13B9E29AB29@mail.example.com>
Feb 6 15:48:54 mail postfix/qmgr[19295]: 13B9E29AB29: from=<sender@example.com>, size=347, nrcpt=1 (queue active)
Feb 6 15:48:54 mail postfix/smtp[30744]: 13B9E29AB29:
to=<recipient@example.com>, relay=localhost[127.0.0.1], delay=0, status=sent (250 2.5.0 Ok, id=10217-07, BOUNCE)
Feb 6 15:48:54 mail amavis[10217]: (10217-07) INFECTED
(Eicar-Test-Signature), <sender@example.com> -> <recipient@example.com>,
quarantine virus-20040206-154854-10217-07, Message-ID: <20040206144854.13B9E29AB29@mail.example.com>, Hits: -
Увидев, что сообщение содержит вирус, amavisd-new предупреждает virusalert@example.com и возвращает сообщение обратно отправителю:
Feb 6 15:48:54 mail postfix/smtpd[30747]: connect from localhost[127.0.0.1] Feb 6 15:48:54 mail postfix/smtpd[30747]: 639A729AB2A:
client=localhost[127.0.0.1] Feb 6 15:48:54 mail postfix/cleanup[30741]: 639A729AB2A:
message-id=<VA10217-07@mail> Feb 6 15:48:54 mail postfix/qmgr[19295]: 639A729AB2A: from=<>, size=1463,
nrcpt=1 (queue active)
Feb 6 15:48:54 mail postfix/local[30749]: 639A729AB2A:
to=<virusalert@example.com>, relay=local, delay=0, status=sent
(forwarded as 8484829AB2C)
Feb 6 15:48:54 mail postfix/smtpd[30747]: disconnect from localhost[127.0.0.1]
Feb 6 15:48:54 mail postfix/smtpd[30747]: connect from localhost[127.0.0.1] Feb 6 15:48:54 mail postfix/smtpd[30747]: 7A2FD29AB2B:
client=localhost[127.0.0.1] Feb 6 15:48:54 mail postfix/cleanup[30741]: 7A2FD29AB2B:
message-id=<VS10217-07@mail> Feb 6 15:48:54 mail postfix/qmgr[19295]: 7A2FD29AB2B: from=<>,
size=2554, nrcpt=1 (queue active)
Feb 6 15:48:55 mail postfix/smtp[30744]: 7A2FD29AB2B:
to=<sender@example.com>, relay=relayhost[10.0.0.1], delay=1,
status=sent (250 OK id=1Ap7Ho-00014I-00)
Возврат сообщения отправителю – не очень хорошая мысль, т. к. при рассылке вирусов адрес отправителя практически всегда сфальсифицирован, но, к сожалению, именно так amavisd-new ведет себя по умолчанию.
