作者 主題: 郵件過濾軟體之決擇  (閱讀 18936 次)

0 會員 與 1 訪客 正在閱讀本文。

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 於: 2004-04-07 14:49 »
學長們,請教一個問題,小弟目前是使用procmail 來過濾最近很猖獗的
郵件病毒,過濾率九成多目前小弟是覺得很滿意,但是難免還是有漏網之
毒,在學區討論版中找尋過相關的文章來評估是否該換一個方式來做,例
如mailscanner 配sophos 或其它的掃毒軟體,小弟一直有一個疑問為:
用了 mailscanner 配防毒軟體,對系統的loading 會不會很重,郵件在
收發時會對傳輸速度有「很重拖」嗎?因為目前用procmail 是只做過濾
別人「寄過來公司」的mail,並沒有做「寄出」過濾動作,想另找一個好
一點的solution來做,目前小弟對procmail 系統loading 覺得滿意(因為
我會定期修改,以最少的規則來達到全部的過濾動作),不過procmail
比較屬於被動型的,要有收到「新病毒信件」才能加進去,所以想請教學
長們看看!文章有點長是因為要「問題清楚」!謝謝了^_^

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
郵件過濾軟體之決擇
« 回覆 #1 於: 2004-04-07 20:14 »
如果你覺得procmail算快的話,那大概沒有什麼mail filter solution算慢了

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #2 於: 2004-04-08 08:16 »
:o
是喔!那就是說還有效能、效用,更好喔!~因為我目前是在mail server
裡感覺不出經過這 procmail 後效能有down 多少,是只有一點點啦!不
過可以接受就是了!

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
郵件過濾軟體之決擇
« 回覆 #3 於: 2004-04-08 09:04 »
等你的 email 進出量一天用千或萬為單位來看時, 你就會知道 procmail 的效能影響有多大了.

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #4 於: 2004-04-08 09:15 »
:o
我公司這裡一天mail 的數量平均大約二百左右,所以好像不覺得吔!那如果真像學長您講的那樣的話,server 不就塞爆了!?以那種量的話 server 等級也「不小」喔!?我公司這裡是用 PII-350+300MB RAM
二片網卡!網卡還用那種低等級的卡!被學長們這麼一說覺得心心毛毛的
,不過目前為止是還沒有掛點過就是了!

如果以一千或萬的量的話,要使用那個過濾機制會比較好啊?

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
郵件過濾軟體之決擇
« 回覆 #5 於: 2004-04-08 09:27 »
就我的case, 我當初是procmailrc + spamassassin, 就spam而言原先設定是每一封信都檢查, 而procmail則是列了約40個左右的規則. 之後, 請人對全公司約70人的帳號發出一封約200K大小的信件( 印象中, 記憶有點模糊), 結果造成這台Email主機的CPU idle = 0的時間長達四分五十秒之久!

之後, 乖乖選擇逃避, 讓spamassass只過濾大小低於100K以下的, 以上就放過他不過濾(開玩笑, 一封信件就可以造成這麼久的忙碌, 萬一老闆發個公司賀卡, 卻讓電子郵件主機陣亡, 業務收不到信, MIS不被罵到爆也很難......)

在現在Email病毒日益猖獗的情況下, 這種防禦機制更需要加強, 需要你我找到一些適合的方案來實施~~
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #6 於: 2004-04-08 09:35 »
學長~學長~您使用的方式我本來也有用過,可是spamassassin再加上
去後,我就會覺得loading 太重了,之後又將spamassassin 停用,就
只用procmail 與sendmail 本身的access 等二個來過濾?我覺得,
spamassassin 系統loading 吃的好重~!我的server 都快crash down
了!我是對 Trend 的產品覺得不錯,不過在 linux base 上相容性好像不
怎麼好!?很會「挑kernel 版本」問題是又不行不升級kernel!!,而
且許多用過的朋友都覺得,效能不好!
題外話:之前trend 出的gatelock 產品,被我朋友罵的要死!說效能很
差!,我是沒有用過不知道啦,不過我就覺得在其它地方trend 做的很棒
啊!像For MS Server 方面的,我就很喜歡!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
郵件過濾軟體之決擇
« 回覆 #7 於: 2004-04-08 09:53 »
引述: "jarrycho"
學長~學長~您使用的方式我本來也有用過,可是spamassassin再加上
去後,我就會覺得loading 太重了,之後又將spamassassin 停用,就
只用procmail 與sendmail 本身的access 等二個來過濾?我覺得,
spamassassin 系統loading 吃的好重~!我的server 都快crash down
了!

所以, 我選擇一個妥協路線, 超過100K的信件, 我認為不會有發廣告信這麼勇敢, 所以我就跳過100K以上的, 只過濾100K以下的信件......

引述: "jarrycho"
我是對 Trend 的產品覺得不錯,不過在 linux base 上相容性好像不
怎麼好!?很會「挑kernel 版本」問題是又不行不升級kernel!!,而
且許多用過的朋友都覺得,效能不好!
題外話:之前trend 出的gatelock 產品,被我朋友罵的要死!說效能很
差!,我是沒有用過不知道啦,不過我就覺得在其它地方trend 做的很棒
啊!像For MS Server 方面的,我就很喜歡!

For MS的? 評價也不怎麼好唷~~ 在效能與系統之間無法取得平衡, 現在把過濾的部份拉出來另外賣錢, 而且被察覺會把訊息拉回趨勢... 就安全性考量而言, 我就不會選擇趨勢, 誰知道他會不會自動複製一份留在他主機裡面?

我不看好趨勢的產品(就"線上掃毒"部份, "台灣收錢, 外國免費使用"這點我就對他沒有好感, 公司政策就是吃定台灣的廣大使用者), 看來看去就只讓我覺得他是廣告商而已, 實際技術幾乎沒甚麼長進....
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #8 於: 2004-04-08 10:05 »
:o
是喔!哇鳴~那這樣的話就沒有一套可用的啦!symantec的我是覺得很
會當機!而且很會跟一些軟體相衝!這....!唉~有時候還真難決定

至您您說的小於100k,這在procmail 裡也可以設喔?!記得在版上有看
過,那就是說小於100k才過濾,大於的話就放行囉?!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
郵件過濾軟體之決擇
« 回覆 #9 於: 2004-04-08 10:11 »
引述: "jarrycho"
:o
是喔!哇鳴~那這樣的話就沒有一套可用的啦!symantec的我是覺得很
會當機!而且很會跟一些軟體相衝!這....!唉~有時候還真難決定

至您您說的小於100k,這在procmail 裡也可以設喔?!記得在版上有看
過,那就是說小於100k才過濾,大於的話就放行囉?!


你搜尋一下, 用procmailrc, 或者去精華區裡面翻一下, 用spamassassin找, 很快就可以找到了.........
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
郵件過濾軟體之決擇
« 回覆 #10 於: 2004-04-08 10:19 »
我寧可用clamav搭配MailScanner也不要用什麼procmail這種東西,手動自己maintain病毒信,廣告信要maintain到哪一年阿?別鬧了
如果你願意花錢的話,買病毒碼的錢也不多,不想花錢的話clamav也還不會說有什麼大問題

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #11 於: 2004-04-08 10:28 »
那 clamav 在過濾上,對於最近「流行」的病毒信件都可以完全過濾到嗎?病毒碼可以更新囉!?請教,您在使用上覺得效能會不會很差啊?另
外,mailscanner 會不會有「失誤率偏高」的問題?因為之前在版上了看
了一些文章,mailscanner 會有失誤的時候,我還有看到一篇說無法擋下
bagle.Q 病毒~哇!會不會太恐怖了!

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
郵件過濾軟體之決擇
« 回覆 #12 於: 2004-04-08 10:42 »
會嗎?我公司用了快一個月了,目前為止,我沒收到過什麼病毒信,雖然我公司用的是sophos的病毒碼,不是clamav
會不會誤判,跟你用的病毒碼有很大的關係,跟你有沒有更新病毒碼也有很大的關係,基本上如果你用MailScanner內建的病毒碼,也沒有一直更新MailScanner的版本,那收到病毒信是你自己的問題,不是MailScanner的問題

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #13 於: 2004-04-08 10:44 »
記得沒錯的話,Mailscanner失誤的問題在新版的已經解決了!那是舊版才會有的問題!至於能不能擋下bagle.Q...耶!小弟還沒裝過!
damon學長推薦的東西不會錯啦!呵呵!先奉承一下! :D

TrendMicro的東東小弟也覺得不怎麼樣啦!
雖然小弟自己家中也是用他們的東東…不過…小弟對TrendMicro的Mail程式處理方面印象實在是很差…POP3常常自己無故掛點,然後就OOXX…
反正已經改換「雷鳥牌」郵件軟體了,繼續手動更新Pc-cillin就好了,不想浪費錢在TrendMicro上(已經到期)
另外…IMSS的效能真的不怎麼樣…如果你直接把它當成MTA,而不forward到其它像是Sendmail、Postfix之類的MTA發信的話,你可能會哭死!=>這是TrendMicro認證講師自己講的喔!不是小弟亂說的!
至於Gateway端的產品嘛…不太了解!^^"

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
郵件過濾軟體之決擇
« 回覆 #14 於: 2004-04-08 10:48 »
忘了 procmail 吧. 如果你的 email 的量有那麼大, 而且常常寄給一群人的話...
建議用 amavisd-new 或 mailscanner 之類的東西來做 filter 吧.

至少 amavisd-new 我確定是信件進來之後, 先轉到 amavisd-new, 然後做病毒, spam 等等的檢查, 然後才轉回 MTA 去再分送. 如果一封信給 100 人, 就少做了 99 次.

我們公司的 email server 用 p4 1.8 1g ram. 每天進出的 email 約 3 到 5 萬. 員工約 800 人, 常常一群人一群人的寄信. 目前看起來 loading 還好. (剛開始用 procmail + spamd 的確 loading 很重, 後來改用 amavisd-new 就好很多了)

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #15 於: 2004-04-08 13:56 »
剛才在那裡安裝mailscanner ,裝了好幾個小時了還是裝不起來,套件缺東缺西的,解 tar 後的那些 rpm 怎麼會裝不進去!
補到後來還是沒裝成!出現這種訊息:

Good. You have the patch command.
Good, you have /usr/src/redhat in place.
Good, unpackaged files will not break the build process.
Good, you appear to only have 1 copy of Perl installed.

I think you are running on RedHat Linux or SuSE Linux.
you must have the following RPM packages installed before
you try and do anything else:
      binutils blibc-devel gcc make
You are missing at least 1 of these.
Please install them all
(XXXXXXX)
Then come back and run this install.sh script again.

努力了很久,補了一大堆沒有安裝的modules 後,出現上述訊息,因為
試不出所以然了,所以有勞學長們看看,目前clamav 已安裝成功,有
試了一下,喔~不錯喔! :wink: 果然是好東東!

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #16 於: 2004-04-08 16:19 »
學長們!小弟因為先前download 的mailscanner 因為裝不了,進而再上
網去search 另一個mailscanner RPM,最後也是在官方網站下載了一個
mailscanner 不過是old version 的,小弟用RPM with --nodeps 給安
裝進去!哎唷!~可以了!終於~....!但是....別高興太早,因為在 etc
下 Mailscanner 裡竟然沒有相關的Config 檔!怎麼會這樣!?小弟試了
一下從外頭send mail 進來,mailscanner 也可以正常的做過濾動作,不
過使用後才發現mailscanner 是去 call Sophos 來做mail filter!,想說
ok~沒有config 檔沒關係我打動先加上去,先在 Virus Scanner 定義為
使用Clamav ,不過!mailscanner 還是情有獨中鐘的call Sophos !
/etc/Mailscanner/Mailscanner.conf 竟然不會去判讀!怪怪?這個
RPM 是官方已經綁好的喔!「官方網下載的喔!在old version 的地方」
難不成一定要我做Sophos ,不過也不對啊!/etc/Mailscanner/ 裡沒
有半個config 檔!怎麼維護啊!?還不會去判讀!這才「燒」!不知學
長們有沒有遇到這問題!
順道一問!Clamav 的Virus Code 在那個路徑下呢?謝謝學長!問題打
的很長~是希望能讓學長們了解小弟所問的情況,如有太長請鞭策小弟一
下,我會改進的! :D ~小弟不怕被學長們鞭策,只怕學長們不理我!
謝謝謝謝謝謝~ :oops:

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
郵件過濾軟體之決擇
« 回覆 #17 於: 2004-04-08 17:12 »
rpm -ivh mailscannerxxx.rpm
缺什麼相依性就補什麼,你找一下,我有提過在rh9上怎麼裝
這些裝好之後/etc/init.d/MailScanner start時還會有缺的,繼續補

SaPow

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 509
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #18 於: 2004-04-08 19:05 »
引述: "jarrycho"
學長們!小弟因為先前download 的mailscanner 因為裝不了,進而再上
網去search 另一個mailscanner RPM,最後也是在官方網站下載了一個
mailscanner 不過是old version 的,小弟用RPM with --nodeps 給安
裝進去!哎唷!~可以了!終於~....!但是....別高興太早,因為在 etc
下 Mailscanner 裡竟然沒有相關的Config 檔!怎麼會這樣!?小弟試了
一下從外頭send mail 進來,mailscanner 也可以正常的做過濾動作,不
過使用後才發現mailscanner 是去 call Sophos 來做mail filter!,想說
ok~沒有config 檔沒關係我打動先加上去,先在 Virus Scanner 定義為
使用Clamav ,不過!mailscanner 還是情有獨中鐘的call Sophos !
/etc/Mailscanner/Mailscanner.conf 竟然不會去判讀!怪怪?這個
RPM 是官方已經綁好的喔!「官方網下載的喔!在old version 的地方」
難不成一定要我做Sophos ,不過也不對啊!/etc/Mailscanner/ 裡沒
有半個config 檔!怎麼維護啊!?還不會去判讀!這才「燒」!不知學
長們有沒有遇到這問題!
順道一問!Clamav 的Virus Code 在那個路徑下呢?謝謝學長!問題打
的很長~是希望能讓學長們了解小弟所問的情況,如有太長請鞭策小弟一
下,我會改進的! :D ~小弟不怕被學長們鞭策,只怕學長們不理我!
謝謝謝謝謝謝~ :oops:


1. clamav 掃的到 bagle.Q
2. 病毒定義檔在 /usr/local/clamav/share/clamav 看你裝在哪邊

免錢的clamav已經算很好用,也仁至義盡了~不要再嫌了 :x

我用clamav掃一堆東西,目前覺得不錯用,等哪一天他不行了,再找別的方案吧

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #19 於: 2004-04-09 07:56 »
學長~我就是有用了 rpm -i --nodeps mailscanner*.rpm ,且安裝完成
不過就是/etc/mailscanner/ 裡並沒有 mailscanner.conf 這個Config檔
與其它檔,難道路徑不同了,而且這好像是已經綁好的,Default  是call
Sophos 做Mail anti-virus 軟體,我想改但是就是不會套用咧~

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
Clamav 設定請教
« 回覆 #20 於: 2004-04-09 08:00 »
在 clamav 裡頭有一條設定是, TCP Address ,這個其用意為何呢?
執行完update 後會自動去call clamd 來常駐掃毒,但是好像會連同這
設定值一起 run

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
郵件過濾軟體之決擇
« 回覆 #21 於: 2004-04-09 08:19 »
http://phorum.study-area.org/viewtopic.php?t=22119
http://phorum.study-area.org/viewtopic.php?t=22139
你看到哪一篇文章有教你用--nodeps來安裝?
自己不照正規的方式來安裝,不能用怪誰...
這兩篇的關鍵字自己到google找dag apt用人家包好的apt來安裝perl module

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #22 於: 2004-04-09 08:50 »
大人啊~真是冤枉啊~我先是學園裡看了文章才去安裝的,安裝到mailscanner 時就是出現問題,我也是一步步的照各位學長的範例來安裝
,該補的module 也補了、該加裝的也做了,就是依然無法安裝,最後我
只有看官方的安裝指示,官方裡頭有說明到如果會有問題可以嘗試加
nodeps 參數來做,我才試試看,結果真的可以裝進去,不過就是所有
config 檔都沒有在 /etc/mailscanner 裡,我於剛才又試裝了一次,這
次裝完後「再次、努力的找找 config 的路徑」,結果是放在 /usr/local/Mailscanner/etc  裡~!喔!原來在這兒~!不過剛才試
了一下,裝完後無法send mail ,設定啦、queue 目錄、domain,都有
改了不過還是無法寄!我會也去找找文章,不明瞭的話再回請教! :)
還是謝謝學長們的指導

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #23 於: 2004-04-09 10:27 »
切~終於找出問題了,套件補了一堆結果是少了gcc module ,裝了之後就可以 install,等裝完再來試試會不會有傳mail 的問題!學長們再次麻煩了喔!

SaPow

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 509
    • 檢視個人資料
Re: Clamav 設定請教
« 回覆 #24 於: 2004-04-09 10:32 »
引述: "jarrycho"
在 clamav 裡頭有一條設定是, TCP Address ,這個其用意為何呢?
執行完update 後會自動去call clamd 來常駐掃毒,但是好像會連同這
設定值一起 run


啟動方式,看你要make sock還是listen port

jarrycho

  • 鑽研的研究生
  • *****
  • 文章數: 518
  • 性別: 男
    • 檢視個人資料
郵件過濾軟體之決擇
« 回覆 #25 於: 2004-04-09 11:35 »
:o 什麼意思呢?以port 來監或ip address 喔!


另外 MailScanner 的問題:
安裝時 perl-Archive-Zip 這個套件無法rebuild,會有訊息找不到
pod2man !這是什麼程式嗎?
我是已經上網去下載這個module 來補了!

----MailScanner with Clam av ----測試中.....

foxa0223

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
    • 小狐狸部落
過來人
« 回覆 #26 於: 2007-01-31 22:24 »
引述: "twu2"
忘了 procmail 吧. 如果你的 email 的量有那麼大, 而且常常寄給一群人的話...
建議用 amavisd-new 或 mailscanner 之類的東西來做 filter 吧.

至少 amavisd-new 我確定是信件進來之後, 先轉到 amavisd-new, 然後做病毒, spam 等等的檢查, 然後才轉回 MTA 去再分送. 如果一封信給 100 人, 就少做了 99 次.

我們公司的 email server 用 p4 1.8 1g ram. 每天進出的 email 約 3 到 5 萬. 員工約 800 人, 常常一群人一群人的寄信. 目前看起來 loading 還好. (剛開始用 procmail + spamd 的確 loading 很重, 後來改用 amavisd-new 就好很多了)

我們公司的MAIL也是Postfix +spamassassin + procmail
本來是超過10 分砍
5-10分轉寄到spam 的信箱
大概3-5天spam 的信箱over 1G
cpu 使用率很高p3-1G+512RAM
後來改成8分
直接丟掉不轉寄
才解決CPU快爆的窘境
真的很吃資源spamd
Learning without thought is labor lost; thought without learning is perilous....Confucius
學而不思則罔,思而不學則殆。 《論語·為政》
“ 罔”,迷惘。鄭玄注:罔,猶罔罔無知貌。
“ 殆”有兩義:一為危殆,疑不能定。一為疲殆,精神疲怠無所得。
《中庸》言博學慎思,都認為學思不可偏廢。