MAILD 和 nav for gateway........

[dod00001]

dear sir

經過我反覆的測試,及台灣塞門鐵克的證實...
nav for gateway 是沒防毒的多大用途的

實例如下
我們照maild的說明檔來架設防毒,如同nav的名字是讓進來的mial去經過一個
gateway,架好之後為了證實"這個gateway"能夠有效的防止virous
我請公司的高層把virous送到我的測試環境來
發現到在gateway的report中,對於TOTAL VIRUSES,Messages Dropped
這二項的數據有問題,於是我再加上client的防毒來測.....nav for gateway = 沒用
於是我打電話給了台灣塞門鐵克,對方的回答如下
nav for gateway是針對ccmail 和 notes 這二項產品發出來的
(lotus 在幾年前被lbm買下來了,ibm在今年也宣布了將不再支援ccmail 和notes)
所以他的測毒方式是採用"偵測封包頭尾"的方式,但是現在的virous大多數都是
在附加檔案之內,所以gateway是測不出來的....

天啊....我是為了maild才去買gateway的,現在卻得到這個答案
我一定要先承認我本身對gateway的了解不夠,所以才有個問題,但請問一下版大

1.nav for gateway有其它的設定方式嗎 ?塞門鐵克說沒有,不過還是請問你一下

2.是否能讓maild支援其的防毒軟體(不要再是塞門鐵克的...>"<)
我現在用在client上的是avg free edition(www.grisoft.com)
SERVER端用的是avg server (這個要錢) ,avg可以永遠免更新,且更新的也比
nav快.

謝謝

一個要讓公司狂k的mis

[crojore]

我很好奇! 可否麻煩你寄封有病毒的mail 給我, 因為用確實有用, 也確實找的到病毒, 我不敢說完全找到(因為沒有防毒軟體可完全找到), 因為我也是剛架設的, 這幾天都有測到, 所以可否麻煩你寄一封給我試試, 我的mail:test@createclub.com

[dod00001]

ok~我寄了二封給你
如果有用的話
可以請你教我怎麼設嗎,謝謝

[r3ock]

是哦~~

那麼請站大出來說明一下吧...

偶也想知道可不可以防毒說...

[crojore]

我只收到一封主旨:Fw: A excite game(病毒信,請小心), 可是我掃不到毒, 我將信收下後, 用nav 2002 及 pccillin 2002 均掃不道阿, 還是你已解毒後才寄給我...

[saya]

我的情形和dod000001兄一樣nav gateway確實無法完全掃到毒，因為我的使用者一樣會收到有毒的信件，所以我認為作用可能不大。(使用者的nav掃的到但我的gateway卻掃不到)
以上提供參考

[Arnor]

第一. NAV for gateway 的查毒方式是怎樣查的我的確不清楚, 我只知道它的確是可查毒的, 但是包括到多大範圍的毒我就不是很清楚了..

第二. NAV for gateway 既然號稱可以檢查mail 的毒, 若它不把附件檔解開來查, 那有點說不過去, 關於你問到的給 ccmail, notes 的說法感覺怪怪的....因為信的格式是一樣的, 沒有特例..他可能跟你講到別的產品?

第三. 現在的mail 都是以 <［ｉｆｒａｍｅ］ src= 的方式來自動執行病毒, 相信我, 在 content filter 裡設定 <［ｉｆｒａｍｅ］ src= 這個字串, 使用者會收到毒的機率很小....

第四. 會查到沒毒有可能你得先看一下mail source , 若它的 body html 部份, 少了 <［ｉｆｒａｍｅ］ src= 就不會自動觸發那個附件檔, 當然那封信不算病毒信, 但若你要執行附件檔, 還是會被NAV client 給擋住的, 那為什麼會寄給你一個信是沒毒但附件檔有毒呢, 是因為對方的mail server 已查過毒把那行 <［ｉｆｒａｍｅ］ src= 給去掉了....少了啟動的指令就不是病毒信了.....而是病毒檔了..

這是小弟的研究心得...請多指教 ^_^
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[radix]

唉呦....我都搞糊塗了....本來這個月我也要去買的耶
現在不知道還要不要買.....

|||^^A

天呀....給我個正確答案吧

[dod00001]

>>我只收到一封主旨:Fw: A excite game(病毒信,請小心), 可是我掃不到毒, 我>>將信收下後, 用nav 2002 及 pccillin 2002 均掃不道阿, 還是你已解毒後才寄>>給我...

回覆crojore兄:
可能是被我的avg檔掉了,我這二天有的話再轉送給你好了,我會用同樣的標題
在這請問你一下,你在SCAN POLICY--->scanning--->What files to scan:
的選項是那一項,我之前是用內訂值(3),可是一點也沒用,2.1我試過了也是沒有
我現在維一確定有用的是在scan policy---->blocking中,不過這也要我有收到一封virous後才能去設定,不是很實用說

回覆素老大:
>>第一. NAV for gateway 的查毒方式是怎樣查的我的確不清楚, 我只知道它的>>確是可查毒的, 但是包括到多大範圍的毒我就不是很清楚了..
是的,就symantec的回覆是gateway只能掃較古老的virous

>>第二. NAV for gateway 既然號稱可以檢查mail 的毒, 若它不把附件檔解開來>>查, 那有點說不過去, 關於你問到的給 ccmail, notes 的說法感覺怪怪的....因>>為信的格式是一樣的, 沒有特例..他可能跟你講到別的產品?
在功能上他是可以解開來查,但正是因為這個功能沒用,所以我才有疑問
因為我不是本科出身的,在tcpip或其他的網路學習上大多也是土法鍊鋼,你的說法我同意,但就taiwan-symantec的說法是 "如果gateway能擋的了所有的virous,那他們現在的主力就不會是 nav croportate edition 7.6 了",至於你所說的ccmail和
notes的問題,因為我以前用的時間不長,所以我沒辦法很明確的告訴你他和現在的產品那不一樣,有沒有可能是對mail的處理程序不一樣,這點我會再打電話和symantec再查一次

>>第三. 現在的mail 都是以 <［ｉｆｒａｍｅ］ src= 的方式來自動執行病毒, 相信我, 在 >>content filter 裡設定 <［ｉｆｒａｍｅ］ src= 這個字串, 使用者會收到毒的機率很小....
>>第四. 會查到沒毒有可能你得先看一下mail source , 若它的 body html 部份, >>少了 <［ｉｆｒａｍｅ］ src= 就不會自動觸發那個附件檔, 當然那封信不算病毒信, 但若>>你要執行附件檔, 還是會被NAV client 給擋住的, 那為什麼會寄給你一個信是>>沒毒但附件檔有毒呢, 是因為對方的mail server 已查過毒把那行 <［ｉｆｒａｍｅ］ >>src= 給去掉了....少了啟動的指令就不是病毒信了.....而是病毒檔了..

了解,因為我在maild中有設定這一項,而content filter在maild中是會把<［ｉｆｒａｍｅ］ src= 給去掉?還是把整個信del 或 reject ? 看來maild我又有個方不懂了

最後是一個新問題
我在nav gateway中設定收到一些信要reject
但在maild1看到的是 (xxxxx因為xxxx原因,所以失敗)
而nav gateway admin所發的message並沒有發送回原送文者 ?
也就是說沒有傳到mail1...有人可以和我討論一下要如何設定嗎
我在想是不是relay的問題,因為maild1的relay是指到gateway
gateway的信是指到maild2..難道message是從maild2發出嗎

[Arnor]

[violet]

可以使用趨勢的InterScan 試試
我目前使用這套效果不錯
設定方式之前有給版大了
不知他放在哪個連結了
_________________
^_^

[crojore]

使用事件處理, 啟動nav企業版掃mail server的毒, 我試過完全沒用, 因為在mail server中的信件根本還未被解開, 所以不論啥病毒均掃不到(想當初我也是很天真的這樣使用了半個月, 結果...), 你可以直接去點inboxes中的信, 雖然是.eml可是內容是只有大大才看的懂得編碼, 所以nav 根本完全掃不到.

然而NAV GW的做法是, 1mail收到郵件後, nav gw 會先將信件像outlook一樣將信收下解開後放在...\temp的目錄, 再掃有無病毒, 最後再將信件送到2mail. 所以他是可以掃到的, 至於是不是nav能掃到的他都能掃到, 我就不知道了, 不過我這邊試到目前的結果是, 兩邊都會掃到, 我試的方式如下, 可證明我的說法沒錯:

動作=>
1. 2maild + nav gw + nav 2002(自動防護開啟, 所有ip動作)
2. 寄一封有毒信件到test@createclub.com(這幾天有興趣的人可以寄病毒信給我試試, 要nav 掃的到的毒, 且不要解完毒的mail)

結果=>
1maild 收到信=>寄到nav gw=>nav 2002出現訊息(...\temp找到病毒, 如何處理)=> 信件卡住 => nav不進行解毒 => nav gw 出現病毒郵件的訊息 => 2maild 收到來自nav gw信件訊息 => clinet 端 outlook 收信 => nav 2002 掃不到毒 => 測試完成

其中因為信件會被nav 2002卡住所以將nav2002 自動防護關閉, 再試一次, 結果不會信件不會卡住, 且最後nav 2002一樣掃不到毒, 因此我覺得nav gw 還是有用.

以上測試心得跟大家分享....

[dod00001]

>>結果=>
>>1maild 收到信=>寄到nav gw=>nav 2002出現訊息(...\temp找到病毒, 如何
>>處理)=>
到這之前都還差不多,只不過我不是用nav2002,我用的一樣會放到temp的時候告
訢我有viros

>>信件卡住 => nav不進行解毒 => nav gw 出現病毒郵件的訊息 =>
^^^^^^^^^^^^^^^^^^^
我完全不會出現這一段


>>其中因為信件會被nav 2002卡住所以將nav2002 自動防護關閉, 再試一次, 結
>>果不會信件不會卡住,
你的意思是把nav2002的自動防護關閉關閉?讓他過gateway,那請問在自動防護關閉時.virous-mail過gateway時有沒有出現alrets ?


>>且最後nav 2002一樣掃不到毒, 因此我覺得nav gw 還是有用.
我這還是掃到的.....這才是我最大的問題

[crojore]

我剛收到一封有毒的信, 可能是您寄的, 我把nav gw的紀錄, 以及nav gw 通知我的mail, post給你看, 如下:

nav gw log=>

18-Jul-2002 10:31:46 Action: Message Accepted Client: 192.168.0.2 From: dodge@xica.com.tw
To: test@createclub.com Subject: Fw: A powful tool(VIROUS TEST) Size: 364480
SMTP ID: M2002071810312826134 Connection ID: 278

18-Jul-2002 10:31:46 Action: Virus Deleted From: dodge@xica.com.tw To: test@createclub.com
SMTP ID: M2002071810312826134 Virus Name: W32.Klez.H@mm File Name: href.zl3

18-Jul-2002 10:31:47 Action: Message Delivered Server: 192.168.0.2 To: crojore@createclub.com
SMTP ID: M2002071810314609482 Connection ID: 279 Last Response: 250 mail received, ready to proceed.

18-Jul-2002 10:31:48 Action: Message Processing Completed SMTP ID: M2002071810314609482

18-Jul-2002 10:31:48 Action: Message Delivered Server: 192.168.0.2 To: test@createclub.com
SMTP ID: M2002071810312826134 Connection ID: 280 Last Response: 250 mail received, ready to proceed.

18-Jul-2002 10:31:48 Action: Message Processing Completed SMTP ID: M2002071810312826134



nav gw mail=>

Virus mail to mail server


--- Scan information follows ---

Result: Virus Detected
Virus Name: W32.Klez.H@mm
File Attachment: href.zl3
Attachment Status: deleted

--- Original message information follows ---

From: "Xica" <dodge@xica.com.tw>
To: <test@createclub.com>
Date: Thu, 18 Jul 2002 10:12:41 +0800
Subject: Fw: A powful tool(VIROUS TEST)
Message-Id: <002301c22e00$9872e720$aefade3d@systemnat>
Received: from createclub.com ([192.168.0.2])
by crtdns.createclub.com (NAVGW 2.5.2.12) with SMTP id M2002071810312826134
for <test@createclub.com>; Thu, 18 Jul 2002 10:31:28 +0800

[dod00001]

crojore 兄

看來你的gateway是掃的到我送的virous的
可以請問一下你在scan policy中的設定值嗎

再請問你的環境
我的環境是

外部--->nat-server(port 25)---->MAILD1(192.168.0.3)-->replayport27

-------->gateway(和nat同一台,192.168.0.1:27)----->relayport31-----

-------->maild2(192.168.0.2)和0.3同一台------------>outlook


其中nat和navgateway是同一台,maild1和maild2同一台

真的是很奇怪,那為何我會掃不到?難道是要用nav2002嗎(裝在gatway?)
nav2002不能裝在nt系列上吧,你用的是企業版?

總覺得我的gateway和你的好像不是同一版.....@@


rdgs