¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Cocina

Кухня

Otras ediciones de este tema (37)
  • añadir a favoritos
    Añadir a marcadores

Palos en las ruedas del antivirus

Consultas: 2150 Comentarios: 3 Ranking: 8

martes, 20 de noviembre de 2018

En la edición «Del historial de correo Dr.Web» hemos mencionado que la funcionalidad de soluciones para servidores de correo, Gateways y en parte de servidores de archivos es limitada y depende de los productores del software concreto.

Lo que pasa es que la solución para la protección de mensajes de correo que pasan o se guardan en el servidor de correo es un complemento, es decir, la extensión del software en cuestión. No se puede instalar, por ejemplo, un antispam al lado del servicio de correo e intervenir en el procesamiento del correo sin informar el servidor de lo mismo. No habrá buenos resultados.

Por lo tanto, el esquema de funcionamiento es así:

  1. El servidor de correo recibe el mensaje y lo procesa.
  2. El servidor de correo transfiere el mensaje o sus partes al complemento para su posterior análisis.
  3. El complemento analiza los datos transferidos y modifica el mensaje, o simplemente lo devuelve (depende de lo que está permitido).

Un ejemplo de funcionamiento de Dr.Web para MS Exchange:

#drweb

Por supuesto, el esquema es un poco más complicado, pero se nota que el servidor de correo transfiere el agente antivirus al agente antispam para su análisis. Y esto es todo. Como resultado, si el servidor de correo (Kerio) no transfiere los mensajes para el análisis de spam, no habrá un componente Antispam en la solución para este producto.

Estas restricciones se refieren a todos los productores del software. Si está permitido tener un antivirus, un antispam y las listas blancas y negras, las soluciones lo tendrán (al igual que MS Exchange).

#drweb

Las restricciones mencionadas más arriba no son las únicas. Por ejemplo, no solo un mensaje entero puede ser transferido para el análisis, sino también sus partes: el cuerpo del mensaje y los adjuntos por separado. Es lógico, ¿para qué el antispam necesitará el encabezado del mensaje con la dirección del spammer?

¿Esto significa que la calidad de soluciones para todos los productores será similar? Por supuesto que no. También la funcionalidad y los requerimientos al sistema serán distintos. Por ejemplo, si el mensaje se transfiere al antispam por partes, no todos los antispams podrán filtrarlo por estas partes. Y nosotros podemos hacerlo.

La calidad del núcleo antivirus también es importante. Muchos mensajes pasan a través del servidor, y, si el servidor consume muchos recursos, se sobrecargará. Nosotros casi no influimos en los recursos de sistema necesarios, lo cual es muy importante. En la configuración Dr.Web no hay opciones para el “tuning” de capacidades, por ejemplo, para regular el número de núcleos antivirus usados. No lo necesitamos.

Aunque varias cosas pueden pasar. Recordamos una llamada del cliente:

- Hemos instalado su solución al servidor, y ahora todo va muy lento.

- Y ¿cuánta memoria operativa tienen?

- 2 MB.

- (para sí) Y ¿cómo solía funcionar su servidor hasta ahora?

Vamos a volver a las restricciones. El problema de plugins es el siguiente: los mismos dependen del deseo de los productores que a veces cambian las interfaces de interacción de forma un poco rara. Por ejemplo, MS Exchange.

Mencionamos que para el mismo hay tres partes de solución básica – el antivirus, el antispam y las listas blancas y negras. La pregunta es: ¿cuándo los mensajes se transfieren a nuestros módulos del antivirus?

Vamos a ver la interfaz de Microsoft Virus Scanning Application Interface (VSAPI). Al usar la misma, el antivirus puede:

  • Escanear los documentos de la base de datos, así mismo, escanear el acceso el mensaje;
  • Escanear todas las cuentas de correo, incluidas las cuentas SystemMailbox, System Attendant;
  • Filtrar y bloquear los mensajes de spam, por categorías Spam, Probablemente spam y Poco probable spam;
  • Iniciar las tareas de escaneo en segundo plano para detectar los programas nocivos anteriormente desconocidos.

Estas posibilidades son perfectas. El escaneo periódico permite analizar el software anteriormente desconocido, el escaneo al recibir permite recibir solo los mensajes “limpios” (y no escaneados hace cien años al recibir).

Pero en las últimas versiones de MS Exchange el vendedor quitó esta interfaz, por lo visto, al suponer que el antivirus se entera de todos los programas nocivos a partir del momento de creación de los mismos.

¿Se puede esquivar estas restricciones? Sí. Al deshacerse del servidor de correo. Pero hablaremos de esto más tarde.

#servidor #correo #escaneo_antivirus

El mundo de antivirus recomienda

Consulte la documentación, es muy importante. Todos estos detalles se mencionan en la documentación de Dr.Web.

Filtramos tanto los virus como spam en los servidores de correo. Pero no deseamos que nos metan los palos en las ruedas.

Otra cosa importante. Lamentablemente, algunos proveedores siguen ofreciendo a sus clientes las soluciones para las últimas versiones de MS Exchange que supuestamente soportan VSAPI. Es imposible.

Y si en la documentación mencionamos:

Dr.Web para versiones de Exchange Server 2003/2007/2010 soporta la interfaz VSAPI (la interfaz de aplicaciones de escaneo antivirus desarrollada por Microsoft Para los servidores Exchange).

…esto no significa que nosotros rechazamos el soporte de esta interfaz en las versiones más recientes. Significa que esta interfaz no existe.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios