Этапы проверки на вирусы и спам |
После получения уведомления о приходе сообщения на сервер поступившее сообщение проходит через следующие этапы проверки: 1. (настраиваются в разделе Фильтрация). •Правила антидистрибуции (ограничение списков рассылки). Можно задать правила, задающие максимальное число адресов получателей сообщения (или сообщения с вложениями) и применяющиеся к адресатам-отправителям. Для этих отправителей допускается отправка только тех сообщений, в которых число адресов получателей не превышает указанного максимального значения. •Правила фильтрации вложенных файлов. Можно задать правила удаления вложенных файлов: по расширению, по маске имени файла, по максимальному размеру файла. При условии выполнения одного из заданных правил сообщение (или вложение) удаляется и об этом оповещается администратор или другие заинтересованные лица (при наличии соответствующих настроек в разделе Уведомления). В случае удаления вложенного файла к письму прикрепляется текстовый файл с сообщением об удалении приложения. Шаблон сообщения об удалении вложения и имя файла такого сообщения задаются также в разделе Фильтрация. 2. (выполняется только в случае лицензии «Антивирус + Антиспам» и только для писем принимаемых сервером по протоколу SMTP, настраивается в разделе Антиспам). В первую очередь анализируются адреса получателей и отправителей на принадлежность черным и белым спискам, которые задаются в разделе Антиспам. Затем антиспам-фильтр Vade Retro проверяет текст сообщения и выдает заключение, на основе которого определяется степень вероятности того, что данное сообщение является спамом. Если письмо является спамом, то об этом оповещается администратор или другие заинтересованные лица, прописанные в соответствующих настройках раздела Уведомления, и к письму применяется действие, установленное администратором для данной категории спама в разделе Антиспам. 3. (настраивается в разделе Сканирование). Сообщения, успешно прошедшие предыдущие этапы проверки (или пропущенные в соответствии с настройками приложения Dr.Web), передаются далее для проверки на наличие вредоносного кода. Если объект (вложение или тело письма) содержит вредоносный код, антивирус предпринимает попытку вылечить объект. Если в настройках включено использование эвристического анализатора, становится возможным определение объектов, содержащих модифицированный или неизвестный вредоносный код, таким объектам присваивается категория . По результатам сканирования объектам присваиваются определенные статусы (например, , , , ), и на основе такого заключения выполняются дальнейшие действия над этими объектами. К письмам с зараженными объектами прикрепляется текстовый файл с сообщением об обнаруженной инфекции и выполненными над этими объектами действиями программы. Вылеченные и незараженные объекты передаются серверу с соответствующей пометкой. Невылеченные, поврежденные и подозрительные объекты проходят обработку в соответствии с настройками, указанными в разделе Сканирование. Администратор может получать оповещения о всех типах вирусных событий при наличии соответствующих настроек в разделе Уведомления. |