Forum général.cherche-logiciel Anti-virus

Posté par Lol Zimmerli (site web personnel, Mastodon) le 02 septembre 2010 à 18:42.

Étiquettes : aucune

sept.

2010

Hello,

pour le moment, nous utilisons ClamAV sur les MX frontaux (qui redistribuent les mails plus loin vers les machines POP/IMAP).

Suite à la découverte d'une infection dans un mail pourtant passé par clamAV (dont les fichiers sont tenus à jour par freshclamd), nous devons trouver un autre anti-virus. Entendez par là: même payant.

Les conditions:
- doit fonctionner sur debian
- avec sendmail via milter API

Alors? Avast? Kapersky?
Qui a de l'expérience avec un AV commercial sur debian/sendmail?

# Hey ho

Posté par maxix le 02 septembre 2010 à 18:48. Évalué à 5.

Faut pas pousser mémère dans les orties!
"Suite à la découverte d'une infection dans un mail pourtant passé par clamAV"
S'il n'y en a qu'un, tu peut être content!

Je te laisserais bien mes coordonnées pour le jour où tu aura trouvé ton antivirus 100% efficace... mais j'ai peur d'être trop vieux ce jour la.
- [^] # Re: Hey ho
  
  Posté par Lol Zimmerli (site web personnel, Mastodon) le 02 septembre 2010 à 19:02. Évalué à 2.
  
  Oh, je ne vise pas le 100%. Mais certains sont plus égaux que d'autres, il semble :*)
  
  http://www.virus.gr/portal/en/content/2009-08%2C-10-august-0(...)
  La gelée de coings est une chose à ne pas avaler de travers.
  - [^] # Re: Hey ho
    
    Posté par maxix le 02 septembre 2010 à 19:06. Évalué à 2.
    
    J'ai du mal a prendre en compte ce genre de statistiques... Avant je bossais avec Eset Nod32, une vraie passoire a mes yeux. Pourtant il atteint 95%!
    - [^] # Re: Hey ho
      
      Posté par Lol Zimmerli (site web personnel, Mastodon) le 02 septembre 2010 à 19:50. Évalué à 2.
      
      C'est aussi pour ça que je cherche à avoir du retour d'expérience. Surtout que toutes les stats vont un peu dans le même sens : http://www.pcmag.com/article2/0,2817,2135053,00.asp
      La gelée de coings est une chose à ne pas avaler de travers.
      - [^] # Re: Hey ho
        
        Posté par BAud (site web personnel) le 02 septembre 2010 à 22:58. Évalué à 3.
        
        sympa, des stats de 2007 ;-) (capacité de reproduire leur test ? 3 ans après ça donne quoi ? la déclinaison des virus en entrée avec uniquement du win32... quid des mac / unix / linux ?)
        
        sérieux on leur fait dire ce qu'on veut aux stats : http://www.silicon.fr/fr/news/2010/07/15/_bye_symantec__bye_(...)
        
        déjà tu peux regarder sur http://www.lexjansen.com/virus/ si ton fichier infecté s'y retrouve pour voir les anti-virus l'ayant pris en compte (ça fera un premier critère).
  - [^] # Re: Hey ho
    
    Posté par Kerro le 03 septembre 2010 à 00:15. Évalué à 3.
    
    Hé bien tu as ta réponse: tu prends le meilleur du comparatif et voilà.
    Ca ne sera pas plus efficace, mais tu auras satisfait ton souhaite de prendre le "meilleur" :-)
    - [^] # Re: Hey ho
      
      Posté par BAud (site web personnel) le 03 septembre 2010 à 02:25. Évalué à 3.
      
      toi, tu es un aigri qui a eu au moins un spam qui a passé l'anti-virus mail vers tes utilisateurs :-) (sans conséquence vu que tu faisais bien ton boulot).
      - [^] # Re: Hey ho
        
        Posté par Kerro le 03 septembre 2010 à 18:24. Évalué à 2.
        
        :-)
        Nous n'avons pas d'anti-virus sur les passerelles email. D'expérience nous avons plus d'enquiquinements que de bienfaits.
        Par contre les postes sont équipés d'un anti-virus (Windows).
        
        Ca dépend probablement des entreprises, mais dans notre cas nous avons vraiment très peu de virus par email. Et très peu de virus tout court. Seuls quelques utilisateurs pénibles en récoltent en allant sur tous les sites pourris qu'ils trouvent. En général ils sont licenciés dans les mois qui suivent leur arrivé car ils passent leur temps à faire autre chose que bosser.
# Retomber dans le même piège ?

Posté par Ellendhel (site web personnel) le 02 septembre 2010 à 18:51. Évalué à 4.

nous devons trouver un autre anti-virus

Tout dépend du type de virus : s'il s'agit d'une cochonnerie récente, il est possible que d'autres antivirus ne le détectent pas non plus ; le temps de réaction pour définir une signature n'est pas négligeable.

Il est écrit ça et là que pour des grosses infrastructures de courrier deux serveurs intermédiaires sont mis en place avec chacun un antivirus différent pour limiter au mieux les choses, mais ce ne peut être parfait (et ce avec un troisième type d'antivirus sur les postes clients).

Par ailleurs, lors de de la non-détection d'un virus par ClamAV, il est possible de remonter l'information à l'équipe de développement :

http://www.clamav.net/lang/fr/sendvirus/
# Vous n'avez donc aucun antivirus sur vos postes clients ?

Posté par Régis le 02 septembre 2010 à 21:59. Évalué à 2.

Bonsoir,

Ce n'est pas logique. Vous avez été infecté donc tu n'avais pas un autre antivirus sur tes postes clients ????

Quid des autres flux http/https/humain ect ect ?

Car si vous ne comptez que filtrer la messagerie ce n'est pas une bonne idée. Et mettre le même antivirus sur la passerelle de messeagerie et le même sur les postes clients ce n'est pas une bonne idée.

Donc déjà avant de t'en prendre à clamav, tu devrais réfléchir à votre politique sur votre parc de machine qui tourne sous windows.

Autre solution migré ce même parc sous linux :)))
- [^] # Re: Vous n'avez donc aucun antivirus sur vos postes clients ?
  
  Posté par Lol Zimmerli (site web personnel, Mastodon) le 03 septembre 2010 à 01:00. Évalué à 2.
  
  Certes. Mais les machines Windows sont celles de nos clients pour qui nous ne faisons -malheureusement- pas de consulting pour ce qui est du choix de leur OS et de leur anti-virus.
  La gelée de coings est une chose à ne pas avaler de travers.
  - [^] # Re: Vous n'avez donc aucun antivirus sur vos postes clients ?
    
    Posté par BAud (site web personnel) le 03 septembre 2010 à 02:28. Évalué à 0.
    
    c'est l'occasion de les faire passer à GNU/Linux !? tu donnerais un peu plus de détail sur _LA_ cause de l'infection, cela permettrait de dédramatiser àmha
# Kaspersky/Clamav

Posté par Frederic Bourgeois (site web personnel) le 06 septembre 2010 à 13:02. Évalué à 1.

Ce n'est pas exactement votre demande mais ça peut vous intéresser.

J'ai testé récemment clamav et Kaspersky sur une passerelle d'accès web fortement chargée.
Proxy squid + dansguardian (350 requêtes/seconde par proxy) et 140 mbits de débits.

Et honnêtement en terme de performance, aussi bien en mode ICAP qu'en analyse directe, Kaspersky était loin devant en terme de conso des ressources.
Le moteur étant largement plus rapide en ce qui concerne l'analyse des objets les performances globales étaient incomparables, et le ressenti des utilisateurs aussi

J'ai aussi testé Trend Iwss, il y a quelques années, il était aussi très rapide et - à l'époque - beaucoup plus stable que Kaspersky.

Sinon je n'ai pas constaté de plantage ou de comportement étrange de Clamav, je pense que pour un accès moins chargé il n'y a pas de problème.

Par contre comme le autres je suis plutôt surpris par votre demande, une infection seulement ? C'était un virus déjà reconnu par les autres AV pour vouloir en changer ? Vous voulez peut-être coupler les deux ?
# Trend imss/clamav

Posté par koopa le 13 septembre 2010 à 18:47. Évalué à 1.

Moi j'ai une (vielle) expérience avec un AV commercial sur Redhat/sendmail.
C'était en 2004-2006 sous Redhat 9.0 avec sendmail et Trend Micro Interscan MSS 5.5.

Le logiciel fonctionnait bien, mais il n'était pas pratique à configurer:
la configuration du logiciel se faisait avec un serveur web (le logiciel était livré avec sa propre version d'Apache) avec du JAVA partout et des fichiers de configurations en XML.

Mais le plus gros reproche, c'est la pénibilité pour le renouvellement annuel de la licence:
1: ne pas oublier de passer la commande de renouvellement
2: le revendeur se trompait systématiquement de produit et nous envoyait une clé pour la version windows, ou bien encore pour un autre logiciel de Trend Micro.
3: notre licence expirait en mai, pendant les ponts, (alors qu'on aimerait partir en congé l'esprit tranquille)

Et puis, coup de pouce du destin, en 2006 quand on a migré notre serveur de mail vers Postfix sous Fedora 4 64 bits, on s'est aperçu que IMSS ne fonctionnait pas dessus. Coup de fil au support: "nous sommes désolé, notre produit ne fonctionne pas sur votre OS, on ne peut pas vous dire quand est ce que nous supporterons Linux 64 bits"
Alors dans l'urgence on a installé ClamAV, sur le nouveau serveur.
C'était beaucoup plus simple à installer et configurer, plus rapide et tout aussi efficace contre les virus. Et puis surtout plus d'ennui tous les ans pour le renouvellement de la licence. Donc byebye Trend Micro.

En 4 ans d'utilisation, seuls 2 virus on réussi a passer au travers des mailles de ClamAV.
Et à chaque fois, la base de données des signatures était mise en jour en moins de 24H pour prendre en compte le nouveau virus.

Je te préconise donc de rester avec ClamAV. La solution commerciale sert surtout à rassurer les directeurs/chefs qui ne maitrisent pas le sujet. Toutefois, si tu veux te faire ta propre opinion, tu peux télécharger une version d'essai chez TrendMicro.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.