Hello,
pour le moment, nous utilisons ClamAV sur les MX frontaux (qui redistribuent les mails plus loin vers les machines POP/IMAP).
Suite à la découverte d'une infection dans un mail pourtant passé par clamAV (dont les fichiers sont tenus à jour par freshclamd), nous devons trouver un autre anti-virus. Entendez par là: même payant.
Les conditions:
- doit fonctionner sur debian
- avec sendmail via milter API
Alors? Avast? Kapersky?
Qui a de l'expérience avec un AV commercial sur debian/sendmail?
# Hey ho
Posté par maxix . Évalué à 5.
"Suite à la découverte d'une infection dans un mail pourtant passé par clamAV"
S'il n'y en a qu'un, tu peut être content!
Je te laisserais bien mes coordonnées pour le jour où tu aura trouvé ton antivirus 100% efficace... mais j'ai peur d'être trop vieux ce jour la.
[^] # Re: Hey ho
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 2.
http://www.virus.gr/portal/en/content/2009-08%2C-10-august-0(...)
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Hey ho
Posté par maxix . Évalué à 2.
[^] # Re: Hey ho
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 2.
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Hey ho
Posté par BAud (site web personnel) . Évalué à 3.
sérieux on leur fait dire ce qu'on veut aux stats : http://www.silicon.fr/fr/news/2010/07/15/_bye_symantec__bye_(...)
déjà tu peux regarder sur http://www.lexjansen.com/virus/ si ton fichier infecté s'y retrouve pour voir les anti-virus l'ayant pris en compte (ça fera un premier critère).
[^] # Re: Hey ho
Posté par Kerro . Évalué à 3.
Ca ne sera pas plus efficace, mais tu auras satisfait ton souhaite de prendre le "meilleur" :-)
[^] # Re: Hey ho
Posté par BAud (site web personnel) . Évalué à 3.
[^] # Re: Hey ho
Posté par Kerro . Évalué à 2.
Nous n'avons pas d'anti-virus sur les passerelles email. D'expérience nous avons plus d'enquiquinements que de bienfaits.
Par contre les postes sont équipés d'un anti-virus (Windows).
Ca dépend probablement des entreprises, mais dans notre cas nous avons vraiment très peu de virus par email. Et très peu de virus tout court. Seuls quelques utilisateurs pénibles en récoltent en allant sur tous les sites pourris qu'ils trouvent. En général ils sont licenciés dans les mois qui suivent leur arrivé car ils passent leur temps à faire autre chose que bosser.
# Retomber dans le même piège ?
Posté par Ellendhel (site web personnel) . Évalué à 4.
Tout dépend du type de virus : s'il s'agit d'une cochonnerie récente, il est possible que d'autres antivirus ne le détectent pas non plus ; le temps de réaction pour définir une signature n'est pas négligeable.
Il est écrit ça et là que pour des grosses infrastructures de courrier deux serveurs intermédiaires sont mis en place avec chacun un antivirus différent pour limiter au mieux les choses, mais ce ne peut être parfait (et ce avec un troisième type d'antivirus sur les postes clients).
Par ailleurs, lors de de la non-détection d'un virus par ClamAV, il est possible de remonter l'information à l'équipe de développement :
http://www.clamav.net/lang/fr/sendvirus/
# Vous n'avez donc aucun antivirus sur vos postes clients ?
Posté par Régis . Évalué à 2.
Ce n'est pas logique. Vous avez été infecté donc tu n'avais pas un autre antivirus sur tes postes clients ????
Quid des autres flux http/https/humain ect ect ?
Car si vous ne comptez que filtrer la messagerie ce n'est pas une bonne idée. Et mettre le même antivirus sur la passerelle de messeagerie et le même sur les postes clients ce n'est pas une bonne idée.
Donc déjà avant de t'en prendre à clamav, tu devrais réfléchir à votre politique sur votre parc de machine qui tourne sous windows.
Autre solution migré ce même parc sous linux :)))
[^] # Re: Vous n'avez donc aucun antivirus sur vos postes clients ?
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 2.
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Vous n'avez donc aucun antivirus sur vos postes clients ?
Posté par BAud (site web personnel) . Évalué à 0.
# Kaspersky/Clamav
Posté par Frederic Bourgeois (site web personnel) . Évalué à 1.
J'ai testé récemment clamav et Kaspersky sur une passerelle d'accès web fortement chargée.
Proxy squid + dansguardian (350 requêtes/seconde par proxy) et 140 mbits de débits.
Et honnêtement en terme de performance, aussi bien en mode ICAP qu'en analyse directe, Kaspersky était loin devant en terme de conso des ressources.
Le moteur étant largement plus rapide en ce qui concerne l'analyse des objets les performances globales étaient incomparables, et le ressenti des utilisateurs aussi
J'ai aussi testé Trend Iwss, il y a quelques années, il était aussi très rapide et - à l'époque - beaucoup plus stable que Kaspersky.
Sinon je n'ai pas constaté de plantage ou de comportement étrange de Clamav, je pense que pour un accès moins chargé il n'y a pas de problème.
Par contre comme le autres je suis plutôt surpris par votre demande, une infection seulement ? C'était un virus déjà reconnu par les autres AV pour vouloir en changer ? Vous voulez peut-être coupler les deux ?
# Trend imss/clamav
Posté par koopa . Évalué à 1.
C'était en 2004-2006 sous Redhat 9.0 avec sendmail et Trend Micro Interscan MSS 5.5.
Le logiciel fonctionnait bien, mais il n'était pas pratique à configurer:
la configuration du logiciel se faisait avec un serveur web (le logiciel était livré avec sa propre version d'Apache) avec du JAVA partout et des fichiers de configurations en XML.
Mais le plus gros reproche, c'est la pénibilité pour le renouvellement annuel de la licence:
1: ne pas oublier de passer la commande de renouvellement
2: le revendeur se trompait systématiquement de produit et nous envoyait une clé pour la version windows, ou bien encore pour un autre logiciel de Trend Micro.
3: notre licence expirait en mai, pendant les ponts, (alors qu'on aimerait partir en congé l'esprit tranquille)
Et puis, coup de pouce du destin, en 2006 quand on a migré notre serveur de mail vers Postfix sous Fedora 4 64 bits, on s'est aperçu que IMSS ne fonctionnait pas dessus. Coup de fil au support: "nous sommes désolé, notre produit ne fonctionne pas sur votre OS, on ne peut pas vous dire quand est ce que nous supporterons Linux 64 bits"
Alors dans l'urgence on a installé ClamAV, sur le nouveau serveur.
C'était beaucoup plus simple à installer et configurer, plus rapide et tout aussi efficace contre les virus. Et puis surtout plus d'ennui tous les ans pour le renouvellement de la licence. Donc byebye Trend Micro.
En 4 ans d'utilisation, seuls 2 virus on réussi a passer au travers des mailles de ClamAV.
Et à chaque fois, la base de données des signatures était mise en jour en moins de 24H pour prendre en compte le nouveau virus.
Je te préconise donc de rester avec ClamAV. La solution commerciale sert surtout à rassurer les directeurs/chefs qui ne maitrisent pas le sujet. Toutefois, si tu veux te faire ta propre opinion, tu peux télécharger une version d'essai chez TrendMicro.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.