WinWebMail是一种简单易用的邮件系统,经过不断的升级,现在最新的3.7版已经能够很好的支持各种常用的邮件服务功能。如:有比较完善的防垃圾邮件功能;与一些杀毒软件结合可以实现邮件防毒功能等。其中特别是邮件防毒功能非常实用,不像有些邮件系统使用防毒功能需要另外购买组件,还对杀毒软件的种类有较多限制。WinWebMail的邮件防毒功能可以方便的与许多常见的杀毒软件配合使用,也不需要单独增加组件,对于小型邮件系统不会额外增加成本。
目前WinWebMail可以与这些杀毒软件配合实现邮件防毒功能:McAfee 8.0和8.5、Symantec & Norton AntiVirus 8.x、BitDefender、KILL 安全胄甲、Panda Antivirus Platinum 熊猫卫士、Sophos Anti-Virus、F-Prot Antivirus for Windows、RAV AntiVirus Command Line、F-Secure Anti-Virus、金山毒霸 V, VI, 2000, .NET, 2001, 2002、Trend ServerProtect v5 中文企业版、Trend PC-Cillin 2004 简体中文版。可供选择的杀毒软件种类众多,基本上函盖了服务器常用的一些杀毒软件产品。关于WinWebMail可以支持的杀毒软件产品详情请访问WinWebMail网站中“邮件防毒功能”页面:http://www.winwebmail.com/antivirus.html。
下面我谈谈WinWebMail与Kill安全胄甲配合实现邮件防毒功能中的一个问题。
比较流行的Kill安全胄甲基本上都是一些个人版,常见的有6.0、7.1等。WinWebMail通过命令行方式调用Kill命令行引擎Inocmd32.exe实现邮件防毒功能。6.0版中此文件的默认路径是:C:\Program Files\KILL\ScanEngine,7.1版中此文件的默认路径是:C:\Program Files\CA\SharedComponents\ScanEngine。
使用Kill 6.0实现邮件防毒功能的设置方法是:在WinWebMail管理程序主菜单上选择“系统设置”,在弹出的系统设置窗口中选择“超期设置”标签,选中“启用邮件防毒功能”,然后点击后面的“设置”按钮。在弹出的防毒设置窗口中,“杀毒产品名称”项选择“Kill 安全胄甲”,执行程序路径选择Inocmd32.exe的路径。保存后即具备了邮件防毒功能。可以下载eicar(一个无害的病毒测试程序),将这个测试程序的不同形式文件添加到邮件附件中发送,发件人均会收到系统自动回复的“病毒警告”邮件(需要在防毒设置窗口中选中“发现病毒邮件时通知发件人”)。为防止Kill误删WinWebMail路径下的邮件数据文件和临时文件,还需要在Kill实时监控选项中将WinWebMail的目录设置为排除。
按照以上方法设置后,在使用Kill7.1作为杀毒引擎时却不会收到系统自动回复的“病毒警告”邮件,说明WinWebMail的邮件防毒功能没有正常工作。详细检查了WinWebMail的各项设置没有发现问题,Kill命令行引擎文件Inocmd32.exe的路径也没有错误。打开WinWebMail的防毒设置配置文件“WinWebMail\adminmsg\KILL 安全胄甲.eav”可以看到其内容为:
Inocmd32.exe
-ARC -NEX -SFI -NOS %s
is infected by virus:
is infected by virus:
在命令行方式下运行6.0版的Inocmd32.exe文件,显示如下:
Usage:Inocmd32.exe [ -options ] file|directory|drive ...
-options:
: MOD <mod> Scan mode
<mod> can be one of: Secure or Reviewer (default Secure)
: ACT <action> Infected file action
<action> can be one of: Cure, Rename, Delete or Move
: EXE Specified files
(based on the InoculateIT 'Specified' extension list)
: EXC Exclude files
(based on the InoculateIT 'Exclude' extension list)
: ARC Scan archive files
: NEX Detect compressed files by content, not file extension
: NOS No subdirectory traverse
: FIL:<pattern> Only scan files that match <pattern> (shell wildcard)
: SCA <action> Special Cure Action (ACT must be set to Cure)
<action> can be one of: CB (Copy Before),
RF (Rename if cure fails) or MF (Move if cure fails)
: MCA <action> Macro Cure Action
<action> can be either: RA (remove all) or RI (remove infected)
: SPM <mode> Special Mode
<mode> can only be: H (heuristics)
: SFI Stop at first infection in archive
: SMF Scan migrated files
: INC Incremental scan
: SRF Skip regular file scanning of archives
: BOO Boot sector scan
: MEM Scan memory (currently running programs)
: LIS:<file> Create scan report file <file>
: APP:<file> Append scan report to file <file>
: VER Verbose mode
: QUI Count of scanned files rather than list
: SIG Display signature version numbers
: SIG:<dir> Display signature version numbers of
engine located in <dir>
: HEL or ? Display this help
file|directory|drive ...: Specify at least one file, directory or drive to scan
InoculateIT Signature version: vet.dat 30.07.3641 2007/05/18
Vet Signature version: vet.dat 30.07.3641 2007/05/18
在命令行方式下运行7.1版的Inocmd32.exe文件,显示如下:
InoculateIT 引擎版本: 30.07.00 2007-03-29
InoculateIT 特征码版本: vet.dat 30.07.3641 2007-05-18
Vet 引擎版本: 30.07.00 2007-03-29
Vet 特征码版本: vet.dat 30.07.3641 2007-05-18
用法:Inocmd32.exe [ -options ] file|directory||驱动器 ...
-options:
ENG <engine>
<engine> 可以是以下之一: Ino 或 Vet
MOD <mod> 扫描模式
<mod> 可以是以下之一: 安全或评论 (默认为安全模式)
ACT <action> 对受感染文件的操作
<action> 可以是以下之一: 报告、修复、重命名、删除或移动
EXE 指定的文件
(基于 Local Scanner 的 '指定' 扩展名列表)
EXC 排除的文件
(基于 Local Scanner 的 '排除' 扩展名列表)
ARC 扫描存档文件
NEX 按内容而不是按文件扩展名删除压缩文件
NOS 不遍历子目录
FIL:<pattern> 仅扫描同 <pattern> (shell 通配符) 匹配的文件
SCA <action> 特殊修复操作 (ACT 必须被设为修复操作)
<action> 可以是以下之一: CB (首先复制)、
RF (修复失败则重命名) 或 MF (修复失败则移动)
MCA <action> 宏修复操作
<action> 可以是以下之一: RA (全部删除) 或 RI (删除被感染的宏)
SPM <mode> 特殊模式
<mode> 可以是: H (启发式)
SFI 在存档包中检测到首个感染文件时停止
SMF 扫描迁移的文件
SRF 跳过对存档包的常规文件扫描
ARF 将扩展名过滤器应用于存档内容
BOO 启动扇区扫描
MEM 扫描内存 (当前运行的程序)
LIS:<file> 创建扫描报告文件 <file>
APP:<file> 将扫描报告文件附加到 <file> 文件之后
SYS 启用系统修复功能
对找到的任何已感染的并且同系统修复关联的文件,
调用系统修复功能。有关特定病毒的详细信息,
请访问
www.ca.com 上的病毒百科全书
同系统修复的可行性有关。在某些时候请多加注意
系统修复需要重启才能生效。
VER 详细模式
COU:<n> 发送消息,每 <n> 个扫描的文件
COU 每扫描 1000 个文件给出一条消息
SIG 显示特征码版本号
SIG:<dir> 显示位于 <dir> 下的引擎的
特征码版本号
HEL 或 ? 显示本帮助
文件|目录|驱动器 ...:
请至少指定一个要扫描的文件、目录或驱动器
这两个版本中相应命令行开关项的解释完全一致,看来也不是配置文件的问题。这样看来应该是Kill的问题。上bbs.5dmail.net问了一下,WinWebMail是通过分析Kill命令行引擎的杀毒日志来识别邮件中的病毒。看来可能是Kill改变了杀毒日志的保存格式,导致WinWebMail无法正确工作了。
所以目前对于WinWebMail而言,只能和Kill6.0版配合实现邮件防毒功能,不能和Kill7.1版配合实现。