Настройка Антивируса Avast для работы с SSL (Gmail)

[NichtLanden]

Коллеги, решил запостить, вдруг кому интересно
=========================================================
Коллеги, добрый день!
На написание данной заметки меня подвиг собственный горький опыт. Если вы стеснены в деньгах, у вас на работе небольшая сетка и нужна хоть какая то защита от вирусов, думаю вас заинтересует моя заметка. Итак начнем по порядку.
Предыстория
Некоторое время я использовал продукты от компании Symantec. Дома стоял Norton Antivirus 2005 из не помню какой мамки Abit – шел в комплекте, на работе стоял Symantec Corporate Edition 10 версия по моему. И все было бы хорошо если бы у меня не начала пропадать почта в папке Входящие моего бесплатного клиента Mozilla Thunderbird 1.5 – использую его потому что он бесплатный в отличии от Bat, и позволяет работать хоть с десятью учетными записями, хорошо работает с фильтрами – сортировкой сообщений по папкам от различных отправителей, стоит один раз пометить письмо как спам – оно автоматом отправляется в помойку и не мозолит глаза. Итак, я начал обнаруживать что у меня затираются сообщения в папке входящие – остается только пустое сообщение с указанием от кого. Сначала грешил на глюки почтового сервера, а потом выяснилось то, что этот гадкий Norton Antivirus 2005 не сканирует входящую почту, так как у нее не стандартный POP порт 110 а подключение идет по POP3S (SSL) по порту 995. Этот гадкий Norton Antivirus 2005 не отлавливал вирусов от спамеров а во время плановой проверки затирал всю почту в папке где он обнаруживал вирус. В конечном итоге он затер весь мой архив исходящей почты за девять месяцев– это порядка 7 500 писем, а без почты на работе я как без рук – так как мне надо постоянно смотреть историю моих отношений с клиентами .... На домашнем компьютере начались тормоза. И тут я задумался над извечным русским вопросом – что делать и кто виноват... Помня все геморои с ключами и активацией Касперского и доктора Web, я решил отказаться от наших сомнительных продуктов, тем более они у меня умудрялись пропускать такие старые вирусы типа CIH 95 – он же чернобыль, который один раз 26 апреля умудрился затереть мне BIOS. Полазил по Internet в поисках бесплатного антивируса. Набрел на сайт чешской компании ALWIL Software a.s.- http://www.avast.com - антивирус с немецким именем avast!Home edition так как искал именно бесплатный антивирус для дома – ни Nod, ни McAfee не выпускают бесплатных версий, качать варез, который через некоторое время после работы в сети выяснится что пиратский и прекратит работать. Скачал avast!Home edition ver. 4.7. Начал эксперименты дома. По умолчанию программа без регистрации работает два месяца, зарегистрировал – обновляется антивирусная база будет до 1 марта 2008 года – т.е 13 месяцев. Переставил винду так как удалял все нортоновские фаерволы, утилиты и антивирусы. Проверил компьютер – нашел три трояна, которые нортон не видел в упор.
Стандарная настройка avast! Home edition
Поставил avast!Home edition ver. 4.7. Дома есть два почтовых ящика – один со стандартными настройками POP и SMTP, другой – ящик на Gmail, где почтовые протоколы работают с поддержкой SSL – т.е почта принимается по порту 995 (POP3S) и отправляется по порту 587 (SMTP). Залез в настройки сканера доступа, раздел электронная почта на закладке пере направление портов как умная Маша задал через запятую – по инструкции POP – 110, 995 SMTP – 25, 587. И тут выяснилось, что на стандартных портах 110 и 25 сканер работает нормально, порт SMTP в нашей локальной сети открыт только 25 и работает в целях предотвращения спамертсва через SMTP сервер локальной сети. Тем не менее, отправка через ящик Gmail шла нормально, исходящая почта сканировалась, так как шла по порту 25. Осталось каким то способом решить проблему сканирования порта POP3S – 995. Полез на русский форум Avast, там меня встретила ругань, бессмысленный и беспощадный флейм и флуд наших соотечественников. Полез на форум техподдержки www.avast.com Выяснилось, что avast не может сканировать порты SSL но тем не менее есть решение данной проблемы. Итак привожу решение этого вопроса, так как немного времени я потратил на решение всяких нюансов. Вдруг кому то поможет
Подключение avast для сканирования входящей почты для почтовых серверов по шифрованному протоколу SSL (порт 995)
Для начала нам понадобится программа Stunnel. Данная программа служит для пере направления (конвертации) пакетов из POP3S (995 порт) и SMTP (587 порт) в стандартные протоколы POP и SMPT (у меня SMTP сервер локальной сети, поэтому я ничего не настраивал работаю через него). Так как программа GNU – распространяется бесплатно.
Идем на эту ссылку – http://www.stunnel.org/download/binaries.html, качаем последнюю версию, на сегодня это stunnel-4.20-installer.exe. Устанавливаем ее, в разделе меню пуск в папке stunnel появляется ярлык Edit stunnel.conf. На всякий случай делаем резервную копию файла, редактируем файл c:\Program Files\stunnel\stunnel.conf
Перед редактированием важно знать, получает ли ваш компьютер IP адрес статически или по DHCP
a) Если у вас статический адрес, то файл stunnel.conf должен иметь такой вид:
Кавычки, это знак комментария!!!!! Однозначно должны быть сняты перед client = yes.
Знак # - это мои комментарии, их не должно быть в этом файле
; Use it for client mode
client = yes
; Service-level configuration

[gmail-pop3s] #
accept = 10.126.1.2:12110 # - 10.126.1.2 -Это мой статический адрес, заменить на свой, я назначил #протоколу POP3 порт номер 12110
connect = pop.gmail.com:995 # Это адрес POP сервера Gmail и порт протокола 995.
delay = yes # это у нас не обязательная величина, имеет смысл если стоит медленный модемный интернет, разрешает ожидание данных

[imaps]
accept = 993
connect = 143

[gmail-smpt]
protocol = smtp
accept = 10.126.1.2:12025
connect = smtp.gmail.com:587


;[https]
;accept = 443
;connect = 80
;TIMEOUTclose = 0

Остальное я ничего не менял, делается по аналогии.....Назначаем порты откуда мы будем получать данные от сервера – это connect и в какой порт и на какой адрес перенаправлять....

[NichtLanden]

Продолжение
=============================================
Если у вас адрес IP получается динамически по DHCP то stunnel.conf должен иметь такой вид
[gmail-pop3s] #
accept = localhost: 12110# он же 127.0.0.1 – перенаправляю данные на локальный адрес в порт 12110
connect = pop.gmail.com:995 # Это адрес POP сервера Gmail и порт протокола 995.
delay = yes # это у нас не обязательная величина, имеет смысл если стоит медленный модемный интернет, разрешает ожидание данных

После редактирования файла и сохранения изменений, идем в меню пуск, раздел программы, папка stunnel нажимаем последовательно service install, service start – если у нас все правильно появлятся надпись service started и иконка в трее, дважды щелкаем по ней, появляется лог соединения
2007.01.15 13:07:45 LOG5[1860:1864]: stunnel 4.20 on x86-pc-mingw32-gnu with OpenSSL 0.9.8d 28 Sep 2006
2007.01.15 13:07:45 LOG5[1860:1864]: Threading:WIN32 SSL:ENGINE Sockets:SELECT,IPv6
2007.01.15 13:07:45 LOG5[1860:2016]: No limit detected for the number of clients

Сейчас настраиваем почтового клиента – для примера берется Mozilla ThunderBird настраиваем учетную запись Gmail. Для примера берется настройка входящей почты – протокола POP3
Настройки для статического адреса IP
nameserver – 10.126.1.2 (статически адрес машины) port – 12110 (тот который у нас указан для accept в разделе gmail-pop3s )
login – nickname@gmail.com (имя пользователя в соответствии с правилами соединения POP3S для Gmail)
Проверяем что бы у нас стояла галочка для «Использовать защищенное соединение» – «Никогда», и не стояла галочка в разделе «Использовать защищенную аутентификацию».
Для адреса получаемого по DHCP – меняем только имя сервера входящей почты
maneserver - localhost


Проверяем работоспособность связки stunnel и почтовика, в логе stunnel должна быть инфомаци примерно такого плана
2007.01.15 13:07:45 LOG5[1860:1864]: stunnel 4.20 on x86-pc-mingw32-gnu with OpenSSL 0.9.8d 28 Sep 2006
2007.01.15 13:07:45 LOG5[1860:1864]: Threading:WIN32 SSL:ENGINE Sockets:SELECT,IPv6
2007.01.15 13:07:45 LOG5[1860:2016]: No limit detected for the number of clients
2007.01.16 01:10:48 LOG5[1860:3176]: gmail-pop3s accepted connection from 10.126.1.2:1991
2007.01.16 01:10:49 LOG5[1860:3176]: gmail-pop3s connected remote server from 10.126.1.2:1992
2007.01.16 01:10:50 LOG5[1860:3176]: Connection closed: 72 bytes sent to SSL, 252 bytes sent to socket
2007.01.16 01:15:48 LOG5[1860:2744]: gmail-pop3s accepted connection from 10.126.1.2:1998
2007.01.16 01:15:49 LOG5[1860:2744]: gmail-pop3s connected remote server from 10.126.1.2:1999
2007.01.16 01:15:51 LOG5[1860:2744]: Connection closed: 66 bytes sent to SSL, 217 bytes sent to socket
2007.01.16 01:20:48 LOG5[1860:3440]: gmail-pop3s accepted connection from 10.126.1.2:2004
2007.01.16 01:20:48 LOG5[1860:3440]: gmail-pop3s connected remote server from 10.126.1.2:2005
2007.01.16 01:20:49 LOG5[1860:3440]: Connection closed: 66 bytes sent to SSL, 218 bytes sent to socket

После этого открываем сканер доступа, раздел электронная почта, в закладке «POP» ставим галочку «Проверять входящую почту», в закладке «Пере направление» для POP через запятую пишем адреса портов POP – 110,12110..... Запускаем Mozilla Thunderbird , и видим что сканер проверяет входящую как по стандартному ящику, так и ящику Gmail почту. Все ОК..... Все остальные протоколы настраиваются по аналогии – SMTP, IMAP, ... Можно настраивать кучу различных почтовых серверов через Stunnel.conf и Mozilla Thunderbird. Для стандартных протоколов POP – 110 порт и SMTP – 25 порт без защищенных соединений и аутентификации ничего менять не надо, надо только указать порты в avast во вкладке «Перенаправление» и проследить что бы там же не была поставлена галочка «Игнорировать локальные коммуникации» и ваш адрес не был в списке игнорируемых адресов.....
Ну вот и все. Если у кого то есть опыт использования Avast – как хороший так и плохой прошу поделится. Нет ли у него проблем со сносом и установлением новой версии после прекращения выпуска обновлений? Что порекомендуете из нормальных бесплатных фаерволов – а то а то после удаления Варезного OutPost (был якобы на год, а щас оказалось после апдейта что он триальный и через две недели загнется) и установки Free OutPost винда ругается что нет фаервола... Что порекомендуете из софта который борется со spyware тоже бесплатное? Предупреждая вопросы о халявности и дураков буржуев сыра в мышеловке скажу сразу, что деньги они зарабатывают на программном обеспечении для компаний, а не на домашнем пользователе.
Большое спасибо форуму технической поддержки Avast - http://forum.avast.com. При написании статьи были использованы следующие ссылки по настройке
Gmail and Avast Providers - http://forum.avast.com/index.php?top...5401#msg125401
Solution: Using GMail with Avast and a SPAM filter - http://forum.avast.com/index.php?topic=10428.0
Redirecting multiple SSL accounts - http://forum.avast.com/index.php?topic=12258.0
Using K9 and Stunnel to Filter Spam from Gmail - http://www.kristensguide.com/Compute...nnel_gmail.asp

P.S Я понимаю что стопроцентную гарантию дает только страховой полис, но это хоть какая то защита.
P.P.S Внимание – порты 21XXX использовать только по прямому назначению!!!
P.P.S Это не реклама, данный материал я попрошу так же разместить форуме Avst.
P.P.P.S Пока писал, avast нашел такого чудного зверька, которого Нортон однозначно пропускает – смотри аттач

[BLINUS]

Не совсем понял про что тут написано, просто я уж года 2 пользуюсь авастом и претензий особых нету. Один раз токо не смог он вылечить комп от вируса но систему спас акронис тру имейдже. И еще, приз апуске ила комп вообще не тормозит что еще более радует...
ЗЫ Проблем со сносом не было никогда в отличии от касперского. Лицензию один раз уже продлевал... Насчет борьбы со спайваре и прочее еще установил бесплатный же Secretmaker v 5.0.7. Вместе с авастом уж полгода как вообще косяков не было, хотя на порносайтах и прочих помойках особо не копошусь, так что может быть это и не показатель)))))))))))

[NichtLanden]

Если у тебя стандартные порты то Аваст сканит без проблем...
А если защищенное соединение - SSL то тогда надо так изгаляться что бы сканить почту идущую по SSL, в зависимости от метода получаемого тогой адреса IP - статического или DHCP....Больше - ничего

[Jameson]

А у аваста с лечением EXE по-моему плохо. Если файл не попал в VRDB до заражения -все. Другое дело что не все можно вылечить, не все вирусы такие заботливые что сохраняют кусок оригинального файла.