ClamAV mit QSheff-II funktioniert bei mir nicht

  • Thread starter Thread starter Robert1962
  • Start date Start date
R

Robert1962

Guest
Hallo,

ich habe jetzt mehr fach versucht ClamAV 0.94.2 mit QSheff-II (aktuelle Version) einzubingen. In QSheff-II wird ClamAV per clamd-socket angebunden. Ich verwende Plesk 8.6 und habe daher in der qmail-queue den SA nicht aktiviert.

Wenn ich einen Test Virus los schicke, wird dieser zwar in der clamd.log korrekt als erkannt eingetragen, nur erhalte ich den Virus trotzdem auf meinem localen PC. Mein Virenscanner fängt das Teil beim Abruf der eMails ab.

Ich würde gerne bei QSheff bleiben, habe auf einem 2. Server gqscanq laufen mit der gleichen ClamAV und der gleichen clamd.conf und dort wird der Virus bzw. die Mail abgefangen.

in QSheff habe ich

Code:
# When set to 1, enables ClamAv antivirus client.
# qSheff connects to Clamd directly, through a socket file.
# The socket file must be specified at compile time
# by --with-clamd-socket option.
enable_clamd = 1

bei der QSheff-II installation habe ich dies verwendet:
Code:
./configure --with-clamav --with-clamd-socket=/var/lib/clamav/clamd-socket --enable-virus-tag --enable-syslog

QSheff-II hat den Benutzer root und ClamAV den Benutzer vscan.

Denke das mir jemand sagen kann wo ich was wieder falsch mache.

Gruß

Robert
 
Last edited by a moderator:
Hast Du bereits die Qsheff-Doku gelesen?
Code:
a. Spam or virus is found.

   a) If Subject tag or virus tag is activated, subject is tagged and e-mail
   is delivered to user. If infected, e-mail content is completely replaced
   with a descriptive text and delivered to user afterwise.

   b) If subject tag or virus tag is inactive, responds with PERMANENTLY REJECTED
   If qmail is patched with "custom error patch", user is responded with a
   predefined error message. If quarantine is activated, e-mail is also
   saved to /var/qsheff/quarantine folder.
Daraus geht hervor, daß "--enable-virus-tag" die Auslieferung der Viren-Mail bewirkt.

huschi.
 
Ja Huschi habe ich gelesen. Komme aber mit QSheff-II noch nicht so ganz klar.

Werde das jetzt mal ohne diesen virus-tag compilieren. Hoffe es klappt dann. Denn den SA habe ich ja bereits in Plesk mit drin. Ob wohl hier im Forum empfohlen wird den SA direkt einzubinden, weil sonst die Spammer die Mails als zugestellt werten.

Muss man da bei OpenSuse 10.3 ausser dem Parameter -x noch was anderes übergeben? Denn wenn ich den SA mit einbinde geht keine Mail bei mir mehr raus.
 
Daraus geht hervor, daß "--enable-virus-tag" die Auslieferung der Viren-Mail bewirkt.

Habe qsheff-II jetzt ohne diesen virus-tag installiert, trotzdem wir dir Virusmail nicht gekillt.
Auch ist quarantäne auf "0" gesetzt. Was mir allerdings auffällt ist, das immer wieder angemotzt wird trotz
Code:
chmod -R 777 /var/qsheff
das dieses Verzeichnis nicht geöffnet bzw. beschrieben werden kann. Ich verstehe das nicht weil mit 777 habe ich doch eigenlicht die Tür ganz weit offen.
Auch habe ich schon versucht dem Verzeichnis den Clamd-User = vscan zu zuweisen, auch dann funktioniert es nicht.

Ich habe hier gelesen das man in einer main.cf das Wort conten in content umändern soll, aber ich denke es wird mit einem anderen MTA gearbeitet.

Wir kriege ich es hin dass QSheff mit ClamAV alle durch ClamAV erkannte Mails auch wirklich löscht?

Wie kann ich QSheff-II sagen, dass ClamAV am Port xyz lauscht und nicht am Clamd-socket?

Also Die Mails werden in clamd.log schon korrekt benannt die einen Virus beinhalten, also sehr clamd diese Mails ja, nur warum werden diese trotzdem mit Virus zugestellt?
 
Noch mal eine Frage:

kann es sein, dass ich qsheff-II so kompilieren muss:
Code:
./configure --with-clamd=/usr/bin/clamdscan --quiet .

wenn ich:

Code:
--with-clamd-socket
weg lasse, wird clamdscan dann per port connectiert?

Was mich was verwirrt ist, dass in der clamd.log einträge erscheinen (wenn ich einen Testvirus losrennen lasse) dieser aber nicht abgefangen wird. Ich habe jetzt mal zum Test qscanq installiert und da werden alle Viren mit clamd auch eleminiert. Also korrekt!

Ich möchte aber gerne qsheff einsetzen wegen des Badword-Filters.:D
 
wird clamdscan dann per port connectiert?
Nur so am Rande: clamdscan ist ein Client.
Wieso willst Du unbedingt per Port connecten?
Ein Unix-Socket ist schneller und verbraucht weniger Ressourcen.

Was mich was verwirrt ist, dass in der clamd.log einträge erscheinen dieser aber nicht abgefangen wird.
Nochmal am Rande:
ClamAV wird lediglich zum erkennen genutzt. Es liefert also ein "Ja" oder "Nein". Was danach mit der Email geschieht (z.B. sie zu eliminieren), ist Aufgabe von qscanq bzw. Qsheff.
Warum es bei Dir nicht ganz funktioniert kann ich leider auf die Entfernung auch nicht sagen.

huschi.
 
Also habe jetzt wieder gscanq laufen! Funktioniert auch klasse.

Also bei QSheff-II wird der ClamAV nicht durchlaufen trotz clamd-socket.
Kann es sein, dass ich auch den TCP und Port aktivieren muss in clamd.conf?
Dies ist ja jetzt bei qscanq der Fall.

Sehe eigentlich da keinen Sinn drin aber per clamd-socket erkennt er keine Viren bzw. nicht wenn sich diese in einem Archiv befinden. Ist aber in der Clamd.conf aktiviert und jetzt mit qscanq auch wirksam.
In der QSheff-II gibt es ja auch nur die Möglichkeit den Clamd-Scanner mit 0 oder 1 /aus- oder ein zu schalten. Wie in der alten Version den Scanner einzutragen gibt es in der aktuellen Version nicht mehr.
Kann es daran liegen?

Denn wäre schon toll wenn Viren oder Trojaner erst garnicht bis zu mir auf den localen PC durch kommen würden.
 
Bitte klär mal diesen Widerspruch auf:
Die Mails werden in clamd.log schon korrekt benannt die einen Virus beinhalten, also sehr clamd diese Mails ja
Also bei QSheff-II wird der ClamAV nicht durchlaufen trotz clamd-socket.
Wird bei QSheff nun ClamAV aufgerufen oder nicht?
Ich bin bisher nach Deinem oberen Beiträgen davon ausgegangen, daß ClamAV die Emails scannt und "ja" oder "nein" zurück gibt.

Wenn dies nicht so ist, ist dies ein wichtiges Detail.

huschi.
 
Hallo Huschi,

ich will es mal versuchen zu erklären.

Also wenn ich von "heise" einen Testvirus "Standard-Test-Virus (EICAR) los sende, wird dieser von QSheff-II rausgeschmissen und kommt bei mir nicht mehr an.

Wenn ich nun aber einen (EICAR in ZIP-Archiv) los schicke, wird dieser nicht erkannt. In ClamAV habe ich aber die Archiv-Scan-Funktion aktiv. Wenn ich das Ganze mit QScanQ mache funktioniert es ja auch so weit.
Also der Virus im Archiv wird mit QSheff und ClamAV nicht in die Log von clamd.log und auch nicht in der qsheff.log registriert, also nicht erkannt.

Ich gehe bei der Installation von QSheff-II nach deiner HOW TO vor bis auf das eintragen des SA in die qmail-queue das lasse ich weg, weil ich den SA unter Plesk nutze.

Ich versuche mit der ClamAV-0.94.2 zu arbeiten.
In der Config mache ich dann vor Port und dem TCP ein "#" und beim clamd-var/lib/clamav/clamd-socket mache ich das # weg.

mit
Code:
netstat -an |grep clamd
wir der socket auch so angezeigt mit "LISTENING"

Weil in clamd.conf genau die Sachen verwendet werden die bei qscanq funktionieren, gehe ich bei qsheff davon aus, dass clamd nicht durch laufen wird. Nur weiß ich nicht warum!

Allerdings gibt's bei clamav wohl auch noch ein neues Problem mit jpg, wie man liest.
 
Noch mal eine Frage!

Also ich habe jetzt vieles versucht und es scheint zu funktionieren, wenn ich ClamAV mit dem Benutzer "root" starte. Habe da im Netz einen Artikel zu gefunden.

Was mit aber nicht ganz klar ist, ist dass nach dem Start des Wrappers die qmail-queue mit dem Benutzer root läuft, also nicht mehr unter dem urspünglichen Benutzer. Ändern kann man es mit chown auch nicht mehr.

Ich denke hier liegt mein letztes Problem, denn wenn ich den Wrapper starte kann ich keine Mails mehr versenden und bekomme ein reject #4.3.0
 
Back
Top