ClamAV

[okossmann]

Hola,

und wieder ich ud diesesmal zu clamAV.

Wie kann ich die "mail-kette" sehen.

Also ich gehe mal davon aus, das es folgendermassen abläuft.

Mail wird von exim entgegen genommen -> spamassassine -> ClamAV -> Exim -> Mailbox !??

Wer hat bei dieser config die "oberaufsicht" ? Exim ?

Puh, fragen über fragen.

gruessle

Oliver

 

[Tobster]

Exim hat die Kette in der Aufsicht bzw. eine Kette ist es nicht. Es geht alles vom Exim aus.

Und sie stellt sich wie folgt zusammen. Exim erhält die Mails, gibt eine Kopie an Spamassasin weiter, reagiert auf den Rückgabewert des Spammassasin (verändern, ablehnen oder ...), gibt eine Kopie an den ClamAV, reagiert auf den Rückgabewert des ClamAV (verändern, ablehnen oder ...), liefert die Mail aus. Ob jetzt zuerst ClamAV oder zuerst Spammassasin ist mir nicht bekannt.

 

[okossmann]

Hola Tobster,

danke für die antwort.

Kennst du irgendeine Möglichkeit wie ich testen kann, ob clamAV auch funktioniert ?

Gruessle

Oliver

 

[Tobster]

Klar kenne ich die. Schicke dir mal eine E-Mail mit dem Testvirus Eicar im Anhang (findest du bei google). Und beobachte in diesem Zeitraum die Exim mainlog.

Natürlich musst du sicherstellen, dass dein lokaler Virenscanner es nicht verhindert die Mail zu schicken!

 

[okossmann]

Hola Tobster,

exim nimmt die mail garnicht an und über einen anderen dienst bekomme ich die mail auch nicht verschickt.

Ist das gut, wenn er sie nicht annimmt`, oder heißt das nix ?

Gruessle

Oliver

 

[dcdead]

Ja, das ist gut. Exim lehnt nämlich Virenmails standardmäßig direkt ab, so wie das bei dir passiert.

 

[okossmann]

Hola dcdead,

ist es denn auch so, dass diese mail durch clamav gelaufen ist, denn darum ging es mir ja, zu wissen ob das ding überhaupt arbeitet.

gruessle

Oliver

 

[dcdead]

Was sagt denn die Fehlermeldung im Client genau?

 

[okossmann]

Hola,

hier die fehlermeldung.


Antwort des Servers: 550 Message contains malware or a virus (Eicar-Test-Signature)."

gruessle

Oliver

 

[dcdead]

Na, genau das wolltest du doch sehen Mail wurde nicht angenommen, da sie nen Virus enthält

 

[okossmann]

Mhm, ja , ok.

Ich dachte eben der weg wäre anders.

Ich dachte die mail wird auf jeden fall angenommen und dann lokal geprüft und dann gelöscht oder zugestellt.

Ich überlege nur, wie das bei einem größereren anhang funktioniert ..

gruessle

Oliver

 

[dcdead]

Die main wird ja auch auf dem Server geprüft, nur dass der dir dann direkt bescheid sagt und nicht einen bounce zurückschickt. Ist imho so auch praktischer

 

[Tobster]

Ich überlege nur, wie das bei einem größereren anhang funktioniert ..

Da funktioniert das genauso. Der DServer nimmt die Mail an (und zwar komplett) prüft sie und sagt dann dem Clienten ob alles ok ist oder eben nicht. Genau das gleiche passiert auch wenn die Mail nicht routebar wäre o.ä..

 

[shudson8472]

Hello Zusammen

ich habe die test virus benutzed und es kommt durch!!!!!

obwohl ich habe spamd, clamav und amavis am laufen
mit suse9.3, und confixx von sy4

Muß ich etwas anders machen im config irgwanwo??

danke im voraus

Jul 29 17:25:08 mysever clamd[4511]: --- Stopped at Sat Jul 29 17:25:08 2006 
Jul 29 17:28:41 mysever authdaemond.plain: modules="authcustom authcram authuserdb authldap authpam", daemons=5
Jul 29 17:28:41 mysever clamd[4382]: Daemon started. 
Jul 29 17:28:41 mysever clamd[4382]: clamd daemon 0.88.2 (OS: linux-gnu, ARCH: i386, CPU: i686) 
Jul 29 17:28:41 mysever clamd[4382]: Log file size limited to 1048576 bytes. 
Jul 29 17:28:41 mysever clamd[4382]: Running as user vscan (UID 65, GID 106) 
Jul 29 17:28:41 mysever clamd[4382]: Reading databases from /var/lib/clamav 
Jul 29 17:28:43 mysever clamd[4382]: Protecting against 62947 viruses. 
Jul 29 17:28:43 mysever clamd[4382]: Bound to address 127.0.0.1 on port 3310 
Jul 29 17:28:43 mysever clamd[4382]: Setting connection queue length to 15 
Jul 29 17:28:43 mysever clamd[4382]: Archive: Archived file size limit set to 10485760 bytes. 
Jul 29 17:28:43 mysever clamd[4382]: Archive: Recursion level limit set to 8. 
Jul 29 17:28:43 mysever clamd[4382]: Archive: Files limit set to 1000. 
Jul 29 17:28:43 mysever clamd[4382]: Archive: Compression ratio limit set to 250. 
Jul 29 17:28:43 mysever clamd[4382]: Archive support enabled. 
Jul 29 17:28:43 mysever clamd[4382]: Archive: RAR support disabled. 
Jul 29 17:28:43 mysever clamd[4382]: Portable Executable support enabled. 
Jul 29 17:28:43 mysever clamd[4382]: Mail files support enabled. 
Jul 29 17:28:43 mysever clamd[4382]: OLE2 support enabled. 
Jul 29 17:28:43 mysever clamd[4382]: HTML support enabled. 
Jul 29 17:28:43 mysever clamd[4382]: Self checking every 1800 seconds. 
Jul 29 17:28:47 mysever amavis[4394]: starting.  /usr/sbin/amavisd at mysever amavisd-new-2.2.1 (20041222), Unicode aware
Jul 29 17:28:47 mysever amavis[4394]: Perl version               5.008006
Jul 29 17:28:48 mysever amavis[4739]: Module Amavis::Conf        2.034
Jul 29 17:28:48 mysever amavis[4739]: Module Archive::Tar        1.29
Jul 29 17:28:48 mysever amavis[4739]: Module Archive::Zip        1.16
Jul 29 17:28:48 mysever amavis[4739]: Module BerkeleyDB          0.26
Jul 29 17:28:48 mysever amavis[4739]: Module Compress::Zlib      1.34
Jul 29 17:28:48 mysever amavis[4739]: Module Convert::TNEF       0.17
Jul 29 17:28:48 mysever amavis[4739]: Module Convert::UUlib      1.06
Jul 29 17:28:48 mysever amavis[4739]: Module DBI                 1.47
Jul 29 17:28:48 mysever amavis[4739]: Module DB_File             1.810
Jul 29 17:28:48 mysever amavis[4739]: Module MIME::Entity        5.420
Jul 29 17:28:48 mysever amavis[4739]: Module MIME::Parser        5.420
Jul 29 17:28:48 mysever amavis[4739]: Module MIME::Tools         5.420
Jul 29 17:28:48 mysever amavis[4739]: Module Mail::Header        1.74
Jul 29 17:28:48 mysever amavis[4739]: Module Mail::Internet      1.74
Jul 29 17:28:48 mysever amavis[4739]: Module Mail::SpamAssassin  3.001001
Jul 29 17:28:48 mysever amavis[4739]: Module Net::Cmd            2.26
Jul 29 17:28:48 mysever amavis[4739]: Module Net::DNS            0.57
Jul 29 17:28:48 mysever amavis[4739]: Module Net::SMTP           2.29
Jul 29 17:28:48 mysever amavis[4739]: Module Net::Server         0.93
Jul 29 17:28:48 mysever amavis[4739]: Module Time::HiRes         1.87
Jul 29 17:28:48 mysever amavis[4739]: Module Unix::Syslog        0.99
Jul 29 17:28:48 mysever amavis[4739]: Amavis::DB code        loaded
Jul 29 17:28:48 mysever amavis[4739]: Amavis::Cache code     loaded
Jul 29 17:28:48 mysever amavis[4739]: Lookup::SQL code       NOT loaded
Jul 29 17:28:48 mysever amavis[4739]: Lookup::LDAP code      NOT loaded
Jul 29 17:28:48 mysever amavis[4739]: AMCL-in protocol code  loaded
Jul 29 17:28:48 mysever amavis[4739]: SMTP-in protocol code  loaded
Jul 29 17:28:48 mysever amavis[4739]: ANTI-VIRUS code        loaded
Jul 29 17:28:48 mysever amavis[4739]: ANTI-SPAM  code        loaded
Jul 29 17:28:48 mysever amavis[4739]: Unpackers  code        loaded
Jul 29 17:28:48 mysever amavis[4739]: Found $file       at /usr/bin/file
Jul 29 17:28:48 mysever amavis[4739]: No $arc,          not using it
Jul 29 17:28:48 mysever amavis[4739]: Found $gzip       at /usr/bin/gzip
Jul 29 17:28:48 mysever amavis[4739]: Found $bzip2      at /usr/bin/bzip2
Jul 29 17:28:48 mysever amavis[4739]: No $lzop,         not using it
Jul 29 17:28:48 mysever amavis[4739]: Found $lha        at /usr/bin/lha
Jul 29 17:28:48 mysever amavis[4739]: Found $unarj      at /usr/bin/unarj
Jul 29 17:28:48 mysever amavis[4739]: Found $uncompress at /usr/bin/uncompress
Jul 29 17:28:48 mysever amavis[4739]: No $unfreeze,     not using it
Jul 29 17:28:48 mysever amavis[4739]: Found $unrar      at /usr/bin/unrar
Jul 29 17:28:48 mysever amavis[4739]: Found $zoo        at /usr/bin/zoo
Jul 29 17:28:48 mysever amavis[4739]: No $pax,          not using it
Jul 29 17:28:48 mysever amavis[4739]: Found $cpio       at /usr/bin/cpio
Jul 29 17:28:48 mysever amavis[4739]: Found $ar         at /usr/bin/ar
Jul 29 17:28:48 mysever amavis[4739]: Found $rpm2cpio   at /usr/bin/rpm2cpio
Jul 29 17:28:49 mysever amavis[4739]: Found $cabextract at /usr/bin/cabextract
Jul 29 17:28:49 mysever amavis[4739]: No $ripole,       not using it
Jul 29 17:28:49 mysever amavis[4739]: No $dspam,        not using it
Jul 29 17:28:49 mysever amavis[4739]: Found secondary av scanner ClamAV-clamscan at /usr/bin/clamscan
Jul 29 17:28:49 mysever amavis[4739]: Creating db in /var/spool/amavis/db/; BerkeleyDB 0.26, libdb 4.3
Jul 29 17:28:50 mysever freshclam[4797]: Daemon started. 
Jul 29 17:28:50 mysever freshclam[4800]: freshclam daemon 0.88.2 (OS: linux-gnu, ARCH: i386, CPU: i686) 
Jul 29 17:28:50 mysever freshclam[4800]: ClamAV update process started at Sat Jul 29 17:28:50 2006 
Jul 29 17:28:50 mysever freshclam[4800]: WARNING: Your ClamAV installation is OUTDATED! 
Jul 29 17:28:50 mysever freshclam[4800]: WARNING: Local version: 0.88.2 Recommended version: 0.88.3 
Jul 29 17:28:50 mysever freshclam[4800]: DON'T PANIC! Read http://www.clamav.net/faq.html 
Jul 29 17:28:50 mysever freshclam[4800]: main.cvd is up to date (version: 39, sigs: 58116, f-level: 8, builder: tkojm) 
Jul 29 17:28:50 mysever freshclam[4800]: daily.cvd is up to date (version: 1625, sigs: 4831, f-level: 8, builder: sven) 
Jul 29 17:28:50 mysever freshclam[4800]: -------------------------------------- 
Jul 29 17:28:54 mysever spamd[4848]: spamd starting 
Jul 29 17:28:54 mysever postfix/postfix-script: starting the Postfix mail system
Jul 29 17:28:55 mysever postfix/master[4919]: daemon started -- version 2.2.1, configuration /etc/postfix
Jul 29 17:29:00 mysever spamd[4906]: server started on port 783/tcp (running version 3.0.4) 
Jul 29 17:29:00 mysever spamd[4906]: server successfully spawned child process, pid 5104 
Jul 29 17:29:00 mysever spamd[4906]: server successfully spawned child process, pid 5105 
Jul 29 17:29:00 mysever spamd[4906]: server successfully spawned child process, pid 5106 
Jul 29 17:29:00 mysever spamd[4906]: server successfully spawned child process, pid 5107 
Jul 29 17:29:00 mysever spamd[4906]: server successfully spawned child process, pid 5108

 

[dcdead]

Was für einen MTA benutzt du denn? Sieht so aus, als ob amavis nicht eingebunden wäre.

 

[shudson8472]

opps habe ich vergessen

postfix mit procmail und spamassasin

Spamassasin laüft ohne problem

Danke und Tschüß

 

[dcdead]

Dann brauchst du eigentlich kein amavis... Du kannst den Klammaffen direkt aus procmail starten. Ansonsten musst du amavis nocht in postfix einbinden (gibt da 3 verschiedene Möglichkeiten das zu machen - google sollte helfen )

 

[shudson8472]

Hi dcdead

habe ich für postfix clamav und procmail gegoogled
habe eien parr infos gefunden, aber leider fehlt die "How tos"
info wie Trashscan kommt nicht mehr mit clamav usw and
eien paar andere dinge fehlt.

habe ich für amavis postfix und clamav nachgeschaut
und gibt da auch info,

im meine etc/postfix/master.cf habe ich folgendes schone

# Amavisd integration
127.0.0.1:10025 inet    n       -       y       -       -       smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes

smtp-amavis     unix    -       -       y       -       2       smtp
        -o smtp_data_done_timeout=1200
        -o disable_dns_lookups=yes
# End of Amavisd integration

und im etc/postfix/

# amavisd integration

#content_filter = smtp-amavis:[alpha981.myserver.de]:100024

# end of amavisd integration

Habe ich die # weggemacht von #content_filter und leider kommt überhaupt
kein mails an

im mail log habe ich folgendes

Jul 30 17:21:35 alpha981 postfix/smtp[23869]: fatal: bad network port in destination: [alpha981.myserver.de]:100024
Jul 30 17:21:36 alpha981 postfix/qmgr[23866]: warning: premature end-of-input on private/smtp-amavis socket while reading input attribute name
Jul 30 17:21:36 alpha981 postfix/qmgr[23866]: warning: private/smtp-amavis socket: malformed response
Jul 30 17:21:36 alpha981 postfix/qmgr[23866]: warning: transport smtp-amavis failure -- see a previous warning/fatal/panic logfile record for the problem description
Jul 30 17:21:36 alpha981 postfix/master[23856]: warning: process /usr/lib/postfix/smtp pid 23869 exit status 1

Danke in Voraus

 

[shudson8472]

Waving the flag for S4Y support

well after I did not get anywhere with Amavisd integration I got in touch with the support guys at server4you
after waiting the normal 24 to 48 hours a Mr H decided to answer my support ticket.

so to get the integration going he recommended in master.cf one of the first entrys

smtp inet n - n - 2 smtpd -o content_filter=smtp:[127.0.0.1]:10024

then in main.cf

#content_filter = smtp-amavis:[myserver.myserver.de]:100024

was recommend to remove the # and also the extra 0 dont know how that got there

but I got a further problem, the test virus still got through
looking at the log files I came across the following error message

Aug 7 16:55:02 myserver amavis[5109]: (05109-01) TROUBLE in check_mail: mime_decode-1 FAILED: parsing file(1) results - missing last 1 results at (eval 57) line 156.
Aug 7 16:55:02 myserver amavis[5109]: (05109-01) PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20060807T165502-05109

on further googling and reading this forum we came to the conclusion that the pearl modue NET::Server 0.94 had a bug
when working with Amavisd-New 2.2.1.

The choice was then to upgrade Amavised (no new suse rpms avalible ) or downgrade NET::Server to 0.90.

I downgraded the NET::Server module to 0.90. reset the my root server and resent the test virus

and now in the log file I have the following

amavis[5501]: (05501-02) Blocked INFECTED (Eicar-Test-Signature)

so a big thank you to S4Y support and this board