DrWeb zwingen, vor SpamAssassin zu filtern?

[tron]

Hallo,

gegeben ist ein Server mit
- Suse Linux,
- Plesk 9.5.1 (100 Domains),
- SpamAssassin 3.1.7 (mit Plesk-Lizenz),
- DrWeb 5.01.1 (mit Plesk-Lizenz).

Kann ich den DrWeb irgendwie dazu zwingen vor SpamAssassin zu filtern und Viren zu entfernen?

Im Moment bekomme ich häufig von Spam-Assassin gemarkte E-Mails, welche im Anhang Viren mitbringen. Sende ich die Anhänge einfach noch einmal an mich selbst, werden sie anstandlos von DrWeb erkannt und ausgefiltert.

Somit gehe ich davon aus, dass SpamAssassin vor DrWeb filert, bzw. die Mails nach SpamAssassin nicht an DrWeb übergeben werden. Falls dem nicht so ist: Wo könnte der Fehler liegen?

Vielen Dank & ein schönes Restwochenende!

 

[Huschi]

DrWeb ist als Queue-Handler eingebunden und damit im MTA.
SpamAssassin wird erst zur Mail-Auslieferung in der .qmail-Datei aufgerufen und ist (grob gesehen) im MDA unter gebracht.
Ergo: es ist bereits so, dass die Mail erst durch DrWeb und dann durch SA läuft.

Warum DrWeb nicht schon vorher korrekt funktioniert, sagt Dir bestimmt Dein Logfile.

huschi.

 

[tron]

Warum DrWeb nicht schon vorher korrekt funktioniert, sagt Dir bestimmt Dein Logfile.

Da hätte ich schon mal rein schauen können, stimmt!
Geagt getan und für ein Beispiel heute mal rausgesucht:

Sep 28 01:22:41 v8 qmail-queue-handlers[30637]: Handlers Filter before-queue for qmail started ...
Sep 28 01:22:44 v8 qmail-queue-handlers[30637]: from=sender@sender12345.com
Sep 28 01:22:44 v8 qmail-queue-handlers[30637]: to=ziel@ziel12345.de
Sep 28 01:22:44 v8 greylisting filter[30639]: Starting greylisting filter...
Sep 28 01:22:45 v8 qmail-queue[30642]: scan: the message(drweb.tmp.KLle8d) sent by sender@sender12345.com ziel@ziel12345.de is passed

... sagt mir, dass die Mail gescannt, für gut befunden (?) und dann durchgewinkt wurde. Die E-Mail einfach an mich selbst weiter geleitet ...

Sep 28 06:55:56 v8 qmail-queue-handlers[32380]: from=ziel@ziel12345.de
Sep 28 06:55:56 v8 qmail-queue-handlers[32380]: to=ziel@ziel12345.de
Sep 28 06:55:56 v8 greylisting filter[32384]: Starting greylisting filter...
Sep 28 06:55:56 v8 qmail-queue[32385]: scan: the message(drweb.tmp.3tSuu5) sent by ziel@ziel12345.de to ziel@ziel12345.de has been stored in archive /var/drweb/infected/hastalavista.quarantine.XaZgmt

... ergibt, dass der Virus erkannt wurde. Dass dies hin und wieder mal passiert ist wohl so, aber im Verhältnis 1:50 hätte ich jetzt nicht so erwartet. Was sind eure Erfahrungen mit DrWeb bezüglich der Erkennungsraten?


Gleich noch eine Anschlussfrage:

DrWeb scannt auch E-Mail-Konten für die es mal eingerichtet war, aber wieder deaktiviert wurde. Wie bekomme ich das dort deaktiviert?

Greylisting hatte ich mal für eine Domain aktiviert und dann wieder deaktiviert. "Sep 28 06:55:56 v8 greylisting filter[32384]: Starting greylisting filter..." steht in den Logs allerdings für jede Mail. Ist das so gewollt?

Des weiteren scannt SpamAssassin wohl auch Mails, für deren Konten es gar nicht aktiviert ist - jedenfalls habe ich in den Logs entsprechende Einträge gefunden. Ist das auch so gewollt?

Vielen Dank & Viele Grüße!

 

[Huschi]

greylisting filter[32384]: Starting greylisting filter..." steht in den Logs allerdings für jede Mail. Ist das so gewollt?

Da Greylisting als globaler Handler eingebunden ist, wird er auch jedesmal aufgerufen. Er entscheidet dann anhand der Daten in der DB ob er agiert oder nicht.

Des weiteren scannt SpamAssassin wohl auch Mails, für deren Konten es gar nicht aktiviert ist

Überprüfe die .qmail-Datei der Konten unter /var/qmail/mailnames/DOMAIN/USER/.qmail.
Ansonsten brauchen wir hierzu die Logfile-Einträge. Denn wenn es wieder ein qmail-handler ist, gilt das Selbe wie oben für Greylisting.

huschi.