Suse & ClamAV & Postfix

[tsaenger]

Hallo,
Ich habe folgende Frage:
Ich bin ein Newbie in Sachen Linux und habe nen Suse 8.1 Rechner mit Postfix 1.x.
Ich möchte nun gerne mittels Clam-AV auf dem Rechner, der auch ein Mailserver darstellt ein Antivirus Programm installieren.
Leider verstehe ich den Zusammenhang noch nicht richtig. Was genau ist Clamav? Beinhaltet es nur eine Scanroutine für pop-Fächer oder kann es auch gleichzeitig gleichzeitig mittels eigener Virendefinitionsdateien die viren aus den Mails löschen?
Hat jemand das schon mal unter Suse installiert? Funktioniert das ohne Probleme? Wie muss ich es konfigurieren? Gibt es ein RPM-Package?
Welche Datei muss ich herunterladen?

Gruß und Danke

Tobias

 

[Yakima]

Hallo, ich habe mir eben clamav zum Mailscannen installiert - ging wunderbar.

Clamav findest Du bei : http://www.clamav.net

Zum installieren legst Du einen Benutzer und eine Gruppe für clamav an :

groupadd clamav
useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

dann entpackst Du clamav und installierst's

tar -xzf clamav*
cd clamav*
./configure --sysconfdir=/etc
make
make install

(make dauert ein wenig ... )

dann die Config-Datei anpassen :

vi /etc/clamav.conf

da muss am Anfang das Test auskommentiert werden und
wichtig ist die Einstellung für Mail ziemlich am Ende ... die anderen
Sachen musst Du halt mal durchlesen ob's gebraucht wird ...

Abspeichern, vi beenden ( :w :q )

dann besorgst Du Dir den Clamassassin von http://www.drivel.com/clamassassin/

und entpackst ihn, wechselst in das verzeichnis
und gibst ./configure ein.

dann noch ein wenig bearbeiten mit
vi clamassassin
und zwar die # vor subjecthead wegmachen, dann wird bei einem
erkannten Virus das Subject ähnlich wie bei Spamassassin verändert.
Wenn Du den ClamAV als Dämon verwendest muss beim Aufruf
clamdscan stehen, ansonsten clamscan ... sollte aber configure
eigentlich richtig eingetragen haben... (je nachdem der Dämon lief oder nicht)
speichern, beenden

dann clamassassin nach /usr/local/bin kopieren
cp clamassassin /usr/local/bin

und folgendes in die /etc/procmailrc einfügen :

:0fw
| /usr/local/bin/clamassassin


so werden Viren-Mails nur markiert - nicht gelöscht !

dann solltest Du noch ein Viren-Datenbank Update machen mit

freshclam

das kann man ja dann als cronjob eintragen, damit täglich aktualisiert wird ...
aber das kann ich Dir nicht erklären - muss ich selbst erst austüfteln ... bin auch noch Linux-Neuling

Gruß, Martin

 

[Tiese]

Danke!

Hallo,

es hat alles prima geklappt!

Aber wie kann ich es anstellen, daß die Mails gleich gelöscht werden?

Wer will schon Mails mit Viren auf seinem Rechner!


Danke für Eure Hilfe!

 

[Yakima]

Du musst folgendes in die Procmailrc schreiben :

####### Clamassassin - Clam Anti Virus aufruf
:0fw
| /usr/local/bin/clamassassin


###### erkannte Viren löschen lassen ###
:0:
* ^X-Virus-Status: Yes
/dev/null


(also der erste Teil sollte ja schon vorhanden sein wenn Deine
Viren bereits markiert werden)

 

[JensT]

Virenfreie Mails dann noch durch Spamassassin

Hallo,

danke für diesen Tipp, funktioniert prima.

Leider bin ich nicht so fit in procmail.

Kannst du mir sagen, was ich in die procmailrc reinschreiben muß, damit Mails die keinen Virus enthalten dann noch durch Spamassassin geschickt werden ?

Gruß,

Jens

 

[Volle]

Hallo,

vielen Dank für dieses HowTo! ClamAV läuft nun bei mir via Postfix und löscht alle Mails die Virenenthalten.

Ich bin jedoch noch auf der Suche nach einer Möglichkeit, nur die Virenentfernen zu lassen oder zumindest eine Info Mail an den Empfänger zu schicken, dass eine Mail mit Virus entdeckt und gelöscht wurde.

Lässt sich soetwas mit ClamAV realisieren?

Volle

 

[etofi]

Hallo,

vielen Dank für dieses HowTo! ClamAV läuft nun bei mir via Postfix und löscht alle Mails die Virenenthalten.

Ich bin jedoch noch auf der Suche nach einer Möglichkeit, nur die Virenentfernen zu lassen oder zumindest eine Info Mail an den Empfänger zu schicken, dass eine Mail mit Virus entdeckt und gelöscht wurde.

Lässt sich soetwas mit ClamAV realisieren?

Volle

Ich habe Clamd über Procmail eingebunden und bin nun auch auf der Suche nach dem entsprechenden "procmail" Script.
Hat jemand das schon erstellt - wäre klasse.

Vielen Dank.


Grüße
Eric

 

[etofi]

Ich habs selber gelößt...

1) Dieses Script installieren:
http://caspian.dotconf.net/menu/Software/SendEmail/

2) Das in procmailrc einfügen (natürlich bevor die Originalmail gelöscht wir ) :

############################################################
#Infomail über Virus
:0:
* ^Subject:[ ]*\/[^ ].*
{
BETREFF=$MATCH
}
:0:
* ^To:[ ]*\/[^ ].*
{
EMPFAENGER=$MATCH
}
:0:
* ^X-Virus-Report:[ ]*\/[^ ].*
{
VIRUS=$MATCH
}
:0:
* ^X-Virus-Status: Yes
| /usr/local/bin/sendEmail -f "webmaster@xy.org" \
                           -t "$EMPFAENGER" \
                           -u "$VIRUS IN EMAIL - $BETREFF" \
                           -m "Die original Email wurde gelöscht, da sie mit einem Virus befallen war." \
                           -q
############################################################

Grüße
Eric

 

[phpman2]

Hallo zusammen,

ich habe mich nach Eurem HOWTO gerichtet und es auch auf das 2te Mail geschafft dass soweit alle lief. Nun habe ich jedoch die Frage, wie ich denn sehe das "clamav" auch die EMails scannt ?

Muss ich hierzu keine Einträge in der /etc/postfix/main.cf oder master.cf
wie bei "avmailgate" eintragen ? Denn mein Logfile sieht so aus wenn eine Email reinkommt:

Dec 20 17:16:17 pluto postfix/smtpd[18328]: 0D50781A68C: client=xxxxxxxxxx.dip0.t-ipconnect.de[xx.xxx.xx.xxx], sasl_method=LOGI
N, sasl_username=web0p1
Dec 20 17:16:17 pluto postfix/cleanup[18331]: 0D50781A68C: message-id=<LKEJIBHPFJCEDNFMNAMCOEADDKAA.support@domain.de>
Dec 20 17:16:17 pluto postfix/qmgr[1548]: 0D50781A68C: from=<support@domain.de>, size=796, nrcpt=1 (queue active)
Dec 20 17:16:17 pluto postfix/smtpd[18328]: disconnect from xxxxxxxxxx.dip0.t-ipconnect.de[xx.xxx.xx.xxx]
Dec 20 17:16:20 pluto popper[18333]: Stats: web0p1 0 0 0 0 xxxxxxxxxx.dip0.t-ipconnect.de xx.xxx.xx.xxx [pop_updt.c:296]

ist das so richtig ??

in meinem "clamd.log" steht jedoch nichts!!

uns laufen tut der Daemon clamd irgendwie auch nicht. Wie muss
ich hier das clamd.conf & freshclam.conf ändern damit der daemon automatisch startet ?

Hoffe Ihr könnt mir hier weiterhelfen.

Vielen Dank.

Gruß, PHPman

 

[NormanErmer]

Hi,

funktioniert das ganze eigentlich auch so mit Postfix, Amavis und ClamAV?

Grüße
Norman

 

[Huschi]

Nun habe ich jedoch die Frage, wie ich denn sehe das "clamav" auch die EMails scannt ?

Die o.g. Lösungen arbeiten Mithilfe von procmail.
Hier mußt Du entweder ClamAV mitteilen, daß es selbst logfiles anlegen soll, oder eben procmail.

Muss ich hierzu keine Einträge in der /etc/postfix/main.cf oder master.cf

Nein, weil hier erst gescannt wird, wenn Postfix seine Arbeit erledigt hat.
Es gibt aber auch andere Methoden, aber darum geht es in diesem Thread ja nicht.

uns laufen tut der Daemon clamd irgendwie auch nicht.

Das ist wohl ein start-Problem. Entweder hast Du es nicht gestartet oder er wollte nicht starten.

huschi.

 

[phpman2]

Hallo Huschi,

sorry dass ich das dann falsch verstanden hatte.

Kannst Du mir dann evtl. sagen wo ich ein HowTo für die methode finde welche ich suche?

Bei AVMailGate war dass in der Docu drin nur in ClamAV hab ich das net gefunden.

Hoffe Du kannst mir hier weiterhelfen.

Gruß, PHPman

 

[Huschi]

Kannst Du mir dann evtl. sagen wo ich ein HowTo für die methode finde welche ich suche?

Tschuldige, hab dieses Jahr wieder keine Kristallkugel zu Weihnachten bekommen. Welche Methode suchst Du denn?

huschi.

 

[phpman2]

Hallo Huschi,

sorry, ich suche eine Methode wie Sie bei "AVMailGate" angewandt wurde/wird dort wird im Postfix der "Port" umgeleitet:

main.cf
content_filter = smtp:127.0.0.1:10024

master.cf
localhost:smtp-backdoor inet n - n - - smtpd -o content_filter= -o smtpd_recipient_restrictions=permit_sasl_authenticated,perm
it_mynetworks,check_relay_domains

also ich hab damals einfach "AVMailGate" installiert und dann im postfix das eintragen. Dann hat der AVMailGate entsprechend eine InfoMail an den User versendet und dem Admin auch ne Mail zugesandt.

Die Viren wurden damit dann vor dem "Einsortieren" gescannt.

Wie mache ich das mit ClamAV? Und was habe ich mit der oben beschriebenen Methode erreicht?

Sorry aber ich steig da leider vor lauter zusatz Scripts nicht ganz durch.

Hoffe Du kannst mir helfen.

Vielen Dank.

Gruß, PHPman

 

[phpman2]

Hallo,

wie kann ich mit ClamAV so modifizieren dass es eine EMail wie diese erzeugt.

* * * * * * * * * * * * * * * AntiVir ALERT * * * * * * * * * * * * * * *
This version of AntiVir is licensed for private and non-commercial use.

AntiVir has detected the following in a mail sent through your server:

        Worm/Sober.Y worm (x2)	

The mail was not delivered.

It has been quarantined with the following queue id:

        10361-29A9361D

Mail-Info:
--8<--

 Message-Id: <xxxxx@lxxxxxx.com>
 From: [email]Postmaster@domain3.co.uk[/email]
 To: [email]Z-Account@domain2.de[/email]
 Date: Tue, 27 Dec 2005 12:27:24 UTC
 Subject: Account_Information
 Mail-From: [email]Postmaster@domain.net[/email]
 Rcpt: [email]web5p3@domain.net[/email]
 Rcpt: [email]web5p2@domain.net[/email]
 Rcpt: [email]web5p10@domain.net[/email]
 Queue-Id: 10361-29A9361D
 Status: The mail was not delivered!

--8<--


Log-File:
--8<--

checking file "/var/spool/avmailgate/incoming/df-10361-29A9361D"

--8<--
This version of AntiVir is licensed for private and non-commercial use.

-- 
AntiVir for UNIX
Copyright (c) 1994-2005 by H+BEDV Datentechnik GmbH.
All rights reserved.
For more information see [url]http://www.antivir.de/[/url] or [url]http://www.hbedv.com/[/url]

lässt sich das irgendwie mir der im Thread beschrieben methode realisieren ?

Hoffe Ihr könnt weiterhelfen.

Gruß, PHPman

 

[Huschi]

lässt sich das irgendwie mir der im Thread beschrieben methode realisieren ?

Etwas schwieriger, da Du procmail diese Email bei bringen müsstest.
Deshalb schwing um auf Amavis als Postfix-Filter. Dem kann man sowas mit nur einem Parameter in der Config beibringen.

Den kann man dann auch wie das AVMailGate in die Postfix-Queue einhängen.

PS: Mach doch bitte für Deine eigenen Probleme einen eigenen Thread auf.

huschi.

 

[rethus]

Hallo Leute, könnt Ihr mir mal helfen?
Habe alles nach Anleitung gemacht, aber die Mail mit dem Testvirus (eicar - Anti-Virus test file) wird nicht rausgefischt...

Das Loging hab ich aktiviert, aber in den Logs tuts sich absolut nichts?

Lade ich den Testvirus auf den Server, erkennt er Ihn:

clamscan ./eicar.com
./eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 74550
Engine version: 0.88.5
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Time: 2.015 sec (0 m 2 s)

Nur aus den Mails scheint er die nicht zu testen...

Hier meine /etc/procmailrc:
PS: Hab das Script clamassassin nach /usr/bin/ kopiert, nicht wie in der Anleitung nach /usr/local/bin/

verbose=yes
LOGFILE=/var/log/procmail.log

:0fw
| /usr/bin/clamassassin

:0
* ^To: spamming@xxx.de
{

:0fw
| /usr/local/bin/sa-wrap.pl --spam

:0
/dev/null
}

:0
* ^To: no-spaming@xxx.de
{

:0fw
| /usr/local/bin/sa-wrap.pl --ham

:0
/dev/null
}

Die Procmail.rc hatte ich aber soweit ich mich erinner mal händisch angelegt... Wie prüfe ich ob Procmail überhaupt genutzt wird?
Ein ps aux |grep procmail ergibt nichts. Auch die log-datei von Procmail ist leer.

PS: Ich nutze PLESK 8.01 auf dem Server.

 

[Huschi]

PS: Ich nutze PLESK 8.01 auf dem Server.

Dann bist Du in diesem Thread falsch. Denn Plesk setzt Qmail als MTA ein. Dieser Thread behandelt aber nur Postfix. Suche im Board nach passenden Threads. (Ja gibt es.)

huschi.