• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

V-Server Strato Spamassassin + ClamAV HowTo mit Qsheff

.procmailrc

Wo sollte die denn sonst liegen?

Für Hilfe wäre ich dankbar. Da ich wenig Umgang und Erfahrung mit Linux habe.

Gruß

Benjamin
 
Preisgeld

Jetzt habe ich fast 30 Seiten zum eigentlichen Thema gelesen.
Die vielen Themenwechsel innerhalb des Threads machen mir langsam Kopfschmerzen... :(
Ein funktionierendes System ist überdies bisher auch nicht dabei herausgekommen, stets bleibe ich an den Stellen kleben, wo auch schon Linuxpfeiffe und Co. heimtückisch ausgebremst wurden.

Kann sich denn bitte einer der Experten mal daran machen, ein VOLLSTÄNDIGES, FEHLERKORRIGIERTES und dokumentiertes Tutorial (oder am besten gleich ein Script) zu schreiben und publik zu machen, mit dem man ClamAV und SpamAssassin auf einen handelsüblichen V-Server (von Strato) installieren kann?

Wenn's garnicht anders geht, geb ich auch was dafür aus... aber auch nur, wenn es tatsächlich läuft. (ist ernstgemeint)
 
ein VOLLSTÄNDIGES, FEHLERKORRIGIERTES und dokumentiertes Tutorial
Das ist auf huschi.net so.
Man muß nur alle Feinheiten beachten und ggf. auf Veränderungen reagieren können.
Niemand sagt, daß Server-Admin eine leichte Aufgabe ist...

auf einen handelsüblichen V-Server (von Strato) installieren kann?
Das Problem ist, daß keiner von uns "Experten" einen handelsüblichen Strato-V-Server hat. :)
Und selbst bei denen gibt es wieder Unterschiede....

huschi.
 
Hallo Huschi!

Da gebe ich dir schon Recht: jeder Server ist vollkommen anders, 2x die gleiche Config wird man wohl nirgends finden. Das Tutorial auf deiner Homepage habe ich auch schon mehrfach angewendet, 3/4 der knapp 20.000 Aufrufe dürften daher von mir sein... :) Nicht, daß wir uns falsch verstehen, finde es super, daß Du dir die viele Arbeit machst!!! Und ohne die von Dir gebotenen Hilfestellungen wäre ich überhaupt nicht voran gekommen...

Nur werden in dieser Diskussion von den Teilnehmern einige Einstellungen und Mitteilungen genannt, die ich so nicht in deiner Anleitung wiederfinde, wie z.B. die "-x"-Option in der Sysconfig für den spamd. Oder die "-i"-Option, mit der man den Fehler

spamc[11836]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#3 of 3): Connection refused

wegbekommt. Ich möchte doch einfach nur anregen, daß Du diese Dinge vielleicht einfach zu den Anmerkungen hinzufügst - und damit so manche Konfusion beim Laboranten vermeidest...

Wie schon gesagt, es gebührt Dir auf jeden Fall ein dickes Lob!
 
Diese Tips stehen ebenfalls auf huschi.net. Nur eben nicht zusammen in dem Howto. Denn diese Fehlermeldungen können auch Andere haben. Und daher haben sie die Ehre ein eigenes Howto zu erhalten.

Wie ich schon sagt:
Als Admin muß man "reagieren" können. (Oder zumindest mit Google zurecht kommen.)
Wer ständig nur bis aufs kleinste i-Tüpfelchen genauen Howto's nachjammert, sollte einfach mal selber eins schreiben und merken wie schwierig es ist, alle Einzelfälle abzudecken.

Abgesehen davon lernt man dann nichts!
Und das ist gegen meine Gesinnung.
Ich möchte lediglich Hinweise geben wie es ebenfalls funktionieren kann.

huschi.
 
Anleitungen 1. Mit Maildrop Spam aussortieren. 2. Mit qSheff Spam effizienter löschen. 3. Greylisting in Qmail einbinden.

Zuerst eine kleine Ergänzung zu der Zusammenstellung: qSheff + Spamassassin + ClamAV + SA24 + vpopmail, Suse 9.3, Strato!

Das Gespann läuft auch bei mir zuverlässig, allerdings ist noch DCC, Razor & Pyzor, iXHash dabei =). Das steigert die Spamerkennung beträchtlich.
Zuerst eine Spammail inkl. Header von DCC und Pyzor. Wen das nicht interessiert, einfach zu Punkt 2. springen.

Received: (qmail 21156 invoked by uid 60000); 20 Mar 2008 00:42:30 -0000
X-Mail-Scanner: Scanned by qSheff-II-2.1-r2 (qSheff - Opensource Antivirus & Antispam and content filter solution for qmail)
Subject: *****SPAM(36.5)***** Give her the ultimate pleasure
Date: Wed, 19 Mar 2008 19:42:33 -0500
Message-Id: <000701c88a23$495a6b10$9f8ebf44@Grace>
X-Spam-DCC: Body=1 Fuz1=467 Fuz2=many
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.2.1 (2007-05-02) on
xxxxx.stratoserver.net
X-Spam-Level: ************************************
X-Spam-Status: Yes, score=36.5 required=8.5 tests=BAYES_99,DCC_CHECK,
DIGEST_MULTIPLE,HTML_MESSAGE,IXHASH,LOGINHASH,LOGINHASH2,PYZOR_CHECK,
RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,TVD_RCVD_I
TVD_RCVD_IP4,URIBL_AB_SURBL,URIBL_BLACK,URIBL_JP_SURBL,URIBL_OB_SURBL,
URIBL_SC_SURBL autolearn=spam version=3.2.1
X-Spam-Pyzor: Reported 8 times.
MIME-Version: 1.0

Der ausführliche Bericht sieht dann so aus:

* 3.5 BAYES_99 BODY: Spamwahrscheinlichkeit nach Bayes-Test: 99-100%
* [score: 1.0000]
* 3.2 TVD_RCVD_IP4 TVD_RCVD_IP4
* 1.9 TVD_RCVD_IP TVD_RCVD_IP
* 4.5 LOGINHASH BODY: iXhash says its spam
* 2.5 IXHASH BODY: iXhash says its spam
* 0.0 HTML_MESSAGE BODY: Nachricht enth.lt HTML
* 2.5 LOGINHASH2 BODY: iXhash says its spam
* 1.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
* above 50%
* [cf: 100]
* 0.5 RAZOR2_CHECK Gelistet im "Razor2"-System (Vipul's Razor: home)
* 0.5 RAZOR2_CF_RANGE_51_100 Razor2 Spam-Bewertung liegt zwischen 51 und
* 100
* [cf: 100]
* 3.7 PYZOR_CHECK Gelistet im Pyzor-System (Pyzor)
* 4.9 DCC_CHECK Gelistet im DCC-System
* (Distributed Checksum Clearinghouse)
* 2.0 URIBL_BLACK Contains an URL listed in the URIBL blacklist
* [URIs: drogbsae.com]
* 1.9 URIBL_AB_SURBL Enth.lt URL in AB-Liste (SURBL)
* [URIs: drogbsae.com]
* 1.5 URIBL_JP_SURBL Enth.lt URL in JP-Liste (SURBL)
* [URIs: drogbsae.com]
* 1.5 URIBL_OB_SURBL Enth.lt URL in OB-Liste (SURBL)
* [URIs: drogbsae.com]
* 0.5 URIBL_SC_SURBL Enth.lt URL in SC-Liste (SURBL)
* [URIs: drogbsae.com]
* 0.0 DIGEST_MULTIPLE Mehrere Internettests (Razor, DCC, Pyzor, etc.)
* treffen zu

Da auf dem Server ne ganze Menge Spams eingehen und die trotz Kennzeichnung durch Spamassassin in den Postfächern der User landen, habe ich folgende Dinge eingebaut. Die Anleitung bezieht sich auf vpopmail und Qmail in Verbindung mit SA24, Suse 9.3(Strato)

2. Spam aussortieren bzw. in die Tonne kloppen mit qSheff und Maildrop

2.1 Maildrop einrichten(war bei mir schon drauf...)

1. Wir legen uns eine Config für Maildrop an, zB:

cut > /etc/mailfilter

In diese Datei kommt folgendes, von mir geändertes und vom orginal abweichendes Script. Das Orginal(funktioniert so nicht!) befindet sich hier -> Intelligenter Filtermechanismus mit Qmail, Spamassassin und separaten IMAP-Ordnern « 01 « 2007 « Ausgaben « ABO & ARCHIV « Linux-Magazin Online. Wichtig sind die Pfadangaben zu "vpopmail"! Das Script erstellt zu den vorhandenen Mailaccounts jeweils einen Ordner (Spamverdacht und Spamlernen)

Code:
## Maildrop fuer vpopmail (Strato SA24 + Qmail + SA + qSheff + ClamAV)
SHELL="/bin/bash"

#Logfile fuer maildrop
logfile "/var/log/maildrop.log"

import EXT
import HOST

VPOP="| /home/vpopmail/bin/vdelivermail '' bounce-no-mailbox"
VHOME=`/home/vpopmail/bin/vuserinfo -d $EXT@$HOST`

SPAMFOLDER="Spamverdacht"
LEARNFOLDER="Spamlernen"

log "EXT is $EXT"
log "HOST is $HOST"
log "VHOME is $VHOME"

`test "$EXT" == "doublebounce"`
 if ( $RETURNCODE == 0 )
 {
      log "Delete doublebounce"
      exit
 }

 `test "$VHOME" == ""`
 if ( $RETURNCODE == 0 )
 {

      log "$EXT@$HOST - Mailboxname unbekannt -> Qmail!"
      to "$VPOP"

      # oder auf die harte Tour =)
      # to "/dev/null/"
}

# BenutzerSpamverzeichnis erstellen, wenn nicht vorhanden
`test -d "$VHOME/Maildir/.$SPAMFOLDER"`
if( $RETURNCODE == 0 )
 {
 }
 else
 {

      `/usr/local/bin/maildirmake -f "$SPAMFOLDER" "$VHOME/Maildir"`
      `chown vpopmail:vchkpw -R "$VHOME/Maildir/.$SPAMFOLDER"`

      `/usr/local/bin/maildirmake -f "$LEARNFOLDER" "$VHOME/Maildir"`
      `chown vpopmail:vchkpw -R "$VHOME/Maildir/.$LEARNFOLDER"`

      `echo "INBOX.Spamverdacht" >> $VHOME/Maildir/courierimapsubscribed`
      `echo "INBOX.Spamlernen" >> $VHOME/Maildir/courierimapsubscribed`
 }

if (/^X-Spam-Status: *Yes/)
 {
      log "Spam!!!"
      # then try delivering it to a Spam folder
      exception {
          to "$VHOME/Maildir/.$SPAMFOLDER"
      }

    # Fuer den Fall, dass was mit dem Spamverz. in die Hose gegangen ist=)
    # exception {
    #      to "$VPOP"
    #  }
 }
 else
 {
      exception {
         to "$VHOME/Maildir/"
      }
 }

Jetzt setzen wir die Rechte noch!!!:

Code:
chmod 700 /etc/mailfilter
chown vpopmail.vchkpw /etc/mailfilter

Logfile anlegen:

Code:
cut > /var/log/maildrop.log

Nun müssen wir noch die .qmail-default für die gewünschten Domains anpassen:
Bei mir liegt die unter

Code:
/home/vpopmail/domains/domain_xyz/.qmail-default

aus:
Code:
| /home/vpopmail/bin/vdelivermail '' bounce-no-mailbox

wird:
Code:
| maildrop /etc/mailfilter

Qmail neustarten! Logfiles auf Fehler prüfen! Es sollten nun nach einiger Zeit und je nach Spamaufkommen die Ordner (Spamverdacht & Spamlernen) innerhalb der Useraccounts angelegt werden und der Ordner Spamverdacht sollte sich mit Spams füllen ;)
Gute Mails werden normal in die jeweiligen Maildir's einsortiert.Dies gilt für alle Mailaccounts innerhalb der Domain! Im Logfile maildrop.log sollten sich folgende Einträge tummeln:

EXT is Empfänger
HOST is domain
VHOME is /home/vpopmail/domains/domain/Empfänger
Date: Thu Mar 20 02:13:04 2008
From: sender@domain.de
Subj: Eine neue Nachricht ist eingetroffen
File: /home/vpopmail/domains/domain/Emfänger/Maildir/ (1363)

EXT is Empfänger
HOST is domain
VHOME is /home/vpopmail/domains/domain/Empfänger
Spam!!!
Date: Thu Mar 20 01:42:31 2008
From: "Dominc petek" <schimpte1978@2ndne.jp>
Subj: *****SPAM(36.5)***** Give her the ultimate pleasure
File: /home/vpopmail/domains/domain/Empfänger/Maildir/.Spamverdacht (6214)

Auf den Ordner Spamlernen gehe ich an dieser Stelle nicht ein, da der SA bei mir automatisch den Spam lernt. Der interessierte Leser wird aber die Bedeutung dieses Ordners einzuordnen wissen.

2.2 qSheff härter durchgreifen lassen(löscht Spammails)

Qsheff ist in der Lage, Spammails laut qsheff.rules zu entsorgen, nur nicht besonders effizient. Die Mails werden ja durch Spamassassin gekennzeichnet und per qmail-queue zurückgeschrieben. Die Filterung lässt sich extrem steigern, wenn wir folgende Rules in die qsheff.rules einfügen:

Code:
h: (X-Spam-Status:)(Yes)
h: (X-Spam-Flag:)(YES)

Dann überprüfen wir noch folgende Einträge in der qsheff.conf

Code:
enable_quarantine = 1
enable_header_filter = 1

Die Headerprüfung reicht hier völlig aus, da wir nur nach der & - Verknüpfung von [X-Spam-Status:] + [YES] oder [X-Spam-Flag:] + [Yes] suchen.
Alle Mails, die mit dem X-Spam-Status = Yes oder X-Spam-Flag = YES im Header markiert sind, werden nun von qSheff gelöscht bzw. gelangen nicht mehr zu den Usermailaccounts. Im Grunde kann man sämtliche anderen Spamrules aus der Datei qsheff.rules entfernen. Nur beiden Spamtags übernehmen jetzt die Arbeit =) Wer mutig ist, kann die Option "enable_quarantine = 1" noch auf "0" setzen. Nach einiger Zeit das Logfile von qSheff sichten:

Code:
19/03/2008 18:51:34: [qSheff] SPAM, queue=0056.....,....., rule=`(X-Spam-Status:)(Yes)

Die Variante mit qSheff entlastet auch den Server merklich, da die Spammails nicht mehr hin und her gequeut werden.
Nun hat aber Maildrop weniger zu tun...=)

Für den Fall, dass der qmail-scanner noch parallel zum qsheff + SA + Clam läuft, sollte die Datei

/var/qmail/supervise/qmail-smtpd/run

editiert werden. Macht ja auch keinen Sinn, alles doppelt auf Spam und Viren zu prüfen. Der Speicher und die CPU werden's danken. Bei mir war das so...warum auch immer=). Wir entfernen folgende Zeilen oder ergänzen jeweils ein #.

...
# QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
# export QMAILQUEUE
...

Wenn die Datei schon einmal offen ist, können wir einen RBL-Check einfügen und die Berufsspamer an der Haustüre abwinken =).

...
/usr/local/bin/tcpserver -R -D -v -p -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp \
rblsmtpd \
-r zen.spamhaus.org \
-r bl.spamcop.net \
-r list.dsbl.org \
/var/qmail/bin/qmail-smtpd localhost /bin/cmd5checkpw /bin/true 2>&1
...

Siehe dazu -> Open Source Heaven HowTo: Configure SpamAssassin on QmailRocks



3. Greylisting für Qmail mit "qgreylistrbl"

Eine elegantere Lösung bietet qgreylistrbl. Es ersetzt den RBL-Check(Blocking) durch Greylisting nur für Dialin-Rechner und Rechner, die auf einer RBL gelistet sind. Die Installation erfolgt analog zu der Beschreibung auf der Webseite des Autors. README lesen! Einbinden in die /var/qmail/supervise/qmail-smtpd/run:

...
/usr/local/bin/tcpserver -R -D -v -p -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp \
/var/qmail/bin/qgreylistrbl.pl \
/var/qmail/bin/qmail-smtpd localhost /bin/cmd5checkpw /bin/true 2>&1
...

Qmail Neustart ;)

Dann /var/log/mail auf folgende Einträge überprüfen:

Code:
...
Mar 21 04:59:29 xxxx qmail: 1206071969.603687 status: local 0/10 remote 0/20
Mar 21 04:31:47 xxxx greylist[389]: IP 83.174.223.11 new - temp error for h83-174-223-11.adsl.ufamts.ru
Mar 21 04:34:10 xxxx greylist[860]: IP 83.174.223.11 back too soon - temp error again
Mar 21 04:40:01 xxxx greylist[1985]: starting greylisting sub directory  clean...
Mar 21 05:00:41 xxxx greylist[6019]: IP 85.89.19.65 new - temp error for 85..89.19.65.3p.ntebb.no
Mar 21 05:00:42 xxxx greylist[6019]: Cannot create File /var/qmail/qgreylistrbl/85/85.89.19.65, I'll check if I have to create directory.
Mar 21 05:00:42 xxxx greylist[6019]: Creating Directory /var/qmail/qgreylistrbl/85
Mar 21 05:00:42 xxxx greylist[6019]: second attempt to create File /var/qmail/qgreylistrbl/85/85.89.19.65 successful
Mar 21 16:34:17 xxxx greylist[30092]: IP 195.234.61.72 is listed in RBL zen.spamhaus.org: nat2.ricona.net.ua
Mar 21 16:34:20 xxxx greylist[30092]: IP 195.234.61.72 new - temp error for nat2.ricona.net.ua
...

Bravo, Greylisting ist nun aktiv =). Wieder eine ganze Menge Systemresourcen eingespart und 80% der Müllschleudern gleich ausgesperrt...

Für den Fall, das der globale Spam und Virenscanner (Checkboxen: Spamfilter für alle Domains aktivieren & Antiviren-Filter für alle Domains aktivieren*, Die einzelnen User können die Mailfilter für jede Domain separat konfigurieren und ihn de-/aktivieren.) in Visas neu gesetzt werden, so wird die /var/qmail/supervise/qmail-smtpd/run wieder überschrieben, was das Greylisting wieder entfernt!!! Auch die qmail-scanner-queue.pl wird wieder eingetragen, was den "qmail-scanner" wieder aktiviert. Nix gut! Um das zu verhindern, editieren wir die:

/usr/local/visas/templates/mailfilter/qmail/run

...
/usr/local/bin/tcpserver -R -D -v -p -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp \
/var/qmail/bin/qgreylistrbl.pl \
/var/qmail/bin/qmail-smtpd
...

und die :

/usr/local/visas/templates/mailfilter/qmail/run-scan

...
MAXSMTPD=`cat /var/qmail/control/concurrencyincoming`
# QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
# export QMAILQUEUE
exec /usr/local/bin/softlimit -m 300000000 \
/usr/local/bin/tcpserver -R -D -v -p -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp \
/var/qmail/bin/qgreylistrbl.pl \
/var/qmail/bin/qmail-smtpd localhost /bin/cmd5checkpw /bin/true 2>&1
...

Gruss Rico
 
Last edited by a moderator:
Hallo Leute,

ich wollte auf meinem openSUSE 10.1 System (ist ein Strato vServer Power A) auch dieses Tutorial durchziehen.

Habe via yast -i spamassassin erfolgreich (hoffe ich doch) den Spamassassin installiert. Nun wollte ich den Daemon starten und was passiert? Geht nicht, weil die spamd im Ordner /etc/init.d/ nicht existiert!

Wie muss ich hier vorgehen und wo finde ich die Datei?

/EDIT:
Habe es nun gefunden ... leider lässt sich der Spamassassin nicht starten "Can't execute Spammng --start"
Ordner: /usr/local/psa/admin/bin/, oder auch /usr/local/psa/admin/sbin/ (in beiden Ordnern vorhanden)
 
Last edited by a moderator:
Achtung: Widerspruch!
Habe via yast -i spamassassin erfolgreich Spamassassin installiert.
...
"Can't execute Spammng --start"
Das eine ist ein reiner SA, das andere der Plesk-SA.
Der eine hat mit dem Anderen nichts zu tun und sollte nicht parallel betrieben werden.
Entscheide Dich also erstmal, welchen SA Du nutzten willst.

weil die spamd im Ordner /etc/init.d/ nicht existiert!
Vielleicht eine andere Datei mit "spam*"?

huschi.
 
Habe ich schon versucht mit dem Midnight Commander - auf Suche gegangen und alles anzeigen lassen, was spam hieß ... und das waren nur die 2 genannten dateien.

Verwirrt mich ja selber etwas, deshalb frage ich.
 
Hallo!

Bald 3 Jahre später habe ich genau dasselbe Problem. Ich bin also quasi der Mensch aus der Zukunft. :D

Übrigens... Das Warten auf Plesk 8 ist ein Running Gag. ;)

Wurde was darüber gesagt, ob bei der Plesk 8 - Version denn dann auch SpamAssassin dabei ist?

Das könnte ja sonst zum "Running Gag" werden...

Ich habe einen Virtual Server bei Strato gemietet mit openSUSE 10.3 und Plesk 8.4 (ohne SpamAssassin-Key).
Am Server selbst habe ich noch nichts geändert, er ist also noch "frisch aus der Fabrik".

Wie alle anderen auch, habe ich THE ALMIGHTY TUTORIAL durchgelesen und Schritt-für-Schritt nach gemacht.

Als Linux-Neuling bin echt froh, dass es überhaupt so ein ausführliches Tutorial gibt. Die meisten Beschreibungen, die man sonst so findet, sind eher wortkarg und haben keine echten und grifffesten Beispiele.

Bei der Ausführung des Tutorials hat auch einiges geklappt aber leider auch einiges nicht. Das Endresultat ist, dass ich keine Emails mehr empfange. Das Abrufen der Emails wird zwar erfolgreich ausgeführt, bringt aber täglich 0 Emails mit sich (Hey, 100% Spam-Erkennung *g*). Beim Versenden von Emails erhalte ich folgende Fehlermeldung:

Der SMTP-Server hat einen Fehler zurückgegeben.
Serverantwort: WARNING: Can't access file –-quiet
Windows Live Mail-Fehlernummer: 0x800CCC60
Protokoll: SMTP
Port: 25
Secure (SSL): Nein

Die Logs in /var/log/mail.info sehen wie folgt aus:
relaylock: /var/qmail/bin/relaylock: mail from 82.98.93.73:59757 (rzf73ur.nwlm1.de)
spamc[30046]: connect to spamd on 127.0.0.1 failed, retrying (#1 of 3): Connection refused
spamc[30046]: connect to spamd on 127.0.0.1 failed, retrying (#2 of 3): Connection refused
spamc[30046]: connect to spamd on 127.0.0.1 failed, retrying (#3 of 3): Connection refused
spamc[30046]: connection attempt to spamd aborted after 3 retries
relaylock: /var/qmail/bin/relaylock: mail from 196.12.243.198:55853 (wana-198-243-12-196.wanamaroc.com)
clamd[26488]: lstat failed on /var/tmp/qsheffq/q-1232795746-782245-30047/_headers_: Permission denied
clamd[26488]: lstat failed on /var/tmp/qsheffq/q-1232795746-782245-30047/textfile0: Permission denied
clamd[26488]: lstat failed on /var/tmp/qsheffq/q-1232795746-782245-30047/textfile1: Permission denied
clamd[26488]: lstat failed on /var/tmp/qsheffq/q-1232795746-782245-30047/textfile2: Permission denied
relaylock: /var/qmail/bin/relaylock: mail from 116.93.227.143:2124 (not defined)
relaylock: /var/qmail/bin/relaylock: mail from 222.253.204.180:38225 (localhost)
relaylock: /var/qmail/bin/relaylock: mail from 41.210.217.218:5101 (not defined)
relaylock: /var/qmail/bin/relaylock: mail from 222.106.227.42:2917 (not defined)
relaylock: /var/qmail/bin/relaylock: mail from 122.52.54.88:3461 (122.52.54.88.pldt.net)
relaylock: /var/qmail/bin/relaylock: mail from 94.181.1.245:4738 (net1.181.94-245.chel.ertelecom.ru)
relaylock: /var/qmail/bin/relaylock: mail from 94.253.36.159:1763 (94-253-36-159.dynvpn.flex.ru)
relaylock: /var/qmail/bin/relaylock: mail from 200.214.176.174:2755 (not defined)
relaylock: /var/qmail/bin/relaylock: mail from 58.8.121.111:23886 (ppp-58-8-121-111.revip2.asianet.co.th)

Ich habe leider gar keine Ahnung, wie ich das Problem beheben kann.
Es würde mich sehr freuen, wenn jemand helfen könnte.

Vielleicht ist ja meine Ausführung des Tutorials aufschlussreicher.
Ich habe sämtliche Schritte protokolliert:

SpamAssassin intallieren:

yast -i spamassassin

# Die SpamAssassin-Konfiguration kann man entweder so beibehalten,
# oder mithilfe des SpamAssassin Configuration Generator
# neu erstellen.

/etc/init.d/spamd start
warn: config: created user preferences file: /root/.spamassassin/user_prefs


ClamAV intallieren:

yast -i clamav

#Konfigurieren:
insserv clamd
insserv freshclam
insserv: can not symlink(../vzquota, rc0.d/S11vzquota): File exists

edit /etc/clamd.conf
#dort folgende Zeile finden und '#' davor löschen:
#LogFile /var/log/clamd
edit /etc/freshclam.conf
#dort diese Zeile finden und '#' löschen:
#UpdateLogFile /var/log/freshclam.log

#Logfiles anlegen und Rechte setzen:
touch /var/log/clamd
touch /var/log/freshclam.log
chown vscan /var/log/clamd
chown vscan /var/log/freshclam.log
chown -R vscan /var/lib/clamav/


#Freshclam einmal starten:
freshclam -v
Current working dir is /var/lib/clamav
Max retries == 3
ClamAV update process started at Fri Jan 23 16:13:32 2009
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 71
Software version from DNS: 0.94.2
main.cvd version from DNS: 49
main.cvd is up to date (version: 49, sigs: 437972, f-level: 35, builder: sven)
daily.cvd version from DNS: 8897
Retrieving http://database.clamav.net/daily-8684.cdiff
Trying to download http://database.clamav.net/daily-8684.cdiff (IP: 85.214.20.182)
WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 85.214.20.182)
WARNING: getpatch: Can't download daily-8684.cdiff from database.clamav.net
Retrieving http://database.clamav.net/daily-8684.cdiff
Trying to download http://database.clamav.net/daily-8684.cdiff (IP: 85.214.20.182)
WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 85.214.20.182)
WARNING: getpatch: Can't download daily-8684.cdiff from database.clamav.net
Retrieving http://database.clamav.net/daily-8684.cdiff
Trying to download http://database.clamav.net/daily-8684.cdiff (IP: 85.214.20.182)
WARNING: getfile: daily-8684.cdiff not found on remote server (IP: 85.214.20.182)
WARNING: getpatch: Can't download daily-8684.cdiff from database.clamav.net
WARNING: Incremental update failed, trying to download daily.cvd
Retrieving http://database.clamav.net/daily.cvd
Trying to download http://database.clamav.net/daily.cvd (IP: 85.214.20.182)
Downloading daily.cvd [100%]
daily.cvd updated (version: 8897, sigs: 61172, f-level: 38, builder: edwin)
Database updated (499144 signatures) from database.clamav.net (IP: 85.214.20.182)
WARNING: Clamd was NOT notified: Can't connect to clamd through /var/lib/clamav/clamd-socket
connect(): No such file or directory


#Wenn alles läuft die Dämonen starten:
/etc/init.d/clamd start
/etc/init.d/freshclam start


Ripmime installieren:
#richtiges Verzeichnis:
cd /usr/local/src
#download & auspacken
wget http://www.pldaniels.com/ripmime/ripmime-1.4.0.5.tar.gz
tar zxvf ripmime-1.4.0.5.tar.gz
cd ripmime-1.4.0.5

#installieren (!! ging erst, nachdem ich "gcc" installiert hatte !!)
make
make install

#Symlink setzten:
ln -s /usr/local/bin/ripmime /usr/bin/

qsheff installieren:
#richtiges Verzeichnis:
cd /usr/local/src
#wget http://www.enderunix.org/qsheff/qsheff-1.0-r5.tar.gz
#Mit der Version r5 scheint es wohl Probleme zu geben. Daher:
wget http://www.huschi.net/download/qsheff-1.0-r4.tar.gz
tar -xzvf qsheff-1.0-r4.tar.gz
cd qsheff-1.0-r4
./configure
make


#qmail kurz anhalten:
/etc/init.d/qmail stop
#Backup der zu überschreibenenden qmail-queue:
cp -p /var/qmail/bin/qmail-queue /var/qmail/bin/qmail-queue.bak

#erster Installlationsschritt
make install
#Konfiguration anpassen:
edit /usr/local/etc/qsheff/qsheff.conf
# in der Zeile von VIRUS_PROG den Pfad anpassen:
# VIRUS_PROG = "/usr/bin/clamdscan –-quiet"

#zweiter Installlationsschritt
/usr/local/etc/qsheff/install-wrapper.sh
#Spamassassin in die qmail-queue einbinden:
rm -f /var/qmail/bin/qmail-queue
echo '#!/bin/sh' >/var/qmail/bin/qmail-queue
echo '/usr/bin/spamc | /var/qmail/bin/qmail-qsheff' >>/var/qmail/bin/qmail-queue
chmod 4755 /var/qmail/bin/qmail-queue

#qmail wieder starten:
/etc/init.d/qmail start

P.S. Procmail habe ich bisher noch nicht installiert. Ist das zwingend notwendig?

Viele Grüße (und ein erholsames Wochenende)

Benny
 
Help...

Hallo Leute.

Ich hoffe nach nunmehr 1,5 Jahren schaut hier nochmal jemand rein, um mir
etwas weiter zu helfen... :)
Ich habe einen vServer bei S4Y und habe diesen Thread von vorne bis hinten
durchgelesen, aber etwas den Überblick verloren xD

OS: openSUSE: 10.3
SpamAssassin: 3.2.3
ClamAV: 0.95.3
qSheff II: 2.1-r3
ripMIME: 1.4.0.9

Ich habe die oben genannten Programme installiert und sie laufen auch alle.
Jedoch leider nicht ganz so, wie ich es mir vorgestellt habe...Zumindest
ClamAV mit qSheff.

Ich wollte den Virenscanner testen, indem ich mir von der Heise-Homepage
eine Test-Mail mit dem EICAR Virus schicken lasse:
Standard-Test-Virus (EICAR)

Diese mail kommt jedoch inklusive Virus-Anhang beim Empfänger an. Ich habe
inzwischen schon einiges in der Config rumprobiert, aber jetzt mir sind die
Ideen ausgegangen. Vielleich könnt ihr ja etwas Wind in die Sache bringen...
Anbei die Config's und Log's:


Header der Virus-Test-Mail:
From: Heise Emailcheck <emailcheck-robot@ct.heise.de>
MIME-Version: 1.0
Subject: c't-Emailcheck: EICAR (xfpeupm)
To: test@vsXXXXXX.vserver.de
X-Mail-Scanner: Scanned by qSheff-II-2.1-r3 (http://www.enderunix.org/qsheff/)
X-Mailer: Heise Emailcheck Revision: 24057
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on vsXXXXXX.vserver.de
X-Spam-Level:
X-Spam-Status: No, score=0.0 required=5.0 tests=none autolearn=failed version=3.2.3


ClamAV-Logfile (/var/logs/clamd.log):
Sun Aug 8 19:49:31 2010 -> /var/qsheff/tmp/q1281289770-960492-18273/_headers_: OK
Sun Aug 8 19:49:31 2010 -> /var/qsheff/tmp/q1281289770-960492-18273/textfile0: OK
Sun Aug 8 19:49:31 2010 -> /var/qsheff/tmp/q1281289770-960492-18273/textfile1: OK
Sun Aug 8 19:49:31 2010 -> Access denied: /var/qsheff/tmp/q1281289770-960492-18273/eicar.com


/var/logs/mail.err:
Aug 8 19:49:31 vsXXXXXX qmail-queue-handlers[18276]: Handlers Filter before-queue for qmail started ...
Aug 8 19:49:31 vsXXXXXX qmail-queue-handlers[18276]: from=emailcheck-robot@ct.heise.de
Aug 8 19:49:31 vsXXXXXX qmail-queue-handlers[18276]: to=test@vsXXXXXX.vserver.de
Aug 8 19:49:31 vsXXXXXX qmail-queue-handlers[18276]: hook_dir = '/var/qmail//handlers/before-queue'
Aug 8 19:49:31 vsXXXXXX qmail-queue-handlers[18276]: recipient[3] = 'test@vsXXXXXX.vserver.de'
Aug 8 19:49:31 vsXXXXXX qmail-queue-handlers[18276]: handlers dir = '/var/qmail//handlers/before-queue/recipient/test@vsXXXXXX.vserver.de'
Aug 8 19:49:31 vsXXXXXX qmail-queue-handlers[18276]: starter: submitter[18294] exited normally
Aug 8 19:49:31 vsXXXXXX qmail-local-handlers[18295]: Handlers Filter before-local for qmail started ...
Aug 8 19:49:31 vsXXXXXX qmail-local-handlers[18295]: from=emailcheck-robot@ct.heise.de
Aug 8 19:49:31 vsXXXXXX qmail-local-handlers[18295]: to=test@vsXXXXXX.vserver.de


/var/logs/mail.info:
Aug 8 19:49:30 vsXXXXXX relaylock: /var/qmail/bin/relaylock: mail from 193.99.144.71:56981 (web.heise.de)
Aug 8 19:49:30 vsXXXXXX spamd[1391]: spamd: connection from localhost.localdomain [127.0.0.1] at port 36801
Aug 8 19:49:30 vsXXXXXX spamd[1391]: spamd: setuid to qmaild succeeded
Aug 8 19:49:30 vsXXXXXX spamd[1391]: spamd: processing message <E1OiA02-0004xr-N1.octo14@web.heise.de> for qmaild:2020
Aug 8 19:49:31 vsXXXXXX spamd[1391]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /var/qmail//.spamassassin/auto-whitelist.lock.vsXXXXXX.vserver.de.1391 for /var/qmail//.spamassassin/auto-whitelist.lock: No such file or directory
Aug 8 19:49:31 vsXXXXXX spamd[1391]: spamd: clean message (0.0/5.0) for qmaild:2020 in 0.0 seconds, 1985 bytes.
Aug 8 19:49:31 vsXXXXXX spamd[1391]: spamd: result: . 0 - scantime=0.0,size=1985,user=qmaild,uid=2020,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=36801,mid=<E1OiA02-0004xr-N1.octo14@web.heise.de>,autolearn=failed
Aug 8 19:49:31 vsXXXXXX clamd[27832]: /var/qsheff/tmp/q1281289770-960492-18273/_headers_: OK
Aug 8 19:49:31 vsXXXXXX clamd[27832]: /var/qsheff/tmp/q1281289770-960492-18273/textfile0: OK
Aug 8 19:49:31 vsXXXXXX clamd[27832]: /var/qsheff/tmp/q1281289770-960492-18273/textfile1: OK
Aug 8 19:49:31 vsXXXXXX spamd[1389]: prefork: child states: II


qSheff-Logfile (/var/log/qsheff.log):
08/08/2010 19:49:31: [qSheff] QUEUE, queue=q1281289770-960492-18273, recvfrom=193.99.144.71, from=`emailcheck-robot@ct.heise.de', to=`test@vsXXXXXX.vserver.de', subj=`c't-Emailcheck: EICAR (xfpeupm)', size=2167,,


ClamAV-Config (/etc/clamd.conf):
LogFile /var/log/clamd.log
#LogFileUnlock yes
#LogFileMaxSize 2M
LogTime yes
LogClean yes
LogSyslog yes
LogFacility LOG_MAIL
LogVerbose yes
PidFile /var/lib/clamav/clamd.pid
#TemporaryDirectory /var/tmp
DatabaseDirectory /var/lib/clamav
LocalSocket /var/lib/clamav/clamd-socket
FixStaleSocket yes
#TCPSocket 3310
#TCPAddr 127.0.0.1
#MaxConnectionQueueLength 30
#StreamMaxLength 10M
#StreamMinPort 30000
#StreamMaxPort 32000
#MaxThreads 20
#ReadTimeout 300
#CommandReadTimeout 5
#SendBufTimeout 200
#MaxQueue 200
#IdleTimeout 60
#MaxDirectoryRecursion 20
#FollowDirectorySymlinks yes
#FollowFileSymlinks yes
SelfCheck 600
VirusEvent /usr/local/bin/send_sms XXXXXX789 "VIRUS ALERT: %v"
User vscan
#AllowSupplementaryGroups no
#ExitOnOOM yes
#Foreground yes
#Debug yes
#LeaveTemporaryFiles yes
#DetectPUA yes
#ExcludePUA NetTool
#ExcludePUA PWTool
#IncludePUA Spy
#IncludePUA Scanner
#IncludePUA RAT
AlgorithmicDetection yes

##
## Executable files
##

ScanPE yes
ScanELF yes
DetectBrokenExecutables yes

##
## Documents
##

ScanOLE2 yes
ScanPDF yes

##
## Mail files
##

ScanMail yes
#MailFollowURLs no
#ScanPartialMessages yes
PhishingSignatures yes
PhishingScanURLs yes
#PhishingAlwaysBlockSSLMismatch no
#PhishingAlwaysBlockCloak no
#HeuristicScanPrecedence yes

##
## Data Loss Prevention (DLP)
##

#StructuredDataDetection yes
#StructuredMinCreditCardCount 5
#StructuredMinSSNCount 5
#StructuredSSNFormatNormal yes
#StructuredSSNFormatStripped yes

##
## HTML
##

#ScanHTML yes

##
## Archives
##

ScanArchive yes
#ArchiveBlockEncrypted no

##
## Limits
##

MaxScanSize 100M
MaxFileSize 50M
#MaxRecursion 10
#MaxFiles 15000

##
## Clamuko settings
##

#ClamukoScanOnAccess yes
#ClamukoScanOnOpen yes
#ClamukoScanOnClose yes
#ClamukoScanOnExec yes
#ClamukoIncludePath /home
#ClamukoIncludePath /students
#ClamukoExcludePath /home/bofh
#ClamukoMaxFileSize 10M


qSheff II-Config (/usr/local/etc/qsheff-II/qsheff.conf):
QSHEFFDIR = /var/qsheff
LOGFILE = /var/log/qsheff.log
RIPMIME = "/usr/local/bin/ripmime"

enable_qsheff_sign = 1
debug_level = 99
enable_spam_blackhole = 0
enable_virus_blackhole = 0
paronia_level = 0
drop_empty_from = 0
enable_quarantine = 0
enable_ignore_list = 1
enable_header_filter = 1
enable_body_filter = 1
enable_attach_filter = 1
enable_clamd = 1
enable_custom_prog = 0
CUSTOM_PROG = "disabled"
CUSTOM_RET_MIN = 1
CUSTOM_RET_MAX = 100
CUSTOM_RET_ERR = -1
#CUSTOM_RET_MIN = 1
#CUSTOM_RET_MAX = 1
#CUSTOM_RET_ERR = 3
#custom_sign = "%%My Company Name%%"
custom_sign=""


Ich bin auf Eure Vorschläge und Anregungen gespannt, damit
der Virenscanner korrekt seinen Dienst tut.
Vielen Dank schonmal im Voraus.

Mit freundlichen Grüßen,
Matze
 
Ja, ich weiß. Das ist schon lange ein Problem bei den
Providern. Zu Suse 9.x Zeiten hatte ich mal ein Ticket an
S4Y geschrieben, ob es nicht möglich ist, ein Image mit
der aktuellsten Linux Version einzuspielen.
Darauf wurde mir gesagt, dass bei Änderungen am Kernel
diverse Sachen in Bezug auf das Confixx Powerpanel
und ähnliches nicht mehr richtig funktionieren.

Daher habe ich mich da nie rangetraut...
 
Habe mein Problem aus Post Nr. 415 selbst lösen können.

Es handelte sich um ein Berechtigungsproblem von ClamAV.
Hätte ich auf Grund der Fehlermeldung auch selbst drauf
kommen können :)

ClamAV läuft bei mir jetzt nicht mehr unter dem Benutzer
"vscan", sondern unter "root". Das ist zwar nicht die
eleganteste Lösung, aber es läuft erstmal.

Hierzu habe ich in der /etc/clamd.conf die folgende
Variable geändert:

Von User vscan
nach User root

Danach den Scanner natürlich beendet und neu gestartet.

Im gleichen Zuge habe ich bei qSheff noch den Subject-Rewrite
von {VIRUS} nach ****VIRUS**** geändert.
So passt zu Spamassassin :p (Änderung in der Source).


ps: Eine Frage ist trotzdem noch offen:
Immer, wenn freshclam sein automatisches Update
fährt, schreibt er mir folgende Meldung mit ins Logfile:
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.95.3 Recommended version: 0.96.1
DON'T PANIC! Read http://www.clamav.net/support/faq

Kann ich das irgendwie abschalten, dass er mir das da mit reintextet?


Grüße,
Matze
 
Back
Top