V-Server Strato Spamassassin + ClamAV HowTo mit Qsheff

Wenn Du jetzt noch eine Mitteilung ins Mailsubject oder den body kriegst
Click to expand...
Ja, das wäre echt klasse. Aber so wie es aussieht kommt das erst mit der Version 2.1. Wobei im ChangeLog dazu bisher noch gar nichts steht :o


Ich habe gemacht:

Im clamd.conf
# Also log clean files. Useful in debugging but drastically increases the
# log size.
# Default: disabled
LogClean (auskommentiert)

# Run as a selected user (clamd must be started by root).
# Default: disabled
#User vscan
User root (User geändert)

Das wars, mehr habe ich nicht getan.

Edit:
Nunja, und öffters mal was neues.

Habe gerade einen Testvirus als Zip-Anhang versendet. Die Mail kam bei mir nie an, aber dafür eine direkt vom Server dass ein Virus gefunden wurde.

Logfile dazu:
Code: 
06/05/2006 16:21:48: [qSheff] CLAMD, queue=q-1146925307-577716-26525, recvfrom=213.165.64.20, from=`edvsb@gmx.de', to=`misc@ferien-netzwerk.de', subj=`test virus als zip', size=2083, prog=`clamd', virus=`ClamAV-Test-File'
06/05/2006 16:21:48: [qSheff] QUEUE, queue=q-1146925308-267770-26564, recvfrom=, from=`root@h825672.serverkompetenz.net', to=`webmaster@ferien-netzwerk.de', subj=`Virus gefunden ClamAV-Test-File', size=561
 
Last edited by a moderator:
Hi

hat jemand von denen die hier mitlesen eine Ahnung warum ClamAV Mails die Viren enthalten löscht? Es würde doch vollkommen reichen nur den Virus zu entfernen und nicht gleich die ganze Mail.

Aber selbst wenn es so sein muß, kann man dann wenigstens irgendwo einstellen dass man selber bzw. der Absender der Mail benachrichtigt wird?

Mal das Log der aktuellen Viren Mail:
Code: 
May  6 22:27:21 h825672 spamd[30444]: connection from h825672.serverkompetenz.net [127.0.0.1] at port 49819
May  6 22:27:21 h825672 spamd[30444]: processing message <019901c6714b$b28feb20$fe7aa8c0@edvsbmaster> for qmaild:0.
May  6 22:27:22 h825672 spamd[30444]: clean message (-1.7/5.0) for qmaild:0 in 0.3 seconds, 1638 bytes.
May  6 22:27:22 h825672 spamd[30444]: result: . -1 - AWL,BAYES_00 scantime=0.3,size=1638,mid=<019901c6714b$b28feb20$fe7aa8c0@edvsbmaster>,bayes=0,autolearn=ham
May  6 22:27:22 h825672 clamd[11865]: /var/qsheff/tmp/q-1146947241-883486-11863/_headers_: OK
May  6 22:27:22 h825672 clamd[11865]: /var/qsheff/tmp/q-1146947241-883486-11863/textfile0: OK
May  6 22:27:22 h825672 clamd[11865]: /var/qsheff/tmp/q-1146947241-883486-11863/textfile1: OK
May  6 22:27:22 h825672 clamd[11865]: /var/qsheff/tmp/q-1146947241-883486-11863/clam.zip: ClamAV-Test-File FOUND

Also spamd läuft noch drüber, Dann kommt der clamd und findet einen Virus. Nun ist die Mail aber weg. qmail wird nicht aktiv. :(

Gruß, Ingo
 
Last edited by a moderator:
edvsb said:
warum ClamAV Mails die Viren enthalten löscht?
Click to expand...
Zum mind. 5 mal in diesem Thread:
ClamAV scannt lediglich und löscht nicht. Es gibt einen Wert zurück, den qSheff dann auswertet.
Wenn also jemand Mails löscht bzw. nicht wieder an qmail weiter gibt, ist es qSheff.

huschi.
 
Hi Huschi,

ja, das glaube ich Dir ja schon. Seltsam ist es aber dennoch, denn viele viele andere haben das gleiche Problem. Und in den Mailinglisten vom ClamAV steht dass dieser Virenmails löschen würde und man das nicht verhindern, sondern nur dass eine Benachrichtigung versendet werden kann. Benachtrichtigung geht auch, aber nur an den Empfänger und ohne weitere Infos. Da steht dann weder Datum, Uhrzeit, Absender oder sonstwas drinnen.

Und beim qSheff gibt es keine Option zum abschalten damit er nicht löschen würde. Lediglich die Rules und die greifen nur auf Spam. Und alle Optionen ala Prüfen von Header, Body, Anhang etc. sind beim qSheff deaktiviert.

Hm, seltsam.

GRuß, Ingo
 
Hi zusammen...

a little betweenstand for the readers
(my english makes me so fast nobody after)

Ich hab jetzt - ziemlich genau nach den beiden txt files von edvsb - eine Neuinstallation gemacht und soweit klappt alles :D

Den Bayesfilter muss ich aber nochmal (nach-) anlernen.

Leider hab ich nicht lange genug Spam gesammelt und selbst wenn ich meinen Web de "Unerwünscht" - Ordner mit reinhole komme ich "nur" auf 260, abzgl. der doppelten (die schmeisst sa-learn raus) bleiben 170...
Wie hier schon erwähnt braucht er eben mindestens 200...
Das von edvsb erwähnte Tool MailNavigator klappt prima, übrigens auch mit Outlook Vollversion und pst- Dateien.

Razor ist auch installiert und läuft.
Das klappte problemlos genau wie in der txt; ich hab gar nicht gesucht, ob schon Teile davon drauf sind und alles mit wget "neu" geschnappt...

Die meisten Spammails werden trotzdem nur mit etwa Score 4 bewertet und deshalb nicht gekennzeichnet, aber ich hoffe, Bayes wirds richten wenns mal komplett angelernt ist.

Was mir auffiel

:rolleyes: Ich hab wegen der vielen Neuinstallationen natürlich nicht immer die html- Datei(en) der Domain draufkopiert, ist eh nur eine Frameweiterleitung. Woran es lag weiss der Geier, aber die "neue" index.html wurde erst nach einem Serverneustart gezeigt, bis dahin immer nur die Standard - Plesk- Seite, die eigentlich gar nicht mehr drauf war. Aktualisieren half nix und ein Proxy mit Cache ist auch nicht im Spiel... :confused:

:rolleyes: Nach dem Serverneustart kriege ich auf der Shell (Putty) als Servernamen wieder die hXXXXXX gezeigt, vorher wars der Haupt- Domainname. In Plesk ist der jedenfalls als "kompletter Hostname" richtig drin. Das würd mich alleine nicht stören, aber in jedem Mail- Header steht er auch unter "X-Spam-Checker-Version" so drin :confused:

:rolleyes: Nach dem Neustart laufen spamd und clamd nicht, was dazu führt, dass erstmal keine Mails zugestellt werden. Werd mal gucken, wie ich das hinkriege, dass sie auch dann automatisch gestartet werden. Im init.d stehen sie ja, aber das scheint nicht zu reichen :confused:

:rolleyes: Die Zeit, die zB in WinSCP oder einem FTP- Client als Datei-zeit angezeigt wird, stimmt nicht. Unter WinSCP ist sie eine Stunde VOR, unter dem FTP- Client (Total Commander) eine Stunde NACH der tatsächlichen Zeit.
Geb ich "date" in der Shell (Putty) ein, stimmt die Ausgabe der aktuellen Zeit... :confused:

:rolleyes: Was man m.E. nicht ohne Mitteilung an die User so laufen lassen kann ist das Löschen von Virenmails ohne dass eine Nachricht an den Empfänger rausgeht. Ich hab zwar in meinen AGBs drinstehen, dass "gefährliche Software" (oder so ähnlich formuliert) ohne Rückfrage entfernt werden kann - und da gehören Viren sicher dazu, auch in Mails - aber "schee wäärs schoo"


Ich werd versuchen, das noch zu klären, dann geht das ganze in den "Echt - Einsatz" auf den Servern, die schon "User- Domains" verwalten...


LG

Linuxpfeiffe
------------------------
Man kanns nicht oft genug immer wieder so sagen
ohne huschi und edvsb würd ichs nicht mehr wagen.
Was hätt ich gegrübelt, in Foren gesucht
und voll Überzeugung das ganze verflucht.
Die zwei ha'm verschont mich vor Geschwüren im Magen
 
Am Anfang hat keiner was gepostet und auf einmal geht's los wie verrückt. Wow.

Linuxpfeiffe, genauso wie dir, ist's mir am Anfang auch gegangen...dann habe ich mich Stück für Stück rangerobbt. Das Problem mit dem qmail stoppen hatte ich nicht, dafür mir diverse Male die qmail-queue versiebt, so dass ich auch mehrmals (4 mal oder so) meinen Server neu aufsetzen musste.

Mit r5 von qsheff geht mein Tutorial nicht, das habt ihr dann ja auch festgestellt. Später konnte ich das Tutorial, als ich es ein letztes mal getestet habe, in ca. 15 Minuten umsetzen und alles hat funktioniert...da kann man mal sehen, wie individuell so ein Tutorial sein kann.

Das qsheff in der Version r4 Mails mit dem bösen Wort viagra und diverse andere böse Wörter komplett mit einer ablehnenden Haltung beantwortet hatte mich auch etwas Zeit gekostet...

Ich hab wegen der vielen Neuinstallationen natürlich nicht immer die html- Datei(en) der Domain draufkopiert, ist eh nur eine Frameweiterleitung. Woran es lag weiss der Geier, aber die "neue" index.html wurde erst nach einem Serverneustart gezeigt, bis dahin immer nur die Standard - Plesk- Seite, die eigentlich gar nicht mehr drauf war. Aktualisieren half nix und ein Proxy mit Cache ist auch nicht im Spiel...
Click to expand...
Eigener Cache des Browsers auch nicht? Meinst du mit Serverneustart nur den Apache oder wirklich alles?

Nach dem Serverneustart kriege ich auf der Shell (Putty) als Servernamen wieder die hXXXXXX gezeigt, vorher wars der Haupt- Domainname. In Plesk ist der jedenfalls als "kompletter Hostname" richtig drin. Das würd mich alleine nicht stören, aber in jedem Mail- Header steht er auch unter "X-Spam-Checker-Version" so drin
Click to expand...
Das hat glaube ich was mit Reverselookup der lokalen DNS Einstellungen zu tun. Kannst bei Strato im Config Menü vorgeben, Domain --> DNS Reverse.

Nach dem Neustart laufen spamd und clamd nicht, was dazu führt, dass erstmal keine Mails zugestellt werden. Werd mal gucken, wie ich das hinkriege, dass sie auch dann automatisch gestartet werden. Im init.d stehen sie ja, aber das scheint nicht zu reichen
Click to expand...
Eigentlich gibts ja dafür den insserv Befehl, dachte ich. Habe mein Server seit nem Monat nicht mehr rebooted, keine Ahnung ob ich das damals machen musste... :) wenn ich es rausfinde schreib ich's. Allerdings gibt's hier (http://lists.suse.com/archive/suse-linux/2003-Jan/0987.html) was zum Thema. Im Prinzip wird dort die Frage aufgeworfen, ob in der inittab der entsprechende Dienst auch mit dem richtigen Runlevel (3) gestartet wird. Ziehs dir mal rein, vielleicht hilft es ja.

Zu den anderen Punkten habe ich gerade keinen Schimmer...aber ich werd mich mal umgucken, wenn ich etwas Zeit habe.

Grüße
Sinepp
 
Hi Sinepp,

Danke erstmal fürs starten des Beitrags, hast uns erfolgreich auf die Spur gebracht..

Sinepp said:
Am Anfang hat keiner was gepostet und auf einmal geht's los wie verrückt. Wow.
Click to expand...
Jau, wobei wir hier eigentlich seit 9 Seiten (oder bald 10?) zu viert sind, grob gerechnet...

Sinepp said:
Linuxpfeiffe, genauso wie dir, ist's mir am Anfang auch gegangen...dann habe ich mich Stück für Stück rangerobbt.
Click to expand...
Ja, ich glaub anders gehts auch nicht, s. Off Topic- Ausrutscher...

Sinepp said:
...da kann man mal sehen, wie individuell so ein Tutorial sein kann.
Click to expand...
War bei mir auch so, ich könnte schwören - wenns auch unwahrscheinlich klingt - dass ich mehrere Male bei gleichem Vorgehen andere Ergebnisse hatte...:confused:

Sinepp said:
Eigener Cache des Browsers auch nicht? Meinst du mit Serverneustart nur den Apache oder wirklich alles?
Click to expand...

Ne, kompletter Serverneustart...
Nur Apache hätte vielleicht auch geklappt aber ich hab ja eh einen fast "leeren" Server...

Sinepp said:
Das hat glaube ich was mit Reverselookup der lokalen DNS Einstellungen zu tun. Kannst bei Strato im Config Menü vorgeben, Domain --> DNS Reverse..
Click to expand...
Hab ich jetzt grade mal kontrolliert, da steht immer noch - wie ganz am Anfang eingestellt der richtige drin. Habs trotzdem nochmal losgeschickt...

Sinepp said:
Eigentlich gibts ja dafür den insserv Befehl, dachte ich.
Click to expand...
Ach dass macht insserv?... OK, wieder schlauer.
Scheint aber nicht zu funzen...

Sinepp said:
Allerdings gibt's hier (http://lists.suse.com/archive/suse-linux/2003-Jan/0987.html) was zum Thema.
Click to expand...
Da guck ich mal, Danke...


LG

Linuxpfeiffe
---------------------
Beim Autorennen nicht allein
fällt mir das alte Sprichwort ein
"Die ersten werden die letzten sein"
(Sieh an: Auch Sinepp schaut mal wieder rein)
 
FIN

So Jungs, ich hab nun den Server nach vielen weiteren Versuchen soweit, dass er (Spam - mäßig) macht was ich will :)

(Wir sehen uns dann demnächst im Forum "Wie bringe ich das auch meiner Frau bei?)

Ich werde die anderen erwähnten Probs getrennt davon einstellen, wenn ich sie nicht lösen kann (Ticket bei Strato läuft) und möchte nun abschließend meinen ehrlichen Dank an die unermüdlichen Helfer richten.

Es wäre UNMÖGLICH, es als Linux- Newbie ohne Euch zu schaffen, auch wenn es am Ende recht einfach aussieht.

Eine kleine Anmerkung zu den "nur Lesern" dieses Beitrags:
Ihr dürft auch ruhig was schreiben, unwissender darstehen als ich es hier getan hab geht kaum :D

Ein MOLTO GRAZIE SPEZIALE aber an die Hauptdarsteller

Huschi - der Prof
edvsb - der Fleissige
und Sinepp, der das ganze zum Glück gestartet hat.


LG & C.U.

Linuxpfeiffe
-------------------------
Was wird mir nun übrich bleim
nur ein allerletzter Reim
Drum versprech ich Euch am Ende
dass ich zukünftig die Hände
nur noch zum Probleme tippen
und nicht mehr zum Worte kippen
nutzen werde - dass zum Schluß
das Wesentliche bleiben muss
Trink dann lieber nach dem Log- Off
Knoblauchwurtz von Illija Strogoff
 
Spamassassin anlernen

Spamassassin läuft soweit, filtert auch. Es kommt zwar noch einiges an Spam an, wird aber per Script gelernt. Das Problem ist nur, die meisten Spams kommen mehrmals an, werden aber nur als Eine gezählt.
Gibt es eine Quelle zum lernen des Filters um die 200 Spams zu erreichen, habe innerhalb von 3 Wochen nur 58 verschiedene Spams erhalten.

Hans
 
Hans Albers said:
habe innerhalb von 3 Wochen nur 58 verschiedene Spams erhalten.
Click to expand...
Ich beneide Dich! Wirklich.
Denn mein Server erhält allein pro Tag über 300 Spams. Davon werden gerade mal 2 bis 4 nicht erkannt, rund 15 erkannt, aber wegen geringerer Punktezahl dennoch weiter gereicht und der Rest fliegt in die riesige Spambox.

huschi.
 
Hi Huschi,

ja, schon lustig. Nen Spamassassin installieren und dann Spam besorgen weil der normale nicht reicht. :)

Gruß, Ingo
 
Einlesen der .r2 Datei

Leider finde ich nichts zum einlesen der .r2 Datei. Hab schon gegoogled, aber nichts gefunden.
Wie muss die Datei eingelesen werden?

Danke
Hans
 
Hi,

googlen ist gut, den Thread lesen in dem Fall aber besser. Steht auf Seite 5 oder so, Aber egal, hier nochmal:
Code: 
sa-learn --spam --mbox /pfad/zur/spam/mbox/datei.r2
Das .r2 ist schnuppe, könnte auch .txt heißen oder sonstwie.

Gruß, Ingo
 
Unglaublich Jungs :)

Ich habs hier jetzt 22:26 und mit meinen Nerven am Ende. Meine Kunden in Deutschland werden jetzt erstmal 8 Stunden ohne Mail auskommen müssen - ich hab die Schnauze voll ;)

Werde morgen früh wohl den Server neu aufsetzen müssen, da ich zuviele Installationen hin und her probiert habe. Würde eine seperate Neuinstallation von Qmail was bringen, oder hab ich da schlicht und ergreifend Pech gehabt und muss ganz von vorne starten? (Bitte bitte nicht *g*)

Zumindest kann ich noch lachen und möchte Euch jetzt schon mal für diesen super ausführlichen Thread bedanken. Hätte ich bloß gleich am Anfang bis zum Ende durchgeklickt und Deine txt-Dateien gefunden, edsvb. Werde das nach dem Schema und mit Huschis Tutorial und meinem bisher selber angeeigneten Wissen wohl hinkriegen (bin ich ganz fest von überzeugt).

Nur jetzt... ist die Luft raus und ich sollte schlafen gehen, sonst macht mein Laptop gleich noch einen Flug, den ich danach bereue :)

Also, schön den Thread im Auge behalten, ich hab bestimmt morgen früh Fragen für Euch parat.
 
Also ich glaube meine Uhr geht falsch, bei Dir ist es 22:26? Du gehst jetzt schlafen? :rolleyes:

Was haste denn für ein Problem? Welche qSheff-Version haste denn drauf? Die Version die wir hier hatten oder die ganz neue 2.1?

Gruß, Ingo
 
*lach* Ein kleiner Blick auf meinen (derzeitigen) Wohnort verrät Dir das Geheimnis :)

Ich habe es zuerst nach dem Tutorial von Huschi probiert - mit Eurem Resultat: Emails kommen an werden (scheinbar) gescannt und das wars. Leider hatte ich keinen Typo in meinen config-Dateien oder aber eine falsche Verlinkung. Es wollte einfach net.

Daraufhin hab ich den gleichen Weg eingeschlagen wie Du - googlen, lesen etc.pp. Dann hab ich mich entschieden, die neueste Version zu ziehen und zu installieren. Resultat war ein exotischer Fehler, dass ich nicht genügend Hauptspeicher hätte...

Daraufhin habe ich erst mit dem uninstaller alle Dateien gelöscht, dann mit find / -name qsheff alle möglichen Verziechnisse und Dateien gelöscht (auch qmail-qsheff) und dann qsheff-II installiert (mit Hilfe Deiner txt-Datei bzgl. den configure-Einstellungen).

Resultat: #4.3.0. Ich hab keinen blassen Schimmer woran es liegt. Schau ich mir die log-Dateien an, sehe ich das ankommende Mails wieder gescannt werden (er lernt sogar *g*), aber sie kommen nie in meinem Postfach an, geschweige denn ich kann eine Mail senden. (#4.3.0)

Ansonsten sagen meine logfiles rein gar nichts aus. ClamV läuft fein vor sich hin, qsheff.log gibt die gewünschte Status-Meldungen aus, aber das Resultat ist nicht das gewünschte.
 
You must log in or register to reply here.
Back
Top