V-Server Strato Spamassassin + ClamAV HowTo mit Qsheff

[linuxpfeiffe]

Moin

Die log wird doch bei der Installation mit "LogFile /var/log/clamd" angegeben

Handelt es sich dabei um eine andere?

Eine Datei "/var/log/clamav.log" gibts bei mir nicht und in der "/var/log/clamd" steht nix drin ausser verschiedenen Angaben zum Start des Daemons...

Ohjeh, Linuxpfeiffe und die logs - neverending story


LG

Linuxpfeiffe
-------------------------
Am besten wär als Fehlerspürer
zuerst einmal ein "Logführer"

 

[Huschi]

Handelt es sich dabei um eine andere?

Nein. Du darfst meine Angaben nicht immer auf die Goldwaage legen.
Solche Angaben (gerade die Logfiles) unterscheiden sich von einer Linux-Distribution zur andern.
Und hier hab ich grad mal ein Debian offen gehalbt.

Jetzt mal auf einem Suse nachgesehen:
Bei mir stehen die Einträge aber im /var/log/clamd drin:

/var/qmail/qscanq/root/scanq/@4000000042 dcbfa80f127b7c.685.1/work/.//message.scr: Worm.SomeFool.P FOUND

(Man beachte, daß ich wie weit oben schon mal gesagt die qscanq-Methode benutzt habe.)
Und in der /usr/local/psa/var/log/maillog (bei Euch unter /opt/psa/var/log/maillog) steht bei mir z.B. folgendes:

clamd[17447]: /var/qmail/qscanq/root/scanq/@4000000044
473d3a1cc42c84.4419.1/work/.//textfile1: HTML.Phishing.Bank-401 FOUND

Wie gesagt: Du mußt endlich mal das richtige Logfile für Dich finden.
(Such z.B. mal in der /etc/syslog.conf nach 'mail.*'.)

huschi.

 

[linuxpfeiffe]

Ok, was soll ich sagen, komme nicht auf nen grünen Zweig:

Clamd sieht bei mir so aus (hier nur ein Teil, aber alles in der Art):

SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database modification detected. Forcing reload.
Reading databases from /var/lib/clamav
Database correctly reloaded (53242 viruses)

Die maillog (schon richtig, die steht unter "/usr/local/psa/var/log/maillog") wirft folgendes aus für eine Mail, die wieder mal im Daemon des Absenders gelandet ist:

May  3 11:04:10 h864322 spamd[28611]: connection from h864322.serverkompetenz.net [127.0.0.1] at port 33702 
May  3 11:04:10 h864322 spamd[28611]: processing message <20060503110410.8rr7uw71ckowggok@webmail.t-ex.com> for qmaild:0. 
May  3 11:04:10 h864322 spamd[28611]: clean message (3.9/5.0) for qmaild:0 in 0.4 seconds, 3686 bytes. 
May  3 11:04:10 h864322 spamd[28611]: result: .  3 - DRUGS_ERECTILE,NO_REAL_NAME,UNWANTED_LANGUAGE_BODY scantime=0.4,size=3686,mid=<20060503110410.8rr7uw71ckowggok@webmail.t-ex.com>,autolearn=no

Scheinbar passiert das immer, wenn sich "result: .3" ergibt; das hier war Spam- Mail ohne Virus drin...

In meiner "/etc/syslog.conf" (guter Tip übrigens) steht bzgl. Mail:

mail.*		-/usr/local/psa/var/log/maillog
mail.info			-/var/log/mail.info
mail.warning		-/var/log/mail.warn
mail.err			 /var/log/mail.err

Diese Dateien hab ich mir angeschaut:
In der mail.info steht exakt das selbe wie in der "/usr/local/psa/var/log/maillog";

Die mail.warn hat nur den Eintrag

Apr 30 17:49:42 h864322 sendmail[14229]: gethostbyaddr(85.214.63.61) failed: 2
Apr 30 17:54:27 h864322 qmail: 1146412467.553098 alert: cannot start: qmail-send is already running

Die zweite Zeile steht exakt so in der mail.err, aber auch nicht mehr.

Da qmail jetzt ja läuft und der Eintrag älter ist messe ich dem auch keine Bedeutung zu.

Der Mailer-Daemon schreibt wieder

Remote host said: 554 mail server permanently rejected message (#5.3.0)

Du hast sicher recht, irgendwo muss es geloggt werden.

Ne Idee: Gibt es vieleicht die Möglichkeit, Dateien (die als logs in Frage kommen) nach ihrem Datum suchen zu lassen?
Ich würde dann mal eine "Ablehn-Mail" senden und dann nach allen Dateien suchen, die danach geändert wurden. Da müsste ja dann die logdatei dabei sein...

LG

Linuxpfeiffe
--------------------------
Das Reimen ist mir bald vergangen
ach hätt' ich nur nicht angefangen

 

[linuxpfeiffe]

OK,

find / -mmin -10 -type f

gibt mir nur die Dateien, die ich bisher sowieso gecheckt hab oder nicht ansehen kann (zB lastlog) weil sie scheibar binär sind...

Also wieder ein "kalter":

Aber ich hab mal in die user_prefs geguckt, die unter /root/.spamassassin liegt.
Da sind alle Zeilen auskommentiert.
Wenn das so OK ist ->
Sie wird zwar nicht verwendet, aber nur mal die Frage an Huschi:
Wie sieht die Datei denn bei Dir aus?

LG

Linuxpfeiffe
-------------------------------
Nadel- Such im log- Haufen
bringt mich noch zum vollsaufen

 

[Huschi]

Die maillog (schon richtig, die steht unter "/usr/local/psa/var/log/maillog") wirft folgendes aus für eine Mail, die wieder mal im Daemon des Absenders gelandet ist:

Da müssen doch noch Zeilen mit 'qmail' aussen rum stehen.
Aber ich habe langsam den Verdacht, daß dem nicht so ist, und Dein qmail partou nicht an syslogd schreibt!?!
Allerdings finde ich dazu auch gerade keine Antwort...

Wie sieht die Datei denn bei Dir aus?

Die existiert bei mir gar nicht, weil sie nicht gebraucht wird.

PS: mach mal "ps aux|grep splogger"

huschi.

 

[linuxpfeiffe]

PS: mach mal "ps aux|grep splogger"

# ps aux|grep splogger
qmaill    1500  0.0  0.0   1396   452 ?        S    Apr30   0:00 splogger qmail

Ähm, was sagt uns das

LG

Linuxpfeiffe
---------------------------------

 

[Huschi]

Ich muß ehrlich gestehen, daß ich nicht genau weiß, was und warum hier schief läuft.
Evtl. solltest Du einfach mal alles was qmail ist beenden/killen. Vieleicht ist dabei nämlich was auf der Strecke geblieben...

huschi.

 

[linuxpfeiffe]

hi,

also /etc/init.d/qmail restart oder ..stop und dann ..start hab ich jetzt schon öfters getippt, gibts da noch was anderes?

....oder ist vielleicht ein abhängiger Dienst am laufen, der qmail nicht beenden lässt?
(Ich kenn sowas von der Fensterfirma, da kommt dann eine Meldung)

Teufel eins, dat jivved doch nich

Falls Du Deine Spams Systemweit verwaltest, würdest Du mir bitte mal Deine local.cf und ggf weitere cf- Dateien senden oder hier einstellen?

Ggf ist ja da was drin im argen..


LG

Linuxpfeiffe
---------------------------
Eben glatt den Vers verpennt
weil SA das Hirn verengt

 

[Huschi]

/etc/init.d/xinetd stop
/etc/init.d/qmail stop

kurz warten
ps aux|grep qmail

Alle Prozesse, die jetzt noch angezeigt werden killen (PID ist die erste Zahl pro Zeile):
kill PID

Wenn es keine qmail-Prozesse mehr gibt wieder starten:
/etc/init.d/xinetd start
/etc/init.d/qmail start

huschi.

 

[linuxpfeiffe]

Hi,

@Huschi: Alle so gemacht. (es lief kein Prozess mehr nach )

/etc/init.d/xinetd stop
/etc/init.d/qmail stop

Hab aber mal was anderes rüberkopiert, guckstu:
(OK, es ist ein langer Code, aber es steht viel interessantes drin glaub ich.)
Ggf kann jemand anderes auch mal was damit anfangen.

# /usr/bin/spamassassin -D --lint
debug: SpamAssassin version 3.0.4
debug: Score set 0 chosen.
debug: running in taint mode? yes
debug: Running in taint mode, removing unsafe env vars, and resetting PATH
debug: PATH included '/sbin', keeping.
debug: PATH included '/bin', keeping.
debug: PATH included '/sbin', keeping.
debug: PATH included '/usr/sbin', keeping.
debug: PATH included '/usr/local/sbin', keeping.
debug: PATH included '/root/bin', keeping.
debug: PATH included '/usr/local/bin', keeping.
debug: PATH included '/usr/bin', keeping.
debug: PATH included '/usr/X11R6/bin', keeping.
debug: PATH included '/bin', keeping.
debug: PATH included '/usr/games', keeping.
debug: PATH included '/opt/gnome/bin', keeping.
debug: Final PATH set to: /sbin:/bin:/sbin:/usr/sbin:/usr/local/sbin:/root/bin:/usr/local/bin:/usr/bin:/usr/X11R6/bin:/bin:/usr/games:/opt/gnome/bin
debug: diag: module installed: DBI, version 1.47
debug: diag: module installed: DB_File, version 1.810
debug: diag: module installed: Digest::SHA1, version 2.10
debug: diag: module installed: IO::Socket::UNIX, version 1.21
debug: diag: module installed: MIME::Base64, version 3.05
debug: diag: module installed: Net::DNS, version 0.48
debug: diag: module not installed: Net::LDAP ('require' failed)
debug: diag: module installed: Razor2::Client::Agent, version 2.67
debug: diag: module installed: Storable, version 2.13
debug: diag: module installed: URI, version 1.35
debug: ignore: using a test message to lint rules
debug: using "/etc/mail/spamassassin/init.pre" for site rules init.pre
debug: config: read file /etc/mail/spamassassin/init.pre
debug: using "/usr/share/spamassassin" for default rules dir
debug: config: read file /usr/share/spamassassin/10_misc.cf
debug: config: read file /usr/share/spamassassin/20_anti_ratware.cf
debug: config: read file /usr/share/spamassassin/20_body_tests.cf
debug: config: read file /usr/share/spamassassin/20_compensate.cf
debug: config: read file /usr/share/spamassassin/20_dnsbl_tests.cf
debug: config: read file /usr/share/spamassassin/20_drugs.cf
debug: config: read file /usr/share/spamassassin/20_fake_helo_tests.cf
debug: config: read file /usr/share/spamassassin/20_head_tests.cf
debug: config: read file /usr/share/spamassassin/20_html_tests.cf
debug: config: read file /usr/share/spamassassin/20_meta_tests.cf
debug: config: read file /usr/share/spamassassin/20_phrases.cf
debug: config: read file /usr/share/spamassassin/20_porn.cf
debug: config: read file /usr/share/spamassassin/20_ratware.cf
debug: config: read file /usr/share/spamassassin/20_uri_tests.cf
debug: config: read file /usr/share/spamassassin/23_bayes.cf
debug: config: read file /usr/share/spamassassin/25_body_tests_es.cf
debug: config: read file /usr/share/spamassassin/25_hashcash.cf
debug: config: read file /usr/share/spamassassin/25_spf.cf
debug: config: read file /usr/share/spamassassin/25_uribl.cf
debug: config: read file /usr/share/spamassassin/30_text_de.cf
debug: config: read file /usr/share/spamassassin/30_text_fr.cf
debug: config: read file /usr/share/spamassassin/30_text_nl.cf
debug: config: read file /usr/share/spamassassin/30_text_pl.cf
debug: config: read file /usr/share/spamassassin/50_scores.cf
debug: config: read file /usr/share/spamassassin/60_whitelist.cf
debug: using "/etc/mail/spamassassin" for site rules dir
debug: config: read file /etc/mail/spamassassin/70_zmi_german.cf
debug: config: read file /etc/mail/spamassassin/local.cf
debug: using "/root/.spamassassin" for user state dir
debug: using "/root/.spamassassin/user_prefs" for user prefs file
debug: config: read file /root/.spamassassin/user_prefs
debug: plugin: loading Mail::SpamAssassin::Plugin::RelayCountry from @INC
debug: plugin: registered Mail::SpamAssassin::Plugin::RelayCountry=HASH(0x8fcb870)
debug: plugin: loading Mail::SpamAssassin::Plugin::URIDNSBL from @INC
debug: plugin: registered Mail::SpamAssassin::Plugin::URIDNSBL=HASH(0x8fc88bc)
debug: plugin: loading Mail::SpamAssassin::Plugin::Hashcash from @INC
debug: plugin: registered Mail::SpamAssassin::Plugin::Hashcash=HASH(0x8fd97c8)
debug: plugin: loading Mail::SpamAssassin::Plugin::SPF from @INC
debug: plugin: registered Mail::SpamAssassin::Plugin::SPF=HASH(0x8fdae9c)
debug: plugin: Mail::SpamAssassin::Plugin::URIDNSBL=HASH(0x8fc88bc) implements 'parse_config'
debug: plugin: Mail::SpamAssassin::Plugin::Hashcash=HASH(0x8fd97c8) implements 'parse_config'
debug: using "/root/.spamassassin" for user state dir
debug: bayes: 6405 tie-ing to DB file R/O /root/.spamassassin/bayes_toks
debug: bayes: 6405 tie-ing to DB file R/O /root/.spamassassin/bayes_seen
debug: bayes: found bayes db version 3
debug: using "/root/.spamassassin" for user state dir
debug: bayes: Not available for scanning, only 0 spam(s) in Bayes DB < 200
debug: bayes: 6405 untie-ing
debug: bayes: 6405 untie-ing db_toks
debug: bayes: 6405 untie-ing db_seen
debug: Score set 1 chosen.
debug: ---- MIME PARSER START ----
debug: main message type: text/plain
debug: parsing normal part
debug: added part, type: text/plain
debug: ---- MIME PARSER END ----
debug: bayes: 6405 tie-ing to DB file R/O /root/.spamassassin/bayes_toks
debug: bayes: 6405 tie-ing to DB file R/O /root/.spamassassin/bayes_seen
debug: bayes: found bayes db version 3
debug: bayes: Not available for scanning, only 0 spam(s) in Bayes DB < 200
debug: bayes: 6405 untie-ing
debug: bayes: 6405 untie-ing db_toks
debug: bayes: 6405 untie-ing db_seen
debug: metadata: X-Spam-Relays-Trusted:
debug: metadata: X-Spam-Relays-Untrusted:
debug: decoding: no encoding detected
debug: Loading languages file...
debug: Language possibly: en,sco
debug: metadata: X-Languages: en sco
debug: plugin: Mail::SpamAssassin::Plugin::RelayCountry=HASH(0x8fcb870) implements 'extract_metadata'
debug: failed to load 'IP::Country::Fast', skipping
debug: plugin: Mail::SpamAssassin::Plugin::URIDNSBL=HASH(0x8fc88bc) implements 'parsed_metadata'
debug: is Net::DNS::Resolver available? yes
debug: Net::DNS version: 0.48
debug: trying (3) linux.org...
debug: looking up NS for 'linux.org'
debug: NS lookup of linux.org succeeded => Dns available (set dns_available to hardcode)
debug: is DNS available? 1
debug: URIDNSBL: domains to query:
debug: all '*From' addrs: ignore@compiling.spamassassin.taint.org
debug: Running tests for priority: 0
debug: running header regexp tests; score so far=0
debug: registering glue method for check_hashcash_double_spend (Mail::SpamAssassin::Plugin::Hashcash=HASH(0x8fd97c8))
debug: registering glue method for check_for_spf_helo_pass (Mail::SpamAssassin::Plugin::SPF=HASH(0x8fdae9c))
debug: SPF: message was delivered entirely via trusted relays, not required
debug: registering glue method for check_hashcash_value (Mail::SpamAssassin::Plugin::Hashcash=HASH(0x8fd97c8))
debug: all '*To' addrs:
debug: registering glue method for check_for_spf_softfail (Mail::SpamAssassin::Plugin::SPF=HASH(0x8fdae9c))
debug: SPF: message was delivered entirely via trusted relays, not required
debug: registering glue method for check_for_spf_pass (Mail::SpamAssassin::Plugin::SPF=HASH(0x8fdae9c))
debug: registering glue method for check_for_spf_helo_softfail (Mail::SpamAssassin::Plugin::SPF=HASH(0x8fdae9c))
debug: registering glue method for check_for_spf_fail (Mail::SpamAssassin::Plugin::SPF=HASH(0x8fdae9c))
debug: registering glue method for check_for_spf_helo_fail (Mail::SpamAssassin::Plugin::SPF=HASH(0x8fdae9c))
debug: running body-text per-line regexp tests; score so far=-2.623
debug: running uri tests; score so far=-2.623
debug: registering glue method for check_uridnsbl (Mail::SpamAssassin::Plugin::URIDNSBL=HASH(0x8fc88bc))
debug: plugin: Mail::SpamAssassin::Plugin::URIDNSBL=HASH(0x8fc88bc) implements 'check_tick'
debug: running raw-body-text per-line regexp tests; score so far=0.177
debug: running full-text regexp tests; score so far=0.177
debug: DCCifd is not available: no r/w dccifd socket found.
debug: Running tests for priority: 500
debug: RBL: success for 1 of 1 queries
debug: plugin: Mail::SpamAssassin::Plugin::URIDNSBL=HASH(0x8fc88bc) implements 'check_post_dnsbl'
debug: running meta tests; score so far=0.177
debug: running header regexp tests; score so far=1.747
debug: running body-text per-line regexp tests; score so far=1.747
debug: running uri tests; score so far=1.747
debug: running raw-body-text per-line regexp tests; score so far=1.747
debug: running full-text regexp tests; score so far=1.747
debug: Running tests for priority: 1000
debug: running meta tests; score so far=1.747
debug: running header regexp tests; score so far=1.747
debug: using "/root/.spamassassin" for user state dir
debug: lock: 6405 created /root/.spamassassin/auto-whitelist.lock.t-ex.eu.6405
debug: lock: 6405 trying to get lock on /root/.spamassassin/auto-whitelist with 0 retries
debug: lock: 6405 link to /root/.spamassassin/auto-whitelist.lock: link ok
debug: Tie-ing to DB file R/W in /root/.spamassassin/auto-whitelist
debug: auto-whitelist (db-based): ignore@compiling.spamassassin.taint.org|ip=none scores 0/0
debug: AWL active, pre-score: 1.747, autolearn score: 1.747, mean: undef, IP: undef
debug: DB addr list: untie-ing and unlocking.
debug: DB addr list: file locked, breaking lock.
debug: unlock: 6405 unlink /root/.spamassassin/auto-whitelist.lock
debug: Post AWL score: 1.747
debug: running body-text per-line regexp tests; score so far=1.747
debug: running uri tests; score so far=1.747
debug: running raw-body-text per-line regexp tests; score so far=1.747
debug: running full-text regexp tests; score so far=1.747
debug: is spam? score=1.747 required=5
debug: tests=ALL_TRUSTED,MISSING_DATE,MISSING_SUBJECT,NO_REAL_NAME,UNWANTED_LANGUAGE_BODY
debug: subtests=__HAS_MSGID,__MSGID_OK_DIGITS,__MSGID_OK_HOST,__SANE_MSGID,__UNUSABLE_MSGID

Was mich am meisten irritiert ist die Zeile

using "/root/.spamassassin" for user state dir

...hatten wir das nicht ausgeschaltet?
Vielleicht lässt sich diese Einstellung gar nicht abschalten?

LG

Linuxpfeiffe
---------------------------
Superlange Code- schlange
Dabei wird mir Angst und Bange..

 

[edvsb]

Hallo Ihr beiden,

jetzt klinke ich mich auch noch mal ein, denn mein System läuft komplett (bis auf die ganz neue ClamAV 88.2)

Linuxpfeife, was genau ist momentan das Problem. Habe zwar alle Post gelesen, steige aber nicht so ganz durch.

Erst mal zum Spamfilter:
das hier aus deinem spamassassin -D --lint

debug: bayes: Not available for scanning, only 0 spam(s) in Bayes DB < 200

besagt, dass Dein BAYES nicht benutzt wird. Ist aber normal, den mußt Du anlernen.

Und als Anmerkung: -D startet den Debug-Modus. --lint ist zum Überprüfen der Config Datei(en) auf Fehler. Mehr machen die beiden Optionen nicht.

Das mit der /root/.spamassassin stimmt auch so. Das ist die vom Server, die muß da sein. Die User-Prefs liegen im Mail-Ordner der einzelnen Accounts, wenn vorhanden.

Und huschi, Deine Aussage ist nicht ganz richtig. Spamassassin ab Version 3 benötigt 200 ham und 200 spam Mails damit der Filter aktiviert wird, daher auch das <200 in der Meldung weiter oben. Daher auch mein Tip mit dem Spamarchive.org. Ich habe momentan über 500 von beiden und mein Filter läuft perfekt. Die cf- sind alle noch so wie sie waren, bis auf die deutschen Rules, zu denen ich hier auch einen Link gepostet hatte. Wenn Du BAYES, also den dynamisch lernenden Filter nutzen möchtest mußt Du ihn von Hand anlernen. Alleine tut der das nicht. Wenn eine Mail über die cf-Dateien als ****SPAM**** gekennzeichnet wird, wird diese aber nicht automatisch in die BAYES-DB aufgenommen.

ClamAV:
Der schreibt auch keine Logeinträge wenn ein Virus gefunden wurde. Das mußte erst in der Config aktivieren, allerings in der vom qSheff soweit ich gelesen habe.

Und zu den gelöschten Mails:
Das hatte ich auch. Die Test-Spam-Mails gehen raus und kommen dann nie an. Gleiche Fehlermeldung wie bei Dir. Die hat Spamassassin nicht gelöscht, sondern hat sich vorherige Versuche gemerkt. Wenn ich von einer gewissen Adresse nur das Wort "Viagra" versende kommt der Fehler wieder. Alle anderen Mails funktionieren aber. Da schmeißt Spamassasin die Adresse selber in einen Filter. Wenn Du das dann noch öfters machst sperrt es die Adresse komplett. Daher heißt es ja auch, dass man die Spammails nie mit den Server-Mail-Adressen testen soll, sondern mit externen. Wenns ganz dumm läuft, so habe ich gelesen, landeste bei irgendeinem öffentlichem Server in der Black-List und dann ist schluß mit lustig

Und zum trainieren nimm das Prog von mir. Wenn Du Outlook hast, dann scheint das laut Huschi ja direkt zu gehen. Lerne damit den SA an. Thunderbird kanns glaube ich auch selber, nur eben mein doofer OE nicht.

Aber ansonsten muß ich sagen laufen die Filter echt klasse. Habe extra die Viren und Spamfilter von GMX, Yahoo und Web abgeschaltet und lasse alles an eine lokale Adresse umleiten. Gut, manche rutschen noch durch, aber die lerne ich immer so um die Zeit wie jetzt an.

Gruß, Ingo

 

[edvsb]

Und noch ein allgemeiner Nachtrag:

Ich habe jetzt schon etliche 100 Beiträge hier gelesen, auch die wo die Links zum r***forum zensiert wurden. Also dazu kann ich nur sagen, das Forum hier ist das beste was Server betrifft. In dem benannten Forum war ich auch aktiv, aber dort hielt es wohl keiner für nötig wenigstens einmal auf mein Post einzugehen. Naja, so nach dem Motto "Neuling, da versuche ich es erst gar nicht".

Also das Forum hier ist echt toll, und vor allem "Huschi". Was der alles mit uns durchgemacht hat

Also, wirklich Danke an alle Beteiligten hier.

Gruß, Ingo

 

[linuxpfeiffe]

jetzt klinke ich mich auch noch mal ein, denn mein System läuft komplett (bis auf die ganz neue ClamAV 88.2)

Congratulations
Hast auch viel dafür geschuftet...

Linuxpfeife, was genau ist momentan das Problem. Habe zwar alle Post gelesen, steige aber nicht so ganz durch.

Mein Hauptproblem ist, dass verschiedene Mails ("Viagra") gar nicht zugestellt werden. Das kann ich so nicht verantworten. Was ist, wenn ein Nutzer seinem Arzt mailt und der antwortet...? Wir haben auch noch keine Erfahrung, was sonst noch alles "getötet" wird.
Die Nutzer sollen alle Mails (!!!)erhalten, eben nur mit einem Hinweis im Subject. Damit können sie die Mails selber ausfiltern, mit Outlook zB gar kein Thema. Alles andere wäre bedenklich.

Das selbe gilt für Clamav.
Wenn ein Virus entdeckt wird, geht nicht einmal ein Hinweis an den Empfänger oder Versender raus (ausser an den MailerDaemon); so kann ich das nicht betreiben. Ideal wäre hier beides unter Angabe des "sicheren" Textes der Mail, damit Beide wissen, wo sie dran sind.

Das mit der /root/.spamassassin stimmt auch so. Das ist die vom Server, die muß da sein. Die User-Prefs liegen im Mail-Ordner der einzelnen Accounts, wenn vorhanden.

Ja und haben die dortigen - einmaligen -Einstellungen wirklich gar keine Auswirkungen?

ClamAV:
Der schreibt auch keine Logeinträge wenn ein Virus gefunden wurde. Das mußte erst in der Config aktivieren, allerings in der vom qSheff soweit ich gelesen habe.

Weisst Du, wie der Eintrag genau lauet bzw. aussehen muss?


LG

Linuxpfeiffe
---------------------------
Spam markieren - wenn ers tut
Mailings löschen - niemals gut

 

[Huschi]

@Huschi: Alle so gemacht. (es lief kein Prozess mehr nach )

Und? Loggt qmail nach dem Neustart ordendlich?

Soweit ich die Doku von qSheff überflogen habe, ist die qsheff.rules für Löschvorgänge mit 'Viagra' verantwortlich.
Evtl. solltest Du mal die /var/log/qsheff.log schauen.
Denn weder SpamAssassin löscht, noch der ClamAV. Beide werden nur genutzt um den Inhalt zu scannen und entsprechende Meldungen zurück zu geben. Mehr machen die nicht.

using "/etc/mail/spamassassin" for site rules dir

Das hier ist natürlich die Hauptadresse für die Server-Config.

using "/root/.spamassassin" for user state dir

Vieleicht mußt Du hier auch den Parameter "-x" übergeben.
Ansonsten ist das ja auchr richtig, da Du ja auch der User 'root' bist und dieses Verzeichnis existiert. Als anderer User würde er dort bestimmt eine andere Ausgabe machen.

huschi.

 

[linuxpfeiffe]

Und? Loggt qmail nach dem Neustart ordendlich?

Das selbe wie vorher...

Evtl. solltest Du mal die /var/log/qsheff.log schauen.

Da steht auch nicht mehr drin als bisher, ich hatte sie immer mitkontrolliert.
In dem Fall:

03/05/06 12:27:43: [qsheff], BODY, queue=q-1146652062-424702-11710, recvfrom=85.214.43.217, from=`info@t-ex.com', to=`test@t-ex.eu', subj=`WG: This is most modern and safe way not to cover with shame', size=3903, spam=` Viagra ', rule=`(Viagra)'

Gibts denn für qsheff keine Konfigurationsdatei?

Denn weder SpamAssassin löscht, noch der ClamAV. Beide werden nur genutzt um den Inhalt zu scannen und entsprechende Meldungen zurück zu geben. Mehr machen die nicht.

Genau so wollte ich es ja auch...

Vieleicht mußt Du hier auch den Parameter "-x" übergeben.

Auch? wie mach ich das denn dafür?


LG

Linuxpfeiffe
---------------------------
Wieder musste ich es wagen
Eine Reihe blöder Fragen
Hoff, es kann mir jemand sagen...

 

[linuxpfeiffe]

Aha:

http://www.enderunix.org/qsheff/manual-en/book.html

Da steht viel interessantes drin, zB

qSheff has some great configure parameters. Before the installation, check them and decide which of them you plan to use.

# ./configure --help
--enable-debug Enable Debugging
--enable-backup-all Enable backup
--enable-subject-tag Enable Subject Tag
--enable-qmailqueue-patch Enable qmailqueue_patch
--enable-local-users Filter local users
--enable-custom-error Return custom messages to senders
--enable-custom-filter Enable user defined filter

--with-clamd-socket Path to clamd socket, default=/tmp/clamd
--with-maxfiles Maximum files in a directory (OS limit), default=32000
--with-qmaildir Define qmail directory, default=/var/qmail
--with-qmailgroup Define qmail group, default=qmail
--with-max-bodyline Maximum lines in message body will be filtered, default=40
--with-clamav Enable ClamAv

...
--enable-subject-tag: With this option, qSheff never rejects emails, but alters subject and adds ***SPAM*** tag. The customers could write a simple subject filter to move tagged emails to Trash. MS Outlook, Thunderbird and most of the MUAs support filter feature. If you enable this option, custom error patch will be disabled.

Das heisst VOR der Installation muss man den Parameter mitgeben...
Krieg ich die jetzige Installation wieder runter vom system oder soll ich schonmal neu installieren lassen?

LG

Linuxpfeiffe
---------------------------
qsheff heisst der Bösewöcht
der mir meine Mails weglöscht
(oh je..)

 

[edvsb]

Hi,

--enable-subject-tag: With this option, qSheff never rejects emails, but alters subject and adds ***SPAM*** tag. The customers could write a simple subject filter to move tagged emails to Trash. MS Outlook, Thunderbird and most of the MUAs support filter feature. If you enable this option, custom error patch will be disabled.

Ja, genau das hört sich danach an. Ob es allerdings beim qsheff 1.0.r4 funzt weiß ich nicht, müsteste mal testen. Die Doku ist für den 2.0. Und der hat laut "ChanceLog" nun einen eigenen ClamAV-Dämon. Also bin ich mir nicht sicher. Ich hatte was gelesen dass es nur in der qheff.conf geändert werden muß/soll/kann dass er alles mitloggt, also wenn ein Virus gefunden wurde und sogar wenn nicht. Läßt sich sogar noch erweitern mit dem Zusatz welcher Virus gefunden wurde. Müßte da aber selber erst wieder so. War irgendwo im Google (englisch) mit dem einfachen Suchbegriff ClamAV.

das mit der /root/.spamassassin stimmt so. Die wird immer angelegt, egal ob mit -x oder ohne. Dadrinnen ist die white-list, bayes etc... Globale Einstellungen solltest du aber immer in der ursprünglichen Konfig machen.

Aber ich muß jetzt mal kurz weg.

Gruß, Ingo

 

[linuxpfeiffe]

Ups, übersehen (gleiche Website):

451 mail server temporarily rejected message (#4.3.0)

This is very generic error message. There may be 2 main reason: 1. Binaries or qmail-queue link is not exist in /var/qmail/bin/ directory. 2. qsheff doesn't work properly.

Die Binaries sind drin, das sagt uns...
Werd mal sehen, ob "--enable-subject-tag" auch unter unserer Installation läuft und dann den Server das x-te Mal neu installieren lassen...
Jedenfalls kann man mal festhalten dass qsheff die Ursache fürs reject ist.
Vielleicht läuft ja die neue Version von qsheff sogar problemlos wenn man das nutzt...
Wär einen Versuch wert...

LG

Linuxpfeiffe
---------------------------
Rejected Mails kann niemand lesen
SA und Clam war'ns nicht gewesen

 

[edvsb]

versuchs mal damit

-v verbose zusätzliche ausführliche Ausgabe
--quiet nur Fehlermeldungen werden ausgegeben (haben wir momentan)
--stdout schreibt alle Nachrichten auf die Standardausgabe

bzw.

-l Datei Speichert Scanreport in die angegebene Datei
--log-verbose speichert zusätzliche Informationen

So, jetzt muß ich aber weg

EDIT:
Die neue VErsion hatte ich schon getestet, ganz am Anfang. Ging nicht. Lag aber auch daran, dass dort die Einstellungen ganz anders sind und ich mich damit nicht weiter befasst hatte.

EDIT:
Was hast Du gemacht dass nun die Fehlermeldung kommt?

EDIT:
OK, verstehe, ist nicht deine Fehlermeldung sondern von der Seite vom qSheff. Kannste in dem Fall ignorieren, denn die Mails werden ja zugestellt, bis auf die mit dem Spam. Die Meldung war ganz am Anfang wichtig, wo noch gar nicht funktioniert hat.

 

[edvsb]

könnte auch interessant sein:

qsheff.wblist

File format:

WBL_COMMAND WBL_RULE DIRECTION

There are three different commands : ACCEPT, DISCARD ve REJECT.

    *

      E-mails matching an ACCEPT rule are only scanned for viruses. email enable_subject_filter and enable_spam_prog values are assumed as 0 for them.
    *

      E-mails matching a REJECT rule are sent back to the sender with a PERMANENTLY REJECTED error.
    *

      E-mails matching a DISCARD rule are deleted and nothing is returned to the sender.

The rules may be written in the 4 forms below :

    *

      1. user@domain.com
    *

      2. @domain.com
    *

      3. 192.168.22.10
    *

      4. 10.45.