PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Prüft clamav automatisch fetchmail?



balduin222
20.02.06, 16:11
Hallo zusammen,

ich habe auf Debian Sarge/stable einen Mailserver wie folgt aufgebaut:

Internet --> fetchmail --> postfix --> amavisd-new --> postfix --> MS Exchange 2003

Im amavisd-new habe ich clamav und spamassassin eingebunden. Es funktioniert auch alles, NUR.......

....wenn ich den clamav aus der /etc/postfix/main.cf und master.cf auskommentiere, wird eine Virenmail trotzdem gefiltert. Kann es sein, dass clamav direkt eingehnde Mails vom Fetchmail überprüft? Wenn ja, wie kann man das unterbinden?

mfg balduin222

Sargnagel
20.02.06, 16:13
Hallöchen...

clamav wird doch über AMaViS aufgerufen, oder nicht?

Grüße
Marc

balduin222
20.02.06, 16:27
ja, richtig, aber der clamav daemon läuft ja auch unabhängig von amavis, einen Virusscan kann man ja auch manuell anschmeißen. Das "Problem" ist, dass amavis IMMER Virenmails bis zum jeweiligen Exchange-Postfach durchlässt, obwohl sie laut Einstellungen in ein Virenpostfach gehen sollten. In der Mail ist dann zwar der Virus gelöscht, aber sowas soll beim User gar nicht erst ankommen. mfg balduin222

Sargnagel
20.02.06, 16:50
Gut, dann die altbekannte Frage: Welche jeweilige Versionen? Welche Distribution?

balduin222
20.02.06, 17:15
Hallo,

Debian Sarge 3.1
fetchmail 6.2.5
postfix 2.1.5
amavisd-new-20030616-p10
clamav 0.88

In der /var/log/mail.log kann man auch erkennen, dass amavis eine Virenmail gar nicht erst erkennt:

Feb 20 16:37:26 mail amavis[9558]: (09558-01) body hash: 047ed4092868e72d53c3b56b5502468c
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Checking: <balduin223@gmx.net> -> <test@testdomain.local>
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Checking for banned MIME types and names
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Checking for banned (contents-based) file types, 2 parts
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Checking for banned (contents-based) file types, 1 parts
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Using Clam Antivirus-clamd: (built-in interface)
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Clam Antivirus-clamd: Connecting to socket /var/run/clamav/clamd.ctl
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Clam Antivirus-clamd: Sending CONTSCAN /var/lib/amavis/amavis-20060220T163726-09558/parts\n to UNIX socket /var/run/clamav/clamd.ctl
Feb 20 16:37:26 mail amavis[9558]: (09558-01) Clam Antivirus-clamd result: /var/lib/amavis/amavis-20060220T163726-09558/parts: OK\n
Feb 20 16:37:26 mail postfix/smtpd[9563]: disconnect from mail.testdomain.de[127.0.0.1]


mfg balduin222

MiGo
20.02.06, 22:42
Poste mal die config von amavis; der Virenscanner ist an mindestens zwei Stellen (normal und failback) eingebunden.
Ausserdem müssen die Viren-Signaturen auch aktuell sein ;)

balduin222
21.02.06, 08:33
Hallo Migo,

amavis funktioniert ja wunderbar, ich bin auch überzeugt davon, dass auch amavis eine Virenmail erkennen würde, wenn sie nicht schon bereinigt dort ankäme!!

Die Frage ist ja einfach nur, ob der clamav direkt die eingehenden Mails von fetchmail überprüft??? Kann man den Loglevel vom clamav irgendwie hochsetzen?

mfg
balduin222

Sargnagel
21.02.06, 08:58
Guten Morgen...



In der /var/log/mail.log kann man auch erkennen, dass amavis eine Virenmail gar nicht erst erkennt:

Aber auch nicht, ob sie den Virus enthält oder nicht...

Clamav prüft normalerweise erst NACH der Zustellung von fetchmail an postfix, sofern er NUR über AMaViS aufgerufen wird. Möglicherweise kann er vorher von Postfix gestartet werden, aber NICHT von fetchmail - jedenfalls wüsste ich nichts anderes. Dein obenstehendes Schema entspricht meiner Konfiguration, und die läuft seit anderthalb Jahren.

Sind die Virendefinitionen wirklich aktuell? Versuch's doch mal mit der EICAR-Testsignatur...

Den Loglevel von ClamAV erhöht man durch Freigabe der Option LogVerbose in /etc/clamd.conf.

Grüße
Marc

balduin222
22.02.06, 13:05
Hallo nochmal, das Problem war (wie so oft) kein Problem sondern ein Feature!!

Ich habe die ganze Zeit mit den Eicar Test Viren rumgespielt. Diese erkennt allerdings schon amavis beim Check an den Teststring, siehe hier die /var/log/mail.log im verbose Modus:


Feb 22 12:39:33 mail amavis[1309]: (01309-09) lookup_RE: key="text/plain", no match
Feb 22 12:39:33 mail amavis[1309]: (01309-09) check_for_banned - mime-type: application/zip
Feb 22 12:39:33 mail amavis[1309]: (01309-09) check_for_banned - declared names: eicarcom2.zip
Feb 22 12:39:33 mail amavis[1309]: (01309-09) lookup_RE: key="application/zip", no match
Feb 22 12:39:33 mail amavis[1309]: (01309-09) lookup_RE: key="eicarcom2.zip", no match


Das heißt, dass Amavis selbst schon den Virus aussortiert und gar nicht erst beim ClamAV ankommt, deswegen hat der nämlich auch nie was erkannt und die Mail ist immer zum User gegangen.

Jetzt habe ich mal eine "echte" Virenmail geschickt, und siehe da, /var/log/mail.log:


Feb 22 11:54:02 mail amavis[1309]: (01309-03) Clam Antivirus-clamd: Connecting to socket /var/run/clamav/clamd.ctl
Feb 22 11:54:02 mail amavis[1309]: (01309-03) Clam Antivirus-clamd: Sending CONTSCAN /var/lib/amavis/amavis-20060222T102920-01309/parts\n to UNIX socket /var/run/clamav/clamd.ctl
Feb 22 11:54:02 mail amavis[1309]: (01309-03) Clam Antivirus-clamd result: /var/lib/amavis/amavis-20060222T102920-01309/parts/part-00001: HTML.Phishing.Bank-294 FOUND\n
Feb 22 11:54:02 mail amavis[1309]: (01309-03) prolong_timer after virus_scan: remaining time = 300 s
...
Feb 22 11:54:02 mail amavis[1309]: (01309-03) infected or banned contents, skipping spam_scan
...
Feb 22 11:54:02 mail amavis[1309]: (01309-03) lookup_RE: key="HTML.Phishing.Bank-294" matches "(?-xism:.*)", result=1
Feb 22 11:54:02 mail amavis[1309]: (01309-03) Virus HTML.Phishing.Bank-294 matches pattern (?-xism:.*), sender addr ignored
Feb 22 11:54:02 mail amavis[1309]: (01309-03) fish_out_ip_from_received: , m101.net85-168-142.noos.fr
Feb 22 11:54:02 mail amavis[1309]: (01309-03) header: X-Quarantine-id: <virus-20060222-115402-01309-03>\n
Feb 22 11:54:02 mail amavis[1309]: (01309-03) header: X-Amavis-Alert: INFECTED, message contains virus: HTML.Phishing.Bank-294\n
Feb 22 11:54:02 mail amavis[1309]: (01309-03) lookup: (scalar) matches, result="virus-quarantine"
...
Feb 22 11:54:02 mail amavis[1309]: (01309-03) DO_QUARANTINE, sender:
Feb 22 11:54:02 mail amavis[1309]: (01309-03) local delivery: <> -> <virus-quarantine>, mbx=/var/lib/amavis/virusmails/virus-20060222-115402-01309-03
Feb 22 11:54:03 mail amavis[1309]: (01309-03) header: Delivered-To: virus-quarantine\n
Feb 22 11:54:03 mail amavis[1309]: (01309-03) header: Return-Path: <>\n
Feb 22 11:54:03 mail amavis[1309]: (01309-03) one_response_for_all <>: success, dsn_needed=0, '250 2.6.0 Ok, delivered to /var/lib/amavis/virusmails/virus-20060222-115402-01309-03, id=01309-03'
Feb 22 11:54:03 mail amavis[1309]: (01309-03) DO_QUARANTINE done
...
Feb 22 11:54:03 mail amavis[1309]: (01309-03) lookup: (scalar) matches, result="virusalert@testdomain.local"


Da amavis mit der Mail nichts anfangen kann, übergibt er sie an ClamAV, der erkennt brav den Virus, löscht ihn aus der Mail raus, lässt sie garnicht erst durch den Spamfilter und übergibt sie zum Schluss an meinen "virusalert" Account! Smile

Und ich brech mir einen ab......

@Sargnagel

In der /var/log/mail.log kann man auch erkennen, dass amavis eine Virenmail gar nicht erst erkennt:
das wird nur angezeigt wenn man den Loglevel in der /etc/amavis/amavisd.conf mit dem Parameter
$log_level = 5; erhöht.

An alle ein Dankeschön für die Beiträge!!

mfg
balduin222

Tiroler
22.02.06, 13:17
Kann es sein, dass (bei deiner Konfiguration) Amavis generell alle .exe Dateien rausfiltert & es deshalb keinen Virenscanner braucht?

Wäre halt des Rätsels Lösung...

der Tiroler

balduin222
22.02.06, 13:46
Hallo Tiroler,

exe Dateien werden schon gefiltert, die werden aber gesondert markiert und wandern auch direkt zu "virusalert" so wie es sein sollte. Wenn amavis aber vorab schon einen "Boody-Check" des Anhanges macht und den Eicar String erkennt, ist klar, dass er dann vornweg die Viren und Spamfilter übergeht.

mfg
balduin222

Tiroler
22.02.06, 13:52
Seltsam finde ich es aber trotzdem, da in vielen Anleitungen gerade der Eicar-Virus als Test für den Virenscanner erwähnt wird...

der Tiroler

Sargnagel
22.02.06, 14:28
Mein AMaViS macht das nicht und ich habe dieselbe Version... Ich vermute, dass es am Attachmenttyp lag.

Grüße
Marc

balduin222
23.02.06, 14:02
Mein AMaViS macht das nicht und ich habe dieselbe Version... Ich vermute, dass es am Attachmenttyp lag.


Ich glaube ich habe jetzt den "Übeltäter" gefunden :-) Bei genauerem Durchsuchen der /etc/amavis/amavisd.conf habe ich das hier gefunden:


$viruses_that_fake_sender_re = new_RE(
qr'nimda|hybris|klez|bugbear|yaha|braid|sobig|fizz er|palyh|peido|holar'i,
qr'tanatos|lentin|bridex|mimail|trojan\.dropper|du maru|parite|spaces'i,
qr'dloader|galil|gibe|swen|netwatch|bics|sbrowse|s ober|rox|val(hal)?la'i,
qr'frethem|sircam|be?agle|tanx|mydoom|novarg|shimg |netsky|somefool|moodown'i,
qr'@mm|@MM', # mass mailing viruses as labeled by f-prot and uvscan
qr'Worm'i, # worms as labeled by ClamAV, Kaspersky, etc
[qr'^(EICAR|Joke\.|Junk\.)'i => 0],
[qr'^(WM97|OF97|W95/CIH-|JS/Fort)'i => 0],
[qr/.*/ => 1], # true by default (remove or comment-out if undesired)
);

Ich habs zwar noch nicht getestet, aber das scheint mir am wahrscheinlichsten.

mfg
balduin222