Hi,

ich möchte bei meinem Mailserver (fetchmail, Postfix, cyrus, amavisd-new, SpamAssassin) die eingehenden Mails mit clamAV scannen lassen. Dazu hab ich ne Testmail von web.de mit dem Eicar-Testvirus an einen lokalen Benutzer hier geschickt. Die Mail wird allerdings ohne Probleme durchgelassen - Virus wird nicht erkannt! Das Spamfiltern klappt hingegen ohne Probleme. Ich glaube, das liegt an einem Benutzer- bzw. Rechteproblem der betreffenden Programme?!

Könnt ihr mir bitte mal sagen, welcher Benutzer+Gruppe die relevanten Dateien bzw. Deamons haben müssen?!
In der clamd.conf steht bei mir:


User vscan


In der amavisd.conf steht bei mir:


$daemon_user = 'vscan';
$daemon_group = 'vscan';


Welche Rechte brauchen dann die Dateien:
1. /etc/init.d/amavis
2. /etc/init.d/clamd
3. /etc/init.d/spamd
...muss ich noch weiteren Dateien expliziet Rechte vergeben - wenn ja, welchen Dateien und welche Rechte?

Wie habt ihr das bei Euch gemacht???

Gruß und Danke.

Die Berechtigung für Init-Skripte sind nicht anzupassen, da diese nur von root (z. B. bei Systemstart) gestartet werden! Am besten erstellst du einen amavisd user und eine zugehörige gruppe. Mit usermod kannst du für vscan user eine sekundäre gruppe erstellen. usermod -G <amavis-gruppe> <vscan-user> hinzufügen. Weiters die Dateien und Verzeichnisse kontrollieren!

Danke erstmal - probier ich gleich mal aus.

...aber welchen Dateien muss ich dann explizit über die Eigenschaften/Berechtigungen den User+ Gruppe amavisd zuweisen?

Also das scannen von eingehenden Mails auf Virusbefall ist seltsam! (Spamerkennung klappt ohne Probleme)
Wenn ich ein Telnet auf Port 10024 starte (Port für eingehende Nachrichten) klappt die Virenerkennung vom Eicar-Testvirus:


v1:~ # telnet 127.0.0.1 10024
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 [127.0.0.1] ESMTP amavisd-new service ready
mail from: mailadmin
250 2.1.0 Sender mailadmin OK
rcpt to: musterfrau
250 2.1.5 Recipient musterfrau OK
data
354 End data with <CR><LF>.<CR><LF>
Subject: test 9_23
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
.
250 2.7.1 Ok, discarded, id=15512-03 - VIRUS: Eicar-Test-Signature
quit
221 2.0.0 [127.0.0.1] amavisd-new closing transmission channel
Connection closed by foreign host.


Wenn ich allerdings von web.de eine Mail mit dem Testvirus schicke, geht diese unbehelligt durch den clamav-Virenscanner bis ins Postfach des Users!
Logeintrag vom amavis.log:


Nov 23 09:25:01 v1.firma.local /usr/sbin/amavisd[15511]: (15511-04) ESMTP::10024 /var/spool/amavis/tmp/amavis-20061123T083521-15511: <extern@web.de> -> <musterfrau@firma.local> Received: SIZE=1949 BODY=8BITMIME from v1 ([127.0.0.1]) by localhost (v1.firma.local [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 15511-04 for <musterfrau@firma.local>; Thu, 23 Nov 2006 09:25:01 +0100 (CET)
Nov 23 09:25:01 v1.firma.local /usr/sbin/amavisd[15511]: (15511-04) Checking: t8gk9+tvU1jw [127.0.0.1] <extern@web.de> -> <musterfrau@firma.local>
Nov 23 09:25:01 v1.firma.local /usr/sbin/amavisd[15511]: (15511-04) p001 1 Content-Type: text/plain, size: 337 B, name:
Nov 23 09:25:07 v1.firmalocal /usr/sbin/amavisd[15511]: (15511-04) SPAM-TAG, <externr@web.de> -> <musterfrau@firma.local>, No, score=0.377 tagged_above=-999 required=5 tests=[AWL=0.377]
Nov 23 09:25:07 v1.firma.local /usr/sbin/amavisd[15511]: (15511-04) FWD via SMTP: <extern@web.de> -> <musterfrau@firma.local>, BODY=8BITMIME, 250 2.6.0 Ok, id=15511-04, from MTA([127.0.0.1]:10025): 250 Ok: queued as 6C1D41ED0F
Nov 23 09:25:07 v1.firma.local /usr/sbin/amavisd[15511]: (15511-04) Passed CLEAN, LOCAL [127.0.0.1] [84.180.125.54] <extern@web.de> -> <musterfrau@firma.local>, Message-ID: <55193171@web.de>, mail_id: t8gk9+tvU1jw, Hits: 0.377, 5839 ms
Nov 23 09:25:07 v1.tultec.local /usr/sbin/amavisd[15511]: (15511-04) TIMING [total 5845 ms] - SMTP EHLO: 3 (0%)0, SMTP pre-MAIL: 1 (0%)0, SMTP pre-DATA-flush: 3 (0%)0, SMTP DATA: 40 (1%)1, body_digest: 1 (0%)1, gen_mail_id: 0 (0%)1, mime_decode: 11 (0%)1, get-file-type1: 20 (0%)1, parts_decode: 1 (0%)1, AV-scan-1: 9 (0%)2, spam-wb-list: 3 (0%)2, SA msg read: 1 (0%)2, SA parse: 3 (0%)2, SA check: 5579 (95%)97, update_cache: 2 (0%)97, fwd-connect: 24 (0%)98, fwd-mail-from: 2 (0%)98, fwd-rcpt-to: 9 (0%)98, write-header: 2 (0%)98, fwd-data: 1 (0%)98, fwd-data-end: 112 (2%)100, fwd-rundown: 2 (0%)100, main_log_entry: 14 (0%)100, update_snmp: 1 (0%)100, unlink-1-files: 2 (0%)100, rundown: 0 (0%)100

...die Mail ist angeblich CLEAN - was sie ja wohl aber nicht ist!!!

Woran kann das liegen???
Hat das jemand schonmal gehabt???

Hallo,

ich hatte schonmal ein ähnliches "Problem" http://www.linuxforen.de/forums/showthread.php?t=207688
Bei mir hat amavis den Eicar Teststring schon erkannt und am clamav vorbeigeschleust. In dem Post steht auch irgendwo der Ausschnitt der Config, der dafür verantwortlich ist.

Zu den Rechten: Der user "clamav" muss in die Gruppe "amavis". Das wars ansich.

Gruß
balduin222

Ich hab jetzt mal von www.testvirus.de an eine lokale Adresse verschiedene Viren geschickt.
Plötzlich geht alles einwandfrei!!! :confused: :)

Irgendwie scheint es zwar mit der Eicar-Testvirus-Signatur auch zu gehen, aber eben nicht immer - keine Ahnung warum!!!
Ich hab auch echt schon an mir und dem System gezweifelt, weil ich eigentlich nach tausenden Anleitungen die Sache korrekt gemacht haben müsste...

Geändert habe ich an meinen config´s nix - und es geht. Ich werde später vielleicht nochmal Hardcore-Testen :rolleyes:

Danke und Gruß.