exim4, Spamassassin, vexim clamav nach Howto

[majobu]

Hallo zusammen,

ich verstehe es so langsam nicht mehr... ich habe nach dem Howto http://www.debianhowto.de/howtos/de/exi ... amassassin
brav die Installation vorgenommen. Soweit funktioniert nach ein paar kleineren Stolpersteinen auch alles.

etzt wollte ich mal probieren ob Spams und Viren gefunden werden...

Wenn ich die Config-Files von Exim4 richtig verstehe, dann wird doch jede einzelne Mail, egal ob incoming oder outgoing, mit zwei zusätzlichen X-Header (X-Spam-Score & X-Spam-Report) versehen, oder nicht?

In keiner Mail erscheinen diese X-Header.... :?:

Ich sehe auch nicht ob Spamassassin irgend etwas tut... in welchem Log verewigt sich Spamassassin eigentlich?

Dann wäre da noch ClamAV. Auch ClamAV sollte doch jede Mail, egal ob incoming oder outgoing, auf Viren checken...

Wenn ich jetzt ein Mail mit den eicar-Files schicke, dann passiert rein garnichts... das Mail wird dem entsprechenden User zugestellt und das war es dann auch schon... keine Benachrichtigung ob irgend etwas in dem Mail ist was auf einen Virus schließen läßt....

Habe ich das vielleicht doch noch etwas überlesen? Ich konnte bis jetzt nichts entdecken...

Für Hilfe und Aufklärunng wäre ich sehr, sehr dankbar...

Gruß
Marcus

[majobu]

Hmmm.... ich habe jetzt die komplette Konfiguration durchgespielt und kontrolliert. Genauso wie es unter http://www.debianhowto.de/howtos/de/exi ... ation.html beschrieben steht.

Allerdings ist mir eine Sache aufgefallen. Im Howto steht folgendes:

Code: Select all

 Und auch in den mitgelieferten Routern sind Nacharbeiten nötig, d.h. in /etc/exim4/vexim-acl-check-content.conf alle Vorkommen von [b]spam = maildeliver:true[/b] in [b]spam = vmail:true[/b] ändern, dann das Gleiche mit [b]spam = maildeliver[/b] in [b]spam = vmail[/b].

spam = maildeliver:true habe ich in der genannten Datei genau 2x gefunden und entsprechend ersetzt. Den zweiten Teil, spam = maildeliver, habe ich dann nicht mehr in der Date gefunden.

Liegt dort vielleicht das Problem?

Gruß
Marcus

[dodolin]

Wenn ich die Config-Files von Exim4 richtig verstehe, dann wird doch jede einzelne Mail, egal ob incoming oder outgoing, mit zwei zusätzlichen X-Header (X-Spam-Score & X-Spam-Report) versehen, oder nicht?

IIRC muss der betreffende User erst im Webinterface von vexim die Spam- und Virenfilter aktivieren, bevor da was getaggt wird.

[majobu]

IIRC muss der betreffende User erst im Webinterface von vexim die Spam- und Virenfilter aktivieren, bevor da was getaggt wird.

Hi dodolin,

vielen Dank für den Hinweis... aber im Webinterface von vexim sind beide Punkte eingeschaltet (Spamassassin und Antivirus). Auch in der vexim-Datenbank steht in der Tabelle Users on_avscan=1 und on_spamassassin=1.

Ich dachte zuerst auch daran das es an diesen Einstellungen liegen könnte...

Gruss
Marcus

[majobu]

Hmmm.... für mich wird das gerade immer undurchsichtiger.... folgendes Verhalten hat sich heraus gestellt:

1. Versand über den Webmailer IMP3 -> keine zusätzlich X-Header
2. Versand über KMail -> X-Header sind beim Empfänger vorhanden.

Das gilt für X-Spam-Score, X-Spam-Report und auch X-ACL-Warn (wenn ein Eicar-Testfile mitgeschickt wird).

Beim Empfang vopn Nachrichten werden keine X-Header geschrieben.... Egal ob ein Virus enthalten ist oder es sich bei der Mail um ein Spam-Mail handelt.


Gruß
Marcus :(

[majobu]

Hallo zusammen,

hat vielleicht jemand noch einen Tip wo ich suchen kann warum bei mir keine Tags geschrieben werden?

Oder habe ich vom Prinzip der Arbeitsweise dieser Konfiguration etwas nicht vertsanden?

Muß ich vielleicht noch an bestimmten Konfigurationsdateien etwas ändern? Z.B. /etc/spamassassin/local.cf

thx
Marcus

[dodolin]

1. Versand über den Webmailer IMP3 -> keine zusätzlich X-Header
2. Versand über KMail -> X-Header sind beim Empfänger vorhanden.

Kommt drauf an, wie IMP3 die Mails einliefert. Nutzt der SMTP oder die sendmail-Schnittstelle?

Hast du die passenden Router und Transports erstellt? Hast du deine DATA ACL entsprechend angepasst?

[majobu]

Kommt drauf an, wie IMP3 die Mails einliefert. Nutzt der SMTP oder die sendmail-Schnittstelle?

Ich gehe davon aus das hier SMTP verwendet wird. Jedenfalls nennt sich in der entsprechenden Konfigurationsdatei der Parameter smtphost[/]. Aber auch wenn IMP, auf welche Art und Weise auch immer, diesen Mechanismus umgeht, warum wir keine der eingehenden Dateien markiert?

Bei Mails die verschicke sind mir die X-Header erst einmal egal...

Hast du die passenden Router und Transports erstellt? Hast du deine DATA ACL entsprechend angepasst?

Ich habe das gemacht was im HowTo beschrieben ist:

Code: Select all

Anschließend noch die mitgelieferten Router an die gleiche Stelle cp /usr/local/src/vexim2/docs/vexim* /etc/exim4/

Die genannten Anpassungen habe ich ich vorgenommen:

Code: Select all

MAILMAN_HOME=/var/lib/mailman
MAILMAN_USER=list
MAILMAN_GROUP=daemon
MY_IP = a.b.c.d
domainlist local_domains = @ : ${lookup mysql{VIRTUAL_DOMAINS}} : ${lookup mysql{ALIAS_DOMAINS}}
hostlist   relay_from_hosts = localhost
trusted_users = vmail:www-data
hide mysql_servers = localhost::(/var/run/mysqld/mysqld.sock)/vexim/vexim/geheim
av_scanner = clamd:/var/run/clamav/clamd.ctl
exim_user = Debian-exim
exim_group = Debian-exim
.include /etc/exim4/vexim-acl-check-spf.conf
.include /etc/exim4/vexim-acl-check-helo.conf
.include /etc/exim4/vexim-acl-check-rcpt.conf
.include /etc/exim4/vexim-acl-check-content.conf
user = Debian-exim

Wenn mit DATA ACL die vier vexim-acl Dateien gemeint sind, was soll da noch angepasst werden (bis auf spam = vmail:true)? Die Dateien sehen bei mir wie folgt aus:

/etc/exim4/vexim-acl-check-helo.conf

Code: Select all

  accept hosts = :
  accept hosts = +relay_from_hosts
  drop condition = ${if match{$sender_helo_name}{MY_IP}{yes}{no} }
       message   = "Dropped spammer pretending to be us"
  drop condition = ${if match{$sender_helo_name}{^[0-9].[0-9].[0-9].[0-9]}{yes}{no} }
       message   = "Dropped IP-only or IP-starting helo"
  accept

/etc/exim4/vexim-acl-check-spf.conf

Code: Select all

spf_rcpt_acl:
    warn     set acl_m8  = $sender_address
    deny     !acl        = spf_check
    warn     message     = Received-SPF: $acl_m7
    accept

spf_from_acl:
    warn     set acl_m8  = ${address:$h_from:}
    deny     !acl        = spf_check
    warn     message     = Received-SPF: $acl_m7
    accept

spf_check:
    warn     set acl_m9  = ${readsocket{/tmp/spfd}
                           {ip=$sender_host_addressn
                           helo=${if def:sender_helo_name
                           {$sender_helo_name}{NOHELO}}
                           nsender=$acl_m8nn}{20s}{n}{socket failure}}

    warn     set acl_m9  = ${sg{$acl_m9}{N=(.*)nN}{="$1" }}
             set acl_m8  = ${extract{result}{$acl_m9}{$value}{unknown}}
             set acl_m7  = ${extract{header_comment}{$acl_m9}{$value}{}}

    deny     condition   = ${if eq{$acl_m8}{fail}{yes}{no}}
             message     = $acl_m7
             log_message = Not authorized by SPF

    accept

/etc/exim4/vexim-acl-check-rcpt.conf

Code: Select all

  accept  authenticated = *

  deny    message       = DNSBL listed at $dnslist_domainn$dnslist_text
          dnslists      = sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org

/etc/exim4/vexim-acl-check-content.conf

Code: Select all

  deny  message = This message contains a MIME error ($demime_reason)
        demime = *
        condition = ${if >{$demime_errorlevel}{2}{1}{0}}

  deny  message = This message contains an unwanted file extension ($found_extension)
        demime = scr:vbs:bat:lnk:pif:bz2

  warn  message = This message contains malware ($malware_name)
        malware = *
        log_message = This message contains malware ($malware_name)

expression ($regex_match_string)
  warn  message = X-Spam-Score: $spam_score ($spam_bar)
        spam = vmail:true
  warn  message = X-Spam-Report: $spam_report
        spam = vmail:true

  deny  hosts           = emi.mail.pas.earthlink.net
        message         = X-PH-FW: leaky forwarder, $dnslist_domain=$dnslist_value
                          set acl_m4 = ${if match {$h_received:}
                                {N[(d+).(d+).(d+).(d+)])s+.*by 
                                emi.mail.pas.earthlink.netN}
                                {$4.$3.$2.$1}fail}
        dnslists        = sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org/$acl_m4

  deny  hosts           = emi.mail.pas.earthlink.net
        message         = Please use your FQDN for HELO
        condition       = ${if match {$h_received:}{Nhelo=d+.d+.d+.d+N}{yes}{no} }

In der systemweiten Spamassassin Konfiguration gibt es lediglich einen Eintrag:

/etc/spamassassin/local.cf

Code: Select all

use_bayes 1

Tausend Dank,

Gruss
Marcus

[majobu]

Hi zusammen,

ich stocher hier noch immer ein wenig blind herum... kann es sein das ich das Paket sa-exim installieren muß damit alles richtig funktioniert?

Gruß
Marcus

[dodolin]

Nein, sa-exim ist was völlig anderes und unabhängig von exiscan-acl.

[majobu]

Hmmm ich tappe noch immer im Dunkeln... hat niemand mehr einen Tipp?

Gruß
Marcus

[dodolin]

Ich fürchte, wir tappen auch im Dunkeln.