RootForum Community

// Version 0.0.5; changelog am Ende //

Hallo zusammen,

dieses Mini-Howto (BTW mein erstes) soll helfen, ein Mailsystem, bestehend aus QMail, qmail-scanner, spamassassin, courier und clamav auf einem Debian stable-System aufzusetzen. Dabei lege ich hier besonders Wert auf eine möglichst großzügige Verwendung des apt-Mechanismus um so wenige Probleme wie möglich zu haben.

Besonderen Dank aber zunächst einmal an scythe42 für seinen "Qmail-Toaster" (Teil 1 und Teil 2) sowie an olfi für sein Debian-Howto zu Qmail (http://www.debianhowto.de/howtos/de/qma ... l_MTA.html).

Ich werde mich so weit wie möglich vor allem auf das debianhowto.de beziehen um nicht alles zu wiederholen.

So, beginnen wir.

Zunächst einmal empfiehlt es sich, die /etc/apt/sources.list um folgende Einträge zu erweitern: Dadurch werden die Backports für einige Pakete eingesetzt. Backports sind neuere Versionen von Softwarepaketen die auf Debian stable-Distributionen lauffähig sind. Dadurch hat man neuere Software auf seinem System ohne auf Testing oder gar Unstable wechseln zu müssen.
Außerdem wird das Repository des ClamAV Virenscanners hinzugefügt um ihn später bequem installieren zu können.

Für den nächsten Schritt, nämlich die Installation des eigentlichen QMail-Systems verweise ich nochmal auf debianhowto.de.

Hiernach solltet ihr ein lauffähiges Mailsystem haben. Dieses solltet ihr auch ausgiebig getestet haben bevor ihr weiter macht um Fehler bis dato auszuschließen.

Kommen wir also endlich zu was Neuem.

Als allererstes installieren wir einige Programme, auf die von den zu installierenden Programmen zurückgegriffen wird: So, die Vorarbeiten wären erledigt, weiter im Text.

Zunächst einmal installieren wir spamassassin: Anschließend ändern wir die Datei /etc/default/spamassassin so ab, dass SA (=Spamassassin) als Daemon in der Kombination mit spamc läuft. Dies beschleunigt den Spamerkennungsprozess. Genauer ändern wir die Zeile in (oh Wunder) Ein genügt für's Erste.

Nun ist SA installiert, kümmern wir uns als nächstes um einen Virenscanner: Letzteres ist das Programm zum automatischen Aktualisieren der Virusdefinitionen.

Nach diesem Schritt sollte auch der Virenscanner einsatzbereit sein.

Zur korrekten Funktionsweise benötigt qmail-scanner auch noch das Modul reformime aus dem maildrop-Paket. Leider ist die in Debian-stable vorhandene Version veraltet, daher die letzte Zeile in der /etc/apt/sources.list. Nur noch schnell ein und auch dieses Problem ist gelöst.

Kommen wir zum logistischen Herzstück des Beitrags. Denn bisher haben wir ja nur die eigentlichen Programme installiert, irgendwie müssen e-Mails aber ja auch noch an diese Programme weitergeleitet werden. Dazu nutzen wir QMail-Scanner, ein Perl-Script, welches die Standard-Queue von qmail ersetzt und dabei Mails durch bestimmte Programme schickt. De Facto ist es nur eine einzige Perl-Datei, welche mit Hilfe von ./configure aber an die speziellen Bedürfnisse auf eurem Server angepasst wird. Eine kurze Erklärung zu den Optionen, die nicht sofort ersichtlich sind und warum ich sie verwendet habe: Hier muss eure E-Mail Adresse hin bzw. die Adresse, an die Fehlerbenachrichtigungen gehen sollen. Sie setzt sich zusammen aus webmaster @ euer-domainname.tld Wird eine Mail gefiltert, so wird nur der Sender darüber benachrichtigt. Standardeinstellung ist "sender,admin", es werden also auch Benachrichtigungen an den admin (hier: webmaster@euer-domainname.tld) geschickt. Bei der heutigen Spamflut beileibe keine Freude... Deswegen die Umstellung Hier müsst ihr alle lokalen Domains eintragen. Ich habe nicht 100%ig verstanden wofür das gut ist aber ich habe mal alle meine Domains, für die der Server den Mailverkehr handhabt hier eingetragen. Achtung: Keine Leerzeichen zwischen den einzelnen Domains, nur ein Komma! Kommt es zu Problemen, das ganze nochmal mit --debug yes neu kompilieren. Das Log schwillt allerdings extrem stark an da jede Mail protokolliert wird. Hier werden die eigentlichen Scanner eingetragen, in unserem HowTo nur clamscan und SA. Normalerweise funktioniert auch die default-Einstellung "auto", dann werden clamscan und fast_spamassassin auch gefunden und installiert. Ich habe die beiden explizit angegeben, um bei fast_spamassassin das Argument **SPAM** mitzugeben welches bewirkt, dass zusätzlich zum "X-Spam-Status: Yes"-Header das Subject um **SPAM** am Anfang erweitert. Dadurch können auch Mailprogramme, die nicht nach Headern filtern können Spammails aussortieren.
Der genaue Unterschied zwischen den beiden Optionen fast_spamassassin und verbose_spamassassin ist hier unter Punkt 14 erklärt.

Sollte die Meldung kommen, dass eure Sprachwahl nicht unterstützt wird ist das nicht weiter schlimm, dann läuft das Programm halt auf englisch...

Die Liste aller Optionen gibt es übrigens mit ./configure --help oder als HTML-Seite hier.

OK, die Installation sollte jetzt durchlaufen (hat sie zumindest bei mir getan...).

Jetzt ist qmail-scanner einsatzbereit, noch aber ist diese schicke Erweiterung nirgends im Mailsystem integriert. Das ändern wir aber jetzt.
Ich gehe auch hier davon aus, dass qmail nach der Anleitung auf debianhowto.de installiert wurde und daher über tcpserver läuft.
Bauen wir also jetzt die neue queue in das System ein: Hier sollte bisher etwas stehen, was in etwa so aussieht: Die Bedeutung ist, dass alle Verbindungen von 127.0.0.1 (also localhost) automatisch relayed werden, sie also als sicher gelten. Wir ändern die Datei ab in Nun werden alle Verbindungen, die nicht vom localhost aus kommen über qmail-scanner-queue.pl geleitet.
Als letzten Schritt muss die neue Datei nur noch kompiliert werden: und wenn alles gutgegangen ist, funktioniert nun alles.
qmail neu starten, SA neu starten und ihr seid auf der sicheren Seite.

Beachtet bitte, dass der Scanner jetzt ein- und ausgehende Mails überprüft.

Noch was zu /etc/spamassassin/local.cf:
Hier sollte der required_hits-Wert nicht zu niedrig eingestellt werden da es ansonsten zu false-spam-positives kommt. Die Einstellungen wie rewrite_subject, etc. haben übrigens bei fast_spamassassin keine Auswirkung, warum steht in o.g. Vergleich zwischen fast_spamassassin und verbose_spamassassin.
Die Bayes-Filterung mit sa-learn würde ich auch gerne einbauen, ich habe aber bisher noch keine komfortable Möglichkeit gefunden das ganze in den IMAP-Server einzubauen.

Ich hoffe, ihr könnt auf eurem Server etwas mit diesem Mini-HowTo anfangen und erwarte Rückmeldungen *gg*

Mein Dank gilt hier nochmal den Autoren der beiden anderen HowTos.

Natürlich übernehme ich keinerlei Funktionsgarantie für dieses HowTo!
Alle Ã?nderungen an euren Systemen müsst ihr selber verantworten.
Außerdem hafte ich für keinerlei "verschwundene" Mails, was während des Betriebes mit dem System aufgrund von Falschfilterung passieren kann!

--------------------------
Changelog:

0.0.5; 2004-04-21
Update von qmail-scanner auf Version 1.22 um Problemen mit der aktuellen suidperl-Version zu entgegnen

0.0.4; 2003-12-28
Hinzufügen zweier apt-get Zeilen, um Probleme mit Perl zu beheben.
Dank an tobi^ und Pjacobs

0.0.3; 2003-12-26
Korrektur der useradd und groupadd-Zeilen von qmaild nach qscand.
Dank an Thomas_Schwerin.

0.0.2; 2003-12-26
Hinzufügen des dotdeb-Repositorys in die sources.list und Ã?nderung der Konfiguration des mime-decoders

0.0.1; 2003-12-26
Erste Veröffentlichung
--------------------------
Gruß,
Dominik

Ich hab zwar mit Kuh-Mail nichts am Hut, das Howto finde ich aber wunderbar gemacht. Hättest du u.U. Interesse, das zum Debianhowto beizutragen?

Hallo, erstmal Glückwunsch zu dem super HOWTO.

Hab beim umsetzten nur ein kleinen Fehler gefunden:

(HOWTO Fehler): Bei einem bereits funktionierendem Mailsystem gibt es bereits den User qmaild. Beim ./config vom Scanner kommt der Fehler.

RICHTIG wäre da: Have a Nice Weekend

Frage: Ich hab grad versucht den Toaster nachzubaun, bin dabei aber auf schwierigkeiten gestoßen, da ich qmail ned von grundauf gebaut hab sondern mit apt-get eben. Ich hab F-Prot aufgesetzt, nur ich bekomm es ned hin, das qmail die mails durch den F-Prot jagt. Was muss ich dazu tun? qmail-scanner, maildrop usw. wär alles installiert. die tcp.smtp hab ich auch angepasst, auch wenn sie so wie im howto hier angegeben ned funktioniert bei mir. Ich bekomm da nen parse fehler. Wenn ich das 2. allow rausnehme funzt es. Die Files die in QMAILQUEUE angegeben sind, sind auch vorhanden. Was hab ich vergessen? pls help

Kurz: Was muss ich tun damit qmail seine mails von F-Prot prüfen lässt?

Hi,

ich habe mir auch noch zusätzlich f-prot installiert. Bei mir hat es gereicht, im ./configure von qmail-scanner die Zeile mit allen vorhandenen Scannern in abzuwandeln.

Was ist denn genau die Fehlermeldung, wenn es eine gibt? Und was steht in /var/spool/qmailscan/qmail-queue.log, der Logdatei von qmail-scanner?

Gruß,
Dominik

Es steht garnix drin, bis auf das:
Ich hab beim configure von qmailscanner garkeine Scanner angegeben, damit er automatisch erkennt. Und er hat auch angezeigt das er eben F-Prot gefunden hat. Da dachte ich das er es dann auch verwendet. Und wie gesagt diese tcp.smtp hab ich angepasst aber bei mir konnte ich sie nicht kompilieren, deshalb hab ich sie wie folgt angepasst:
Sieht irgendwie alles so aus, als jagt er die mails nicht durch F-Prot :(

Hi,

hast du schon die aktualisierte Version aus dem HowTo genommen? Die erste Version, in der noch ripmime als Encoder angegeben war funktioniert nicht.

Deine tcp.smtp ist so, wie sie da steht nicht sonderlich sinnvoll da die Variable QMAILQUEUE mit dem zweiten Eintrag (/var.../qmail-queue) wieder überschrieben wird und qmail-scanner gar ncith zum Zug kommt.
Es muss auf jeden Fall eine zweite Zeile rein, sonst wird qmail-scanner ja gar nicht aufgerufen (das ist bei dir im Moment der Fall, daher das kurze Log).

HTH,
Dominik

für manche dir probs mit setuid haben

installiert per apt-get perl-suid, dann klappts auch mit den viren ;)

@ SunTzu: Danke das war mein Fehler, ich wusste ned das das zwei Zeilen sind, dachte nur das Board hat da nen Zeilenumbruch reingemacht. Jetzt funktioniert alles. Jetzt kann ich mich an die SPAM Bekämpfung machen :)

Wegen Versionen: Ich hab immer die aktuellste Version genommen von dem Zeugs was gestern erhältlich war.

Wegen Perl: Habs neu kompiliert von grund auf

Zwei Fragen hab ich allerdings noch. Hab grad mal nen Virus versant an ne Test Mail addy (extern hotmail) und F-Prot hat den Virus erkannt und die ganze Mail gelöscht und mich benachrichtigt. Ist soweit ok, aber gehts auch so das er nur den Anhang löscht und mit nem File ersetzt das eben der Virus soundso entfernt wurde? Und wie verfährt der dann mit Viren Mails dir von extern kommen? löscht er die auch komplett?

Zweite Frage: Wenn ich über mein Webmail ne email an ne lokale domain auf meinem Server schick, werden die ned geprüft? Also ich hoste mehrere Domains, wenn ich z.b. ne Mail von bla@dom1.de nach bla@dom2.de schick, die beide bei mir gehostet werden?

Achja doch noch ne dritte Frage: Ist es möglich (kenn ich von paar MailScannern) In den Text Body der Mail einen Text einzufügen wie z.b. "Mail wurde gescannt auf MTA blablabla und enthält keine Viren"?

Hallo,

ich bekomme lieder beim Kompilieren folgenden Fehler:
This script will search your system for the virus scanners it knows
about, and will ensure that all external programs
qmail-scanner-queue.pl uses are explicitly pathed for performance
reasons.

Continue? ([Y]/N)
y

**************************

perl doesn't have Time::HiRes module - cannot continue.

Get it from CPAN:

http://search.cpan.org/search?mode=modu ... 3A%3Ahires

**************************

Error reported was:

---
Can't locate Time/HiRes.pm in @INC (@INC contains: /usr/local/lib/perl/5.6.1 /usr/local/share/perl/5.6.1 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.6.1 /usr/share/perl/5.6.1 /usr/local/lib/site_perl .) at -e line 1.
BEGIN failed--compilation aborted at -e line 1.

Irgendetwas fehlt auf meinem Server. Bitte um Hilfe

Hi,

die Fehlermeldung sagt eigentlich schon alles: Es fehlt das Time::HiRes-Modul von Perl.
Lösung: Gruß,
Dominik

PS: Wird in die neue Version aufgenommen.

Suntzu, hast du ne Antwort auf meine Fragen? :)

Achja und check mal deine privaten nachrichten ;)

M18 wrote: Zwei Fragen hab ich allerdings noch. Hab grad mal nen Virus versant an ne Test Mail addy (extern hotmail) und F-Prot hat den Virus erkannt und die ganze Mail gelöscht und mich benachrichtigt. Ist soweit ok, aber gehts auch so das er nur den Anhang löscht und mit nem File ersetzt das eben der Virus soundso entfernt wurde? Und wie verfährt der dann mit Viren Mails dir von extern kommen? löscht er die auch komplett?

Das Verhalten wird über die ./configure-Option "--notify" gesteuert. Sollte eine Veränderung der Nachricht stattfinden (Virusdatei löschen), so müsste dies geschehen, während die Nachricht zerlegt ist, also beim Virusscan. Eventuell können die Virenscanner dies, ich habe mich damit noch nicht ganz befasst. Findest du etwas heraus, ich bin gerne bereit, es aufzunehmen.
Da auch eingehende Mails gescannt werden, wird der externe Sender genau so eine Benachrichtigung erhalten wie die, die du erhalten hast.

M18 wrote: Zweite Frage: Wenn ich über mein Webmail ne email an ne lokale domain auf meinem Server schick, werden die ned geprüft? Also ich hoste mehrere Domains, wenn ich z.b. ne Mail von bla@dom1.de nach bla@dom2.de schick, die beide bei mir gehostet werden?

Ja, siehe oben. Es werden ein- und ausgehende Mails gescannt, sowohl auf Viren als auch auf Spam. Ob die Zieldomain auf dem gleichen oder einem anderen Server liegt ist eigentlich irrelevant. Daher erhält im Beispiel bla@dom1.de eine Benachrichtigung.

M18 wrote: Achja doch noch ne dritte Frage: Ist es möglich (kenn ich von paar MailScannern) In den Text Body der Mail einen Text einzufügen wie z.b. "Mail wurde gescannt auf MTA blablabla und enthält keine Viren"?

Wieder siehe oben. Eventuell können die Virenscanner das, da werde ich mich bei Gelegenheit nochmal ein wenig einlesen.

Gruß,
Dominik

Eine Ergänzung hab ich aus der Hilfe zu Configure....

Ansonsten klasse sache.

Ich habe da aber auch noch einen Warnung gefunden die micht stutzig macht.

If you are wanting to run Qmail-Scanner without the QMAILQUEUE patch, then you're in (almost) unsupported territory as the number of possible problems increases dramatically

Vielleicbt bin ich aber auch einfach nur müde :)

swosher wrote:Eine Ergänzung hab ich

Code: Select all

--local-domains [...]         

aus der Hilfe zu Configure....

Ja, habe ich doch oben eingebaut...

swosher wrote: Ich habe da aber auch noch einen Warnung gefunden die micht stutzig macht.

If you are wanting to run Qmail-Scanner without the QMAILQUEUE patch, then you're in (almost) unsupported territory as the number of possible problems increases dramatically

Vielleicbt bin ich aber auch einfach nur müde :)

Das ist richtig, der QMAILQUEUE-Patch für qmail muss angewendet worden sein. Da er aber in den Debian-Sourcen schon automatisch eingespielt ist, bin ich darauf nicht näher eingegangen.

Gruß,
Dominik

apt-get install libtime-hires-perl

Soetwas habe ich mir schon fast gedacht. Leider wußte ich eben nicht wie
ich das Paket bekomme bzw. mit welchem Namen. Danke[/quote]

Ich hätte noch eine Frage:
In den Logs /var/log/mail.log wird kontinuierlich folgender Eintrag geschrieben:

Dec 28 13:10:17 vl05s16 spamd[15400]: info: setuid to root succeeded
Dec 28 13:10:17 vl05s16 spamd[15400]: Still running as root: user not specified with -u, not found, or set to root. Fall back to nobody.
Dec 28 13:10:17 vl05s16 spamd[15400]: checking message <9PS291LhupY> for root:65534.
Dec 28 13:10:17 vl05s16 spamd[15400]: identified spam (14.2/5.0) for root:65534 in 0.0 seconds, 1544 bytes.
Dec 28 13:11:57 vl05s16 spamd[28935]: connection from localhost [127.0.0.1] at port 57207

Muss der User dieses Prozesses geändert werden?

Dann hätte ich noch eine weitere Frage:
Wie kann ich die Funktionstüchtigkeit dieses Filtersystem überprüfen?

die message bekomm ich nur wenn ich nen spamd restart mache

Ich hätte noch drei weitere Fragen:

Wie binde ich f-prot konkret ein. Ich habe
das *.deb Pakte(fp-linux-ws.deb) von ftp://ftp.f-prot.com gezogen und installiert.
Jetzt wüßte ich gerne ob dieses Paket das Richtige ist und wie ich f-prot in den Qmailscanner einbinde, damit qmailscanner auch weiss, wo f-prot liegt.

Darüber hinaus wüßte ich gerne, wie ich spamassassin anpassen kann. ich
habe schon einiges hier im Forum gefunden. Nur den Ã?berlick habe ich noch nicht. Vielleicht reicht ja auch die Standart Config aus?

Wie nenne ich den Mailserver um also statt mail.domain.tld mail.anderedomain.tld?

Zu deiner ersten frage: Ich habe auch F-Prot am laufen. einfach das paket mittels dpkg -i paketname installieren dann das ./configure von qmail-scanner laufen lassen, der findet f-prot von selbst und konfiguriert sich entsprechend.

Bei SA les ich mich auch grad ein. ich habs laufen und die spammail die das testscript erzeugt hat es auch gefunden, ich wüsste nur gern wie er das mit dem rule file macht, wo das liegt, wie das aktualisiert wird usw. dazu hab ich noch nix gefunden. ansonsten such ich immo grad wie ich den bayes filter auf userebene am besten einrichte.

Zu Frage 3: Weiß ned wo er das ausliest

Zu meinen fragen hab ich größtenteils ne antwort. Den body verändern das die mail gescannt wurde ist geplant aber noch ned integriert in qmail-scanner

die mail fixen statt zu droppen mit viren mag der autor nicht :)

Bei mir taucht noch folgende Zeile in /var/log/syslog auf (aber bisher nur einmal):

Jan 1 16:48:09 p15135899 kernel: grsec: From 217.230.62.233: signal 11 sent to (clamscan:11389) UID(1020) EUID(1020), parent (perl5.6.1:20251) UID(1020) EUID(1020)


217.230.62.233 ist die IP, mit der ich gerade im Internet bin (habe eine Mail von zuhause geschickt).

Ich verwende Kernel 2.4.23 mit grsecurity-Patches.

Vielen Dank, ist echt ein gutes Howto.

Welche ClamAV-Version setzt du ein? Laut Mailinglisten kann es teilweise zu solchen Problemen kommen.

clamscan -V:
clamscan / ClamAV version 0.65-BugFixesFromCVS-20031123

(sollte die gleiche sein wie die, die im Howto verwendet wird - habe die gleichen Einträge in der sources.list).

Ich kann den Bug nicht finden - oder was meinst du mit dem Link?

Vielen Dank für deine Hilfe