Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by redhat99 » 2004-01-15 00:20

Hallo,

ich habe den Qmailtoaster installiert. Es klappt auch alles bis auf eine Ausahme.

Ich habe den H+BEDV Antivir installiert. Dieser funktioniert auch. Eine "normale" email kann ohne Probleme gesendet werden.

Wenn ich aber eine Mail mit einem EICAR-Testfile sende erhalte ich im Outlook folgenden Fehler:


Fehler (0x800CCC6A) beim Ausführen der Aufgabe "217.160.202.147 - Nachrichten werden gesendet": "Ihr Postausgangsserver (SMTP) hat einen internen Fehler gemeldet. Wenn Sie diese Meldung weiterhin erhalten, wenden Sie sich an Ihren Serveradministrator oder Internetdienstanbieter. Antwort des Servers: 451 qq temporary problem (#4.3.0)"



und im qmail-queue.log steht:


----- scan results -----
directories: 1
files: 4
alerts: 2
repaired: 0
deleted: 0
renamed: 0
scan time: 00:00:01
------------------------
Thank you for using AntiVir.
--
15/01/2004 00:10:54:26564: tempfail: X-Qmail-Scanner-1.14: corrupt or unknown H+BEDV scanner/resource problems - exit status 1

die Mail wird also nicht angenommen.

Ich habe schon im Internet gesucht und ähnliche sachen gefunden. Das heraufstellen des Softlimit für smtp hat nicht geholfen ...

Was der Fehlercode 1 bedeutet war bis jetzt nicht ersichtlich ...


Weiss jemand rat?

Ach so: Wie kann ich den den Header in der Email der qmailscanners beeinflussen? Der schreibt ja ziehmlich viel übers System ....


Grüsse Mario

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

mit Kaspersky das selbe

Post by redhat99 » 2004-01-15 15:38

Hmmm,

habs mal auf nem anderen Server gebaut, da shab ich aber den Kaspersky verwendet.

Das selbe Ergebniss ... hat keiner diesen Fehler gehabt? :-(

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by kenzo » 2004-01-15 19:02

Hast Du mal testweise versucht, das Softlimit ganz herauszunehmen?
Wie hoch ist es z.Zt. eingestellt?

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Re: Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by redhat99 » 2004-01-15 20:04

Hallo Kenzo,

habe im moment das softlimit wieder auf die Ausgangswerte zurückgestellt. Habe es aber auch schon mit 50MB probiert, ohne erfolg...

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by scythe42 » 2004-01-15 20:41

a) Die Virusdefinition von dem HBEDV ist nicht ok - nimm mal die default und nicht upgraden.
b) Softlimit höher setzen min 15MB oder was der HBEDV so will.
c) mal beides kombinieren

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by kenzo » 2004-01-15 20:57

a) Die Virusdefinition von dem HBEDV ist nicht ok - nimm mal die default und nicht upgraden.
Könnte sein, aber er hat auch Kaspersky verwendet, was dagegen spräche.
Wie sieht's mit den Rechten aus?
Könnte außerdem mit irgendwelchen Exitcodes von Antivir zusammenhängen (haben sich ab einer Version wohl geändert) - vielleicht probierst Du einfach mal die aktuellste Version von qmail-scanner aus.

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Antivir + Kaspersky

Post by redhat99 » 2004-01-15 22:28

Hallo kenzo und scythe42,

danke für Eure schnellen Tipps.

Werde das morgen mal alles testen, also das Softlimit hochsetzen und mal die aktuellste Version des scanners nehmen...

Normal Dateien scannen kann ich mit beiden Scannern ohne Probleme, der Kaspersky läuft auch nach dem installieren erst wenn man die Definitionen gezogen hat...

Bei HBEDV erhalte ich Exitcode 1
bei Kaspersky 16

melde mich nochmal, wenn ichs getestet habe. Danke schonmal!

Grüsse Mario

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Re: Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by redhat99 » 2004-01-16 10:59

Hallo,

so habe jetzt mal getestet, leider selbes Ergebniss.

Habe zuerst den qmailscanner neu kompiliert. Die neuste stable ist 1.20.

Beim kompilieren will er einen Benutzer unter dem er läuft, habe ihm qmailq zugewiesen. Ist das richtig ?

Immernoch Exitcode 16 bei Kaspersky...

Habe dann aus allen Supervisescripten das softlimit rausgenommen, kein Erfolg.

Habe das ganze /var/spool/qmailscann verzeichniss, samt unterverzeichniss an qmailq:qmail abgegeben...

auch nix gebracht ...


In der qmail-queue.log Datei steht:

Code: Select all

Fri, 16 Jan 2004 10:47:05 +0100:21090: +++ starting debugging for process 21090 by uid=1012 at Fri, 16 Jan 2004 10:47:05 +0100
Fri, 16 Jan 2004 10:47:05 +0100:21090: setting UID to EUID so subprocesses can access files generated by this script
Fri, 16 Jan 2004 10:47:05 +0100:21090: program name is qmail-scanner-queue.pl, version 1.20
Fri, 16 Jan 2004 10:47:05 +0100:21090: incoming SMTP connection from via SMTP from 80.133.109.XXX
Fri, 16 Jan 2004 10:47:05 +0100:21090: w_c: mkdir /var/spool/qmailscan/tmp/host107424642546121090
Fri, 16 Jan 2004 10:47:05 +0100:21090: w_c: start dumping incoming msg into /var/spool/qmailscan/working/tmp/host107424642546121090 [1074246425.21265]
Fri, 16 Jan 2004 10:47:05 +0100:21090: w_c: primary Content-Type of multipart/alternative found
Fri, 16 Jan 2004 10:47:05 +0100:21090: w_c: found a top-level boundary definition of ----=_NextPart_000_0037_01C3DC19.D065C710
Fri, 16 Jan 2004 10:47:05 +0100:21090: w_c: attachment  1: Content-Type of text/plain found
Fri, 16 Jan 2004 10:47:05 +0100:21090: w_c: attachment  2: Content-Type of text/html found
Fri, 16 Jan 2004 10:47:05 +0100:21090: w_c: rename new msg from /var/spool/qmailscan/working/tmp/host107424642546121090 to /var/spool/qmailscan/working/new/host107424642546121090 [1074246425.42639]
Fri, 16 Jan 2004 10:47:05 +0100:21090: d_m: starting /usr/bin/reformime  -x/var/spool/qmailscan/tmp/host107424642546121090/ </var/spool/qmailscan/working/new/host107424642546121090 [1074246425.42654]
Fri, 16 Jan 2004 10:47:05 +0100:21090: d_m: finished /usr/bin/reformime  -x/var/spool/qmailscan/tmp/host107424642546121090/ [1074246425.43094]
Fri, 16 Jan 2004 10:47:05 +0100:21090: d_m: Checking all attachments to see if they're MS-TNEF
Fri, 16 Jan 2004 10:47:05 +0100:21090: d_m: is /var/spool/qmailscan/tmp/host107424642546121090/1074246425.21092-0.host is a TNEF file?: 256 [1074246425.43226]
Fri, 16 Jan 2004 10:47:05 +0100:21090: d_m: is /var/spool/qmailscan/tmp/host107424642546121090/1074246425.21092-1.host is a TNEF file?: 256 [1074246425.43329]
Fri, 16 Jan 2004 10:47:05 +0100:21090: d_m: unpacking message took 0.006867 seconds
Fri, 16 Jan 2004 10:47:05 +0100:21090: unsetting QMAILQUEUE env var
Fri, 16 Jan 2004 10:47:05 +0100:21090: g_e_h: return-path is "root@host.domain.TLD", recips is "postmaster@host.domain.TLD"
Fri, 16 Jan 2004 10:47:05 +0100:21090: from=<root@host.domain.TLD>,subj=postmaster@host.domain.TLD, x-qmail-scanner-message-id=<005001c3dc15$e3631010$0800a8c0@CS008> via SMTP from 80.133.109.126
Fri, 16 Jan 2004 10:47:05 +0100:21090: ini_sc: start scanning
Fri, 16 Jan 2004 10:47:05 +0100:21090: ini_sc: recursively scan the directory /var/spool/qmailscan/tmp/host107424642546121090/
Fri, 16 Jan 2004 10:47:05 +0100:21090: scanloop: starting scan of directory "/var/spool/qmailscan/tmp/host107424642546121090"...
Fri, 16 Jan 2004 10:47:05 +0100:21090: scanloop: scanner=avp_scanner,plain_text_msg=0
Fri, 16 Jan 2004 10:47:05 +0100:21090: kasp: starting scan of directory "/var/spool/qmailscan/tmp/host107424642546121090"...
Fri, 16 Jan 2004 10:47:05 +0100:21090: run Fri, 16 Jan 2004 10:47:05 +0100:21090: --output of avp was:

+-------------------------------------------------------+
|            Kaspersky Anti-Virus for Linux             |
|         Copyright(C) Kaspersky Lab. 1998-2002         |
|                     Version 4.0.3.0                   |
|                                                       |
+-------------------------------------------------------+
                   Registration info:                  
Key name      Ser. number            Price pos.             Exp. date  Trial 
000159A7.key  015c-000434-00054123   Kaspersky Anti-Vi...   Expired    Yes
                   Evaluation copy                  
Antiviral databases have been loaded. Known records: 80586.

 
Current object:	/var/spool/qmailscan/tmp/host107424642546121090 
You will not be able to read the information about /dev/hda5 device.
/var/spool/qmailscan/tmp/host107424642546121090/1074246425.21092-0.host ok.
/var/spool/qmailscan/tmp/host107424642546121090/1074246425.21092-1.host ok.
                                                                             
 
Scan process completed.
 
           Sector Objects :      0                Known viruses :      0 /usr/bin/kavscanner  -Y -P -B -MP -MD -* -O /var/spool/qmailscan/tmp/host107424642546121090  2>&1

                    Files :      2                 Virus bodies :      0 
                  Folders :      1                  Disinfected :      0 
                 Archives :      0                      Deleted :      0 
                   Packed :      0                     Warnings :      0 
                                                     Suspicious :      0 
           Speed (Kb/sec) :      3                    Corrupted :      0 
                Scan time :  00:00:01                I/O Errors :      0 
--
16/01/2004 10:47:05:21090: error_condition: X-Qmail-Scanner-1.20: corrupt or unknown Kaspersky scanner error or memory/resource/perms problems - exit status 16

die Lizenz für Kaspersky ist abgelaufen, läuft aber noch im vollen umfang. solange wie das System nicht läuft, möchte ich die nicht erneuern. eventuell dann einen anderen Virenscanner zulegen...

Wenn ich den Befehl: /usr/bin/kavscanner -Y -P -B -MP -MD -* -O /var/spool/qmailscan/tmp/.... von hand mache geht es ohne Probleme...

Was mich wundert ist: You will not be able to read the information about /dev/hda5 device.


Jemand Ahnung was ich noch machen könnte?

Gruss Mario

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by kenzo » 2004-01-16 12:57

Beim kompilieren will er einen Benutzer unter dem er läuft, habe ihm qmailq zugewiesen. Ist das richtig ?
Hört sich gut an - poste mal die Ausgabe von ls -l (...)/qmail-scanner-queue.pl
Immernoch Exitcode 16 bei Kaspersky... (...)
die Lizenz für Kaspersky ist abgelaufen, läuft aber noch im vollen umfang.
Sicher? http://marc.theaimsgroup.com/?l=qmail-s ... 911799&w=2
Wenn ich den Befehl: /usr/bin/kavscanner -Y -P -B -MP -MD -* -O /var/spool/qmailscan/tmp/.... von hand mache geht es ohne Probleme...
Auch nach "su qmailq"?
Jemand Ahnung was ich noch machen könnte?
Clam-AV oder antivir ausprobieren? :-D

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Re: Qmail-Scanner Problem - H+BEDV Antivir - 451 qq temporary pr

Post by redhat99 » 2004-01-16 14:38

Hallo,

danke für die antwort Kenzo, also:

Hört sich gut an - poste mal die Ausgabe von ls -l (...)/qmail-scanner-queue.pl
-rwsr-sr-x 1 qmailq qmail 79305 Jan 16 10:12 qmail-scanner-queue.pl
Auch nach "su qmailq"?
Ja genauso ...
Clam-AV oder antivir ausprobieren?

Hmm werde es auf dem anderen Server mal mit dem installierten H+BEDV Antivirus testen, wo bis jetzt ja auch der Fehler auftritt...

sollte es nicht helfen, taugt ClamAV den was? Kommen da auch schnell Updates?


Grüsse Mario

EDIT: Habe gerade schon mal bei F-Prot nachgesehen. Zum download gibt es nur noch: fp-linux-ws-4.3.2.tar.gz

Ich nehme an: fp-linux-ws-4.3.2.tar.gz ist für Workstation. Hat jemand die Datei auf seinem Server liegen, oder nen anderen link?

Danke im voraus ...

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Bingo!

Post by redhat99 » 2004-01-16 20:14

Hallo,

so es klappt jetzt. Zumindest auf der Maschine mit Antivir. Habe dort die neuste stable des qmail-scanners (1.20) eingespielt, und es klappt!

Denke es liegt bei Kaspersky doch an der abgelaufenen Version ...

Danke an kenzo und scythe42 für Eure Hilfe!!!

Dieses Forum hat mir wirklich schon viel geholfen, und ich hoffe es bleibt uns lange erhalten!

Bis zur nächsten Frage ... 8)

Grüsse Mario :-D