avmailgate und virenbombardements

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
evilh
Posts: 126
Joined: 2004-03-25 17:45

avmailgate und virenbombardements

Post by evilh » 2004-05-03 22:43

merkwürdigerweise werde ich derzeit mit viren und spam mails an eine adresse überschüttet, die eigentlich unbekannt sein sollte, da (noch) nicht in benutzung und in keiner suchmaschine eingetragen.

avmailgate meldet brav, dass die mail mit einem Worm/NetSky.X worm verseucht ist und stellt sie nicht zu.

da ich aber täglich 30 und mehr dieser virenmails bekomme wird das ganze schon recht nervig.
ein abschalten des zusendens dieser "Hinweise" uist nur in der vollversion von avmailgate verfügbar.

gibt es andere möglichkeiten diese Infomails ins nirvana umzuleiten ?
Mich nerven wie gesagt 30 Hinweise pro Tag auf gefundene Viren.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: avmailgate und virenbombardements

Post by chris76 » 2004-05-04 06:35

hi, du kannst die mails mit einer Filterregel (z.b. über Procmail) gleich entsorgen.
Ansonsten bietet dir avmailgate noch an, das die virenmails die in die avq gehen direkt bei eintreffen zu löschen.

Die Benachrichtigung an den Empfänger lässt sich in der Privat version schon abschalten, nur die Info an den Postmaster nicht.
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

evilh
Posts: 126
Joined: 2004-03-25 17:45

Re: avmailgate und virenbombardements

Post by evilh » 2004-05-05 15:33

hallo chris,

mit procmail hatte ich das schon selbst versucht, jedoch ohne erfolg.
avmailgate läuft ja unabhängig von procmail.

sprich sobald avmailgate die infizierte mail in die finger bekommt wird eine mail an den postmaster generiert. und offenbar kann procmail ja nur eingehenede mails verteilen / sortieren.

wenn ich also z.b. den betreff aller mails auf 'AntiVir ALERT' checken lasse, dann wandern die mails mit die diesen betreff enthalten korrekt in den müll. allerdings nur wenn ich von ausserhalb eine mail mit diesem betreff ins system bringe. eine entsprechend intern erzeugte mail wandert ungehindert durch procmail durch...
Ansonsten bietet dir avmailgate noch an, das die virenmails die in die avq gehen direkt bei eintreffen zu löschen.
Wie stelle ich das ein ? Hab diese einstellung nirgends gefunden [/quote]

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: avmailgate und virenbombardements

Post by chris76 » 2004-05-05 16:14

Also das Verschieben der Mails mittel Procmail klappt bei mir einwandfrei

mit dieser procmailrc

Code: Select all

:0fw
| /usr/bin/spamc

DELIVERMAIL="/usr/sbin/cyrdeliver"
INBOX="$DELIVERMAIL -e -a $USER -q -m user.$USER"
SPAM="$INBOX.spam"
ANTIVIR="$INBOX._antivir"

:0:
* ^X-Spam-(Status|Flag): YES
| $SPAM

:0:
* ^Subject:.*AntiVir.ALERT
| $ANTIVIR

:0fw
| $INBOX
Wegen dem Automatischen Löschen der Viren, da bietet dir die /etc/avmailgate.conf an bei fund eines Virus ein Programm auszuführen.

Code: Select all

ExternalProgram             /pfad/zum/script
Ich habe das Script als /usr/sbin/avqrm abgelegt.

/usr/sbin/avqrm ist ein einfacher einzeiler

Code: Select all

#!/bin/sh
/usr/sbin/avq --remove=$1
wenn du willst das er es dir noch ins log einfügt wenn er löscht, dann schreibe einfach

Code: Select all

#/usr/bin/logger -t avqrm Removed $1 from quarantine queue
dazu
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

evilh
Posts: 126
Joined: 2004-03-25 17:45

Re: avmailgate und virenbombardements

Post by evilh » 2004-05-05 19:17

vielen dank für die ausführliche anleitung. werds gleich mal so probieren

evilh
Posts: 126
Joined: 2004-03-25 17:45

Re: avmailgate und virenbombardements

Post by evilh » 2004-05-06 17:45

leider klappt es immer noch nicht, und ich bekomme immer noch die virenreporte zugeschickt...

hier mal meine procmairc:

Code: Select all


# Path zum SpamAssassin Clienten
SPAMASSASSIN=/usr/bin/spamc 

# SpamAssassin Lockfile
LOCKFILESPAMC=/var/spool/procmail/.spamclock 

# Procmail Lockfile
LOCKFILEPROCM=/var/spool/procmail/.proclock 

# die Mailbox in die Spam gelangen soll
SPAMBOX=/var/spool/mail/spam 
ANTIVIR=/var/spool/mail/antivir

# nur mails kleiner als 250 kb ueberpruefen
:0fw
* < 256000
| $SPAMASSASSIN 

# Mails durch Spamassassin schleusen und X-Spam-Status Flag setzen
:0fw: $LOCKFILESPAMC
| $SPAMASSASSIN 

# Mails mit X-Spam-Status Flag in Spambox leiten
:0: $LOCKFILEPROCM
* ^X-Spam-Status: Yes
$SPAMBOX

:0:
* ^Subject:.*AntiVir.ALERT 
| $ANTIVIR


wäre dankbar für jeden tip...