ClamAV nur fuer "Statistiken"

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
yoshman
Posts: 17
Joined: 2004-04-13 14:23

ClamAV nur fuer "Statistiken"

Post by yoshman » 2004-07-02 11:43

Mahlzeit!

Nach dem ich seit einiger Zeit hier nun mitlesen tue und auch schon das ein oder andere erfolgreich fuer mich Nutzen konnte, habe ich nun ein groesseres "Problem" :)
Ich wuerde gerne auf unserem Server ALLE eMails auf Virenbefall prüfen lassen, die Viren sollen aber nicht entfernt werden :) Hört sich zwar komisch an, ist aber so :) Als eigentlichen Virenscanner haben wir nämlich Nod32 laufen, da aber nicht alle Kunden bereit sind/waren dafür ein bisschen Geld auszugeben wird halt nicht jedes Postfach gescannt! Deswegen wollte ich jetzt ClamAV davor-/ dazwischenschalten um überhaupt mal zu sehen wieviel Viren und welche denn so auf all den Postfächern ankommen, auch um mal fuer uns so eine kleine niedliche Statistik erstellen zu können.
Problem ist halt nur jetzt ein bisschen wie ich das am dümmsten anfange, weil die Postfächer die mit Nod32 geprüft werden haben in dem /home/mail/webXXX (confixx3) eine .forward Datei die dann einfach auf den Nod32mda "Ersatz" umleitet...
An welche Stelle und wo müsste ich denn ClamAV einbinden um einfach nur Scannen und Loggen zu lassen, ohne das evt. Viren entfernt werden?
Ich hatte auch schon mal mit amavis rumgespielt, ABER dann hat das irgendwie nicht mehr so ganz hingehauen mit dem SpamFilter, der ja auch mehr oder weniger über Confixx gesteuert wird!

Vielen Dank schon mal fuer Hilfe und Mühe :)

MfG Steffen Jeschke

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ClamAV nur fuer "Statistiken"

Post by dodolin » 2004-07-02 12:52

Mit exiscan-acl ginge das. Du schreibst aber nicht, welchen MTA du verwendest. ;) Ich tippe allerdings irgendwie auf Postfix... damit kenn ich micht nicht aus, vielleicht kann der auch irgendwie scannen im tag-only Modus, ohne was zu entsorgen...?

mutantx
Posts: 28
Joined: 2002-09-22 11:51

Re: ClamAV nur fuer "Statistiken"

Post by mutantx » 2004-07-06 08:03

amavisd-new installieren & den Scancode für den NOD32 löschen (sonst nutzt er den Scanner automatisch mit)

die Spam-Engine auf Bypass stellen (also das # vor der Zeile entfernen, dann läßt amavis die Finger vom Spamassassin)

Code: Select all

# @bypass_spam_checks_acl  = qw( . );  # uncomment to DISABLE anti-spam code
Für den Virenscanner diese beiden Zeilen jeweils auf D_PASS ändern

Code: Select all

$final_virus_destiny      = D_BOUNCE;  # (defaults to D_BOUNCE)
$final_banned_destiny     = D_BOUNCE;  # (defaults to D_BOUNCE)
Stats kannst du dir anschließend sehr schöne mit amavis-stats generieren
(http://www.rekudos.net/amavis-stats)

Sollte eigentlich problemlos klappen.

yoshman
Posts: 17
Joined: 2004-04-13 14:23

Re: ClamAV nur fuer "Statistiken"

Post by yoshman » 2004-07-06 18:33

@MutantX

Vielen Dank für diesen Tipp, damit habe ich nach langem hin und her (liegt bzw. lag an mir und meiner Unwissenheit) hinbekommen :)
Jetzt habe ich aber noch eine Frage :)
Funktioniert das ganze auch mit dem Spamfilter!? Ich habe das gerade mal getestet, ABER dann nimmt er glaube ich den Spamassassin der auch von Confixx verwaltet wird und ebenso dessen Grundeinstellungen, so das dann der Spamfilter fuer JEDEN aktiviert ist und das möchte ich ja nun mal nicht!
Gibt es irgendwie eine Möglichkeit, dem amavisd ein zweiten Spamassassin unterzujubeln? Und damit auch eine andere Konfiguration? Die dann heisst keine Veränderung der eMail (Header und Subject umschreiben und so weiter...)

Greetz Steffen

mutantx
Posts: 28
Joined: 2002-09-22 11:51

Re: ClamAV nur fuer "Statistiken"

Post by mutantx » 2004-07-06 23:17

eine eigene Config kannst du Spamassassin glaub ich nicht zuweisen. Allerdings nutzt amavisd-new nicht die komplette local.cf vom Assassin sondern teilweise die Einstellungen aus der amavisd.conf

ich würd einfach mal testweise den Spam-Bypass wieder aktivieren und folgende Zeilen in der amavisd.conf ändern:

Code: Select all

$final_spam_destiny       = D_PASS;  # (defaults to D_REJECT)
>> damit die Mail auf jeden Fall zugestellt wird

Code: Select all

$sa_tag_level_deflt  = -999.0; # add spam info headers if at, or above that level
>> hier wird der Spam-Header gesetzt, also immer

Code: Select all

$sa_tag2_level_deflt = 6.5; # add 'spam detected' headers at that level
>> hier wird der Wert eingetragen, ab dem die Mails als Spam erkannt werden

Code: Select all

$sa_kill_level_deflt = 999.0; # triggers spam evasive actions
>>> hier wird der Wert eingetragen, ab wann die Mail gelöscht werden soll (also nie)

Code: Select all

$sa_spam_modifies_subj = 0; # may be a ref to a lookup table, default is true
>>> hier wird definiert, ob das Subject der Mail umgeschrieben werden soll (bei 0 passiert nichts)

Amavisd-new loggt den Kram im Maillog und du kannst z.b. über amavis-stats prima auswerten.

Damit wird der Spam-Tag zwar gesetzt, aber zumindest Subject usw. bleiben erhalten. Theoretisch lassen sich die Header-Tags mittels formail und procmail nach dem Scannen durch amavis sogar wieder entfernen. Ggf. schau mal in manpages von formail und procmail.

Wenn anschließend SA nochmals per procmail über die Mails geht (funktioniert auf einem meiner Server jedenfalls ohne Probs) gelten dann ausschließlich die Einstellungen aus der local.cf.

Hoffe, daß dir damit geholfen ist...

Gruß
Thorsten

yoshman
Posts: 17
Joined: 2004-04-13 14:23

Re: ClamAV nur fuer "Statistiken"

Post by yoshman » 2004-07-09 13:53

Hi again :)

Leider haut das mit deinem Tipp so nicht hin, weil er irgendwie trotzdem die Einstellung von Confixx/SpamAssassin nimmt :(
Und wenn dort fuer einen User Spam deaktiviert ist, dann kriege ich auch immer einen negativen Score in amavisd-new und demzufolge keinen Eintrag und die .log :(

Greetz Yoshman

mutantx
Posts: 28
Joined: 2002-09-22 11:51

Re: ClamAV nur fuer "Statistiken"

Post by mutantx » 2004-07-09 19:28

mhh, eine Idee hab ich noch.. in der /usr/sbin/amavisd-new ist ziemlich weit unten eine Variable definiert:

Code: Select all

#       LOCAL_RULES_DIR   => '/etc/mail/spamassassin',
Eventuell mal ne local.cf in einem anderen Ordner anlegen und die Variable hier ohne # auf das neue Verzeichnis verweisen lassen??..

Kann das leider nicht testen, da mein Bastelserver grad für andere Dinge herhalten muss.

Kenn allerdings auch die Confixx-Spam-Assassin Einstellungen nicht. Wenn Confixx ein .spamassassin in die Homes der Mailuser schreibt wird es nicht klappen, da dann auf jeden Fall diese ebenfalls abgearbeitet werden.

yoshman
Posts: 17
Joined: 2004-04-13 14:23

Re: ClamAV nur fuer "Statistiken"

Post by yoshman » 2004-07-11 16:42

U r my personal hero :)

Weil mit deinem letzten Tipp hat es sehr wohl hingehauen *jippieh*
Da ich dich ja schon mal dort habe, hast du auch schon mal ein bisschen mit amavis-stats und co getestet und hasst dafür ähnlich gute Tipps auf Lager :)

MfG Steffen

mutantx
Posts: 28
Joined: 2002-09-22 11:51

Re: ClamAV nur fuer "Statistiken"

Post by mutantx » 2004-07-12 12:12

Yoshman wrote: Weil mit deinem letzten Tipp hat es sehr wohl hingehauen *jippieh*
Freut mich, daß es dann doch noch geklappt hat.. Zum thema Amavis-stats: was willst du genau wissen? oder hakt es bei der Installation schon?