ClamAv läuft nicht

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
umbroboy
Posts: 258
Joined: 2005-05-11 11:49

ClamAv läuft nicht

Post by umbroboy » 2005-11-28 15:16

Hallo,

habe leider ein problem und zwar laufen folgende Prozesse unter dem user clamav: clamd udn freshclam.

Ebenso habe ich folgenden Eintrag in der´etc/exim4/vexim-acl-check-content.conf:
# Reject virus infested messages.
deny message = This message contains malware ($malware_name)
malware = *
log_message = This message contains malware ($malware_name)
Das stehen. nur leider kommmt das ZIP file von EICAR bei mir in der Mailbox immer an

:-(

Kann mir jemand helfen?

Dankeschön

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-28 18:15

Oder fehlt mir hier ein programm noch?

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-11-28 22:32

umbroboy wrote: Kann mir jemand helfen?
Zumindest ich kann dir so nicht helfen. Wie sieht deine allgemeine Exim-Konfiguration aus? Verwendest du vexim oder etwas Ã?hnliches? Hast du schon mal Exim im Debug-Modus gestartet, eine Mail an diese Instanz geschickt und dann geschaut, ob ClamAV auch wirklich aufgerufen wird? Gibt es Meldungen in main.log, reject.log bzw. panic.log?

Bei dir klappt die Einbindung nicht, also brauchen wir (oder zumindest ich) auch alle relevanten Informationen, wie ClamAV eingebunden wird.

fs

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-28 22:58

Hi,
Zumindest ich kann dir so nicht helfen. Wie sieht deine allgemeine Exim-Konfiguration aus? Verwendest du vexim oder etwas Ã?hnliches?
Habe es über dieses Howto gemacht:

http://www.debianhowto.de/de:howtos:sar ... er_mailman

Habe eine Email über dein Eicar test geschickt und dies kam dann direkt in meine Inbox.

Im mainlog von exim4 ist folgendes drin:

Code: Select all

2005-11-28 22:53:04 1Egqvm-0005ug-7d <= webmaster-vir@declude.com H=mail.fluns.com (www.declude.com) [63.246.13.85] P=smtp S=3017 id=4.3.2.7.0.20001102202253.00adb610@localhost.example.com T="Test eicar.com file [eicarencodedzip]"
2005-11-28 22:53:04 1Egqvm-0005ug-7d => /var/opt/vmail/XXXX.info/oliver/Maildir <oliver@XXXX.info> R=virtual_domains T=virtual_delivery
2005-11-28 22:53:04 1Egqvm-0005ug-7d Completed
Dafür scheint er aber teilweise emails abzublocken wie folgt aus dem rejectlog:

Code: Select all

2005-11-28 20:05:01 H=cph254.neoplus.adsl.tpnet.pl (142528648) [83.31.213.254] rejected EHLO or HELO 142528648: "Dropped IP-only or IP-starting helo"
2005-11-28 20:05:39 H=p5485fedc.dip.t-dialin.net (146051280) [84.133.254.220] rejected EHLO or HELO 146051280: "Dropped IP-only or IP-starting helo"
2005-11-28 20:06:13 H=cm-85-152-224-117.telecable.es (144202488) [85.152.224.117] rejected EHLO or HELO 144202488: "Dropped IP-only or IP-starting helo"
2005-11-28 20:06:42 H=(146606752) [82.2.34.177] rejected EHLO or HELO 146606752: "Dropped IP-only or IP-starting helo"
2005-11-28 20:07:07 H=(146606752) [83.237.133.103] rejected EHLO or HELO 146606752: "Dropped IP-only or IP-starting helo"
2005-11-28 20:07:13 H=24-107-138-114.dhcp.stls.mo.charter.com (144151776) [24.107.138.114] rejected EHLO or HELO 144151776: "Dropped IP-only or IP-starting helo"
2005-11-28 20:41:16 H=sev93-3-82-237-27-79.fbx.proxad.net [82.237.27.79] F=<IQIPDJBKPJ@technistone.com> rejected RCPT <oliver@XXXX.info>: DNSBL listed at sbl-xbl.spamhaus.org
So falls du noch was brauchst, frag einfach.

Vielen Dank schonmal

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-11-29 07:56

Kannst du einen Link posten zur vexim-acl-check-content.conf? Ebenso die Zeile in der exim.conf, wo du diese Datei eingebunden hast?

fs

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-29 09:48

Hallo,

anbei der Auszug von der exim4.conf

Code: Select all

# You should not change that setting until you understand how ACLs work.

# The following ACL entry is used if you want to do content scanning with the
# exiscan-acl patch. When you uncomment this line, you must also review the
# acl_check_content entry in the ACL section further below.

acl_smtp_data = acl_check_content

# This ACL added by Avleen Vig will drop all mail where the sender's helo
# command contains your IP address. Please check the IP address at the top
# for the configure file to make it your own.

acl_smtp_helo = acl_check_helo

# This configuration variable defines the virus scanner that is used with
# the 'malware' ACL condition of the exiscan acl-patch. If you do not use
# virus scanning, leave it commented. Please read doc/exiscan-acl-readme.txt
# for a list of supported scanners.

av_scanner = clamd:/var/run/clamav/clamd.ctl

# The following setting is only needed if you use the 'spam' ACL condition
# of the exiscan-acl patch. It specifies on which host and port the SpamAssassin
# "spamd" daemon is listening. If you do not use this condition, or you use
# the default of "127.0.0.1 783", you can omit this option.

spamd_address = 127.0.0.1 783

Vexim-acl-check-content.conf:

Code: Select all

  deny  senders = :
        hosts   = !+relay_from_hosts
        !acl    = spf_from_acl
        message = Your sender is not permitted (read spf.pobox.com)

  # First unpack MIME containers and reject serious errors.
  deny  message = This message contains a MIME error ($demime_reason)
        demime = *
        condition = ${if >{$demime_errorlevel}{2}{1}{0}}
        
  # Reject typically wormish file extensions. There is almost no
  # sense in sending such files by email.
  deny  message = This message contains an unwanted file extension ($found_extension)
        demime = bat:btm:cmd:com:cpl:dll:exe:lnl:msi:pif:prf:reg:scr:vbs:url
  
  # Reject virus infested messages.
  deny  message = This message contains malware ($malware_name)
        demime = *
	malware = *
        log_message = This message contains malware ($malware_name)

  # Reject messages containing "viagra" in all kinds of whitespace/case combinations
  # WARNING: this is an example !
  # deny  message = This message matches a blacklisted regular expression ($regex_match_string)
  #      regex = [Vv] *[Ii] *[Aa] *[Gg] *[Rr] *[Aa]

  # Always add X-Spam-Score and X-Spam-Report headers, using SA system-wide settings
  # (user "nobody"), no matter if over threshold or not.
  
  warn  message = X-Spam-Score: $spam_score ($spam_bar)
        hosts = !+relay_from_hosts
        condition = ${if <{$message_size}{550k}{1}{0}}
        spam = vmail:true
  warn  message = X-Spam-Report: $spam_report
        condition = ${if <{$message_size}{550k}{1}{0}}
        spam = vmail:true

  warn  message = X-Spam-Bar: $spam_bar
        spam = vmail:true

        #tag the message as spam as per user settings..
	 warn  message = X-New-Subject: ***SPAM($spam_score)*** $h_subject
	         spam = spam
		      condition = ${if >{$spam_score_int}{${lookup mysql
		                {select users.sa_tag *10 from users,domains 
		                where localpart = '${quote_mysql:$local_part}' 
		                and domain = '${quote_mysql:$domain}' 
		                and users.on_spamassassin = '1' 
		                and users.domain_id=domains.domain_id 
		                and users.sa_tag > 0 }{$value}fail}} {yes}{no}}
															





  # This code was derived from a post to exim-users by Alan J. Flavell:
  # http://www.exim.org/pipermail/exim-users/Week-of-Mon-20031201/063095.html
  deny  hosts           = emi.mail.pas.earthlink.net
        message         = X-PH-FW: leaky forwarder, $dnslist_domain=$dnslist_value
                          set acl_m4 = ${if match {$h_received:}
                                {N[(d+).(d+).(d+).(d+)])s+.*by 
                                emi.mail.pas.earthlink.netN}
                                {$4.$3.$2.$1}fail}
        dnslists        = sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org/$acl_m4

  deny  hosts           = emi.mail.pas.earthlink.net
        message         = Please use your FQDN for HELO
        condition       = ${if match {$h_received:}{Nhelo=d+.d+.d+.d+N}{yes}{no} }
sorry das ich es hier gepostet habe, aber webmin ist gerade abgestürzt und ich kann die datei nicht speichern auf dem server.

meine ganzen vexim-acl Dateien liegen direkt im exim4 verzeichnis. Ich denke von der Struktur müsste das passen.

Oder brauch ich diesen nocH: amavisd-new ? denke nicht. Clamav, freshclam müsste doch reichen. Nur warum kommt das ZIP file so ohne weiteres durch :(

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: ClamAv läuft nicht

Post by lord_pinhead » 2005-11-29 15:32

Da man nicht 100% sieht ob der Clam die Verbindung beendet würde ich doch noch Amavis dazwischenschalten, ist ja eigentlich kein Akt würde ich sagen. Allerdings könntest du vielleicht mal das Debugging einschalten, mit --debug solltest du dann denk ich genug meldungen bekommen ob da Mails ausgetauscht werden oder nicht.

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-29 23:07

Hi Lord,

wie kann ich das am beste noch testen?
Das Eicar test string sieht er zwar und erkennt es (siehe log), aber stellt das mail dennoch zu.

:(

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ClamAv läuft nicht

Post by dodolin » 2005-11-30 00:08

Das Eicar test string sieht er zwar und erkennt es (siehe log),
Was da mit T= geloggt wird, ist das Subject der Mail. Da wird also nichts "erkannt".
würde ich doch noch Amavis dazwischenschalten
Davon halte ich bei der Kombination Exim4/ClamAV gar nichts.
acl_smtp_data = acl_check_content
Du hast noch nicht geschrieben, was in acl_check_content steht.

felixs hatte bereits in der ersten Antwort noch rejectlog und paniclog gefragt. Steht da was drin und was? Ausserdem hatte er vorgeschlagen, Exim mal im Debug-Modus zu starten.

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-11-30 07:09

dodolin wrote:
würde ich doch noch Amavis dazwischenschalten
Davon halte ich bei der Kombination Exim4/ClamAV gar nichts.
Eigentlich mache ich ja nicht gerne "Neben-Threads" auf, aber deine Aussage wundert mich etwas... Natürlich wird in diesem konkreten Fall Amavis nicht gebraucht und würde das ganze vermutlich nur komplizieren. Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?

fs

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-30 07:49

dodolin wrote:
Das Eicar test string sieht er zwar und erkennt es (siehe log),
Was da mit T= geloggt wird, ist das Subject der Mail. Da wird also nichts "erkannt".
Aber im clamav.log hab ich folgendes stehen:
Mon Nov 28 23:27:43 2005 -> /var/spool/exim4/scan/1EgrTL-0006IE-IW/1EgrTL-0006IE-IW.eml: Eicar-Test-Signature FOUND
acl_smtp_data = acl_check_content
Du hast noch nicht geschrieben, was in acl_check_content steht.
Anbei hier der Link mit rejectlog und paniclog. Im moment steht zu diesem problem eher was im reject log. Leider auch noch das problem mit dem 503 Fehler. Die Dateien sind unter:

http://80.237.145.233/exim4/

abrufbar.
felixs hatte bereits in der ersten Antwort noch rejectlog und paniclog gefragt. Steht da was drin und was? Ausserdem hatte er vorgeschlagen, Exim mal im Debug-Modus zu starten.
Starte jetzt mal exim im debug-modus.

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-30 07:56

sorry nochmal vielleicht für die doofe nachfrage. muss ich exim4 im debug starten oder das ganze system?

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-11-30 08:28

umbroboy wrote:sorry nochmal vielleicht für die doofe nachfrage. muss ich exim4 im debug starten oder das ganze system?
Nur exim.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ClamAv läuft nicht

Post by dodolin » 2005-11-30 11:36

Sind die MySQL Syntaxfehler auf dem paniclog inzwischen behoben? Ansonsten würde ich erst mal da anfangen.

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-30 15:22

dodolin wrote:Sind die MySQL Syntaxfehler auf dem paniclog inzwischen behoben? Ansonsten würde ich erst mal da anfangen.
ja sind sie. Also eher die letzten tage anschauen.

Nur exim.
Bezüglich zum starten des debug modus hab ich das gefunden.

/usr/sbin/exim4 -C /var/lib/exim4/config.autogenerated -d -bt steve@example.com

ansonsten hab ich noch das gefunden:

http://www.exim.org/exim-html-4.40/doc/html/spec.html

Mit welchem Befehl starte ich nun den debugmodus?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ClamAv läuft nicht

Post by dodolin » 2005-11-30 15:45

Natürlich wird in diesem konkreten Fall Amavis nicht gebraucht und würde das ganze vermutlich nur komplizieren.
Eben.
Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?
Vermutlich wäre das die einzige Situation, wo Amavis sinnvoll ist, nämlich wenn man mehrere Scanner einsetzen möchte, was vermutlich mit Exim selbst derzeit nicht möglich ist. Amavis erzeugt einen zusätzlichen Received: Eintrag im Header, mindestens zwei zusätzliche Logzeilen pro Mail etc. pp. Insgesamt wird das Debugging bzw. Zurückverfolgen einer Mail extrem verkompliziert. Das abgesehen, dass es performance-mäßig auch viel schlechter als die reine Exim-Lösung ist.

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-30 18:19

Kleine Nachfrage noch. Würde auch clamav den virus entfernen und nur die info im log file ausgeben wie bisher?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ClamAv läuft nicht

Post by dodolin » 2005-11-30 18:34

Würde auch clamav den virus entfernen und nur die info im log file ausgeben wie bisher?
ClamAV "entfernt" keinen Virus. Entweder eine Mail wird abgewiesen oder angenommen. Das kommt drauf an, ob man deny oder warn hat. In der Standardkonfiguration des Howtos bzw. von vexim ist es AFAIK so, dass nur getaggt wird und dann jeder User selbst entscheiden kann, ob die getaggten Mails verworfen werden sollen oder nicht.

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-30 21:08

Hallo,

also in meiner /etc/exim4/vexim-acl-check-content.conf hab ich aber folgenden Abschnitt:

# Reject virus infested messages.
deny message = This message contains malware ($malware_name)
demime = *
malware = *
log_message = This message contains malware ($malware_name)


Kann es noch an was anderem liegen, dass diese email dennoch zugestellt wird oder nur deshalb, weil es ein teststring virus ist?

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-11-30 21:10

umbroboy wrote: Bezüglich zum starten des debug modus hab ich das gefunden.

/usr/sbin/exim4 -C /var/lib/exim4/config.autogenerated -d -bt steve@example.com
(...)
Mit welchem Befehl starte ich nun den debugmodus?
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.

fs

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-11-30 21:16

dodolin wrote:
Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?
Vermutlich wäre das die einzige Situation, wo Amavis sinnvoll ist, nämlich wenn man mehrere Scanner einsetzen möchte, was vermutlich mit Exim selbst derzeit nicht möglich ist. Amavis erzeugt einen zusätzlichen Received: Eintrag im Header, mindestens zwei zusätzliche Logzeilen pro Mail etc. pp. Insgesamt wird das Debugging bzw. Zurückverfolgen einer Mail extrem verkompliziert. Das abgesehen, dass es performance-mäßig auch viel schlechter als die reine Exim-Lösung ist.
Diese Ansicht teile ich, wenn es nur darum geht, ClamAV in Exim einzubinden. Sobald aber "Viren-Entschärfen" (Wrapping, Ersetzen von Anhängen), Spamchecks und header Prüfung dazu kommt, ist eine Glue-Software wie z.B. Amavis aus meiner Sicht empfehlenswert und kann auch Ressourcen sparen, weil nicht jede Mail 3x durch Exim durch muss (Ankunft -> Virencheck -> Exim -> Spamcheck -> Exim). Weiterhin ist in so einem Fall auch von Vorteil, dass die Konfiguration der externen Tools idR durch {Amavis, Mailscanner, ...} verborgen wird und man nicht ständig obskure Kommandos lernen muss.

fs

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-30 23:10

felixs wrote:
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.

fs
und dann nochmal das teststring laufen lassen?
aber sowie es aussieht müsste er höchstens die email komplett abweisen ansonsten brauch ich amavis, wenn ich das richtig verstanden habe , oder?

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: ClamAv läuft nicht

Post by umbroboy » 2005-11-30 23:17

Habe diese Message in der rejectlog datei gefunden:

2005-11-30 09:12:51 H=(80.237.145.133) [218.18.40.50] rejected EHLO or HELO 80.237.145.133: "Dropped spammer pretending to be us"

Das heisst doch praktisch dass diese abgewiesen wurde?

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-12-01 10:47

umbroboy wrote:Habe diese Message in der rejectlog datei gefunden:

2005-11-30 09:12:51 H=(80.237.145.133) [218.18.40.50] rejected EHLO or HELO 80.237.145.133: "Dropped spammer pretending to be us"

Das heisst doch praktisch dass diese abgewiesen wurde?
Ja, aber nicht auf Grund eines Virus, sondern weil die "Begrüßung"/Selbstidentifizierung nicht stimmte.

fs

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: ClamAv läuft nicht

Post by felixs » 2005-12-01 10:52

umbroboy wrote:
felixs wrote:
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.

fs
und dann nochmal das teststring laufen lassen?
aber sowie es aussieht müsste er höchstens die email komplett abweisen ansonsten brauch ich amavis, wenn ich das richtig verstanden habe , oder?
Was meinst du mit "teststring"?
Nachdem du den daemon im Debug-Modus gestartet hast, schickst du eine E-Mail, die von ClamAV als Virus erkannt werden sollte. Da dir Exim genau mitteilen wird, was gerade passiert, kannst du schauen, ob ClamAV überhaupt aufgerufen wird bzw. was dort für eine Rückmeldung kommt.

Wenn ich deine Konfiguration richtig verstanden habe, würden derzeit Virus-Mails komplett abgewiesen werden. Du kannst Exim natürlich auch anders konfigurieren, so dass Virenmails in Quarantäne gesteckt werden.

Mit Amavis kann man halt mehr konfigurieren bzw. es können unterschiedliche Tools (z.B. mehrere Virenscanner) eingebunden werden, was mit Exim halt komplizierter ist. Außerdem hast du mit Amavis eine einheitliche Konfiguration, andererseits "zahlst" du den Preis dafür in Performance und RAM.

Ich würde an deiner Stelle aber Amavis erst mal vergessen, dein aktuelles Problem lösen und anschließend kannst du dir über alles weitere noch mal Gedanken machen.

fs