Das stehen. nur leider kommmt das ZIP file von EICAR bei mir in der Mailbox immer an# Reject virus infested messages.
deny message = This message contains malware ($malware_name)
malware = *
log_message = This message contains malware ($malware_name)
Zumindest ich kann dir so nicht helfen. Wie sieht deine allgemeine Exim-Konfiguration aus? Verwendest du vexim oder etwas Ã?hnliches? Hast du schon mal Exim im Debug-Modus gestartet, eine Mail an diese Instanz geschickt und dann geschaut, ob ClamAV auch wirklich aufgerufen wird? Gibt es Meldungen in main.log, reject.log bzw. panic.log?umbroboy wrote: Kann mir jemand helfen?
Habe es über dieses Howto gemacht:Zumindest ich kann dir so nicht helfen. Wie sieht deine allgemeine Exim-Konfiguration aus? Verwendest du vexim oder etwas Ã?hnliches?
Code: Select all
2005-11-28 22:53:04 1Egqvm-0005ug-7d <= webmaster-vir@declude.com H=mail.fluns.com (www.declude.com) [63.246.13.85] P=smtp S=3017 id=4.3.2.7.0.20001102202253.00adb610@localhost.example.com T="Test eicar.com file [eicarencodedzip]"
2005-11-28 22:53:04 1Egqvm-0005ug-7d => /var/opt/vmail/XXXX.info/oliver/Maildir <oliver@XXXX.info> R=virtual_domains T=virtual_delivery
2005-11-28 22:53:04 1Egqvm-0005ug-7d CompletedCode: Select all
2005-11-28 20:05:01 H=cph254.neoplus.adsl.tpnet.pl (142528648) [83.31.213.254] rejected EHLO or HELO 142528648: "Dropped IP-only or IP-starting helo"
2005-11-28 20:05:39 H=p5485fedc.dip.t-dialin.net (146051280) [84.133.254.220] rejected EHLO or HELO 146051280: "Dropped IP-only or IP-starting helo"
2005-11-28 20:06:13 H=cm-85-152-224-117.telecable.es (144202488) [85.152.224.117] rejected EHLO or HELO 144202488: "Dropped IP-only or IP-starting helo"
2005-11-28 20:06:42 H=(146606752) [82.2.34.177] rejected EHLO or HELO 146606752: "Dropped IP-only or IP-starting helo"
2005-11-28 20:07:07 H=(146606752) [83.237.133.103] rejected EHLO or HELO 146606752: "Dropped IP-only or IP-starting helo"
2005-11-28 20:07:13 H=24-107-138-114.dhcp.stls.mo.charter.com (144151776) [24.107.138.114] rejected EHLO or HELO 144151776: "Dropped IP-only or IP-starting helo"
2005-11-28 20:41:16 H=sev93-3-82-237-27-79.fbx.proxad.net [82.237.27.79] F=<IQIPDJBKPJ@technistone.com> rejected RCPT <oliver@XXXX.info>: DNSBL listed at sbl-xbl.spamhaus.orgCode: Select all
# You should not change that setting until you understand how ACLs work.
# The following ACL entry is used if you want to do content scanning with the
# exiscan-acl patch. When you uncomment this line, you must also review the
# acl_check_content entry in the ACL section further below.
acl_smtp_data = acl_check_content
# This ACL added by Avleen Vig will drop all mail where the sender's helo
# command contains your IP address. Please check the IP address at the top
# for the configure file to make it your own.
acl_smtp_helo = acl_check_helo
# This configuration variable defines the virus scanner that is used with
# the 'malware' ACL condition of the exiscan acl-patch. If you do not use
# virus scanning, leave it commented. Please read doc/exiscan-acl-readme.txt
# for a list of supported scanners.
av_scanner = clamd:/var/run/clamav/clamd.ctl
# The following setting is only needed if you use the 'spam' ACL condition
# of the exiscan-acl patch. It specifies on which host and port the SpamAssassin
# "spamd" daemon is listening. If you do not use this condition, or you use
# the default of "127.0.0.1 783", you can omit this option.
spamd_address = 127.0.0.1 783Code: Select all
deny senders = :
hosts = !+relay_from_hosts
!acl = spf_from_acl
message = Your sender is not permitted (read spf.pobox.com)
# First unpack MIME containers and reject serious errors.
deny message = This message contains a MIME error ($demime_reason)
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}
# Reject typically wormish file extensions. There is almost no
# sense in sending such files by email.
deny message = This message contains an unwanted file extension ($found_extension)
demime = bat:btm:cmd:com:cpl:dll:exe:lnl:msi:pif:prf:reg:scr:vbs:url
# Reject virus infested messages.
deny message = This message contains malware ($malware_name)
demime = *
malware = *
log_message = This message contains malware ($malware_name)
# Reject messages containing "viagra" in all kinds of whitespace/case combinations
# WARNING: this is an example !
# deny message = This message matches a blacklisted regular expression ($regex_match_string)
# regex = [Vv] *[Ii] *[Aa] *[Gg] *[Rr] *[Aa]
# Always add X-Spam-Score and X-Spam-Report headers, using SA system-wide settings
# (user "nobody"), no matter if over threshold or not.
warn message = X-Spam-Score: $spam_score ($spam_bar)
hosts = !+relay_from_hosts
condition = ${if <{$message_size}{550k}{1}{0}}
spam = vmail:true
warn message = X-Spam-Report: $spam_report
condition = ${if <{$message_size}{550k}{1}{0}}
spam = vmail:true
warn message = X-Spam-Bar: $spam_bar
spam = vmail:true
#tag the message as spam as per user settings..
warn message = X-New-Subject: ***SPAM($spam_score)*** $h_subject
spam = spam
condition = ${if >{$spam_score_int}{${lookup mysql
{select users.sa_tag *10 from users,domains
where localpart = '${quote_mysql:$local_part}'
and domain = '${quote_mysql:$domain}'
and users.on_spamassassin = '1'
and users.domain_id=domains.domain_id
and users.sa_tag > 0 }{$value}fail}} {yes}{no}}
# This code was derived from a post to exim-users by Alan J. Flavell:
# http://www.exim.org/pipermail/exim-users/Week-of-Mon-20031201/063095.html
deny hosts = emi.mail.pas.earthlink.net
message = X-PH-FW: leaky forwarder, $dnslist_domain=$dnslist_value
set acl_m4 = ${if match {$h_received:}
{N[(d+).(d+).(d+).(d+)])s+.*by
emi.mail.pas.earthlink.netN}
{$4.$3.$2.$1}fail}
dnslists = sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org/$acl_m4
deny hosts = emi.mail.pas.earthlink.net
message = Please use your FQDN for HELO
condition = ${if match {$h_received:}{Nhelo=d+.d+.d+.d+N}{yes}{no} }Was da mit T= geloggt wird, ist das Subject der Mail. Da wird also nichts "erkannt".Das Eicar test string sieht er zwar und erkennt es (siehe log),
Davon halte ich bei der Kombination Exim4/ClamAV gar nichts.würde ich doch noch Amavis dazwischenschalten
Du hast noch nicht geschrieben, was in acl_check_content steht.acl_smtp_data = acl_check_content
Eigentlich mache ich ja nicht gerne "Neben-Threads" auf, aber deine Aussage wundert mich etwas... Natürlich wird in diesem konkreten Fall Amavis nicht gebraucht und würde das ganze vermutlich nur komplizieren. Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?dodolin wrote:Davon halte ich bei der Kombination Exim4/ClamAV gar nichts.würde ich doch noch Amavis dazwischenschalten
Starte jetzt mal exim im debug-modus.dodolin wrote:Aber im clamav.log hab ich folgendes stehen:Das Eicar test string sieht er zwar und erkennt es (siehe log),
Was da mit T= geloggt wird, ist das Subject der Mail. Da wird also nichts "erkannt".
Mon Nov 28 23:27:43 2005 -> /var/spool/exim4/scan/1EgrTL-0006IE-IW/1EgrTL-0006IE-IW.eml: Eicar-Test-Signature FOUND
Anbei hier der Link mit rejectlog und paniclog. Im moment steht zu diesem problem eher was im reject log. Leider auch noch das problem mit dem 503 Fehler. Die Dateien sind unter:acl_smtp_data = acl_check_content
Du hast noch nicht geschrieben, was in acl_check_content steht.
http://80.237.145.233/exim4/
abrufbar.
felixs hatte bereits in der ersten Antwort noch rejectlog und paniclog gefragt. Steht da was drin und was? Ausserdem hatte er vorgeschlagen, Exim mal im Debug-Modus zu starten.
Nur exim.umbroboy wrote:sorry nochmal vielleicht für die doofe nachfrage. muss ich exim4 im debug starten oder das ganze system?
ja sind sie. Also eher die letzten tage anschauen.dodolin wrote:Sind die MySQL Syntaxfehler auf dem paniclog inzwischen behoben? Ansonsten würde ich erst mal da anfangen.
Bezüglich zum starten des debug modus hab ich das gefunden.Nur exim.
Eben.Natürlich wird in diesem konkreten Fall Amavis nicht gebraucht und würde das ganze vermutlich nur komplizieren.
Vermutlich wäre das die einzige Situation, wo Amavis sinnvoll ist, nämlich wenn man mehrere Scanner einsetzen möchte, was vermutlich mit Exim selbst derzeit nicht möglich ist. Amavis erzeugt einen zusätzlichen Received: Eintrag im Header, mindestens zwei zusätzliche Logzeilen pro Mail etc. pp. Insgesamt wird das Debugging bzw. Zurückverfolgen einer Mail extrem verkompliziert. Das abgesehen, dass es performance-mäßig auch viel schlechter als die reine Exim-Lösung ist.Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?
ClamAV "entfernt" keinen Virus. Entweder eine Mail wird abgewiesen oder angenommen. Das kommt drauf an, ob man deny oder warn hat. In der Standardkonfiguration des Howtos bzw. von vexim ist es AFAIK so, dass nur getaggt wird und dann jeder User selbst entscheiden kann, ob die getaggten Mails verworfen werden sollen oder nicht.Würde auch clamav den virus entfernen und nur die info im log file ausgeben wie bisher?
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.umbroboy wrote: Bezüglich zum starten des debug modus hab ich das gefunden.
/usr/sbin/exim4 -C /var/lib/exim4/config.autogenerated -d -bt steve@example.com
(...)
Mit welchem Befehl starte ich nun den debugmodus?
Diese Ansicht teile ich, wenn es nur darum geht, ClamAV in Exim einzubinden. Sobald aber "Viren-Entschärfen" (Wrapping, Ersetzen von Anhängen), Spamchecks und header Prüfung dazu kommt, ist eine Glue-Software wie z.B. Amavis aus meiner Sicht empfehlenswert und kann auch Ressourcen sparen, weil nicht jede Mail 3x durch Exim durch muss (Ankunft -> Virencheck -> Exim -> Spamcheck -> Exim). Weiterhin ist in so einem Fall auch von Vorteil, dass die Konfiguration der externen Tools idR durch {Amavis, Mailscanner, ...} verborgen wird und man nicht ständig obskure Kommandos lernen muss.dodolin wrote:Vermutlich wäre das die einzige Situation, wo Amavis sinnvoll ist, nämlich wenn man mehrere Scanner einsetzen möchte, was vermutlich mit Exim selbst derzeit nicht möglich ist. Amavis erzeugt einen zusätzlichen Received: Eintrag im Header, mindestens zwei zusätzliche Logzeilen pro Mail etc. pp. Insgesamt wird das Debugging bzw. Zurückverfolgen einer Mail extrem verkompliziert. Das abgesehen, dass es performance-mäßig auch viel schlechter als die reine Exim-Lösung ist.Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?
und dann nochmal das teststring laufen lassen?felixs wrote:
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.
fs
Ja, aber nicht auf Grund eines Virus, sondern weil die "Begrüßung"/Selbstidentifizierung nicht stimmte.umbroboy wrote:Habe diese Message in der rejectlog datei gefunden:
2005-11-30 09:12:51 H=(80.237.145.133) [218.18.40.50] rejected EHLO or HELO 80.237.145.133: "Dropped spammer pretending to be us"
Das heisst doch praktisch dass diese abgewiesen wurde?
Was meinst du mit "teststring"?umbroboy wrote:und dann nochmal das teststring laufen lassen?felixs wrote:
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.
fs
aber sowie es aussieht müsste er höchstens die email komplett abweisen ansonsten brauch ich amavis, wenn ich das richtig verstanden habe , oder?