RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

ClamAv läuft nicht

https://www.rootforum.org/forum/viewtopic.php?t=37885

Page 1 of 2

ClamAv läuft nicht

Posted: 2005-11-28 15:16
by umbroboy
Hallo,

habe leider ein problem und zwar laufen folgende Prozesse unter dem user clamav: clamd udn freshclam.

Ebenso habe ich folgenden Eintrag in der´etc/exim4/vexim-acl-check-content.conf:
# Reject virus infested messages.
deny message = This message contains malware ($malware_name)
malware = *
log_message = This message contains malware ($malware_name)
Das stehen. nur leider kommmt das ZIP file von EICAR bei mir in der Mailbox immer an

:-(

Kann mir jemand helfen?

Dankeschön

Re: ClamAv läuft nicht

Posted: 2005-11-28 18:15
by umbroboy
Oder fehlt mir hier ein programm noch?

Re: ClamAv läuft nicht

Posted: 2005-11-28 22:32
by felixs
umbroboy wrote: Kann mir jemand helfen?
Zumindest ich kann dir so nicht helfen. Wie sieht deine allgemeine Exim-Konfiguration aus? Verwendest du vexim oder etwas Ã?hnliches? Hast du schon mal Exim im Debug-Modus gestartet, eine Mail an diese Instanz geschickt und dann geschaut, ob ClamAV auch wirklich aufgerufen wird? Gibt es Meldungen in main.log, reject.log bzw. panic.log?

Bei dir klappt die Einbindung nicht, also brauchen wir (oder zumindest ich) auch alle relevanten Informationen, wie ClamAV eingebunden wird.

fs

Re: ClamAv läuft nicht

Posted: 2005-11-28 22:58
by umbroboy
Hi,
Zumindest ich kann dir so nicht helfen. Wie sieht deine allgemeine Exim-Konfiguration aus? Verwendest du vexim oder etwas Ã?hnliches?
Habe es über dieses Howto gemacht:

http://www.debianhowto.de/de:howtos:sar ... er_mailman

Habe eine Email über dein Eicar test geschickt und dies kam dann direkt in meine Inbox.

Im mainlog von exim4 ist folgendes drin:

Code: Select all

2005-11-28 22:53:04 1Egqvm-0005ug-7d <= webmaster-vir@declude.com H=mail.fluns.com (www.declude.com) [63.246.13.85] P=smtp S=3017 id=4.3.2.7.0.20001102202253.00adb610@localhost.example.com T="Test eicar.com file [eicarencodedzip]"
2005-11-28 22:53:04 1Egqvm-0005ug-7d => /var/opt/vmail/XXXX.info/oliver/Maildir <oliver@XXXX.info> R=virtual_domains T=virtual_delivery
2005-11-28 22:53:04 1Egqvm-0005ug-7d Completed
Dafür scheint er aber teilweise emails abzublocken wie folgt aus dem rejectlog:

Code: Select all

2005-11-28 20:05:01 H=cph254.neoplus.adsl.tpnet.pl (142528648) [83.31.213.254] rejected EHLO or HELO 142528648: "Dropped IP-only or IP-starting helo"
2005-11-28 20:05:39 H=p5485fedc.dip.t-dialin.net (146051280) [84.133.254.220] rejected EHLO or HELO 146051280: "Dropped IP-only or IP-starting helo"
2005-11-28 20:06:13 H=cm-85-152-224-117.telecable.es (144202488) [85.152.224.117] rejected EHLO or HELO 144202488: "Dropped IP-only or IP-starting helo"
2005-11-28 20:06:42 H=(146606752) [82.2.34.177] rejected EHLO or HELO 146606752: "Dropped IP-only or IP-starting helo"
2005-11-28 20:07:07 H=(146606752) [83.237.133.103] rejected EHLO or HELO 146606752: "Dropped IP-only or IP-starting helo"
2005-11-28 20:07:13 H=24-107-138-114.dhcp.stls.mo.charter.com (144151776) [24.107.138.114] rejected EHLO or HELO 144151776: "Dropped IP-only or IP-starting helo"
2005-11-28 20:41:16 H=sev93-3-82-237-27-79.fbx.proxad.net [82.237.27.79] F=<IQIPDJBKPJ@technistone.com> rejected RCPT <oliver@XXXX.info>: DNSBL listed at sbl-xbl.spamhaus.org
So falls du noch was brauchst, frag einfach.

Vielen Dank schonmal

Re: ClamAv läuft nicht

Posted: 2005-11-29 07:56
by felixs
Kannst du einen Link posten zur vexim-acl-check-content.conf? Ebenso die Zeile in der exim.conf, wo du diese Datei eingebunden hast?

fs

Re: ClamAv läuft nicht

Posted: 2005-11-29 09:48
by umbroboy
Hallo,

anbei der Auszug von der exim4.conf

Code: Select all

# You should not change that setting until you understand how ACLs work.

# The following ACL entry is used if you want to do content scanning with the
# exiscan-acl patch. When you uncomment this line, you must also review the
# acl_check_content entry in the ACL section further below.

acl_smtp_data = acl_check_content

# This ACL added by Avleen Vig will drop all mail where the sender's helo
# command contains your IP address. Please check the IP address at the top
# for the configure file to make it your own.

acl_smtp_helo = acl_check_helo

# This configuration variable defines the virus scanner that is used with
# the 'malware' ACL condition of the exiscan acl-patch. If you do not use
# virus scanning, leave it commented. Please read doc/exiscan-acl-readme.txt
# for a list of supported scanners.

av_scanner = clamd:/var/run/clamav/clamd.ctl

# The following setting is only needed if you use the 'spam' ACL condition
# of the exiscan-acl patch. It specifies on which host and port the SpamAssassin
# "spamd" daemon is listening. If you do not use this condition, or you use
# the default of "127.0.0.1 783", you can omit this option.

spamd_address = 127.0.0.1 783

Vexim-acl-check-content.conf:

Code: Select all

  deny  senders = :
        hosts   = !+relay_from_hosts
        !acl    = spf_from_acl
        message = Your sender is not permitted (read spf.pobox.com)

  # First unpack MIME containers and reject serious errors.
  deny  message = This message contains a MIME error ($demime_reason)
        demime = *
        condition = ${if >{$demime_errorlevel}{2}{1}{0}}
        
  # Reject typically wormish file extensions. There is almost no
  # sense in sending such files by email.
  deny  message = This message contains an unwanted file extension ($found_extension)
        demime = bat:btm:cmd:com:cpl:dll:exe:lnl:msi:pif:prf:reg:scr:vbs:url
  
  # Reject virus infested messages.
  deny  message = This message contains malware ($malware_name)
        demime = *
	malware = *
        log_message = This message contains malware ($malware_name)

  # Reject messages containing "viagra" in all kinds of whitespace/case combinations
  # WARNING: this is an example !
  # deny  message = This message matches a blacklisted regular expression ($regex_match_string)
  #      regex = [Vv] *[Ii] *[Aa] *[Gg] *[Rr] *[Aa]

  # Always add X-Spam-Score and X-Spam-Report headers, using SA system-wide settings
  # (user "nobody"), no matter if over threshold or not.
  
  warn  message = X-Spam-Score: $spam_score ($spam_bar)
        hosts = !+relay_from_hosts
        condition = ${if <{$message_size}{550k}{1}{0}}
        spam = vmail:true
  warn  message = X-Spam-Report: $spam_report
        condition = ${if <{$message_size}{550k}{1}{0}}
        spam = vmail:true

  warn  message = X-Spam-Bar: $spam_bar
        spam = vmail:true

        #tag the message as spam as per user settings..
	 warn  message = X-New-Subject: ***SPAM($spam_score)*** $h_subject
	         spam = spam
		      condition = ${if >{$spam_score_int}{${lookup mysql
		                {select users.sa_tag *10 from users,domains 
		                where localpart = '${quote_mysql:$local_part}' 
		                and domain = '${quote_mysql:$domain}' 
		                and users.on_spamassassin = '1' 
		                and users.domain_id=domains.domain_id 
		                and users.sa_tag > 0 }{$value}fail}} {yes}{no}}
															





  # This code was derived from a post to exim-users by Alan J. Flavell:
  # http://www.exim.org/pipermail/exim-users/Week-of-Mon-20031201/063095.html
  deny  hosts           = emi.mail.pas.earthlink.net
        message         = X-PH-FW: leaky forwarder, $dnslist_domain=$dnslist_value
                          set acl_m4 = ${if match {$h_received:}
                                {N[(d+).(d+).(d+).(d+)])s+.*by 
                                emi.mail.pas.earthlink.netN}
                                {$4.$3.$2.$1}fail}
        dnslists        = sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org/$acl_m4

  deny  hosts           = emi.mail.pas.earthlink.net
        message         = Please use your FQDN for HELO
        condition       = ${if match {$h_received:}{Nhelo=d+.d+.d+.d+N}{yes}{no} }
sorry das ich es hier gepostet habe, aber webmin ist gerade abgestürzt und ich kann die datei nicht speichern auf dem server.

meine ganzen vexim-acl Dateien liegen direkt im exim4 verzeichnis. Ich denke von der Struktur müsste das passen.

Oder brauch ich diesen nocH: amavisd-new ? denke nicht. Clamav, freshclam müsste doch reichen. Nur warum kommt das ZIP file so ohne weiteres durch :(

Re: ClamAv läuft nicht

Posted: 2005-11-29 15:32
by lord_pinhead
Da man nicht 100% sieht ob der Clam die Verbindung beendet würde ich doch noch Amavis dazwischenschalten, ist ja eigentlich kein Akt würde ich sagen. Allerdings könntest du vielleicht mal das Debugging einschalten, mit --debug solltest du dann denk ich genug meldungen bekommen ob da Mails ausgetauscht werden oder nicht.

Re: ClamAv läuft nicht

Posted: 2005-11-29 23:07
by umbroboy
Hi Lord,

wie kann ich das am beste noch testen?
Das Eicar test string sieht er zwar und erkennt es (siehe log), aber stellt das mail dennoch zu.

:(

Re: ClamAv läuft nicht

Posted: 2005-11-30 00:08
by dodolin
Das Eicar test string sieht er zwar und erkennt es (siehe log),
Was da mit T= geloggt wird, ist das Subject der Mail. Da wird also nichts "erkannt".
würde ich doch noch Amavis dazwischenschalten
Davon halte ich bei der Kombination Exim4/ClamAV gar nichts.
acl_smtp_data = acl_check_content
Du hast noch nicht geschrieben, was in acl_check_content steht.

felixs hatte bereits in der ersten Antwort noch rejectlog und paniclog gefragt. Steht da was drin und was? Ausserdem hatte er vorgeschlagen, Exim mal im Debug-Modus zu starten.

Re: ClamAv läuft nicht

Posted: 2005-11-30 07:09
by felixs
dodolin wrote:
würde ich doch noch Amavis dazwischenschalten
Davon halte ich bei der Kombination Exim4/ClamAV gar nichts.
Eigentlich mache ich ja nicht gerne "Neben-Threads" auf, aber deine Aussage wundert mich etwas... Natürlich wird in diesem konkreten Fall Amavis nicht gebraucht und würde das ganze vermutlich nur komplizieren. Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?

fs

Re: ClamAv läuft nicht

Posted: 2005-11-30 07:49
by umbroboy
dodolin wrote:
Das Eicar test string sieht er zwar und erkennt es (siehe log),
Was da mit T= geloggt wird, ist das Subject der Mail. Da wird also nichts "erkannt".
Aber im clamav.log hab ich folgendes stehen:
Mon Nov 28 23:27:43 2005 -> /var/spool/exim4/scan/1EgrTL-0006IE-IW/1EgrTL-0006IE-IW.eml: Eicar-Test-Signature FOUND
acl_smtp_data = acl_check_content
Du hast noch nicht geschrieben, was in acl_check_content steht.
Anbei hier der Link mit rejectlog und paniclog. Im moment steht zu diesem problem eher was im reject log. Leider auch noch das problem mit dem 503 Fehler. Die Dateien sind unter:

http://80.237.145.233/exim4/

abrufbar.
felixs hatte bereits in der ersten Antwort noch rejectlog und paniclog gefragt. Steht da was drin und was? Ausserdem hatte er vorgeschlagen, Exim mal im Debug-Modus zu starten.
Starte jetzt mal exim im debug-modus.

Re: ClamAv läuft nicht

Posted: 2005-11-30 07:56
by umbroboy
sorry nochmal vielleicht für die doofe nachfrage. muss ich exim4 im debug starten oder das ganze system?

Re: ClamAv läuft nicht

Posted: 2005-11-30 08:28
by felixs
umbroboy wrote:sorry nochmal vielleicht für die doofe nachfrage. muss ich exim4 im debug starten oder das ganze system?
Nur exim.

Re: ClamAv läuft nicht

Posted: 2005-11-30 11:36
by dodolin
Sind die MySQL Syntaxfehler auf dem paniclog inzwischen behoben? Ansonsten würde ich erst mal da anfangen.

Re: ClamAv läuft nicht

Posted: 2005-11-30 15:22
by umbroboy
dodolin wrote:Sind die MySQL Syntaxfehler auf dem paniclog inzwischen behoben? Ansonsten würde ich erst mal da anfangen.
ja sind sie. Also eher die letzten tage anschauen.

Nur exim.
Bezüglich zum starten des debug modus hab ich das gefunden.

/usr/sbin/exim4 -C /var/lib/exim4/config.autogenerated -d -bt steve@example.com

ansonsten hab ich noch das gefunden:

http://www.exim.org/exim-html-4.40/doc/html/spec.html

Mit welchem Befehl starte ich nun den debugmodus?

Re: ClamAv läuft nicht

Posted: 2005-11-30 15:45
by dodolin
Natürlich wird in diesem konkreten Fall Amavis nicht gebraucht und würde das ganze vermutlich nur komplizieren.
Eben.
Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?
Vermutlich wäre das die einzige Situation, wo Amavis sinnvoll ist, nämlich wenn man mehrere Scanner einsetzen möchte, was vermutlich mit Exim selbst derzeit nicht möglich ist. Amavis erzeugt einen zusätzlichen Received: Eintrag im Header, mindestens zwei zusätzliche Logzeilen pro Mail etc. pp. Insgesamt wird das Debugging bzw. Zurückverfolgen einer Mail extrem verkompliziert. Das abgesehen, dass es performance-mäßig auch viel schlechter als die reine Exim-Lösung ist.

Re: ClamAv läuft nicht

Posted: 2005-11-30 18:19
by umbroboy
Kleine Nachfrage noch. Würde auch clamav den virus entfernen und nur die info im log file ausgeben wie bisher?

Re: ClamAv läuft nicht

Posted: 2005-11-30 18:34
by dodolin
Würde auch clamav den virus entfernen und nur die info im log file ausgeben wie bisher?
ClamAV "entfernt" keinen Virus. Entweder eine Mail wird abgewiesen oder angenommen. Das kommt drauf an, ob man deny oder warn hat. In der Standardkonfiguration des Howtos bzw. von vexim ist es AFAIK so, dass nur getaggt wird und dann jeder User selbst entscheiden kann, ob die getaggten Mails verworfen werden sollen oder nicht.

Re: ClamAv läuft nicht

Posted: 2005-11-30 21:08
by umbroboy
Hallo,

also in meiner /etc/exim4/vexim-acl-check-content.conf hab ich aber folgenden Abschnitt:

# Reject virus infested messages.
deny message = This message contains malware ($malware_name)
demime = *
malware = *
log_message = This message contains malware ($malware_name)


Kann es noch an was anderem liegen, dass diese email dennoch zugestellt wird oder nur deshalb, weil es ein teststring virus ist?

Re: ClamAv läuft nicht

Posted: 2005-11-30 21:10
by felixs
umbroboy wrote: Bezüglich zum starten des debug modus hab ich das gefunden.

/usr/sbin/exim4 -C /var/lib/exim4/config.autogenerated -d -bt steve@example.com
(...)
Mit welchem Befehl starte ich nun den debugmodus?
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.

fs

Re: ClamAv läuft nicht

Posted: 2005-11-30 21:16
by felixs
dodolin wrote:
Hast du allgemein negative Erfahrungen mit Exim und Amavis? Oder brauchst du nur einen Virenscanner, so dass Amavis dir keinen Mehrwert bringt?
Vermutlich wäre das die einzige Situation, wo Amavis sinnvoll ist, nämlich wenn man mehrere Scanner einsetzen möchte, was vermutlich mit Exim selbst derzeit nicht möglich ist. Amavis erzeugt einen zusätzlichen Received: Eintrag im Header, mindestens zwei zusätzliche Logzeilen pro Mail etc. pp. Insgesamt wird das Debugging bzw. Zurückverfolgen einer Mail extrem verkompliziert. Das abgesehen, dass es performance-mäßig auch viel schlechter als die reine Exim-Lösung ist.
Diese Ansicht teile ich, wenn es nur darum geht, ClamAV in Exim einzubinden. Sobald aber "Viren-Entschärfen" (Wrapping, Ersetzen von Anhängen), Spamchecks und header Prüfung dazu kommt, ist eine Glue-Software wie z.B. Amavis aus meiner Sicht empfehlenswert und kann auch Ressourcen sparen, weil nicht jede Mail 3x durch Exim durch muss (Ankunft -> Virencheck -> Exim -> Spamcheck -> Exim). Weiterhin ist in so einem Fall auch von Vorteil, dass die Konfiguration der externen Tools idR durch {Amavis, Mailscanner, ...} verborgen wird und man nicht ständig obskure Kommandos lernen muss.

fs

Re: ClamAv läuft nicht

Posted: 2005-11-30 23:10
by umbroboy
felixs wrote:
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.

fs
und dann nochmal das teststring laufen lassen?
aber sowie es aussieht müsste er höchstens die email komplett abweisen ansonsten brauch ich amavis, wenn ich das richtig verstanden habe , oder?

Re: ClamAv läuft nicht

Posted: 2005-11-30 23:17
by umbroboy
Habe diese Message in der rejectlog datei gefunden:

2005-11-30 09:12:51 H=(80.237.145.133) [218.18.40.50] rejected EHLO or HELO 80.237.145.133: "Dropped spammer pretending to be us"

Das heisst doch praktisch dass diese abgewiesen wurde?

Re: ClamAv läuft nicht

Posted: 2005-12-01 10:47
by felixs
umbroboy wrote:Habe diese Message in der rejectlog datei gefunden:

2005-11-30 09:12:51 H=(80.237.145.133) [218.18.40.50] rejected EHLO or HELO 80.237.145.133: "Dropped spammer pretending to be us"

Das heisst doch praktisch dass diese abgewiesen wurde?
Ja, aber nicht auf Grund eines Virus, sondern weil die "Begrüßung"/Selbstidentifizierung nicht stimmte.

fs

Re: ClamAv läuft nicht

Posted: 2005-12-01 10:52
by felixs
umbroboy wrote:
felixs wrote:
ich würde "/usr/sbin/exim4 -d+all -bd" empfehlen. Ggf. STDERR umleiten. Vorher natürlich den normalerweise laufenden daemon beenden.

fs
und dann nochmal das teststring laufen lassen?
aber sowie es aussieht müsste er höchstens die email komplett abweisen ansonsten brauch ich amavis, wenn ich das richtig verstanden habe , oder?
Was meinst du mit "teststring"?
Nachdem du den daemon im Debug-Modus gestartet hast, schickst du eine E-Mail, die von ClamAV als Virus erkannt werden sollte. Da dir Exim genau mitteilen wird, was gerade passiert, kannst du schauen, ob ClamAV überhaupt aufgerufen wird bzw. was dort für eine Rückmeldung kommt.

Wenn ich deine Konfiguration richtig verstanden habe, würden derzeit Virus-Mails komplett abgewiesen werden. Du kannst Exim natürlich auch anders konfigurieren, so dass Virenmails in Quarantäne gesteckt werden.

Mit Amavis kann man halt mehr konfigurieren bzw. es können unterschiedliche Tools (z.B. mehrere Virenscanner) eingebunden werden, was mit Exim halt komplizierter ist. Außerdem hast du mit Amavis eine einheitliche Konfiguration, andererseits "zahlst" du den Preis dafür in Performance und RAM.

Ich würde an deiner Stelle aber Amavis erst mal vergessen, dein aktuelles Problem lösen und anschließend kannst du dir über alles weitere noch mal Gedanken machen.

fs
All times are UTC+01:00
Page 1 of 2