Amavis + Clamav + Sendmail ... und er scannt nicht

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
boersenberg
Posts: 17
Joined: 2003-01-10 12:37
Location: München

Amavis + Clamav + Sendmail ... und er scannt nicht

Post by boersenberg » 2003-01-28 20:13

So, hallo,

ich habe wie in den FAQ beschrieben den Amavis zusammen mit Clamav aufs Sendmail aufgesetzt, und habe gehofft dass er nun scannt. Die Installation hat ohne Mucken und Fehlermeldung funktioniert, Sendmail wurde neugestartet, und ich hab dann mal die Eicar.Testdatei geschickt. So, leider kommt dieser Virus durch und dass ist nicht so toll. Ich habe dann mal in die Logs gekuckt, und folgendes erschien mir da:
Jan 28 10:56:21 pxxxxx amavis[18845]: starting. amavis perl-11 Wed Jan 22 14:06:43 CET 2003
Jan 28 10:56:21 pxxxxx amavis[18845]: Virus scanner failure: /usr/local/bin/clamscan (error code: 60)
Okay, ich hab dann den amavis nochmal neu installiert (wieder nach der Anleitung in den FAQ). Jetzt findet er zwar immer noch keine Virenmails, aber dafür sieht die Meldung in den Logs jetzt so aus:
Jan 28 20:07:37 pxxxxx sendmail[11825]: h0SJ7bx11825: from=<xxxx@xxxxx.de>, size=2017, class=0, nrcpts=1, msgid$
Jan 28 20:07:37 pxxxxx amavis[11827]: starting. amavis perl-11 Tue Jan 28 19:48:52 CET 2003
Jan 28 20:07:37 pxxxxx spamd[11513]: connection from localhost.localdomain [127.0.0.1] at port 32819
Jan 28 20:07:37 pxxxxx spamd[11835]: info: setuid to web3p1 succeeded
Jan 28 20:07:37 pxxxxx spamd[11835]: processing message <MPEJKCOFPOCDJAOLAECKGEEGCCAA.xxxx@xxxxx.de> for web3p1$
Jan 28 20:07:38 pxxxxx spamd[11835]: clean message (2.7/4.0) for web3p1:1047 in 1.0 seconds, 2338 bytes.
Jan 28 20:07:38 pxxxxx amavis[11827]: do_exit:413 - ending execution with 0
Der Vollständigkeit halber: Suse 7.2, Confixx 2.06, Spamassassin, Portsentry, Sendmail mit Auth. (Prinzipiell das meiste davon so installiert wie in den FAQ gezeigt)

Ich bin da bisserl ratlos grade... wäre toll wenn mir da jemand weiterhelfen könnte.

Achja, in den Headern der Mails steht immerhin der Teil
X-Virus-Scanned: by AMaViS perl-11
drin...

VG, BB

konni
Posts: 151
Joined: 2002-12-16 10:05

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by konni » 2003-01-28 21:54

poste doch mal den Teil aus deiner Sendmail.cf

boersenberg
Posts: 17
Joined: 2003-01-10 12:37
Location: München

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by boersenberg » 2003-01-28 21:58

Hier der für Amavis angepasste Teil:
Mlocal, P=/usr/sbin/amavis, F=lsDFMAw5:/|@SPfhn, S=10/30, R=20/40,
T=DNS/RFC822/X-Unix,
A=amavis $f $u /usr/bin/procmail -a $h -d $u

jens
Posts: 7
Joined: 2002-06-30 22:42

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by jens » 2003-01-28 22:11

Also bei mir sieht es im Log genauso aus nur er scannt die Mail`s und erkennt sie auch richtig.

Hier mal mein Log:

Nov 9 00:19:44 pXXX sendmail[26928]: gA8NJij26928: from=<bounce@newsletter.ebay.ision.net>, size=31696, class=0, nrcpts=1, msgid=<20021108150653.25723.qmail@newsletter.ebay.ision.net>, proto=SMTP, daemon=MTA, relay=newsletter.ebay.ision.net [194.64.234.140]
Nov 9 00:19:45 pXXX amavis[26930]: starting. amavis perl-11 Thu Oct 24 21:51:57 CEST 2002
Nov 9 00:19:45 pXXX spamd[5642]: connection from localhost.localdomain [127.0.0.1] at port 58073
Nov 9 00:19:45 pXXX spamd[26938]: info: setuid to web4p2 succeeded
Nov 9 00:19:45 pXXX spamd[26938]: processing message <20021108150653.25723.qmail@newsletter.ebay.ision.net> for web4p2:1055, expecting 32080 bytes.
Nov 9 00:19:46 pXXX spamd[26938]: clean message (4.4/6.5) for web4p2:1055 in 1.0 seconds, 32080 bytes.
Nov 9 00:19:46 pXXX amavis[26930]: do_exit:431 - ending execution with 0
Nov 9 00:19:46 pXXX sendmail[26929]: gA8NJij26928: to=<XX@XX.de>, delay=00:00:02, xdelay=00:00:02, mailer=local, pri=61126, dsn=2.0.0, stat=Sent


hier mein auszug aus der sendmail.cf

Mlocal, P=/usr/sbin/amavis, F=lsDFMAw5:/|@qSPfhn09, S=EnvFromL/HdrFromL, R=EnvToL/HdrToL,
T=DNS/RFC822/X-Unix,
A=amavis $f $u /usr/bin/procmail -a $h -d $u

Zu dem Error-Code 60:

60: Can't get information about user clamav. User clamav (default unprivileged user) doesn't exist in /etc/passwd

Confixx hat wahrscheinlich den angelegten user clamav wieder rausgeschmissen..
Liegt in der Beschreibung an dem nicht ganz richtigen useradd-Befehl wenn man Confixx drauf hat.
Man muss bei dem useradd zusätzlich die UID des neuen Users angeben welche niedriger als 1035 oder höher als 65000 sein muss damit Confixx sie nicht überschreibt...




Gruß
Jens

konni
Posts: 151
Joined: 2002-12-16 10:05

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by konni » 2003-01-28 22:27

Der Eintraf bei F S und R is anderester, aber keine Ahnung ob das ne Auswirkung hat.

Jein, das Log sieht schon anderster aus, schau mal den Exitcode an, wenn er bei mir nen Virus findet isser 479, ohne Virus 431

und bei ihm isses 413


funzt bei dir an der Kommandozeil clamscan ?

konni
Posts: 151
Joined: 2002-12-16 10:05

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by konni » 2003-01-28 22:28

hm, wo hast du dir das jetzt rausgesogen ?

boersenberg
Posts: 17
Joined: 2003-01-10 12:37
Location: München

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by boersenberg » 2003-01-28 22:29

ganz merkwürdig, also ich hab meinen eintrag jetzt mal genauso gemacht wie Du, Jens, die Logs sehen auch so aus, aber die Viren-Mails gehen ohne Korrektur durch...

kann es sein dass der Amavis keine richtige Virendefinitionen findet, oder dass er keine richtige Berechtigung zum ändern der Mail hat?

Wie kann man sowas evtl. herausfinden?

Danke!

NACHTRAG:
Der Fehler "60" tritt nicht mehr auf, nachdem ich Amavis+Clamav mal neu installiert hab.

NACHTRAG2:
Ja, clamscan in der shell funktioniert. Er zeigt da ja auch an dass er Virendef. für 7502 Viren hat.. also müssen die Viren-Definitionen ja da sein

boersenberg
Posts: 17
Joined: 2003-01-10 12:37
Location: München

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by boersenberg » 2003-01-28 22:38

Diese ganze Geschichte mit dem Virenscanner hat auch schon mal funktioniert, nach einer Reinintialisierung bin ich genauso vorgegangen, nur dass jetzt eben die neueren Confixx-Sachen drauf sind..

Wo könnte man herausfinden was der Exitcode 413 bedeutet?

Kann es mit irgendwelchen Quota-Sachen zusammenhängen?

boersenberg
Posts: 17
Joined: 2003-01-10 12:37
Location: München

Re: Amavis + Clamav + Sendmail ... und er scannt nicht

Post by boersenberg » 2003-01-28 22:52

Ich habe jetzt nochmal in der /var/log/mail den genauen Moment gesucht, an dem Amavis irgendwie nimmer wollte:
Jan 23 16:08:31 pxxxx amavis[8477]: starting. amavis perl-11 Wed Jan 22 14:06:43 CET 2003
Jan 23 16:08:32 pxxxx amavis[8477]: Virus scanner failure: /usr/local/bin/clamscan (error cod$
Jan 23 16:08:32 pxxxx spamd[29815]: connection from localhost.localdomain [127.0.0.1] at port$
Jan 23 16:08:32 pxxxx spamd[8484]: info: setuid to web2p1 succeeded
Jan 23 16:08:32 pxxxx spamd[8484]: processing message <200301231508.h0NF8VK09086@mail.plusser$
Jan 23 16:08:37 pxxxx spamd[8484]: clean message (0.8/4.0) for web2p1:1043 in 5.0 seconds, 17$
Jan 23 16:08:37 pxxxx amavis[8477]: do_exit:431 - ending execution with 0
Jan 23 16:08:37 pxxxx sendmail[8476]: h0NF8V008475: to=<xxxx@xxxx.de>, delay=00:0$
Jan 23 16:10:14 pxxxx sendmail[8580]: h0NFAE008580: from=<suse-security-return-17350-security$
Jan 23 16:10:14 pxxxx amavis[8582]: starting. amavis perl-11 Wed Jan 22 14:06:43 CET 2003
Jan 23 16:10:15 pxxxx amavis[8582]: Virus scanner failure: /usr/local/bin/clamscan (error cod$
In der Zeit passierte laut /var/log/messages:
Jan 23 16:02:45 pxxx proftpd[8380]: xxx (80.128.94.176[80.128.94.176]) - FTP session op$
Jan 23 16:02:45 pxxx proftpd[8380]: xxx (80.128.94.176[80.128.94.176]) - PAM(web2): Aut$
Jan 23 16:02:45 pxxx proftpd[8380]: xxx (80.128.94.176[80.128.94.176]) - USER web2 (Log$
Jan 23 16:02:45 pxxx proftpd[8380]: xxx (80.128.94.176[80.128.94.176]) - FTP session cl$
Jan 23 16:02:55 pxxx proftpd[8381]: xxx (80.128.94.176[80.128.94.176]) - FTP session op$
Jan 23 16:02:55 pxxx proftpd[8381]: xxx(80.128.94.176[80.128.94.176]) - USER web3: Log$
Jan 23 16:03:00 pxxx /USR/SBIN/CRON[8385]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:03:52 pxxx proftpd[8381]: xxxx (80.128.94.176[80.128.94.176]) - FTP session cl$
Jan 23 16:04:00 pxxx /USR/SBIN/CRON[8400]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:05:00 pxxx /USR/SBIN/CRON[8428]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:06:00 pxxx /USR/SBIN/CRON[8439]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:07:00 pxxx /USR/SBIN/CRON[8450]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:08:00 pxxx /USR/SBIN/CRON[8465]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:09:00 pxxx /USR/SBIN/CRON[8516]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:10:00 pxxx /USR/SBIN/CRON[8560]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mein Error-Log sagt:
Jan 23 16:02:45 pxxxx proftpd[8380]: xxxx (80.128.94.176[80.128.94.176]) - FTP session op$
Jan 23 16:02:45 pxxxx proftpd[8380]: xxxx (80.128.94.176[80.128.94.176]) - PAM(web2): Aut$
Jan 23 16:02:45 pxxxx proftpd[8380]: xxxx (80.128.94.176[80.128.94.176]) - USER web2 (Log$
Jan 23 16:02:45 pxxxx proftpd[8380]: xxxx (80.128.94.176[80.128.94.176]) - FTP session cl$
Jan 23 16:02:55 pxxxxx proftpd[8381]: xxxx(80.128.94.176[80.128.94.176]) - FTP session op$
Jan 23 16:02:55 pxxx proftpd[8381]: xxxx (80.128.94.176[80.128.94.176]) - USER web3: Log$
Jan 23 16:03:00 pxxxx /USR/SBIN/CRON[8385]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:03:52 pxxxx proftpd[8381]: xxxx (80.128.94.176[80.128.94.176]) - FTP session cl$
Jan 23 16:04:00 pxxxx /USR/SBIN/CRON[8400]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:05:00 pxxxx /USR/SBIN/CRON[8428]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:06:00 pxxxx /USR/SBIN/CRON[8439]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:07:00 pxxxx /USR/SBIN/CRON[8450]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:08:00 pxxxx /USR/SBIN/CRON[8465]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:09:00 pxxxx /USR/SBIN/CRON[8516]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 23 16:10:00 pxxxx /USR/SBIN/CRON[8560]: (root) CMD (/root/confixx/confixx_counterscript.pl)
So, vielleicht kann das ja noch weiterhelfen. Ich bedanke mich auf jeden Fall schon mal jetzt für eure Unterstützung!