Scannt amavis / clamav / spamassassin meine Mails?
Hallo Liste. Ich hab hier auf einer 9.1er Kiste das Problem, daß ich postfix / amavis-new / clamav / spamassassin so konfiguriert habe, daß es eigentlich laufen müßte, und trotzdem kriege ich keine "X-Virus-Scanned: amavisd-new at ..."-Einträge. Es ergibt: # grep content /etc/postfix/master.cf smtp inet n - n - 10 smtpd -o content_filter=smtp:[localhost]:10024 localhost:10025 inet n - n - - smtpd -o content_filter= Das müßte doch schonmal sicherstellen, daß die Mail durch amavis läuft, oder? In den Logs findet sich: Jul 18 14:02:16 mailsrv amavis[4987]: (client-XXwu8oQN) Passed, <xx@xx> -> <atann@gmx.net>, Message-ID: <44BCCDC7.mail4P41RPRYQ@mailsrv>, Hits: 0 Jul 18 14:02:16 mailsrv postfix/pipe[6093]: F3C178128C5: to=<atann@gmx.net>, relay=vscan, delay=1, status=sent (mailsrv.xxx) Jul 18 14:02:16 mailsrv amavis[4987]: (client-XXwu8oQN) TIMING [total 216 ms] - got data: 2 (1%), body hash: 1 (0%), mkdir parts: 1 (0%), mime_decode: 14 (6%), get-file-type: 10 (4%), decompose_part: 2 (1%), parts: 0 (0%), SA msg read: 2 (1%), SA parse: 2 (1%), SA check: 89 (41%), fwd-connect: 33 (15%), fwd-mail-from: 2 (1%), fwd-rcpt-to: 5 (2%), write-header: 5 (2%), fwd-data: 0 (0%), fwd-data-end: 39 (18%), fwd-rundown: 3 (1%), unlink-1-files: 6 (3%), rmdir: 0 (0%), unlink-1-files: 0 (0%), rmdir: 0 (0%), rundown: 1 (0%) Ich bin nicht ganz sicher, wie diese Einträge zu interpretieren sind. Der letzte der drei Einträge deutet doch eigentlich darauf hin, daß amavis und sa die Mail in der Hand hatte, oder? Andererseits kenne ich das von meinen anderen Mailservern nicht, daß da derart ausführlich geloggt wird. Hat jemand eine Idee, wie ich feststellen kann, ob die Filterkaskade funktioniert, oder was hier das Problem sein könnte? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Andre Tann wrote:
Hallo Liste.
Ich hab hier auf einer 9.1er Kiste das Problem, daß ich postfix / amavis-new / clamav / spamassassin so konfiguriert habe, daß es eigentlich laufen müßte, und trotzdem kriege ich keine "X-Virus-Scanned: amavisd-new at ..."-Einträge.
Es gibt in Amavisd-New einige Einträge, die dafür sorgen, dass die Header gesetzt werden. /etc/amavisd.conf: $mydomain = 'yourdomain.example.com'; $myhostname = 'mail.example.com'; $final_spam_destiny = D_PASS; $X_HEADER_TAG = 'X-Virus-Scanned'; # (default: undef) $X_HEADER_LINE = "by amavisd-new at $myhostname"; $sa_tag_level_deflt = -20; # add spam info headers if at, or above Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Sandy Drobic, Dienstag, 18. Juli 2006 14:48:
Es gibt in Amavisd-New einige Einträge, die dafür sorgen, dass die Header gesetzt werden.
/etc/amavisd.conf: $mydomain = 'yourdomain.example.com'; $myhostname = 'mail.example.com'; $final_spam_destiny = D_PASS; $X_HEADER_TAG = 'X-Virus-Scanned'; # (default: undef) $X_HEADER_LINE = "by amavisd-new at $myhostname"; $sa_tag_level_deflt = -20; # add spam info headers if at, or above
# grep -i -E "mydomain = |myhostname = |spam_destiny = |HEADER_TAG = |HEADER_LINE = |level_deflt =" /etc/amavisd.conf $mydomain = 'mydomain.net'; $myhostname = 'mailsrv.mydomain.net'; $final_spam_destiny = D_PASS; $X_HEADER_TAG = 'X-Virus-Kill'; # (default: undef) $X_HEADER_LINE = "by amavisd-new at $mydomain"; $sa_tag_level_deflt = -20.0; $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = $sa_tag2_level_deflt; # triggers spam evasive actions ...und trotzdem will es nicht. Ich habe, nachdem ich die Eintragungen ergänzt hatte, ein rcamavis restart und ein rcspamd restart gemacht. V.a. ersteres müßte doch eingentlich reichen, oder? (Den X-Virus-Kill hab ich nur deswegen so gesetzt, damit ich ihn unterscheiden kann vom Eintrag des Uplink-MTA, der seinerseits die Mails scannt, und daher auch den Eintrag hinzufügt.) -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Andre Tann wrote:
Sandy Drobic, Dienstag, 18. Juli 2006 14:48:
Es gibt in Amavisd-New einige Einträge, die dafür sorgen, dass die Header gesetzt werden.
/etc/amavisd.conf: $mydomain = 'yourdomain.example.com'; $myhostname = 'mail.example.com'; $final_spam_destiny = D_PASS; $X_HEADER_TAG = 'X-Virus-Scanned'; # (default: undef) $X_HEADER_LINE = "by amavisd-new at $myhostname"; $sa_tag_level_deflt = -20; # add spam info headers if at, or above
# grep -i -E "mydomain = |myhostname = |spam_destiny = |HEADER_TAG = |HEADER_LINE = |level_deflt =" /etc/amavisd.conf $mydomain = 'mydomain.net'; $myhostname = 'mailsrv.mydomain.net'; $final_spam_destiny = D_PASS; $X_HEADER_TAG = 'X-Virus-Kill'; # (default: undef) $X_HEADER_LINE = "by amavisd-new at $mydomain"; $sa_tag_level_deflt = -20.0; $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = $sa_tag2_level_deflt; # triggers spam evasive actions
...und trotzdem will es nicht. Ich habe, nachdem ich die Eintragungen ergänzt hatte, ein rcamavis restart und ein rcspamd restart gemacht. V.a. ersteres müßte doch eingentlich reichen, oder?
(Den X-Virus-Kill hab ich nur deswegen so gesetzt, damit ich ihn unterscheiden kann vom Eintrag des Uplink-MTA, der seinerseits die Mails scannt, und daher auch den Eintrag hinzufügt.)
Okay, einen Eintrag hatte ich vergessen: # local_domains* lookup tables are used in deciding whether a recipient # is local or not, or in other words, if the message is outgoing or not. # This affects inserting spam-related headers for local recipients. # @local_domains_acl = ( ".$mydomain" ); # $mydomain and its subdomains Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo Sandy und Liste. Hat ein klein wenig gedauert, bis ich mich wieder um dieses Problem kümmern konnte. Daher auch die PM, Sandy, falls Du den Thread nicht mehr liest. Sandy Drobic, Dienstag, 18. Juli 2006 15:45:
Okay, einen Eintrag hatte ich vergessen:
# local_domains* lookup tables are used in deciding whether a recipient # is local or not, or in other words, if the message is outgoing or not. # This affects inserting spam-related headers for local recipients. # @local_domains_acl = ( ".$mydomain" ); # $mydomain and its subdomains
# grep mydomain /etc/amavisd.conf [...] $mydomain = 'meinedomaene.net'; @local_domains_acl = ( ".$mydomain" ); [...] Damit müßte doch der amavisd Mails an meinedomaene.net als lokal erkennen, und die Header einfügen, oder? Inzwischen denke ich, daß amavis und/oder SA bzw. Clamav die Mails gar nicht zu sehen bekommen. Hier fasse ich nochmal zusammen, warum meiner Meinung nach alles richtig sein müßte. Wäre nett, wenn jemand das durchsehen und evtl. sagen könnte, wo der Fehler liegt. Die Daemonen laufen: === # rcamavis status Checking for service amavis (amavisd-new): running # rcspamd status Checking for service spamd: running # rcclamd status Checking for Clam AntiVirus daemon: running # rcpostfix status Checking for service Postfix: running === Postfix weiß vom Content-Filter: # grep content /etc/postfix/master.cf smtp inet n - n - 10 smtpd -o \ content_filter=smtp:[localhost]:10024 smtpd_tls_wrappermode=yes -o content_filter=smtp:[localhost]:10024\ localhost:10025 inet n - n - - \ smtpd -o content_filter= Man lauscht auch fröhlich: # nmap -p 10000-10050 localhost [...] (The 49 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 10024/tcp open unknown 10025/tcp open unknown Was mir an dieser Konstruktion nicht klar ist: Wie unterhält sich amavis mit SA? Die Mails wird also vom Postfix via Port 10024 an amavis geschoben, und erhält sie via Port 10025 von dort zurück. Aber wie schiebt amavis an SA weiter? Ist es möglicherweise so, daß amavis die Mails sieht, aber nicht durch SA usw. füttert, sondern einfach wieder an Postfix zurückgibt? Eine letzte Frage: was bedeutet die content_filter = vscan: Direktive in der main.cf? Sie ist auskommentiert. Wofür steht sie, bzw. was bewirkt sie? Ich bitte um Erhellung, trotz der Hitze. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Andre Tann wrote:
Hallo Sandy und Liste.
Hat ein klein wenig gedauert, bis ich mich wieder um dieses Problem kümmern konnte. Daher auch die PM, Sandy, falls Du den Thread nicht mehr liest.
Normalerweise sehe ich neue Mails schon. Jedenfalls ist keine PM eingetrudelt. (^-^)
Sandy Drobic, Dienstag, 18. Juli 2006 15:45:
Okay, einen Eintrag hatte ich vergessen:
# local_domains* lookup tables are used in deciding whether a recipient # is local or not, or in other words, if the message is outgoing or not. # This affects inserting spam-related headers for local recipients. # @local_domains_acl = ( ".$mydomain" ); # $mydomain and its subdomains
# grep mydomain /etc/amavisd.conf [...] $mydomain = 'meinedomaene.net'; @local_domains_acl = ( ".$mydomain" ); [...]
Damit müßte doch der amavisd Mails an meinedomaene.net als lokal erkennen, und die Header einfügen, oder?
Inzwischen denke ich, daß amavis und/oder SA bzw. Clamav die Mails gar nicht zu sehen bekommen.
Was ist denn die Ausgabe, wenn du amavis stoppst und dann mit "amavisd debug" startest? Siehst du dort eine Zeilen über Spamd und Virenscanner? Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: ANTI-VIRUS code loaded Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: ANTI-SPAM code loaded Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: ANTI-SPAM-SA code loaded Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: Found primary av scanner H+BEDV AntiVir or CentralCommand Vexira Antivirus at /usr/bin/antivir Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No primary av scanner: NAI McAfee AntiVirus (uvscan) Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No primary av scanner: VirusBuster Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No primary av scanner: CyberSoft VFind Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No primary av scanner: Ikarus AntiVirus for Linux Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No primary av scanner: BitDefender Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: Found secondary av scanner Clam Antivirus - clamscan at /usr/bin/clamscan Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No secondary av scanner: FRISK F-Prot Antivirus Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No secondary av scanner: Trend Micro FileScanner Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: No secondary av scanner: KasperskyLab kavscanner Jul 27 17:43:34 amavis.japantest.homelinux.com /usr/sbin/amavisd[14586]: SpamControl: initializing Mail::SpamAssassin Solche Zeilen sollten auch bei dir auftauchen.
Was mir an dieser Konstruktion nicht klar ist: Wie unterhält sich amavis mit SA? Die Mails wird also vom Postfix via Port 10024 an amavis geschoben, und erhält sie via Port 10025 von dort zurück. Aber wie schiebt amavis an SA weiter?
Der Aufruf von spamassassin und virenfiltern ist eine Einstellung in Amavisd-new. Betrachte Amavisd-new als eine Art Framework zur Einbindung von Spamassassin und Virenfiltern. Wie diese aufgerufen werden, ist in /etc/amavisd.conf festgelegt.
Ist es möglicherweise so, daß amavis die Mails sieht, aber nicht durch SA usw. füttert, sondern einfach wieder an Postfix zurückgibt?
Ja, es gibt dafür extra Schalter. (^-^) Das Log sollte aber zeigen, ob die Mails über Amavis laufen oder nicht.
Eine letzte Frage: was bedeutet die content_filter = vscan: Direktive in der main.cf? Sie ist auskommentiert. Wofür steht sie, bzw. was bewirkt sie?
Einstellungen in der main.cf sind globale Einstellungen für Postfix. Diese wird auf alle Listener in master.cf angewendet, es sei denn, es wird explizit übersteuert durch eine Angabe von "content_filter=amavis-smtp:[127.0.0.1]:10024" oder ähnliches. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (2)
-
Andre Tann -
Sandy Drobic