Hallo, Am Tue, 24 Jan 2006, Al Bogner schrieb:

Am Dienstag, 24. Januar 2006 01:40 schrieb David Haller:

...

Am Mon, 23 Jan 2006, Al Bogner schrieb:

...

Wenn ich mir ein Mail lokal im internen Netz sende, dann wird im Header X-Spam-Status vermerkt, wenn das Mail das interne Netz verläßt nicht.

Das duerfte an deiner Amavis-Konfiguration liegen. Damit kenn ich mich aber nicht aus.

...

/etc/mail/spamassassin/local.cf rewrite_header Subject

...

Du taggst also mit nichts, ergo siehst du auch nix im Subject.

Ich will auch nichts im Subject sehen

Ok. Ich habe die Zeile einfach auskommentiert. [..]

extern: X-Virus-Scanned: by amavisd-new at gw.local.* X-Virus-Scanned: by amavisd-new at gw.local.* X-UIDL: n6c!!~JX"!LJ[!!66&#!

Bei "extern" hätte ich also gerne die Zeile mit X-Spam-Status, offensichtlich ist das beim Senden und Empfangen über den amavisd gelaufen.

Und Amavis hat's wohl nicht durch SA geschickt. Oder rufst du SA nicht via Amavis auf? Zeig mal die Ausgabe von egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf und sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \ /etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs -dnh -- Frauenbrüste haben mich noch nie interessiert, die hab ich selbst. [Johanna Ostermann in dafk]

Am Dienstag, 24. Januar 2006 19:26 schrieb Al Bogner:

Am Dienstag, 24. Januar 2006 16:16 schrieb David Haller:

Hallo David,

...

Und Amavis hat's wohl nicht durch SA geschickt.

Das vermute ich auch, ich vermute, das passiert aber nur in bestimmten Fällen.

...

Oder rufst du SA nicht via Amavis auf? Zeig mal die Ausgabe von

egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf und sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \ /etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs

# egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf $sa_tag_level_deflt = -20.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender @addr_extension_spam_maps = ('spam'); $dspam = 'dspam'; $sa_spam_subject_tag = '***SPAM*** '; $final_spam_destiny = D_PASS;

[qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], ['Command AntiVirus for Linux', 'csav', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', ['F-Secure Antivirus', 'fsav', "--stdout --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1],

sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \

...

/etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs

rewrite_subject 0 use_terse_report 1 sed: can't read /etc/mail/spamassassin/v310.pre: No such file or directory loadplugin Mail::SpamAssassin::Plugin::URIDNSBL loadplugin Mail::SpamAssassin::Plugin::Hashcash loadplugin Mail::SpamAssassin::Plugin::SPF sed: can't read /root/.spamassassin/user_prefs: No such file or directory

Al

Nabnd Al, also ich hab das Symptom auch, allerdings erst seitdem ich die Autowhitelist Funktion aktiviert habe. Ich vermute das hierdurch Mails am Check vorbeigeführt werden um die Last zu reduzieren, wodurch sie dann auch keine x-header bekommen. Insofern hat also das verhalten weniger mit intern/extern zu tun, sondern mit bekannt oder unbekannt. Wenn Du willst schick ich dir gerade mal ein Re direkt, dann kannst Du feststellen ob meine Mail durch spamassassin gecheckt wird oder nicht. Gruß Micha

Am Mittwoch, 25. Januar 2006 00:24 schrieb David Haller:

Hm. Da faellt mir nix auf, aber wie gesagt, amavis kenne ich nicht.

Schade.

use_terse_report 0

sollte dir die gewuenschten "ausfuehrlichen" Ausgaben im Header liefern.

Da ändert sich gar nichts.

Du hast doch ne 3.x Version von SA?

Zur Erinnerung: ich verwende auf diesem Rechner 9.2. Vielleicht liegt hier das Problem, ich habe 1x perl-spamassassin und 1x spamassassin. rpm -qa --queryformat "%{buildhost}:%{name}-%{version}-%{release}\n" | grep -i spam galerkin.suse.de:spamassassin-3.0.4-1.3 galerkin.suse.de:perl-spamassassin-3.0.4-1.3 apt-cache policy perl-spamassassin perl-spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist apt-cache policy spamassassin spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist Weiters ist folgendes installiert: appolonius.suse.de:bogofilter-0.92.8-2.1 d158.suse.de:clamav-0.88-0.1 g242.suse.de:perl-razor-agents-2.61-3 janacek.suse.de:razor-agents-2.61-3.2

Ich verwende

=== v310.pre === loadplugin Mail::SpamAssassin::Plugin::AntiVirus loadplugin Mail::SpamAssassin::Plugin::AWL loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin Mail::SpamAssassin::Plugin::MIMEHeader loadplugin Mail::SpamAssassin::Plugin::ReplaceTags === init.pre === loadplugin Mail::SpamAssassin::Plugin::Hashcash ===

Soll ich das mal mit cpan installieren? Eigentlich würde ich Spamassassin aber gerne mit aptitude aktuell halten wollen.

Geh am besten nochmal die Config von Amavis und SA durch.

SA ist auf default, d.h. ich habe bzgl. SA _nichts_ konfiguriert. Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt? Ich denke, dass das Mail vielleicht an Spamassassin vorbei im lokalen Postfach landet. Dagegen spricht natürlich, dass ich viele Mails in /var/spool/amavis/virusmails habe und auch laufend mehr werden. Al

Am Mittwoch, 25. Januar 2006 23:18 schrieb David Haller:

Was gibt perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"; aus?

# perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n";

...

appolonius.suse.de:bogofilter-0.92.8-2.1

Das ist doch auch ein spamfilter, oder?

Ja, ist einfach nur installiert. Nachdem ja durchaus Spams erkannt und nach var/spool/amavis/virusmails/ verschoben werden hatte ich mich bis jetzt nicht sehr dafür interessiert.

Ich hab' hier 3.1.0...

Ich glaube auch nicht, dass es an der Version liegt.

...

SA ist auf default, d.h. ich habe bzgl. SA _nichts_ konfiguriert.

Solltest du.

Was hast du in welcher Datei _zusätzlich_ konfiguriert? Nachdem da ja manchmal was in den Header geschrieben wird und Spams verschoben werden, weiß ich nicht was ich da sinnvolles konfigurieren könnte. Ich habe mir auch schon mal überlegt, ob es ein Rechteproblem ist. Es gibt ja die Möglichkeit, dass jeder User eine eigene Konfiguration hat.

...

Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt?

Fang mit 'fetchmail -vvv' an.

Und pruefe auch noch die postfix Konfiguration, du kannst die Mails ja auch ohne Amavis von postfix durch SA schleusen. Wie man Amavis bzgl. SA konfiguriert weiss ich nicht.

...

Ich denke, dass das Mail vielleicht an Spamassassin vorbei im lokalen Postfach landet. Dagegen spricht natürlich, dass ich viele Mails in /var/spool/amavis/virusmails habe und auch laufend mehr werden.

s.o.

-dnh

-- "The Write Many, Read Never drive. For those people that don't know their system has a /dev/null already." -- Rik Steenwinkel on Exabyte drives, ASR

Hallo, Am Thu, 26 Jan 2006, Al Bogner schrieb:

Am Donnerstag, 26. Januar 2006 16:58 schrieb Al Bogner:

...

Am Mittwoch, 25. Januar 2006 23:18 schrieb David Haller:

Tut mir leid, das vorige Mail wurde versandt, obwohl es noch nicht fertig war. Das ist also die Fortsetzung.

*g*

...

...

...

Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt?

Fang mit 'fetchmail -vvv' an.

fetchmail: 6.2.5 fragt ab mail.FQDN (Protokoll POP3) um Do 26 Jan 2006 17:05:23 CET: Abfrage gestartet fetchmail: POP3< +OK POP3 server [cppop 20.0] at [70.85.1.114] [..] fetchmail: SMTP< 250 Ok: queued as 925C557E4B2 geflusht fetchmail: POP3> DELE 1 fetchmail: POP3< +OK message 1 will be deleted when you logout fetchmail: POP3> QUIT fetchmail: POP3< +OK Bye! fetchmail: 6.2.5 fragt ab mail.FQDN (Protokoll POP3) um Do 26 Jan 2006 17:05:28 CET: Abfrage beendet

Sieht gut aus. Die Mail ist also "heile" beim SMTPD angekommen. [..]

Jan 26 17:05:05 gw postfix/qmgr[5644]: 7AFA857E4C3: removed

Das war ne andere Mail. Achte auf die Queue-IDs...

Jan 26 17:05:28 gw postfix/smtpd[16277]: connect from localhost[127.0.0.1] Jan 26 17:05:28 gw postfix/smtpd[16277]: 925C557E4B2: client=localhost[127.0.0.1] Jan 26 17:05:28 gw postfix/cleanup[14490]: 925C557E4B2: message-id=<43D8F324.nailCEC1ZGJ1K@ml061.FQDN> Jan 26 17:05:28 gw postfix/qmgr[5644]: 925C557E4B2: from=, size=1971, nrcpt=1 (queue active) Jan 26 17:05:30 gw postfix/smtpd[14497]: connect from localhost[127.0.0.1] Jan 26 17:05:30 gw postfix/smtpd[14497]: 6BD1957E4C3: client=localhost[127.0.0.1] Jan 26 17:05:30 gw postfix/cleanup[14490]: 6BD1957E4C3: message-id=<43D8F324.nailCEC1ZGJ1K@ml061.FQDN> Jan 26 17:05:30 gw postfix/smtpd[14497]: disconnect from localhost[127.0.0.1] Jan 26 17:05:30 gw postfix/qmgr[5644]: 6BD1957E4C3: from=, size=2241, nrcpt=1 (queue active) Jan 26 17:05:30 gw postfix/local[14798]: 6BD1957E4C3: to=, relay=local, delay=0, status=sent (delivered to mailbox) Jan 26 17:05:30 gw postfix/qmgr[5644]: 6BD1957E4C3: removed

Bis hier wohl auch OK, postfix hat die Mail ans 'relay=local' erfolgreich zugestellt.

Jan 26 17:05:30 gw amavis[11442]: (11442-10) Passed CLEAN, [85.124.104.243] -> , Message-ID: <43D8F324.nailCEC1ZGJ1K@ml061.FQDN>, Hits: -1.652

amavis ist beim loggen wohl etwas lahm.

Jan 26 17:05:30 gw postfix/smtp[14753]: 925C557E4B2: to=, orig_to=, relay=127.0.0.1 [127.0.0.1], delay=2, status=sent (250 2.6.0 Ok, id=11442-10, from MTA: 250 Ok: queued as 6BD1957E4C3)

Hae??? Die Queue-ID taucht doch schon oben auf... Hier scheint die Mail an Amavis gereicht zu werden... Und von dort zurueck kommt sie weiter oben wo das erste mal die Q-ID '6BD1957E4C3' auftaucht.

Jan 26 17:05:30 gw postfix/qmgr[5644]: 925C557E4B2: removed Jan 26 17:06:28 gw postfix/smtpd[16277]: disconnect from localhost[127.0.0.1]

... $&!@+! asyncrones logging... Und die timestamps sind auch nicht genau genug um das auseinanderzusortieren. Jedenfalls: die Mail scheint durch Amavis zu laufen. Ob / warum das aber die Mails (nicht) durch SA schiebt weiss ich nicht.

...

...

Und pruefe auch noch die postfix Konfiguration, du kannst die Mails ja auch ohne Amavis von postfix durch SA schleusen.

Irgendwas in dieser Richtung stelle ich mir vor, dass das Mail eben machmal nicht über amavis läuft.

Muesste nach dem Muster von amavis laufen (spamd laesst sich mit passendem Port starten, dort laesst du postfix die Mails reinfuettern, wie das mit dem "zurueckgeben" laeuft weiss ich nicht, da ich postfix nicht verwende und spamd nur via spamc anspreche). Da kann dir vielleicht jemand anderes helfen (Sandy scheint ein Postfix Spezerl zu sein ;)... Alternativ koenntest du (bes. wenn du sowieso procmail verwendest) SA auch per procmail aufrufen: ==== man procmail ==== If no rcfiles and no -p have been specified on the command line, procmail will, prior to reading $HOME/.procmailrc, interpret commands from /etc/procmailrc (if present). ==== Das heisst, wenn du in postfix procmail als MDA definierst kannst du z.B. so eine ==== /etc/procmailrc ==== PATH="" LOGFILE="/var/log/procmail.log" ### _keinen_ DEFAULT= setzen! :0 fw | /usr/bin/spamc :0 H * ^X-Spam-Level: \*\*\*\*\*\*\* /var/spool/spamassassin/spammed-sure ==== anlegen. Die MBox fuer den spam natuerlich anpassen. Anschliessend sollte procmail dann (lt. manpage, s.o.) die $HOME/.procmailrc der User auswerten, wozu du procmail allerdings den User mitteilen musst, das geht aber ueber die master.cf.

Ich habe es aber noch nicht geschafft ein Virus zu versenden: [..]

Hm. Keine Ahnung. -dnh -- "...you want a .sig with that?"

Am Samstag, 28. Januar 2006 04:42 schrieb Sandy Drobic:

...

Jedenfalls: die Mail scheint durch Amavis zu laufen. Ob / warum das aber die Mails (nicht) durch SA schiebt weiss ich nicht.

Entweder Whitelisting oder nur keinen Headereintrag.

Weder Whitelisting noch Blacklisting ist definiert.

Das könnte nur ein Filter schaffen, der etwa von den Header-/Body-Checks aufgerufen wird. Alles andere wird über den normalen content_filter geschickt.

Es sind keine zusätzlichen Filter von _mir_ definiert.

Ich mag Postfix und gebe mir Mühe, amavis eigentlich überflüssig zu machen. Für meinen privaten Server hier zu hause ist das mittlerweile der Fall. In unserer Firma leider noch nicht.

Warum leider?

Inzwischen habe ich aber wahrscheinlich zufällig die Lösung gefunden:

Ich setze jetzt amavis, spamassassin und clamav komplett neu auf und beginne mit Default-Konfigurationen. Dann schaue ich mir auch "local_domains_re" an. Da dies ein 9.2-Rechner ist dürfte es sich aber eher um eine alte Version handeln.

...

...

Ich habe es aber noch nicht geschafft ein Virus zu versenden: [..]

Hm. Keine Ahnung.

Braucht da jemand Hilfe beim Virensenden?

Es war so gemeint, dass amavisd-new jeden Virus-Versand stoppte, d.h irgendwas mit amavisd-new funktioniert offensichtlich. Al

Am Donnerstag, 26. Januar 2006 17:22 schrieb Al Bogner:

...

...

perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"; aus?

# perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n";

Da hätte im 1. Mail noch hingehört, dass es da vermutlich einen Syntax-Fehler gibt. Es wird nichts ausgegeben, sondern es wird ein > angeführt.

perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"'; 3.000004 Sorry, das fehlende ' hätte ich auch gleich erkennen können. Al

Am Freitag, 27. Januar 2006 01:42 schrieb David Haller:

und in local.cf habe ich:

required_score 5.0 report_safe 0 use_bayes 1 bayes_auto_learn 1 bayes_auto_learn_threshold_nonspam -5 bayes_auto_learn_threshold_spam 10 dns_available no skip_rbl_checks 1 ok_locales de en fr es

IMHO müsste das ok_languages heißen. Ich verstehe perldoc Mail::SpamAssassin::Conf so, dass für ok_locales nur das zulässig ist: en - Western character sets in general ja - Japanese character sets ko - Korean character sets ru - Cyrillic character sets th - Thai character sets zh - Chinese (both simplified and traditional) /etc/mail/spamassassin/local.cf add_header all Report _REPORT_ ok_languages de en es fr it pt add_header all Checker‐Version SpamAssassin _VERSION_ (_SUBVERSION_) on _HOSTNAME_ rewrite_subject 0 use_terse_report 1 Eine detailliertere Spamanalyse erhalte ich damit aber noch nicht. es sieht zB so aus: X-Spam-Status: No, hits=-5.873 tagged_above=-99 required=4.5 tests=ALL_TRUSTED, AWL, BAYES_00, UPPERCASE_25_50 Al

Am Montag, 30. Januar 2006 03:31 schrieb David Haller:

...

use_terse_report 1

Mit letzterem schaltest du ja explizit die "Kurzfassung" ein. Aber in man/perldoc Mail::SpamAssassin::Conf finde ich sonst nix zu "report".

Das war der letzte Stand, den ich gepostet habe. Ich hatte es auch mit 0 probiert, hätte ja sein können, dass 1 für "ein" steht, obwohl der engl. Kommentar natürlich das Gegenteil dokumentierte, aber es wirkte ja nicht. Das Problem ist folgendes, wenn amavisd-new läuft, dann wird die local.cf nicht verwendet und man kann eintragen was man will, außerdem muss man nach einer Änderung etwas in dieser Art ausführen: su vscan -c 'spamassassin --lint -D' Wenn ich in amavisd.conf $sa_spam_report_header = 1 eintrage, dann erhalte ich den von mir gewünschten Report, allerdings _nur_ für Spam und ich möchte es vorübergehend für Tests genau umgekehrtt haben. Inwieweit die "defang-Variablen" in amavisd.conf das machen was ich möchte, muss ich erst testen.

Hm. Ist dir der ausfuehrliche Report so wichtig? Ggfs. kann man da sicher auch was "hacken" ;)

Als ich noch amavis und nicht amavisd-new verwendete, sah ich da manchmal interessante Infos und die wollte ich wieder haben, aber so wichtig ist es nun auch nicht. Interessant ist ja auch, dass ich bei Spam nun folgenden Eintrag habe: X-Spam-Report: Spam detection software, running on the system "gw.local.FQDN", während es bei keinem Spam so lautet: X-Virus-Scanned: by amavisd-new at local.FQDN. IMHO gibt es da irgendwo einen Bug, nur für die alte 9.2-Version wird das keinen mehr interessieren. Al

Am Samstag, 28. Januar 2006 10:09 schrieb Michael Schueller:

ich hab hier gerade unter OSS10 das eine oder andere Problem das ich hier, im gegensatz zu meiner 9.1 Installation,habe, dadurch beseitigt das ich das alte config aus /usr/share/doc/packages/amavisd-new/amavisd.conf-sample konfiguriert habe. Ich finde das alte Config ist Übersichtlicher, probiers doch mal aus...

Wie teste ich nun am _einfachsten_ im lokalen Netz, ob ein _externes_ Mail den X-Spam-Status anzeigt? DIe Mails kommen ja alle per fetchmail auf einem anderen Rechner rein. Muss ich deswegen extra fetchmail auf _diesem_ Client einrichten? BTW ich habe eine simple Methode gefunden um rauszufinden, welcher Rechner nun X-Spam-Status eingetragen hat, ich setze für sa_tag_level_deflt je nach Rechner unterschiedliche Werte. Hinzugefügt habe ich zu den _Default_-Einstellungen von SL 10 $max_requests = 20; # retire a child after that many accepts (default 10) $child_timeout=5*60; # abort child if it does not complete each task in Im Runlevel-Editor wurden amavis, clamav und freshclam aktiviert. From root@client2.local.FQDN Sat Jan 28 13:17:28 2006 Return-Path: root@client2.local.FQDN X-Original-To: ab@client2.local.FQDN Delivered-To: ab@client2.local.FQDN Received: from localhost (localhost [127.0.0.1]) by client2.local.FQDN (Postfix) with ESMTP id DC460868B6E for ; Sat, 28 Jan 2006 13:17:27 +0100 (CET) Received: from client2.local.FQDN ([127.0.0.1]) by localhost (client2.local.FQDN [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 06137-01 for ; Sat, 28 Jan 2006 13:17:24 +0100 (CET) Received: by client2.local.FQDN (Postfix, from userid 0) id 57F23868B6D; Sat, 28 Jan 2006 13:17:24 +0100 (CET) Date: Sat, 28 Jan 2006 13:17:24 +0100 To: ab@client2.local.FQDN Subject: Test Message-ID: <43DB60D4.mail4TG1B3GLN@client2.local.FQDN> User-Agent: nail 11.4 8/29/04 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit From: root X-Virus-Scanned: amavisd-new at client2.local.FQDN X-Spam-Status: No, score=-2.76 tagged_above=-32 required=5 tests=[ALL_TRUSTED=-2.82, AWL=0.060] X-Spam-Score: - Das sieht mal ganz gut aus, ist aber eben ein internes Mail und es ist ein _anderer_ Rechner als der um den es diesem Thread geht. Al

Am Samstag, 28. Januar 2006 14:39 schrieb Thomas Becker:

...

Wie teste ich nun am _einfachsten_ im lokalen Netz, ob ein _externes_ Mail den X-Spam-Status anzeigt? DIe Mails kommen ja alle per fetchmail auf einem anderen Rechner rein. Muss ich deswegen extra fetchmail auf _diesem_ Client einrichten? ...

Du könntest vieleicht mal mit spamassassin -D --lint nachsehen, wo es evtl. hängt.

Das Problem ist ja am _anderen_ Rechner mit SuSE 9.2, dass es mit lokalen Mails funktioniert, mit externen aber nicht. Auf _diesem_ Rechner mit Suse 10 dürfte alles mit _lokalen_ Mails passen. Siehe Header im Posting davor. Ich habe aber keine Ahnung, ob es mit SuSE 10 auch für externe Mails passt, das aber nur theoretisch ist, denn der SuSE 10-Rechner holt die Mails am SuSE 9.2-Rechner ab. Spam-Mails werden am 9.2-Rechner ja auch aussortiert, es fehlt aber eben der Hedaer-Eintrag bzgl. X-Spam-Status. Zur Zeit bin ich auf der Suche nach einem Repostiory für 9.2 Wo gibt es was aktuelleres als: apt-cache policy amavisd-new amavisd-new: Installed: (none) Candidate: 2.1.2-5.1 Version Table: 2.1.2-5.1 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy spamassassin spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist Al

Am Samstag, 28. Januar 2006 15:21 schrieb Sandy Drobic:

Hattest du mal die Kombination von

$final_spam_destiny = D_PASS @local_domains_acl = ( ".*" );

Schau ich später an, ich bin gerade dabei die Pakete wieder zu installieren und das ist gar nicht so einfach. aptitude install spamassassin Reading Package Lists... Done Building Dependency Tree Reading extended state information Initializing package states... Done The following NEW packages will be automatically installed: perl-spamassassin The following packages have been kept back: ... The following NEW packages will be installed: perl-spamassassin spamassassin 0 packages upgraded, 2 newly installed, 0 to remove and 202 not upgraded. Need to get 0B/448kB of archives. After unpacking 1997kB will be used. Do you want to continue? [Y/n/?] Writing extended state information... Done Checking GPG signatures... perl-spamassassin = 3.0.0-3 | perl-spamassassin = 3.0.4-1.1 is needed by perl-spamassassin-3.0.4-1.3 spamassassin = 3.0.0-3 | spamassassin = 3.0.4-1.1 is needed by spamassassin-3.0.4-1.3 E: Transaction set check failed Ack! Something bad happened while installing packages. Reading Package Lists... Done Building Dependency Tree Reading extended state information Initializing package states... Done apt-cache policy spamassassin spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy perl-spamassassin perl-spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist Al

Am Samstag, 28. Januar 2006 13:29 schrieb Al Bogner:

Hinzugefügt habe ich zu den _Default_-Einstellungen von SL 10

$max_requests = 20; # retire a child after that many accepts (default 10) $child_timeout=5*60; # abort child if it does not complete each task in

Im Runlevel-Editor wurden amavis, clamav und freshclam aktiviert.

Es sieht so aus, als ob es nun klappt. Der Grund ist aber für mich noch nicht klar. Vielleicht lag es an inkompatiblen Paketen, das sich durch das Löschen der Pakete mit Neuinstallation gelöst hat. Wie an anderer Stelle erwähnt, gab es ja bei der Neuinstalltion mit aptitude Versionsprobleme. Unten gibt es noch einen Auszug aus /var/log/mail. Sieht da wer ein Problem? Ich habe amavis, clamav und spamassassin von der 9.2-DVD erneut installiert und danach ein aptitude update/upgrade gemacht. Vorher wurden alle Pakete, die nicht per "aptitude purge" gelöscht wurden, wie zB *rpmsave gelöscht. Spamassassin wurde bis jetzt nicht konfiguriert. Die Repositories habe ich um base erweitert. etc/apt/sources.list rpm ftp://ftp.gwdg.de/pub/linux/suse/apt/ SuSE/9.2-i386 update-prpm security-prpm rpm ftp://mirrors.mathematik.uni-bielefeld.de/pub/linux/suse/apt/ SuSE/9.2-i386 update security rpm ftp://ftp.gwdg.de/pub/linux/suse/apt/ SuSE/9.2-i386 update security rpm ftp://ftp4.gwdg.de/pub/linux/suse/apt SuSE/9.2-i386 rpmkeys suser-guru base Danach wurden ca. 150MB aktualisiert. Nun habe ich. apt-cache policy amavisd-new amavisd-new: Installed: 2.1.2-5.1 Candidate: 2.1.2-5.1 Version Table: *** 2.1.2-5.1 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist 100 RPM Database apt-cache policy spamassassin spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy perl-spamassassin perl-spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy clamav clamav: Installed: 0.88-0.1 Candidate: 0.88-0.1 Version Table: *** 0.88-0.1 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 0.87.1-0.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 0.80-2.2 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist Grundsätzlich bin ich bei 9.2 fast so vorgegangen wie bei 10.0, d.h. $max_requests = 20; # retire a child after that many accepts (default 10) $child_timeout=5*60; # abort child if it does not complete each task in hinzugefügt, sa_tag_level_deflt auf individuellen Wert gesetzt Weiters habe ich den F-prot-Bereich aus dem Backup-Bereich nach oben in den primären Bereich kopiert. die amavisd.conf sieht nun wie folgt aus. Da ist fast alles default. #/etc/amavisd.conf use strict; $max_servers = 2; # number of pre-forked children (2..15 is common) $max_requests = 20; # retire a child after that many accepts (default 10) $child_timeout=5*60; # abort child if it does not complete each task in $daemon_user = 'vscan'; $daemon_group = 'vscan'; $mydomain = 'gw.local.FQDN'; $MYHOME = '/var/spool/amavis'; $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to be created manually $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR $QUARANTINEDIR = '/var/spool/amavis/virusmails'; @local_domains_maps = ( [".$mydomain"] ); $log_level = 0; # verbosity 0..5 $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $SYSLOG_LEVEL = 'mail.debug'; $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $inet_socket_port = 10024; # listen on this local TCP port(s) (see $protocol) $unix_socketname = "$MYHOME/amavisd.sock"; # when using sendmail milter $sa_tag_level_deflt = -99.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_spam_maps = ('spam'); @addr_extension_banned_maps = ('banned'); @addr_extension_bad_header_maps = ('badh'); $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; $file = 'file'; # file(1) utility; use recent versions $gzip = 'gzip'; $bzip2 = 'bzip2'; $lzop = 'lzop'; $rpm2cpio = ['rpm2cpio.pl','rpm2cpio']; $cabextract = 'cabextract'; $uncompress = ['uncompress', 'gzip -d', 'zcat']; $unfreeze = ['unfreeze', 'freeze -d', 'melt', 'fcat']; $arc = ['nomarch', 'arc']; $unarj = ['arj', 'unarj']; $unrar = ['rar', 'unrar']; $zoo = 'zoo'; $lha = 'lha'; $cpio = ['gcpio','cpio']; $dspam = 'dspam'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM*** '; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $final_spam_destiny = D_PASS; @viruses_that_fake_sender_maps = (new_RE( [qr'\bEICAR\b'i => 0], # av test pattern name [qr'^(WM97|OF97|Joke\.)'i => 0], # adjust names to match your AV scanner [qr/.*/ => 1], # true for everything else )); @keep_decoded_original_maps = (new_RE( qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, )); $banned_filename_re = new_RE( qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|dll)\.?$'i, qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any type in Unix archives qr'.\.(exe|vbs|pif|scr|bat|cmd|com)$'i, # banned extension - basic qr'^\.(exe-ms)$', # banned file(1) types ); @score_sender_maps = ({ # a by-recipient hash lookup table, '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), { # a hash-type lookup table (associative array) 'nobody@cert.org' => -3.0, 'cert-advisory@us-cert.gov' => -3.0, 'owner-alert@iss.net' => -3.0, 'slashdot@slashdot.org' => -3.0, 'bugtraq@securityfocus.com' => -3.0, 'ntbugtraq@listserv.ntbugtraq.com' => -3.0, 'security-alerts@linuxsecurity.com' => -3.0, 'mailman-announce-admin@python.org' => -3.0, 'amavis-user-admin@lists.sourceforge.net'=> -3.0, 'notification-return@lists.sophos.com' => -3.0, 'owner-postfix-users@postfix.org' => -3.0, 'owner-postfix-announce@postfix.org' => -3.0, 'owner-sendmail-announce@lists.sendmail.org' => -3.0, 'sendmail-announce-request@lists.sendmail.org' => -3.0, 'donotreply@sendmail.org' => -3.0, 'ca+envelope@sendmail.org' => -3.0, 'noreply@freshmeat.net' => -3.0, 'owner-technews@postel.acm.org' => -3.0, 'ietf-123-owner@loki.ietf.org' => -3.0, 'cvs-commits-list-admin@gnome.org' => -3.0, 'rt-users-admin@lists.fsck.com' => -3.0, 'clp-request@comp.nus.edu.sg' => -3.0, 'surveys-errors@lists.nua.ie' => -3.0, 'emailnews@genomeweb.com' => -5.0, 'yahoo-dev-null@yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews@linuxnetworx.com' => -3.0, lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0, 'sender@example.net' => 3.0, '.example.net' => 1.0, }, ], # end of site-wide tables }); @av_scanners = ( ['KasperskyLab AVP - aveclient', ['/usr/local/kav/bin/aveclient','/usr/local/share/kav/bin/aveclient', '/opt/kav/bin/aveclient','aveclient'], '-p /var/run/aveserver -s {}/*', [0,3,6,8], qr/\b(INFECTED|SUSPICION)\b/, qr/(?:INFECTED|SUSPICION) (.+)/, ], ['KasperskyLab AntiViral Toolkit Pro (AVP)', ['avp'], '-* -P -B -Y -O- {}', [0,3,6,8], [2,4], # any use for -A -K ? qr/infected: (.+)/, sub {chdir('/opt/AVP') or die "Can't chdir to AVP: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ['KasperskyLab AVPDaemonClient', [ '/opt/AVP/kavdaemon', 'kavdaemon', '/opt/AVP/AvpDaemonClient', 'AvpDaemonClient', '/opt/AVP/AvpTeamDream', 'AvpTeamDream', '/opt/AVP/avpdc', 'avpdc' ], "-f=$TEMPBASE {}", [0,8], [3,4,5,6], qr/infected: ([^\r\n]+)/ ], ['H+BEDV AntiVir or CentralCommand Vexira Antivirus', ['antivir','vexira'], '--allfiles -noboot -nombr -rs -s -z {}', [0], qr/ALERT:|VIRUS:/, qr/(?x)^\s* (?: ALERT: \s* (?: \[ | [^']* ' ) | (?i) VIRUS:\ .*?\ virus\ '?) ( [^\]\s']+ )/ ], ['Command AntiVirus for Linux', 'csav', '-all -archive -packed {}', [50], [51,52,53], qr/Infection: (.+)/ ], ['Symantec CarrierScan via Symantec CommandLineScanner', 'cscmdline', '-a scan -i 1 -v -s 127.0.0.1:7777 {}', qr/^Files Infected:\s+0$/, qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['Symantec AntiVirus Scan Engine', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', [0], qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['F-Secure Antivirus', 'fsav', '--dumb --mime --archive {}', [0], [3,8], qr/(?:infection|Infected|Suspected): (.+)/ ], ['CAI InoculateIT', 'inocucmd', # retired product '-sec -nex {}', [0], [100], qr/was infected by virus (.+)/ ], ['CAI eTrust Antivirus', 'etrust-wrapper', '-arc -nex -spm h {}', [0], [101], qr/is infected by virus: (.+)/ ], ['MkS_Vir for Linux (beta)', ['mks32','mks'], '-s {}/*', [0], [1,2], qr/--[ \t]*(.+)/ ], ['MkS_Vir daemon', 'mksscan', '-s -q {}', [0], [1..7], qr/^... (\S+)/ ], ['ESET Software NOD32', 'nod32', '-all -subdir+ {}', [0], [1,2], qr/^.+? - (.+?)\s*(?:backdoor|joke|trojan|virus|worm)/ ], ['ESET Software NOD32 - Client/Server Version', 'nod32cli', '-a -r -d recurse --heur standard {}', [0], [10,11], qr/^\S+\s+infected:\s+(.+)/ ], ['Norman Virus Control v5 / Linux', 'nvcc', '-c -l:0 -s -u {}', [0], [1], qr/(?i).* virus in .* -> \'(.+)\'/ ], ['Panda Antivirus for Linux', ['pavcl'], '-aut -aex -heu -cmp -nbr -nor -nso -eng {}', qr/Number of files infected[ .]*: 0+(?!\d)/, qr/Number of files infected[ .]*: 0*[1-9]/, qr/Found virus :\s*(\S+)/ ], ['NAI McAfee AntiVirus (uvscan)', 'uvscan', '--secure -rv --mime --summary --noboot - {}', [0], [13], qr/(?x) Found (?: \ the\ (.+)\ (?:virus|trojan) | \ (?:virus|trojan)\ or\ variant\ ([^ ]+) | :\ (.+)\ NOT\ a\ virus)/, ], ['VirusBuster', ['vbuster', 'vbengcl'], "{} -ss -i '*' -log=$MYHOME/vbuster.log", [0], [1], qr/: '(.*)' - Virus/ ], ['CyberSoft VFind', 'vfind', '--vexit {}/*', [0], [23], qr/##==>>>> VIRUS ID: CVDL (.+)/, ], ['Ikarus AntiVirus for Linux', 'ikarus', '{}', [0], [40], qr/Signature (.+) found/ ], ['FRISK F-Prot Antivirus', ['f-prot','f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)/ ], ['BitDefender', 'bdc', '--all --arc --mail {}', qr/^Infected files *:0+(?!\d)/, qr/^(?:Infected files|Identified viruses|Suspect files) *:0*[1-9]/, qr/(?:suspected|infected): (.*)(?:\033|$)/ ], ); @av_scanners_backup = ( ['ClamAV-clamscan', 'clamscan', "--stdout --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1], qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ['FRISK F-Prot Antivirus', ['f-prot','f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)/ ], ['Trend Micro FileScanner', ['/etc/iscan/vscan','vscan'], '-za -a {}', [0], qr/Found virus/, qr/Found virus (.+) in/ ], ['drweb - DrWeb Antivirus', ['/usr/local/drweb/drweb', '/opt/drweb/drweb', 'drweb'], '-path={} -al -go -ot -cn -upn -ok-', [0,32], [1,9,33], qr' infected (?:with|by)(?: virus)? (.*)$'], ['KasperskyLab kavscanner', ['/opt/kav/bin/kavscanner','kavscanner'], '-i1 -xp {}', [0,10,15], [5,20,21,25], qr/(?:CURED|INFECTED|CUREFAILED|WARNING|SUSPICION) (.*)/ , sub {chdir('/opt/kav/bin') or die "Can't chdir to kav: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ); 1; # insure a defined return #Auszug aus: /var/log/mail postfix/postfix-script: starting the Postfix mail system postfix/master[5033]: daemon started -- version 2.1.5 freshclam[5137]: Daemon started. freshclam[5151]: freshclam daemon 0.88 (OS: linux-gnu, ARCH: i386, CPU: i686) freshclam[5151]: ClamAV update process started at Sat Jan 28 21:24:01 2006 clamd[5163]: Daemon started. clamd[5163]: clamd daemon 0.88 (OS: linux-gnu, ARCH: i386, CPU: i686) clamd[5163]: Log file size limited to 1048576 bytes. clamd[5163]: Running as user vscan (UID 65, GID 102) clamd[5163]: Reading databases from /var/lib/clamav freshclam[5151]: main.cvd is up to date (version: 35, sigs: 41649, f-level: 6, builder: tkojm) freshclam[5151]: daily.cvd is up to date (version: 1255, sigs: 1522, f-level: 7, builder: diego) freshclam[5151]: -------------------------------------- clamd[5163]: Protecting against 43171 viruses. clamd[5163]: Bound to address 127.0.0.1 on port 3310 clamd[5163]: Setting connection queue length to 15 clamd[5163]: Archive: Archived file size limit set to 10485760 bytes. clamd[5163]: Archive: Recursion level limit set to 8. clamd[5163]: Archive: Files limit set to 1000. clamd[5163]: Archive: Compression ratio limit set to 250. clamd[5163]: Archive support enabled. clamd[5163]: Archive: RAR support disabled. clamd[5163]: Portable Executable support enabled. clamd[5163]: Mail files support enabled. clamd[5163]: OLE2 support enabled. clamd[5163]: HTML support enabled. clamd[5163]: Self checking every 1800 seconds. poll.tcpip: Starting mail and news send/fetch amavis[5176]: starting. /usr/sbin/amavisd at gw amavisd-new-2.1.2, Unicode aware amavis[5176]: Perl version 5.008005 amavis[6209]: Module Amavis::Conf 2.032 amavis[6209]: Module Archive::Tar 1.08 amavis[6209]: Module Archive::Zip 1.14 amavis[6209]: Module BerkeleyDB 0.25 amavis[6209]: Module Compress::Zlib 1.33 amavis[6209]: Module Convert::TNEF 0.17 amavis[6209]: Module Convert::UUlib 1.0 amavis[6209]: Module DB_File 1.809 amavis[6209]: Module MIME::Entity 5.404 amavis[6209]: Module MIME::Parser 5.406 amavis[6209]: Module MIME::Tools 5.411 amavis[6209]: Module Mail::Header 1.60 amavis[6209]: Module Mail::Internet 1.60 amavis[6209]: Module Mail::SpamAssassin 3.000004 amavis[6209]: Module Net::Cmd 2.26 amavis[6209]: Module Net::DNS 0.48 amavis[6209]: Module Net::SMTP 2.29 amavis[6209]: Module Net::Server 0.87 amavis[6209]: Module Razor2::Client::Version 2.61 amavis[6209]: Module Time::HiRes 1.59 amavis[6209]: Module Unix::Syslog 0.100 amavis[6209]: Amavis::DB code loaded amavis[6209]: Amavis::Cache code loaded amavis[6209]: Lookup::SQL code NOT loaded amavis[6209]: Lookup::LDAP code NOT loaded amavis[6209]: AMCL-in protocol code loaded amavis[6209]: SMTP-in protocol code loaded amavis[6209]: ANTI-VIRUS code loaded amavis[6209]: ANTI-SPAM code loaded amavis[6209]: Unpackers code loaded amavis[6209]: Found $file at /usr/bin/file amavis[6209]: Found $arc at /usr/bin/arc amavis[6209]: Found $gzip at /usr/bin/gzip amavis[6209]: Found $bzip2 at /usr/bin/bzip2 amavis[6209]: No $lzop, not using it amavis[6209]: Found $lha at /usr/bin/lha amavis[6209]: Found $unarj at /usr/bin/unarj amavis[6209]: Found $uncompress at /usr/bin/uncompress amavis[6209]: No $unfreeze, not using it amavis[6209]: Found $unrar at /usr/bin/unrar amavis[6209]: Found $zoo at /usr/bin/zoo amavis[6209]: Found $cpio at /usr/bin/cpio amavis[6209]: Found $rpm2cpio at /usr/bin/rpm2cpio amavis[6209]: Found $cabextract at /usr/bin/cabextract amavis[6209]: No $dspam, not using it amavis[6209]: Found primary av scanner H+BEDV AntiVir or CentralCommand Vexira Antivirus at /usr/bin/antivir amavis[6209]: Found primary av scanner FRISK F-Prot Antivirus at /usr/local/bin/f-prot amavis[6209]: Found primary av scanner BitDefender at /usr/bin/bdc amavis[6209]: Found secondary av scanner ClamAV-clamscan at /usr/bin/clamscan amavis[6209]: Found secondary av scanner FRISK F-Prot Antivirus at /usr/local/bin/f-prot amavis[6209]: Creating db in /var/spool/amavis/db/; BerkeleyDB 0.25, libdb 4.2 poll.tcpip: Done mail and news send/fetch Al

Hallo, Am Sat, 28 Jan 2006, Al Bogner schrieb:

Den Rechner kann man auch über leichte Änderung von sa_tag_level_deflt identifizieren.

Oder du pappst via Amavis/SA noch nen eigenen Header rein ;)) Freut mich, dass es nun wohl klappt. -dnh -- schön, daß ich Dir helfen konnte. Soll ich Dich ein wenig knuddeln, oder lieber weitertätscheln? -- Bernd zu Marius in suse-talk

Hallo, Am Sun, 29 Jan 2006, Al Bogner schrieb:

Zumindest theoretisch. Es ist allerdings noch immer so, dass Spam durchkommt, denn dann Kmail an einem Debian-Rechner mit neuestem Spamassassin erkennt, also überlege ich mir unter SuSE 9.2 von cpan zu installieren.

Muss ich dann noch Startscripts etc. anpassen, oder reicht ein cpan -i ?

'cpan -i' sollte reichen. Wobei ich nochmal darauf hinweisen will, dass ein 'cpan -t' als user und 'make -C CPANROOT/build/PAKETNAME/ install' als root besser ist. Dein CPAN ist IIRC inzwischen ja korrekt konfiguriert bzw. falls du's bisher nicht als User verwendet hast, achte auf 'PREFIX'. -dnh -- I am now taking bets on when this planet will reach its window manager event horizon. At some distant point in the future some sort of alien life-form is going to land on this planet and find everything dead except for a lone Sparcstation in an abandoned building waiting for a consignment of small lemon-soaked Motif widgets to be loaded. -- Peter Gutmann