Clamav y Amavis

Antonio

9 Nov 2005 9 Nov '05

14:39

Hola a todos. Estoy instalando un servidor con Cyrus + Postfix + Amavis + Sieve + ClamAV + Spamassassin en el trabajo en un Debian y mas adelante tengo pensado hacer lo mismo en el SuSE de mi casa. Tengo ya todo funcionando aunque faltan hacer retoques. El caso es que cuando envio un correo con virus lo identifica el ClamAV y funciona tal como tengo indicado en amavisd.conf(deja q llegue el mensaje a su destino y envia otro mensaje de aviso de virus). A mi me interesaria que si se detecta virus envie el mensaje a su destinatario pero sin el virus y con el mensaje modificado para avisar de ello, como hacen muchos otros antivirus, al menos en Windows ;) he estado buscando y no he logrado encontrar donde confiurarlo para que actue de esa forma. En la web de ClamAV decia que ese antivirus no desinfecta. A mi me da igual que no desinfecte, me basta con que borre el virus. Vale, entonces que puedo hacer? un script en sieve para q borre los archivos adjuntos en caso de virus? ignoro si se puede hacer esto porque todavia no lo conozco suficiente, como tampoco se si se puede hacer un script que afecte a todas las cuentas de correo(estaria cojonudo si se pudiera). En los proximos dias me mirare como van los scripts del sieve supongo. Y ya que escribo este mensaje, si alguien supiera de algun tutorial para instalar Horde se lo agradeceria, estoy ahora mismo con su documentacion oficial y voy haciendo, pero tengo un poco de prisa en terminarlo y no me vendria mal esa ayuda. Saludos y gracias!!

Show replies by date

Camaleón

9 Nov 9 Nov

15:17

New subject: [suse-linux-s] Clamav y Amavis

El 9/11/05, Antonio escribió:

...

El caso es que cuando envio un correo con virus lo identifica el ClamAV y funciona tal como tengo indicado en amavisd.conf(deja q llegue el mensaje a su destino y envia otro mensaje de aviso de virus).

El mensaje no debe llegar a su destino, al menos no con el virus, debería dejarlo en cuarentena, en un directorio a parte, no accesible por el usuario vía POP3.

...

A mi me interesaria que si se detecta virus envie el mensaje a su destinatario pero sin el virus y con el mensaje modificado para avisar de ello, como hacen muchos otros antivirus, al menos en Windows ;) he estado buscando y no he logrado encontrar donde confiurarlo para que actue de esa forma.

Eso sería más lógico. Y debería de encargarse Amavis que hace de "pegamento" es decir, une Postfix con ClamAV. Amavis no lo uso, desconozco si puedes decirle que haga algo similar.

...

En la web de ClamAV decia que ese antivirus no desinfecta. A mi me da igual que no desinfecte, me basta con que borre el virus.

Dejar en cuarentena, mejor, pero que nunca llegue al usuario.

...

Vale, entonces que puedo hacer? un script en sieve para q borre los archivos adjuntos en caso de virus?

Aquí está cacao. Sé que hay un plugin* para que SA marque el correo como "correo con virus" para que lo pase en la cabecera y entonces Sieve puede actuar sobre él, lo que ya no sé es si esto encaja con Amavis.

...

ignoro si se puede hacer esto porque todavia no lo conozco suficiente, como tampoco se si se puede hacer un script que afecte a todas las cuentas de correo(estaria cojonudo si se pudiera). En los proximos dias me mirare como van los scripts del sieve supongo.

Sieve va por usuarios. Cada usuario con su script en su directorio. Yo tenía una página muy maja con ejemplos de scripts de Sieve, pero al cerrar Mulberry ya no está accesible. Seguro que en Google encuentras otras similares, con ejemplos y truquillos. * http://wiki.apache.org/spamassassin/ClamAVPlugin Saludos, -- Camaleón

Josep M. Queralt

16:14

New subject: [suse-linux-s] Clamav y Amavis

On Wed, 9 Nov 2005 16:17:17 +0100 Camaleón wrote: noelamac> > El caso es que cuando envio un correo con virus lo identifica el ClamAV y noelamac> > funciona tal como tengo indicado en amavisd.conf(deja q llegue el mensaje a noelamac> > su destino y envia otro mensaje de aviso de virus). noelamac> noelamac> El mensaje no debe llegar a su destino, al menos no con el virus, noelamac> debería dejarlo en cuarentena, en un directorio a parte, no accesible noelamac> por el usuario vía POP3. Si ClamAV marca el mensaje como contenedor de virus, con PROCMAIL puede hacerse, borrando el fichero adjunto y añadiendo un texto; o bien cambiando el mensaje por otro de aviso de que el original se ha borrado. -- Salutacions - Saludos, Josep M. Queralt

Enrique

17:20

New subject: [suse-linux-s] Clamav y Amavis

Hola, Para que el correo con virus no pase debes poner (en /etc/amavisd.conf): $final_virus_destiny = D_DISCARD; (lo dejas en cuarentena) Seguramente lo tengas en D_PASS y avisas al que lo recibe con un correo mediante: $warnvirusrecip = 1; Miralo porque es lo mismo para el spam y el banner mail y bad header Espero que te sirva, Un saludo, Enrique

Antonio

18:06

New subject: [suse-linux-s] Clamav y Amavis

Camaleón escribió:

...

El mensaje no debe llegar a su destino, al >menos no con el virus, debería dejarlo en cuarentena, en un >directorio a parte, no accesible por el usuario vía POP3.

De acuerdo contigo, en parte. Para mi no tiene ninguna utilidad que envie el mensaje infectado a otro buzon de correo como me venia configurado en amavis por defecto, ya que no tengo intencion de consultar esa cuenta, para que? Prefiero que borre el mensaje directamente. Por cierto, uso IMAP, aunque para el caso es lo mismo.

...

Eso sería más lógico. Y debería de >encargarse Amavis que hace de "pegamento" es decir, une Postfix con >ClamAV. Amavis no lo uso, desconozco si puedes decirle que haga >algo similar.

Si, eso creo yo, deberia hacerlo amavis...pero no encontre la forma de hacerlo. Todavia no he perdido esperanzas, buscare mas a fondo ;)

...

Aquí está cacao. Sé que hay un plugin* >para que SA marque el correo como "correo con virus" para que lo pase >en la cabecera y entonces Sieve puede actuar sobre él, lo que ya no >sé es si esto encaja con Amavis.

En eso no tengo problema, no se si es ClamAV o Amavis, supongo que Amavis, que cuando se detecta virus lo marca en la cabecera del mensaje, lo mismo pasa cuando se detecta spam, tengo un script de ejemplo en sieve para mover spam a una carpeta, asi que si en sieve se pueden borrar los adjuntos de un mensaje, supongo q no me costaria hacerlo. Pero la verdad, creia q era mas sencillo lo de borrar los archivos infectados de los mensajes, me esperaba q viniera en la configuracion por defecto ya que yo creia que ese era el comportamiento mas comun.

...

Sieve va por usuarios. Cada usuario con >su script en su directorio. Yo tenía una página muy maja con ejemplos >de scripts de Sieve, pero al cerrar Mulberry ya no está accesible. >Seguro que en Google encuentras otras similares, con ejemplos y truquillos.

...

* >http://wiki.apache.org/spamassassin/ClamAVPlugin

Pues es una lastima eso de q vaya solo para usuarios, porque me gustaria hacer un script para todos los usuarios que mueva los mensajes marcados como spam a una carpeta, ademas de otras funciones. Supongo que se lo tendre que meter a cada uno manualmente :(

Camaleón

18:31

New subject: [suse-linux-s] Clamav y Amavis

El 9/11/05, Antonio escribió:

...

De acuerdo contigo, en parte. Para mi no tiene ninguna utilidad que envie el mensaje infectado a otro buzon de correo como me venia configurado en amavis por defecto, ya que no tengo intencion de consultar esa cuenta, para que?

Para evitar errores o falsos positivos. Si borras el mensaje ya no hay remedio, por eso es mejor dejarlo en cuarentena, digamos 2 semanas, si el usuario no se queja de que le falta nada, podrían eliminarse.

...

Pero la verdad, creia q era mas sencillo lo de borrar los archivos infectados de los mensajes, me esperaba q viniera en la configuracion por defecto ya que yo creia que ese era el comportamiento mas comun.

Es que la situación que contemplas no es la única. Muchos virus van "incrustados" en el mensaje, no son adjuntos, por eso hacer un "dettach" (uff, qué mal suena) no siempre es posible.

...

Pues es una lastima eso de q vaya solo para usuarios, porque me gustaria hacer un script para todos los usuarios que mueva los mensajes marcados como spam a una carpeta, ademas de otras funciones. Supongo que se lo tendre que meter a cada uno manualmente :(

Creo que se puede automatizar el proceso, ya que Sieve acepta la ejecución de comandos tipo script. Hace poco salió en la lista el tema, puedes echar un vistazo. Saludos, -- Camaleón

Carlos E. R.

19:54

New subject: [suse-linux-s] Clamav y Amavis

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-09 a las 19:06 +0100, Antonio escribió:

...

...
El mensaje no debe llegar a su destino, al >menos no con el virus, debería dejarlo en cuarentena, en un >directorio a parte, no accesible por el usuario vía POP3.

De acuerdo contigo, en parte. Para mi no tiene ninguna utilidad que envie el mensaje infectado a otro buzon de correo como me venia configurado en amavis por defecto, ya que no tengo intencion de consultar esa cuenta, para que? Prefiero que borre el mensaje directamente. Por cierto, uso IMAP, aunque para el caso es lo mismo.

El tema de la cuarentena no está terminado de desarrollar en amavis-new, porque falta precisamente una interfaz de usuario para manejar lo que está en cuarentena. Borrar directamente el correo recibido con el virus - me parece que no hay opción a borrar el anexo solamente, o no lo he visto (1) - no se recomienda com método general, eso es decisión de cada usuario, en principio. Puede ser un correo importante con un falso positivo. (1) Investigar "defang_virus". Pudiera ser eso. Un sistema posible es usar lo que llaman "address extension", en los que la dirección del destinatario se substituye por "usuario+virus@dominio"; eso permite que el programa de reparto de correo (procmail, pe) detecte la cabecera "TO" (sin abrirlo, o sea, muy rápido) y lo meta en otra carpeta del propio usuario. Por cierto, el comportamiento del amavis puede ajustarse muchas cosas usuario a usuario (las variables "*_maps"). - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDclQAtTMYHG2NR9URAvH9AKCKMKPr6qg3iytSGxYSHIUM6Gt20ACeMzWP XSdfy9QE4hBNccRgntzCsoI= =k/md -----END PGP SIGNATURE-----

Antonio

18:08

New subject: [suse-linux-s] Clamav y Amavis

Hola Enrique. Eso que me comentas ya lo sabia, he llegado a probar esa configuracion que me propones. Pero como comente en mi otro mensaje, a mi me gustaria que enviara el mensaje con el archivo infectado borrado y un aviso en el mismo cuerpo del mensaje. Y es esto lo que no logro hacer con Amavis. Saludos y gracias. ----- Original Message ----- From: "Enrique" To: Sent: Wednesday, November 09, 2005 6:20 PM Subject: Re: [suse-linux-s] Clamav y Amavis

...

Hola,

Para que el correo con virus no pase debes poner (en /etc/amavisd.conf):

$final_virus_destiny = D_DISCARD; (lo dejas en cuarentena) Seguramente lo tengas en D_PASS

y avisas al que lo recibe con un correo mediante:

$warnvirusrecip = 1;

Miralo porque es lo mismo para el spam y el banner mail y bad header

Espero que te sirva,

Un saludo,

Enrique

Antonio

18:15

New subject: [suse-linux-s] Clamav y Amavis

Mmm...el procmail es como el Amavis, no? quiero decir, hace la misma funcion? en ese caso no creo que este bien usar los dos, aunque segun dices con procmail podria hacer lo que queria.... Josep M. Queralt ha escrito:

...

On Wed, 9 Nov 2005 16:17:17 +0100>Camaleón wrote:>>noelamac> > El caso es que cuando envio un correo con virus lo identifica el ClamAV y>noelamac> > funciona tal como tengo indicado en amavisd.conf(deja q llegue el mensaje a>noelamac> > su destino y envia otro mensaje de aviso de virus).>noelamac> >noelamac> El mensaje no debe llegar a su destino, al menos no con el virus,>noelamac> debería dejarlo en cuarentena, en un directorio a parte, no accesible>noelamac> por el usuario vía POP3.>>Si ClamAV marca el mensaje como contenedor de virus, con PROCMAIL puede>hacerse, borrando el fichero adjunto y añadiendo un texto; o bien>cambiando el mensaje por otro de aviso de que el original se ha borrado.

Josep M. Queralt

20:48

New subject: [suse-linux-s] Clamav y Amavis

...

Mmm...el procmail es como el Amavis, no? quiero decir, hace la misma funcion? en ese caso no creo que este bien usar los dos, aunque segun dices con procmail podria hacer lo que queria....

No, PROCMAIL es un filtro de correo altamente configurable. Su función es parecida al SpamAssassin con el que puede trabajar en conjunto -- Salutacions - Saludos, Josep M. Queralt

Carlos E. R.

23:45

New subject: [suse-linux-s] Clamav y Amavis

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-09 a las 19:15 +0100, Antonio escribió:

...

Mmm...el procmail es como el Amavis, no? quiero decir, hace la misma funcion?

Para nada. El procmail es un "procesador autonomo de correo". En general se usa como programa para entregar el correo desde el mta al usuario local y repartirlo en diferentes carpetas, según criterios que defina el usuario. Puede emplearse para disparar filtros independientes, como puede ser el spamassassin. «amavisd-new is an interface between message transfer agent (MTA) and one or more content checkers: virus scanners, and/or SpamAssassin ( http://www.spamassassin.org/ ).» (AAAREADME.first) amavisd-new es una interfase entre el agente de transferencia de mensajes (MTA) y uno o más comprobadores de contenido: rastreadores de virus, y/o SpamAssassin (http://www.spamassassin.org/).» - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDcoootTMYHG2NR9URAtyjAJ92EgZr6JbHCprkAaImJOhuLmg50ACfRLO2 yFFL0+CSBik7Jg/4JuKZxE0= =bsoS -----END PGP SIGNATURE-----

6744

Age (days ago)

6744

Last active (days ago)

List overview

Download

10 comments

5 participants

participants (5)

Antonio
Camaleón
Carlos E. R.
Enrique
Josep M. Queralt

Clamav y Amavis

Antonio

Camaleón

Josep M. Queralt

Enrique

Antonio

Camaleón

Carlos E. R.

Antonio

Antonio

Josep M. Queralt

Carlos E. R.

tags

participants (5)