Ich habe mir zu Testzwecken selber komprimierte Viren gesendet, die von
Antivir auszugsweise bei Prüfung der Datei, also nicht des Mails, so gemeldet
wurden:
ALERT: [Worm/Gibe.B.3 virus] /home/ab/Documents/order.txt -->
/home/ab/Documents/order --> testviren.rar --> testviren.zip -->
testviren.tgz --> unkwn.tar --> viren/Worm_Gibe.B.3-Q264244.exe.virus.XXX <<<
Contains signature of the worm Worm/Gibe.B.3
BTW: F-Prot meldete:
Scanoptionen: -ai -archive -collect -dumb -packed
-report=/home/ab/virenpruefungen/letztes_fprot_log_fuer_documents_ab.txt
No viruses or suspicious files/boot sectors were found.
Meist erkennt aber F-Prot mehr als Antivir. In diesem Fall habe ich mich sehr
gewundert, dass F-Prot von den 8 Viren, die es normalerweise erkennt, keines
erkannte, weil sie mehrmals komprimiert wurden.
Die Mailzustellung via Postfix wird nun lt. u.a. Log zurückgestellt. Wo
befinden sich nun diese Mails? Die Reaktion ist aufgrund von
$MAX_ARCHIVE_NESTING klar.
Sep 8 13:18:10 gw amavis[18780]: decoding failed, retry: Possible DoS
detected - mail requeued at /usr/sbin/amavis line 1560.
Aus amavis:
my $MAX_ARCHIVE_NESTING = 3;
# if $MAX_ARCHIVE_NESTING == 0, no maximum archive nesting depth!
# changed by Rainer Link