spam-viren mails abfangen

[rolo]

hallo
i
seit gestern bekomme ich und ganz sicher auch viele andere verstärkt spammails in denen ein microsoft wurm enthalten ist. bei mir sind es jetzt ca 400.
worum es geht: ich setzte bisher avmailgate als scanner ein und seit heute morgen habe ich zusätzlich spamassassin installiert. die ganze zeit über läßt avmailgate einige wenige solcher mails durch. seit der installation von spamassassin erhalte ich kaum noch welche,
avmailgate fängt aber auch keine mehr ab.

verträgt sich spamassassin grundsätzlich mit virenscannern?
hat jemand erfahrung mit dem freien virenscanner clamav und kann den empfehlen, auch im zusammenhang mit spamassassin?

ich benutze sonst fetchmail exim procmail.

bis denn

[blackm]

verträgt sich spamassassin grundsätzlich mit virenscannern?

Ja.

Ist hast du dir mal amavis [1] angeschaut ? Das ist ein Framework fuer sehr viele Vierenscanner und funktioniert eigentlich auch mit jedem MTA. IIRC ist da SA auch schon mit integriert. Jedenfalls laufen die beiden (amvais und SA) auf dem einen Rechner auf dem ich das schonmal installiert haben Problemlos. Wenn du Postfix verwendest, dann koennte ich dich mit den Konfigurationsdatein von mir versorgen.

by, Martin

[rolo]

hallo blackm

ich habe das jetzt ziemlich lange vor mir hergeschoben. heute habe ich aber nun postfix
und amavis-postfix installiert., und nun erwartungsgemäß probleme mit der konfiguration. deshalb komme ich jetzt auf dein angebot zurück.

als virenscanner will ich clamav verwenden.

ich freue mich natürlich auch ansonsten über hilfe zu dem thema.

[blackm]

An welcher Stelle hast du den Probleme? Irgendwelche Fehlermeldungen?

[rolo]

hallo,

meine mail kann ich problemlos verschicken. das abholen schlägt fehl. ich denke das ich amavis auch nicht richtig eingebunden habe.

hier ist ein auszug aus syslog:
Sep 27 14:50:37 client10 postfix/qmgr[562]: warning: connect to transport vscan:
Connection refused
Sep 27 14:51:16 client10 postfix/pickup[561]: 234A653EDB: uid=1000 from=<list@bla.de>
Sep 27 14:51:16 client10 postfix/cleanup[1130]: 234A653EDB: message-id=<20030927
125116.GA1121@client10.domain.de>
Sep 27 14:51:16 client10 postfix/qmgr[562]: 234A653EDB: from=<list@bla.de>, size=494, nrcpt=1 (queue active)
Sep 27 14:51:17 client10 postfix/smtp[1131]: 234A653EDB: to=<ext@bla.de>, rela
y=mx0.gmx.net[213.165.64.100], delay=1, status=sent (250 {mx009} Message accepte
d)
Sep 27 14:51:37 client10 postfix/qmgr[562]: warning: connect to transport vscan:
Connection refused
.....
Sep 27 14:52:37 client10 postfix/qmgr[562]: warning: connect to transport vscan:
Connection refused
Sep 27 14:52:41 client10 postfix/smtpd[1163]: connect from localhost[127.0.0.1]
Sep 27 14:52:41 client10 postfix/smtpd[1163]: 69C6D53EDB: client=localhost[127.0
.0.1]
Sep 27 14:53:01 client10 /USR/SBIN/CRON[1168]: (mail) CMD ( if [ -x /usr/lib/ex
im/exim3 -a -f /etc/exim/exim.conf ]; then /usr/lib/exim/exim3 -q ; fi)
Sep 27 14:53:37 client10 postfix/qmgr[562]: warning: connect to transport vscan:
Connection refused

ich denke mir fehlen zumindest die richtigen zeilen für main.cf und master.cf. und was macht die exim zeile da. exim ist mit der postfix installation entfernt worden?

i

[blackm]

Sep 27 14:50:37 client10 postfix/qmgr[562]: warning: connect to transport vscan:
Connection refused

Also die Zeile fuer vscan ist schon in der master.cf, aber es kann sich nicht mit dem Vierenscanner verbinden weil der wahrscheinlich nicht laeuft. Mit

Code: Alles auswählen

ps -A |grep amav

kannst du schauen ob er laeuft.

und was macht die exim zeile da. exim ist mit der postfix installation entfernt worden?

Exim wird irgendwie nicht richtig deinstalliert. Da liegt noch ein cron Script in /etc/cron.d.Wenn du das loeschst dann kommt die Zeile nicht mehr.

by, Martin

[rolo]

ps -A |grep amav
235 ? 00:00:00 amavisd

dürfte also laufen. weil clamav in amavisd.conf nicht vorgesehen ist habe ich diese zeile eingetragen.
$vscan = "/usr/bin/clamscan";

muß ich weder master.cf noch main.cf editieren? ich hatte in erinnerung das das sein muß habe aber zumindest bis jetzt nichts funktionierendes gefunden.

[rolo]

ich habe jetzt diese zeilen eingesetzt:

master.cf
vscan unix - n n - - pipe user=vscan argv=/usr/sbin/amavis ${sender} ${recipient}
localhost:10025 inet n - n - 10 smtpd -o content_filter=

main.cf
content_filter = vscan:
inet_interfaces = all

meine mails bleiben aber weiterhin auf dem pop3 server. wie ich mich zur ersten zeile des neuen auszugs aus syslog verhalte weiß ich nicht

Sep 27 16:29:49 client10 postfix/pipe[1167]: fatal: get_service_attr: unknown us
ername: vscan
Sep 27 16:29:50 client10 postfix/qmgr[562]: warning: premature end-of-input on p
rivate/vscan socket while reading input attribute name
Sep 27 16:29:50 client10 postfix/qmgr[562]: warning: private/vscan socket: malfo
rmed response
Sep 27 16:29:50 client10 postfix/qmgr[562]: warning: transport vscan failure --
see a previous warning/fatal/panic logfile record for the problem description
Sep 27 16:29:50 client10 postfix/master[559]: warning: process /usr/lib/postfix/
pipe pid 1167 exit status 1
Sep 27 16:29:50 client10 postfix/master[559]: warning: /usr/lib/postfix/pipe: ba
d command startup -- throttling
Sep 27 16:36:05 client10 postfix/smtpd[1145]: timeout after DATA from localhost[
127.0.0.1]
Sep 27 16:36:05 client10 postfix/smtpd[1145]: disconnect from localhost[127.0.0.
1]
Sep 27 16:36:05 client10 postfix/cleanup[1147]: 98E9853EDB: message-id=<20030925
130037.BB239B3E37@mail-in-05.arcor-online.net>
Sep 27 16:37:50 client10 postfix/smtpd[1204]: connect from localhost[127.0.0.1]
Sep 27 16:37:50 client10 postfix/smtpd[1204]: 5176053EDB: client=localhost[127.0
.0.1]

[rolo]

also, damit das ganze erstmal soweit funktioniert ist folgendes nötig:

in der master.cf folgende zeilen eintragen:
amavis unix - n n - 10 pipe
user=amavis argv=/usr/sbin/amavis ${sender} ${recipient}
localhost:10025 inet n - n - - smtpd
-o content_filter=

in der main.cf
content_filter = amavis:

die mail werden jetzt wieder abgeholt und zugestellt.
würde ich weiterhin antivir benutzen wäre jetzt alles klar. ich will aber clamav benutzen zumal das freie software ist. leider weiß ich immer noch nicht den pfad zu clamav den ich in /etc/amavisd.conf eintragen muß. wer kann mir damit helfen.

[blackm]

Hi,

also in der amavisd.conf die ich hier zur Hand hab steht folgendes:

# amavisd (snapshot-20020222) was configured for use with:
# ALL
# NOTE: don't forget to re-run ./configure if you want to use
# another virus scanner!

Wenn du also einen eigenen Vierenscanner hinzufuegen willst, dann musst du ./configure nochmal durchlaufen lassen.
auf der Homepage von amavis hab ich nix gefunden zum einbinden eines eigenen Vierenscanners. Such vielleicht mal in den Mailinglisten oder lad die den Quellcode runter und schau ob dort noch mehr Doku drin ist.
Auf der Homepage sind ein paar Hinweise auf die Readme's in den Packeten.

by, Martin

EDIT: bei mir lass ich das mit dem Vieren Spamassassin uebernehmen. Wenn ich den mail bekommen an der ein *.exe *.vbs oder so dran ist, dann bekommt die ganz viele Spam Punkte und das reicht meistens dafuer das sie als Spam identifiziert wird (wenn es noch fuer ein paar andere Sachen Punkte gibt). Da ich bei mir keine Win32 Maschinen hab die Anhaenge mit exen bekommen kann ich das machen

[rolo]

hi

ich habe gestern noch, statt amavis-postfix, amavisd-new installiert. die konfiguration ist hier für alle auch clamav. problem ist das das die konfiguration in master.cf und main.cf von postfix jetzt nicht mehr hinkommt

die master.cf habe ich am pfad geändert :
user=amavis argv=/usr/sbin/amavisd-new ${sender} ${recipient}

funktioniert nicht, wäre nett wenn du mir sagen könntest was ich da tun muß

win32 maschinen hab ich hier auch keine, nerven tut eher der spam. nachdem jetzt aber auch immer mehr behörden (z.B polizei) von linux produkten gebrauch machen, geht das eventuell auch in unserer welt bald anders ab.

thanx

[blackm]

Wir haben auf dem Rechner nur amavis-postfix installiert. Hab aber eine Doku zu amavis-new gefunden: http://www.spenneberg.com/postfix-amavisd-new.pdf Ist eigentlich fuer RedHat, aber das macht ja keinen Unterschied.

by, Martin