|
|
 | Postfix + Amavisd-new og Clamav
Fra : Jacob d'Andrade |
Dato : 10-01-05 17:06 |
|
Hej Ng
Efter at have dette setup kørende perfekt i lang tid, ville jeg lige
opdatere clamav, fra 0.80rc4 til 0.80...
Men efter denne opdatering bliver alt mit post tagget som værende virus
inficeret, og sendt til mit virus quarantine...
udklip fra amavisd-new logfil:
Jan 10 16:24:13 francesca amavisd[23645]: (23645-01) ESMTP::10024
/var/amavis/amavis-20050110T162413-23645: <user1@ribekom.dk> ->
<user1@thezub.dk> Received: SIZE=1997 from mail.thezub.dk ([127.0.0.
1]) by localhost (francesca [127.0.0.1]) (amavisd-new, port 10024) with
ESMTP id 23645-01 for <user1@thezub.dk>; Mon, 10 Jan 2005 16:24:13 +0100
(CET)
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) Checking:
<user1@ribekom.dk> -> <user1@thezub.dk>
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) WARN: all primary virus
scanners failed, considering backups
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) Virus matches pattern
(?-xism:.*), sender addr ignored
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) SEND via SMTP:
[127.0.0.1]:10025 <> -> <virus at thezub.dk>
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) Virus matches pattern
(?-xism:.*), sender addr ignored
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) Virus matches pattern
(?-xism:.*), sender addr ignored
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) NOTICE: Not sending DSN
to believed-to-be-faked sender <user1@ribekom.dk>, mail containing VIRUS
intentionally dropped
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) INFECTED (),
<?@[172.16.2.5]> -> <user1@thezub.dk>, quarantine
virus-20050110-162414-23645-01, Message-ID:
<5B71BA73E83B7940A07BB58DDF92609F480E
49@RibeExc1.Ribedom.local>, Hits: -
Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) TIMING [total 570 ms] -
SMTP EHLO: 20 (4%), SMTP pre-MAIL: 1 (0%), mkdir tempdir: 1 (0%), create
email.txt: 1 (0%), SMTP pre-DATA-flush: 9 (2%),
SMTP DATA: 33 (6%), body hash: 2 (0%), mkdir parts: 10 (2%), mime_decode: 84
(15%), get-file-type: 26 (5%), get-file-type: 17 (3%), decompose_part: 12
(2%), decompose_part: 0 (0%), parts: 0 (0%), AV
-scan-1: 19 (3%), fwd-connect: 77 (14%), fwd-mail-from: 2 (0%), fwd-rcpt-to:
6 (1%), write-header: 12 (2%), fwd-data: 2 (0%), fwd-data-end: 112 (20%),
fwd-rundown: 2 (0%), unlink-2-files: 120 (21%),
rundown: 1 (0%)
Jeg kan så godt se i overstående logfil, at det er noget med noget DSN og
den tror det er en falsk afsender, men hvordan kan det lade sig gøre, jeg
har intet ændret i amavisd.conf, kun opdateret clamd til 0.80.
Jeg har også ledt efter alt der hedder noget med (?-xism:.*), ... uden det
er lykkedes mig at finde noget i mine .conf filer...
Mailen er sendt fra mit arbejde, jeg har også forsøgt at sende en fra min
ofir konto, med samme udfald.
Håber der er nogen der kan hjælpe med dette ?
Mvh Jacob
| |
 Jacob Bunk Nielsen (10-01-2005)
| Kommentar
Fra : Jacob Bunk Nielsen |
Dato : 10-01-05 18:29 |
|
"Jacob d'Andrade" <jacob@removethezub.dk> writes:
> Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) WARN: all primary virus
> scanners failed, considering backups
Start med at finde ud af hvorfor din(e) primære virusscanner(e) ikke
virker.
> Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) Virus matches pattern
> (?-xism:.*), sender addr ignored
Så vidt jeg husker så er ovenstående den besked din (sekundære)
virusscanner kommer tilbage med. Måske består din sekundære
virusscanner i et script der matcher ovenstående udtryk, eller blot
udskriver noget lal.
> Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) NOTICE: Not sending DSN
> to believed-to-be-faked sender <user1@ribekom.dk>, mail containing VIRUS
> intentionally dropped
Det betyder bare at den ikke sender nogen notification til afsenderen
af mailen. God ting eftersom mange virusser forfalsker
afsenderadressen.
> Jeg kan så godt se i overstående logfil, at det er noget med noget DSN og
> den tror det er en falsk afsender, men hvordan kan det lade sig gøre, jeg
> har intet ændret i amavisd.conf, kun opdateret clamd til 0.80.
Nej, det tror jeg ikke er problemet.
--
Jacob - www.bunk.cc
In space, no one can hear you fart.
| |
Jacob d'Andrade (11-01-2005)
| Kommentar
Fra : Jacob d'Andrade |
Dato : 11-01-05 09:42 |
|
Hej Jacob, tak for dine svar....
"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3k6qlxkfe.fsf@paven.bunk.cc...
> "Jacob d'Andrade" <jacob@removethezub.dk> writes:
>
>> Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) WARN: all primary
>> virus
>> scanners failed, considering backups
>
> Start med at finde ud af hvorfor din(e) primære virusscanner(e) ikke
> virker.
Det gør de ikke fordi, der ikke er nogen primær virus scanner... Jeg har
ikke købt nogle produkter, har kun ClamAV, som amavisd-new betegner som
sekundær virus scanner...
>> Jan 10 16:24:14 francesca amavisd[23645]: (23645-01) Virus matches
>> pattern
>> (?-xism:.*), sender addr ignored
>
> Så vidt jeg husker så er ovenstående den besked din (sekundære)
> virusscanner kommer tilbage med. Måske består din sekundære
> virusscanner i et script der matcher ovenstående udtryk, eller blot
> udskriver noget lal.
Har du eller andre nogen ide til hvordan jeg får dette til at holde op :)
eller hvad det skyldes ?
Mvh Jacob
| |
 Mogens Kjaer (11-01-2005)
| Kommentar
Fra : Mogens Kjaer |
Dato : 11-01-05 09:47 |
|
Jacob d'Andrade wrote:
....
> Det gør de ikke fordi, der ikke er nogen primær virus scanner... Jeg har
> ikke købt nogle produkter, har kun ClamAV, som amavisd-new betegner som
> sekundær virus scanner...
Du skal køre clamAV som dæmon, så finder amavisd den som primær
virus scanner.
Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk
| |
Jacob d'Andrade (11-01-2005)
| Kommentar
Fra : Jacob d'Andrade |
Dato : 11-01-05 09:55 |
|
"Mogens Kjaer" <mk@crc.dk> skrev i en meddelelse
news:41E39287.6040707@crc.dk...
> Jacob d'Andrade wrote:
> ...
>> Det gør de ikke fordi, der ikke er nogen primær virus scanner... Jeg har
>> ikke købt nogle produkter, har kun ClamAV, som amavisd-new betegner som
>> sekundær virus scanner...
>
> Du skal køre clamAV som dæmon, så finder amavisd den som primær
> virus scanner.
Hej Mogens
Det gør jeg også, men når jeg starter amavisd, så finder den selv den binære
.... "Found secondary av scanner Clam Antivirus - clamscan at
/usr/bin/clamscan"
Jeg har også Clamd kørende....
nogle tips ?
Jacob
| |
Jacob d'Andrade (11-01-2005)
| Kommentar
Fra : Jacob d'Andrade |
Dato : 11-01-05 09:59 |
|
"Jacob d'Andrade" <jacobremove@thezub.dk> skrev i en meddelelse
news:cs047h$ndo$1@tangevej.dk...
> "Mogens Kjaer" <mk@crc.dk> skrev i en meddelelse
> news:41E39287.6040707@crc.dk...
>> Jacob d'Andrade wrote:
>> ...
>>> Det gør de ikke fordi, der ikke er nogen primær virus scanner... Jeg har
>>> ikke købt nogle produkter, har kun ClamAV, som amavisd-new betegner som
>>> sekundær virus scanner...
>>
>> Du skal køre clamAV som dæmon, så finder amavisd den som primær
>> virus scanner.
>
> Hej Mogens
>
> Det gør jeg også, men når jeg starter amavisd, så finder den selv den
> binære ... "Found secondary av scanner Clam Antivirus - clamscan at
> /usr/bin/clamscan"
>
> Jeg har også Clamd kørende....
>
> nogle tips ?
Nevermind... har fundet det...
Jacob
| |
Adam Sjøgren (11-01-2005)
| Kommentar
Fra : Adam Sjøgren |
Dato : 11-01-05 11:27 |
|
On Tue, 11 Jan 2005 09:59:28 +0100, Jacob wrote:
>> Jeg har også Clamd kørende....
>> nogle tips ?
> Nevermind... har fundet det...
.... og til andre med samme symptomer i fremtiden, da var løsningen...?
Mvh.
--
"Dansk, dette unikum af artikulatorisk økonomi." Adam Sjøgren
asjo@koldfront.dk
| |
Jacob Bunk Nielsen (11-01-2005)
| Kommentar
Fra : Jacob Bunk Nielsen |
Dato : 11-01-05 11:28 |
|
"Jacob d'Andrade" <jacobremove@thezub.dk> writes:
> Nevermind... har fundet det...
Virker det så? Hvad gik galt?
--
Jacob - www.bunk.cc
One picture is worth 128K words.
| |
Jacob d'Andrade (11-01-2005)
| Kommentar
Fra : Jacob d'Andrade |
Dato : 11-01-05 11:45 |
|
"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3oefwmf9x.fsf@paven.bunk.cc...
> "Jacob d'Andrade" <jacobremove@thezub.dk> writes:
>
>> Nevermind... har fundet det...
>
> Virker det så? Hvad gik galt?
Nej, mailen bliver stadig kørt i virus karantæne, men jeg fik amavisd til at
finde den som en primær scanner... ved at fjerne nogle # i amavisd.conf
filen et godt stykke nede, er der noget til hvordan den skal finde clamd, og
så udkommentere det til clamscan... der er lidt med rettighederne der skal
ændres, men det er beskrevet i amavisd.conf filen der hvor man aktivere
dæmonen til clamd.
Jacob
| |
Jacob d'Andrade (11-01-2005)
| Kommentar
Fra : Jacob d'Andrade |
Dato : 11-01-05 11:46 |
|
"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3oefwmf9x.fsf@paven.bunk.cc...
> "Jacob d'Andrade" <jacobremove@thezub.dk> writes:
>
>> Nevermind... har fundet det...
>
> Virker det så? Hvad gik galt?
>
Med hensyn til at de allesammen ryger i min quarantine, så tror jeg det har
noget med min glibc at gøre... der kommer indimellem nogle fejlmeddelser i
loggen om det, men det er ikke hver gang... skal lige se på det ved
lejlighed...
Jacob
| |
N/A (11-01-2005)
| Kommentar
Fra : N/A |
Dato : 11-01-05 11:45 |
|
| |
N/A (11-01-2005)
| Kommentar
Fra : N/A |
Dato : 11-01-05 11:45 |
|
| |
|
|