Toon posts:

[Mailserver] Ongewenste aggresieve virusbescherming

Pagina: 1
Acties:

vrijdag 11 februari 2005 15:22

Acties:
  • MadEgg
  • Registratie: Februari 2002
  • Laatst online: 15:06

MadEgg

Tux is lievvv

Topicstarter
Ik heb een mailservertje met daarop fetchmail, dovecot imapd, postfix, die mijn e-mail ophalen van de POP3-server van mijn e-mail provider en die vervolgens via een IMAP server en PHP/Squirrelmail beschikbaar maken voor mij.

Ik heb hier dus überhaubt nooit een virusscanner op geinstalleerd. Laatst heb ik echter wel even een 'emerge --update world' gedaan om wat nieuwe pakketjes te installeren. Daarna heb ik de configuratie van bovenstaande gelijk gelaten.

Sindsdien krijg ik om de haverklap mailtjes van 'virusscanner@scannedmail.nvt' die mij verteld dat ik allemaal met virii geinfecteerde mailtjes ontvang. Ook dingen waarvan ik zeker weet dat ze dus niet met een virus geinfecteerd zijn.

Ik wou überhaubt geen virusscanner op mijn mail, daar heb ik wel losse virusscanners voor.

Komt iemand dit bekend voor? Hoe krijg ik die irritante virusscanner uitgeschakeld?

In mijn logfile /var/log/mail/current vind ik entries als:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

                - Last output repeated 9 times -
Feb 11 14:31:43 [postfix/smtpd] connect from localhost[127.0.0.1]
Feb 11 14:31:43 [postfix/smtpd] AE0A02E294: client=localhost[127.0.0.1]
Feb 11 14:31:43 [postfix/cleanup] AE0A02E294: message-id=<20050211133736.22819.qmail@xxxxxx.xxxxxxxxx.xxx>
Feb 11 14:31:43 [postfix/qmgr] AE0A02E294: from=<virusscanner@scannedmail.nvt>, size=2217, nrcpt=1 (queue active)
Feb 11 14:31:43 [postfix/local] AE0A02E294: to=<xxxxx@localhost.server.werkgroep>, orig_to=<xxxx@localhost>, relay=local, delay=0, status=sent (delivered to command: /usr/bin/procmail)
Feb 11 14:31:43 [postfix/qmgr] AE0A02E294: removed
Feb 11 14:31:47 [postfix/smtpd] disconnect from localhost[127.0.0.1]
Feb 11 14:47:25 [postfix/smtpd] connect from localhost[127.0.0.1]
Feb 11 14:47:25 [postfix/smtpd] 9DD102E294: client=localhost[127.0.0.1]
Feb 11 14:47:25 [postfix/cleanup] 9DD102E294: message-id=<20050211134837.4288.qmail@xxxxxx.xxxxxxxxxx.xxx>
Feb 11 14:47:25 [postfix/qmgr] 9DD102E294: from=<virusscanner@scannedmail.nvt>, size=3089, nrcpt=1 (queue active)
Feb 11 14:47:25 [postfix/local] 9DD102E294: to=<xxxxxx@localhost.server.werkgroep>, orig_to=<xxxxx@localhost>, relay=local, delay=0, status=sent (delivered to command: /usr/bin/procmail)
Feb 11 14:47:25 [postfix/qmgr] 9DD102E294: removed
Feb 11 14:47:29 [postfix/smtpd] disconnect from localhost[127.0.0.1]
Feb 11 15:03:38 [imap-login] Login: xxxx [145.99.221.203]
Feb 11 15:13:18 [postfix/smtpd] connect from localhost[127.0.0.1]
Feb 11 15:13:18 [postfix/smtpd] 631512EAC2: client=localhost[127.0.0.1]
Feb 11 15:13:18 [postfix/cleanup] 631512EAC2: message-id=<420CBD86.4010208@redhat.com>
Feb 11 15:13:18 [postfix/qmgr] 631512EAC2: from=<xdg-bounces@lists.freedesktop.org>, size=4067, nrcpt=1 (queue active)
Feb 11 15:13:18 [postfix/local] 631512EAC2: to=<xxxx@localhost.server.werkgroep>, orig_to=<xxxx@localhost>, relay=local, delay=0, status=sent (delivered to command: /usr/bin/procmail)
Feb 11 15:13:18 [postfix/qmgr] 631512EAC2: removed
Feb 11 15:13:22 [postfix/smtpd] disconnect from localhost[127.0.0.1]


En, hoe kan ik de onterecht virusbevattende mailtjes terugkrijgen, aangezien die nog best belangrijke informatie bevatten.

[ Voor 8% gewijzigd door MadEgg op 11-02-2005 15:24 ]

Tja

zaterdag 12 februari 2005 18:11

Acties:
  • MadEgg
  • Registratie: Februari 2002
  • Laatst online: 15:06

MadEgg

Tux is lievvv

Topicstarter
*schop*

Tja

zondag 13 februari 2005 16:57

Acties:
  • MadEgg
  • Registratie: Februari 2002
  • Laatst online: 15:06

MadEgg

Tux is lievvv

Topicstarter
*duw en schop*

Tja

zondag 13 februari 2005 17:45

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13-02 15:00

lordgandalf

is niet toevallig clamav geinstalleerd ??? met een of andere virusscan ding ???
maar het lijkt me sterk dat het er zo 123 op is gekomen.
verder check of het ook berichten zijn die van je server afkomen (even de headers checken)

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

maandag 14 februari 2005 17:12

Acties:
  • MadEgg
  • Registratie: Februari 2002
  • Laatst online: 15:06

MadEgg

Tux is lievvv

Topicstarter
lordgandalf schreef op zondag 13 februari 2005 @ 17:45:
is niet toevallig clamav geinstalleerd ??? met een of andere virusscan ding ???
maar het lijkt me sterk dat het er zo 123 op is gekomen.
verder check of het ook berichten zijn die van je server afkomen (even de headers checken)
Ja dat lijkt mij dus ook. Maar ik heb heel portage al afgezocht naar mogelijke AV-software die geinstalleerd kan zijn en die zei dat er niets in die trant geinstalleerd is, of ik kon de goede naam niet verzinnen oid.

Verder, ik heb al even naar de headers zitten kijken, maar ik weet niet precies waar ik kan zien wie dat mailtje heeft verstuurd.
In de headers zitten iig al 3 maal een Received kopje, de bovenste luidt:

code:
1

Received: from localhost (localhost [127.0.0.1])    by server.werkgroep (Postfix) with ESMTP id 9DD102E294  for <eggie@localhost>; Fri, 11 Feb 2005 14:47:25 +0100 (CET)


Er is ook nog een X-Mailer die iets over virii zegt:
code:
1

X-Mailer: OdeiaVir 0.4.4


Maar ik heb geen odeiavir geinstalleerd :?

Tja

maandag 14 februari 2005 22:10

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13-02 15:00

lordgandalf

en als je eens kijkt in je portage want alls ik OdeiaVir in google smijt krijg ik heel veer site / portage locaties waar dat pakketje te halen is

Homepage:
http://odeiavir.sourceforge.net/

Maar het ding wat me opvalt is dat op site staat dat die alleen werkt met qmail en in je log zie ik staan dat je postfix draait.

kun je hier een keer de volledige header dumpen (wel de emails maskeren ofcourse)
want ik denk dat het mails zijn die door een slecht geconfigde server het internet op worden gesmeten richtin jouw server.
of heb je die mails 100% zeker naar je zelf verstuurd ???

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

dinsdag 15 februari 2005 12:57

Acties:
  • MadEgg
  • Registratie: Februari 2002
  • Laatst online: 15:06

MadEgg

Tux is lievvv

Topicstarter
Ik heb er net weer een gekregen, ik denk overigens dat dit wél een virus betreft oid maar evengoed wil ik niet dat mijn mail automatisch wordt voorgeselecteerd op het bevatten van virussen door wie/wat dan ook, daarvoor draait er al een virusscanner op mijn desktop-computer.

Het complete mailtje:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

Onderwerp: E-Mail ontvangen die mogelijk besmet is.
Van: virusscanner@scannedmail.nvt
Datum: 14-2-2005 19:29
Aan: xxxx@xxxxxxxx.xxx
Return-Path: virusscanner@scannedmail.nvt
X-Original-To: eggie@localhost
Delivered-To: eggie@localhost.server.werkgroep
Received: from localhost (localhost [127.0.0.1]) by server.werkgroep (Postfix) with ESMTP id 021392E2AA for <eggie@localhost>; Mon, 14 Feb 2005 19:23:13 +0100 (CET)
Delivered-To: xxxx@xxxxx.xxx
Received: from xxxxxx.xxx [xxx.xxx.xxx.xxx] by localhost with POP3 (fetchmail-6.2.5) for eggie@localhost (single-drop); Mon, 14 Feb 2005 19:23:14 +0100 (CET)
Received: (qmail 23527 invoked by uid 110); 14 Feb 2005 18:29:14 -0000
Message-ID: <20050214182914.23526.qmail@xxxx.xxxxxxxx.xxx>
Mime-Version: 1.0
Content-Type: text/plan; charset=iso-8859-1
User-Agent: OdeiaVir 0.4.4
X-Spam-Checker-VErsion: SpamAssasin 2.61 (1.212.2.1-2003-12-09-exp) on xxxx.xxxxxxx.xxx
X-Spam-Status: No,k hits=0.3 required 7.0 tests=NO_REAL_NAME autolearn=no version 2.61
Content-Transfer-Encoding: 8bit

U heeft een e-mail ontvangen die geinfecteerd is met een virus. Er zijn maatregelen genomen door de virusscanner en desbetreffende mail is schoongemaakt.

You received an e-mail which has been infected with a virus. The e-mail has been cleaned by our virusscanner.


Met vriendelijke groet/With kind regards,
Uw hostingproviderReceived: (qmail 23457 invoked from network); 14 Feb 2005 18:29:10 -0000
Received: from xxxxxx.xxxxxxx.xxx (HELO xxxxxxx.xxx) (xxx.xxx.xxx.xxx)
  by xxxxx.xxxxx.xxx with SMTP; 14 Feb 2005 18:29:10 -0000
From: dynamis@dynamis.nl
To: xxxx@xxxxxxx.xxx
Subject: fake
Date: Mon, 14 Feb 2005 19:24:48 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="38373328"
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on 
    xxxxx.xxxxxxx.xxx
X-Spam-Level: 
X-Spam-Status: No, hits=0.4 required=7.0 tests=MICROSOFT_EXECUTABLE,
    NO_REAL_NAME autolearn=no version=2.61

Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit

Content-Type: application/octet-stream; name="posting.rtf.com"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="posting.rtf.com"


Hierin is bij 'aan' mijn e-mail adres gemaskeerd, net als bij Delivered-To. De server-namen/ip's zijn van mijn ISP, net als het adres bij Message-ID.

Tja

dinsdag 15 februari 2005 13:28

Acties:
  • RM-rf
  • Registratie: September 2000
  • Laatst online: 13-02 16:20

RM-rf

1 2 3 4 5 7 6 8 9

heeft je hosting-provider niet gewoon een virusscanner geinstalleerd?
code:
1
2
3
4
5
6
7

U heeft een e-mail ontvangen die geinfecteerd is met een virus. Er zijn maatregelen genomen door de virusscanner en desbetreffende mail is schoongemaakt.

You received an e-mail which has been infected with a virus. The e-mail has been cleaned by our virusscanner.


Met vriendelijke groet/With kind regards,
Uw hostingprovider

Intelligente mensen zoeken in tijden van crisis naar oplossingen, Idioten zoeken dan schuldigen

dinsdag 15 februari 2005 15:37

Acties:
  • MadEgg
  • Registratie: Februari 2002
  • Laatst online: 15:06

MadEgg

Tux is lievvv

Topicstarter
RM-rf schreef op dinsdag 15 februari 2005 @ 13:28:
heeft je hosting-provider niet gewoon een virusscanner geinstalleerd?
code:
1
2
3
4
5
6
7

U heeft een e-mail ontvangen die geinfecteerd is met een virus. Er zijn maatregelen genomen door de virusscanner en desbetreffende mail is schoongemaakt.

You received an e-mail which has been infected with a virus. The e-mail has been cleaned by our virusscanner.


Met vriendelijke groet/With kind regards,
Uw hostingprovider
Nope. Tenminste, ik kan een en ander instellen via PLESK, en daar kan ik zowel Spam-filter als virusscan afzonderlijk aan en uitzetten. Virusscan staat uit op mijn mailbox en spam-filter staat zo ingesteld dat het berichtje doorgestuurd wordt met als enige wijziging dat er ***SPAM*** aan de titel wordt toegevoegd.
Dus tenzij ze ongevraagd alsnog tegen Plesk ingaan denk ik niet dat het bij m'n hostingprovider zit. Zeker gezien het feit dat hun naam er niet in voorkomt.

Tja

dinsdag 15 februari 2005 15:45

Acties:
  • RM-rf
  • Registratie: September 2000
  • Laatst online: 13-02 16:20

RM-rf

1 2 3 4 5 7 6 8 9

de melding staat tussen twee received meldingen van qmail, welke volgens mij van je provider moeten zijn (controleer die IP adressen eens, daaraan kun je zien op welke server nu eigenlijk die virusmelding erbij is geplaatst) ..

Ik zou je gewoon aanraden eens navraag te doen bij je hostring-provider, of daar per ongeluk (of bewust) niet de virusscanner over alle inkomende mails is aangezet?

Intelligente mensen zoeken in tijden van crisis naar oplossingen, Idioten zoeken dan schuldigen

dinsdag 15 februari 2005 20:36

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13-02 15:00

lordgandalf

ja zover ik kan zien zouw ik ook zegen dat je hosting provider iets verkeerd doet met de virusscanner afhandeling

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

woensdag 16 februari 2005 16:33

Acties:
  • MadEgg
  • Registratie: Februari 2002
  • Laatst online: 15:06

MadEgg

Tux is lievvv

Topicstarter
Ik heb inmiddeld van mijn hosting provider gehoord dat ze per abuis een andere virusscanner hadden geactiveerd, dus het lag inderdaad niet aan mijn eigen setup.

Dank voor de tips.

Tja

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq