:strip_icc():strip_exif()/u/46676/audi_v6.jpg?f=community)
Op mijn Debian server gebruik ik amavisd-new in combinatie met ClamAV voor anti-virusscanning op postfix. Nu liep ik per toeval tegen het volgende aan:
Ik ontving enige tijd geleden paypal-spam; een e-mail met een valse URL en het verzoek mijn "paypal account information" te updaten. Deze e-mail wordt door amavisd-new doorgelaten. In /var/log/amavis.log staat: "Passed CLEAN". Echter, als ik het bestand opzoek waarin deze e-mail is opgeslagen, en ik scan dit bestand via de commandline, dan geeft clamscan de volgende output: "HTML.Phishing.Bank-485 FOUND"
Configuratie testen:
Ik ontving enige tijd geleden paypal-spam; een e-mail met een valse URL en het verzoek mijn "paypal account information" te updaten. Deze e-mail wordt door amavisd-new doorgelaten. In /var/log/amavis.log staat: "Passed CLEAN". Echter, als ik het bestand opzoek waarin deze e-mail is opgeslagen, en ik scan dit bestand via de commandline, dan geeft clamscan de volgende output: "HTML.Phishing.Bank-485 FOUND"
Configuratie testen:
- Als ik de desbetreffende e-mail bounce naar mezelf, zie ik in /var/log/clamav/clamav.log dat de e-mail wel wordt gescand en herkend door clamd: HTML.Phishing.Bank-485(d7c981b9a164954f3fbe879752b141e5:3718) FOUND.
- Maar in /var/log/amavis.log wordt gemeld dat het bestand CLEAN is.
- De mailheader "X-Virus-Scanned" wordt door amavisd-new toegevoegd en vind ik in mijn mailclient terug in de header.
Zoals gezegd zijn dit de default settings en heb ik hierin niks gewijzigd. Ik vind online ook geen alternatieve configuraties. Iemand enig idee waarom dit misgaat? Ik zie het zelf niet...@av_scanners = (
['ClamAV-clamd',
\&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"],
qr/\bOK$/m, qr/\bFOUND$/m,
qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ],
['ClamAV-clamscan', 'clamscan',
"--stdout --no-summary -r --tempdir=$TEMPBASE {}",
[0], qr/:.*\sFOUND$/m, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ],
);