Toon posts:

[Postfix] amavis stuurt geen mail bij virus...

Pagina: 1
Acties:
  • 30 views sinds 30-01-2008

dinsdag 12 november 2002 17:44

Acties:

Verwijderd

Topicstarter
Ik ben bezig met een Debian server waar postfix op staat. Nu zou ik graag de virusmails eruit halen dus:
apt-get install amavis-postfix
installatie verloopt perfect, geen errors
dan voeg ik volgende toe in /etc/postfix/main.cf

code:
1

content_filter = vscan:[127.0.0.1]:10025


in /etc/postfix/master.cf

code:
1
2

vscan            unix  -  n  n  -  10  pipe user=vscan argv=/usr/sbin/amavis ${sender} ${recipient}
localhost:10025  inet  n  -  n  -  -   smtpd -o content_filter=


Als ik een virusmail stuur zie ik dit in syslog:

code:
1
2
3

Nov 12 03:21:43 duke postfix/nqmgr[28108]: 2E5A95B785: from=<stuartje@blabla.be>, size=1147, nrcpt=1 (queue active)
Nov 12 03:21:43 duke postfix/nqmgr[28108]: 834B05B810: from=<stuartje@blabla.be>, size=1066, nrcpt=1 (queue active)
Nov 12 03:21:44 duke postfix/nqmgr[28108]: 834B05B810: to=<stuartje@boemboem.be>, relay=none, delay=15156, status=deferred (unknown mail transport error)


De mail wordt gewoon deleted en er wordt geen bericht gestuurd naar de afzender of naar de postmaster.

Heeft iemand ooit met de combinatie Postfix / Amavis gewerkt?

dinsdag 12 november 2002 21:06

Acties:
  • arikkert
  • Registratie: Juli 2002
  • Laatst online: 17-02 12:23

arikkert

die oplossing ken ik niet in postfix. maar misschien is een workaround : gebruik procmail als local delivery agent en doe daar de filtering in.

dinsdag 12 november 2002 21:40

Acties:

Verwijderd

Topicstarter
arikkert schreef op 12 november 2002 @ 21:06:
die oplossing ken ik niet in postfix. maar misschien is een workaround : gebruik procmail als local delivery agent en doe daar de filtering in.
Hoe bedoel je?

dinsdag 12 november 2002 21:44

Acties:
  • MikeN
  • Registratie: April 2001
  • Laatst online: 20:05

MikeN

Ik heb bijna hetzelfde gedraaid (overigens naar exiscan gestapt vanwege performance) maar volgens mij had ik nooit
code:
1

content_filter = vscan:[127.0.0.1]:10025

in m'n main staan maar
code:
1

content_filter = vscan

Nu weet ik niet of dat uitmaakt. Maar goed. Wat zeggen je amavis logs?

dinsdag 12 november 2002 22:33

Acties:

Verwijderd

Topicstarter
MikeN schreef op 12 november 2002 @ 21:44:
Ik heb bijna hetzelfde gedraaid (overigens naar exiscan gestapt vanwege performance) maar volgens mij had ik nooit
code:
1

content_filter = vscan:[127.0.0.1]:10025

in m'n main staan maar
code:
1

content_filter = vscan

Nu weet ik niet of dat uitmaakt. Maar goed. Wat zeggen je amavis logs?
code:
1
2
3
4
5
6
7
8

amavis\\[.*\]: Checking:
amavis\\[.*\]: spam_scan: No
amavis\\[.*\]: spam_scan: don't waste time on SA
amavis\\[.*\]: fwd via smtp:
amavis\\[.*\]: mail checking ended: DELIVERED
amavis\\[.*\]: SMTP-in
amavis\\[.*\]: cached
amavis\\[.*\]: warning:

dinsdag 12 november 2002 23:13

Acties:
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 20:36

Kees

Serveradmin / BOFH / DoC
niet echt veel dus :)

verder; probeer de amavis logging op te schroeven (/etc/amavis* staat de config).
Het werkt hier perfect, maar ik heb daarvoor wel eerst diep in de code moeten duiken om een paar bugs eruit te vissen.

Maar goed:
code:
1

content_filter = vscan:
moet werken, LET OP die ":" moet er wel zijn :)
verder is het dan een kwestie van je logs doorbladeren en zien waar het fout gaat (bij elke exit code staat bijv ook de regel in de code waar hij eruit vliegt, daar kun je dan mooi ff kijken)

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

dinsdag 12 november 2002 23:33

Acties:

Verwijderd

Wat draai je uberhaupt als virusscanner erbij?
Aan amavis alleen heb je namelijk niks en ik weet bijvoorbeeld van Gecad RAV, dat deze tegenwoordig niet meer zomaar werkt binnen een shell, omdat deze dan altijd dezelfde exit-code teruggeeft. (Gedaan, omdat men tegenwoordig een eigen mail-scanner heeft en men deze anders nooit zou kwijtraken omdat anders toch iedereen alternatieven als amavis+de normale scanner zou gebruiken.

dinsdag 12 november 2002 23:59

Acties:

Verwijderd

Moet je niet in je main.cf localhost bij mynetworks zetten?

code:
1

mynetworks = <je.ip.adres>/28, 127.0.0.0/8

woensdag 13 november 2002 00:17

Acties:

Verwijderd

Verwijderd schreef op 12 november 2002 @ 23:59:
Moet je niet in je main.cf localhost bij mynetworks zetten?

code:
1

mynetworks = <je.ip.adres>/28, 127.0.0.0/8

Dat sowieso, omdat alle mail die binnenkomt via 127.0.0.1 gescand wordt en weer teruggegeven wordt aan postfix. :)

Maar de foutmelding is niet echt consistent met bovenstaande feit :)

woensdag 13 november 2002 01:09

Acties:
  • hbokh
  • Registratie: Februari 2002
  • Laatst online: 05-05 21:31

hbokh

Unox: the worst OS!

Niet direct een oplossing voor jou specifieke probleem, maar gisteravond had ik Postfix + Anomy Sanitizer vrij rap aan de praat. Daarna een beetje met "EICAR.COM" spelen :)
Link (HOWTO) hier:
http://advosys.ca/papers/postfix-filtering.html

This is my sick nature.

woensdag 13 november 2002 12:33

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 12 November 2002 @ 23:33:
Wat draai je uberhaupt als virusscanner erbij?
Aan amavis alleen heb je namelijk niks en ik weet bijvoorbeeld van Gecad RAV, dat deze tegenwoordig niet meer zomaar werkt binnen een shell, omdat deze dan altijd dezelfde exit-code teruggeeft. (Gedaan, omdat men tegenwoordig een eigen mail-scanner heeft en men deze anders nooit zou kwijtraken omdat anders toch iedereen alternatieven als amavis+de normale scanner zou gebruiken.
Het is de enigste virusscanner die momenteel geinstalleerd staat, zodus...
Als er iemand een betere mailscanner weet, mij ook goed :)

woensdag 13 november 2002 13:21

Acties:

Verwijderd

Ik weet niet hoor maar hier draait Amavis (+McAfee) en Postfix onder FreeBSD zonder problemen ... Er zijn al verscheidene BugBear mails onderschept en je krijgt netjes een emailtje dat ie er een heeft gevonden, van wie met de hele ratteplan erbij, verder krijgt Root/Postmaster een mailtje dat mail zus en zo besmet met blabla virus en aan de kant gezet is in /var/amavis/nogwat.

Het enige wat ik gedaan is de Howto op Amavis.org volgen ... no problemo ... misschien een nootje, tegenwoordig adviseren ze Amavisd te gebruiken ipv Amavis-perl ... het nadeel voor mij van Amavisd is dat ie blijkbaar eerder gestart moet worden ( :? ) dan Postfix, helaas in mijn geval wordt postfix dus als de sendmail equivalent in rc.conf gestart en da's dus voordat de scripts in /usr/local/etc/rc.d worden gedraaid ... anyway Amavis-perl werkt ook :)

Voor de volledigheid, ik heb dit in
code:
1
2
3
4
5
6

main.cf
content_filter = vscan:

master.cf
vscan            unix  -  n  n  -  10  pipe user=vscan argv=/usr/sbin/amavis ${sender}${recipient}
localhost:10025  inet  n  -  n  -  -   smtpd -o content_filter=


Ik hoop dat dit wat oplevert?

[ Voor 0% gewijzigd door Verwijderd op 13-11-2002 14:07 . Reden: Taalkundig verbetert ]

woensdag 13 november 2002 13:50

Acties:

Verwijderd

Verwijderd schreef op 13 november 2002 @ 12:33:
[...]


Het is de enigste virusscanner die momenteel geinstalleerd staat, zodus...
Als er iemand een betere mailscanner weet, mij ook goed :)
Ehmm... je hebt dus alleen Amavis draaien? En GEEN backend virusscanner? dan zal het niet gaan werken. Amavis is alleen een tussenlaag tussen je MTA, en je virusscanner. Je moet dus wel een gewone virusscanner installen. Amavis krijgt dan het mailtje van je MTA, doet was decoding en uitpak werk, geeft opdracht aan je losse virusscanner om de directory waar de ontlede mail staat na te kijken.
vindt je virusscanner een virus, dan geeft deze een foutcode af, die amavis vervolgens opvangt en waarmee die dus mailtjes gaat sturen.
Ik heb hier amavis met exim draaien en F-prot (op Debian Stable server), werkt als een zonnetje. Heb alleen amavis vanaf source gebouwd.

woensdag 13 november 2002 15:54

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 13 November 2002 @ 13:50:
[...]


Ehmm... je hebt dus alleen Amavis draaien? En GEEN backend virusscanner? dan zal het niet gaan werken. Amavis is alleen een tussenlaag tussen je MTA, en je virusscanner. Je moet dus wel een gewone virusscanner installen. Amavis krijgt dan het mailtje van je MTA, doet was decoding en uitpak werk, geeft opdracht aan je losse virusscanner om de directory waar de ontlede mail staat na te kijken.
vindt je virusscanner een virus, dan geeft deze een foutcode af, die amavis vervolgens opvangt en waarmee die dus mailtjes gaat sturen.
Ik heb hier amavis met exim draaien en F-prot (op Debian Stable server), werkt als een zonnetje. Heb alleen amavis vanaf source gebouwd.
code:
1
2
3
4
5

# FRISK F-Prot
$fprot = "";

# FRISK F-Prot Daemon
$fprotd = "";


Wat heb je daar dan ingevuld?

woensdag 13 november 2002 16:08

Acties:

Verwijderd

/usr/local/bin/f-prot (en das een symlink naar /usr/local/f-prot/f-prot), precies zoals staat aangegeven in de f-prot user-manual. Als je amavis vanaf source bouwt, dan hoef je niets te veranderen, dan vindt ie automatisch je virusscanner :) (En kan je nog meer leuke dingen instellen aan amavis.)

woensdag 13 november 2002 16:13

Acties:

Verwijderd

Topicstarter
Momenteel krijg ik dit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

Nov 13 16:10:46 duke postfix/smtpd[27816]: connect from excalibur.skynet.be[195.238.3.90]
Nov 13 16:10:47 duke postfix/smtpd[27816]: 130145B815: client=excalibur.skynet.be[195.238.3.90]
Nov 13 16:10:47 duke postfix/cleanup[27818]: 130145B815: message-id=<1037200254.10266.6.camel@gentoo.stuartje>
Nov 13 16:10:47 duke postfix/nqmgr[27766]: 130145B815: from=<stuartje@stuartje.be>, size=1745, nrcpt=1 (queue active)
Nov 13 16:10:47 duke postfix/smtpd[27816]: disconnect from excalibur.skynet.be[195.238.3.90]
Nov 13 16:10:47 duke amavis[26082]: AM.CL /var/lib/amavis/amavis-XXL7zdMk: <stuartje@stuartje.be> -> <stuartje@boxke.be>
Nov 13 16:10:47 duke amavis[26082]: Checking: <stuartje@stuartje.be> -> <stuartje@boxke.be>
Nov 13 16:10:47 duke amavis[26082]: body hash: f55b6b025b6220b6cc6f1fc12aee57bd
Nov 13 16:10:47 duke amavis[26082]: Extracting mime components
Nov 13 16:10:47 duke amavis[26082]: decode_parts: part-00001, part-00002, part-00003
Nov 13 16:10:47 duke amavis[26082]: Level: 1, parts: 3
Nov 13 16:10:47 duke amavis[26082]: Archive nesting depth: 0
Nov 13 16:10:47 duke amavis[26082]: File-type of part-00001: ASCII text
Nov 13 16:10:47 duke amavis[26082]: part-00001 is atomic
Nov 13 16:10:47 duke amavis[26082]: File-type of part-00002: ASCII text
Nov 13 16:10:47 duke amavis[26082]: part-00002 is atomic
Nov 13 16:10:47 duke amavis[26082]: File-type of part-00003: ASCII text, with no line terminators
Nov 13 16:10:47 duke amavis[26082]: part-00003 is atomic
Nov 13 16:10:47 duke amavis[26082]: prolong_timer after decoding: remaining time = 180 s
Nov 13 16:10:47 duke amavis[26082]: Using /usr/bin/f-prot
Nov 13 16:10:47 duke amavis[26082]: Virus scanner failure: /usr/bin/f-prot (error code: 255)
Nov 13 16:10:47 duke amavis[26082]: prolong_timer after virus_scan: remaining time = 180 s
Nov 13 16:10:47 duke amavis[26082]: virus_scan FAILED, retry: All virus scanners failed! at /usr/sbin/amavisd line 982, <GEN3> line 73.
Nov 13 16:10:47 duke amavis[26082]: prolong_timer after virus_scan: remaining time = 180 s
Nov 13 16:10:47 duke amavis[26082]: mail processing failed, RETRY/TEMPFAIL
Nov 13 16:10:47 duke amavis[26082]: rmdir_recursively: /var/lib/amavis/amavis-XXL7zdMk, excl=
Nov 13 16:10:47 duke amavis[26082]: rmdir_recursively: /var/lib/amavis/amavis-XXL7zdMk/parts, excl=0
Nov 13 16:10:47 duke amavis[26082]: TIMING [total 328 ms] - got data: 3 (1%), mkdir parts: 23 (7%), body hash: 14 (4%), mime parse: 64 (19%), get-file-type: 164 (50%), unpacker: 28 (9%), get-file-type: 8 (2%), unpacker: 1 (0%), get-file-type: 8 (2%), unpacker: 1 (0%), parts: 0 (0%), AV-scan: 7 (2%), unlink-3-files: 2 (1%), rmdir: 0 (0%), unlink-1-files: 0 (0%), rmdir: 0 (0%), rundown: 8 (3%)
Nov 13 16:10:47 duke postfix/pipe[27819]: 130145B815: to=<stuartje@blabla.be>, relay=vscan, delay=0, status=deferred (temporary failure)

woensdag 13 november 2002 16:14

Acties:

Verwijderd

Heb ik ook gehad ja, zorg dat f-prot executable en readable voor iedereen is :)

woensdag 13 november 2002 16:20

Acties:

Verwijderd

Topicstarter
Ok, het werkt zoals het moet :)
Bedankt voor de hulp allemaal!

vrijdag 3 januari 2003 17:12

Acties:

Verwijderd

Topicstarter
Sorry dat ik deze topic naar omhoog schop, maar ik heb opnieuw een probleempje met amavis, nu in combinatie met postfix en mysql. Als ik een mail stuur met amavis ertussen dan zie ik in de logs:

code:
1

Jan  3 17:09:27 serverke postfix/pipe[32363]: AFA7F141DD: to=<thomasmail@domein.be>, relay=vscan, delay=0, status=deferred (temporary failure)


Iemand een idee wat er fout loopt?

[ Voor 3% gewijzigd door Verwijderd op 03-01-2003 17:13 ]

vrijdag 3 januari 2003 17:16

Acties:

Verwijderd

[rml]-=[ Nieuw in NOS? Eerst dit lezen! GEEN HELPDESK! ]=-[/rml]
a: dit is offtopic want dit heeft niets te maken met de topicstart
b: NOS is geen helpdesk zoals in bovenstaande topic is te lezen.
Dus zoek eerst zelf eens ipv voor ieder probleempje maar direct een topic te openen.

Op slot.
Pagina: 1

Dit topic is gesloten.