[Postfix] Virussen komen door scan heen

Pagina: 1
Acties:

  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 18-02 16:15
Hi all,

ik heb hier Postfix met amavisd-new en Spamassassin en Sophie draaien om de e-mail te checken op spam en virussen en dit werkt heel goed alleen heb ik een heel vreemd probleem.
Ik ontvang e-mail voor meerdere domeinen en scan deze mail op spam en virussen alleen komen er ook virussen door de scanner heen. De anti-virus software is helemaal up-to-date maar hij pakt ze gewoon niet. Het vreemde is is kan niets vinden over deze mailtjes in het log van Postfix.
Ik heb 2 servers, 1 met postfix en een andere met een pop3 server. Als ik op de pop3 server kijk zie ik dit:

code:
1
2
3
4
5
20040310 08:05:59 4042EBCE00001046 DELIVER From=<20info@inewmedia.com> Size=24869
20040310 08:05:59 4042EBCE00001046 DELIVER Recipient=<t.vanden.berg@dialocid.com>
20040310 08:05:59 4042EBCE00001046 DELIVER Message-ID=<4042EBCE00001046@mail.dialocid.com>
20040310 08:05:59 4042EBCE00001046 DELIVER Subject=Re: Thanks!
20040310 08:05:59 4042EBCE00001046 DELIVER Relay=192.168.1.2


Maar als ik in het log van postfix kijk dan zie ik dit nergens terug komen terwijl het toch via postfix loopt.
Heeft iemand van jullie enig idee waar ik dit probleem in kan zoeken?

[ Voor 3% gewijzigd door urk_forever op 10-03-2004 12:03 ]

Hail to the king baby!


Verwijderd

Pakt de scanner de losse virussen wel of niet?

Zo niet dan ligt het aan de virusscanner, zo wel dan ligt het hoogstwaarschijnlijk aan de amavis instellingen en kan je daar het deublevel omhoog gooien om vervolgens de logs te gaan bekijken. Ga vervolgens test virus signatuters (eicar) naar je mailserver versturen en kijk wat er gebeurt.

(edit: En nee, dit loopt echt niet via postfix, maar via amavis ;) )

[ Voor 10% gewijzigd door Verwijderd op 10-03-2004 17:02 ]


  • Bas!
  • Registratie: April 2000
  • Laatst online: 30-11-2025
Misschien een rare vraag maar wie is de smtp server voor de clients? Wat ik wil zeggen, wordt locale mail ook gescand?

@Meneer Klomp
hmm dat wist ik niet. Ik zie alles wat er via mijn contentfilter in postfix-smtp gaat wel in postfix gelogd voor het doorgestuurd wordt naar dat filter of ik moet me heel sterk vergissen

[ Voor 49% gewijzigd door Bas! op 10-03-2004 17:12 ]


Verwijderd

Ja maar het stuk tussen het afdragen van postfix aan amavis en de teruggave van amavis aan postfix is toch echt een groot zwart gat vanuit postfix gezien ;)

Denk dus niet dat postfix logt wat amavis ermee doet. Dat logregels van amavis/sa in 99% van de gevallen in dezelfde logfiles terecht komen als de logregels van postfix, heeft gewoon met de loginstellingen in postfix, amavis en syslog te maken.

[edit]
En sinds wanneer is het meneer Klomp? :D ;)

[ Voor 7% gewijzigd door Verwijderd op 10-03-2004 17:37 ]


  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 23:30
Kan het zijn dat het die nieuwste virussen zijn met encrypted ZIPfiles die amavis niet kan uitpakken en dan maar doorlaat? in dat geval zou ie het nml gewoon aan sophie op moeten voeren, die ziet dat ding gewoon als bagle.zip.

BTW: Geef je elke update sophie wel een kill en restart (kill -HUP mag ook, maar weet niet of ie nog steeds geheugen lekt, ik sla dat ding gewoon dood met -9 en dan start daemontools em hier wel weer op). Verder is het van belang dat je de engine en IDE files van Sophos bijhoudt. Engine zou je maandelijks kunnen downloaden, IDE files liefst per uur.

  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 18-02 16:15
De beide virusscanners, ik heb Clamav ook geinstalleerd nu, detecteren de virussen wel als ik ze via een extern account naar mezelf toe stuurt. Dus het werkt wel goed. Alleen komen er nog mailtjes door. Vanmorgen bijvoorbeeld kreeg mijn collega nog weer een Re: My Details binnen, als ik hem dan doorstuur naar mijzelf wordt het netjes gedetecteerd als virus! Alleen de headers van dit bericht zijn heel raar, ze zien er dan zo uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
Return-Path: <info@tagmark.se>
Received: from dialoc-idtechnology.nl (192.168.1.2) by mail.dialocid.com (Worldmail 1.3.167) for t.vanden.berg@dialocid.com; 11 Mar 2004 08:59:17 +0100
Message-ID: <4042EBCE00001252@mail.dialocid.com> (added by mail.dialocid.com)
From: info@tagmark.se.
To: tvdberg@dialoc-idtechnology.nl
Subject: Re: My details
Date: Thu, 11 Mar 2004 08:58:51 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_0009_0000403A.00007FA1"
X-Priority: 3
X-MSMail-Priority: Normal


terwijl ze er normaal zo uitzien:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Return-Path: <virusalert@dialocid.com>
Received: from mail-gateway.dialocid.com (192.168.1.2) by mail.dialocid.com (Worldmail 1.3.167) for t.vanden.berg@dialocid.com; 11 Mar 2004 09:06:00 +0100
Received: from localhost (localhost [127.0.0.1])
    by mail-gateway.dialocid.com (Postfix) with ESMTP id 934A076A0B
    for <tvdberg@dialoc-idtechnology.nl>; Thu, 11 Mar 2004 09:05:22 +0100 (CET)
Content-Type: text/plain; charset="iso-8859-1"
Content-Disposition: inline
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Date: Thu, 11 Mar 2004 09:05:22 +0100 (CET)
From: VirusAlert <virusalert@dialocid.com>
Subject: VIRUS (Worm.SomeFool.Gen-2) IN MAIL TO YOU (from <517061217@vfcserv3.veldhoen.nl>)
To: undisclosed-recipients: ;
Message-Id: <VR07844-04@mail-gateway>


Vooral het Received from ziet er heel anders uit!

Ik laat amavis nu even in een aparte file loggen maar daar komt niets over het virus mailtje in voor en ook niets in de postfix log. Het is net of het niet van deze server afkomt! Maar ergens anders vandaan??

[ Voor 8% gewijzigd door urk_forever op 11-03-2004 09:54 ]

Hail to the king baby!


  • Bas!
  • Registratie: April 2000
  • Laatst online: 30-11-2025
Hmm lijkt wel of er meerdere smtpd draaien en de ene keer postfix hem direct vangt en de andere keer dat ie hem goed via localhost ontvangt.
Gebruikt amavis een of andere eigen smtpd of iets dergelijks en hoe heb je postfix geconfigureerd voor amavis, gewoon met contect filters in je smtpd van postfix?
Ik zie ook in de eerste mail nergens dat postfix hem ontvangt, check eens hoeveel mta's je draait?

[ Voor 15% gewijzigd door Bas! op 11-03-2004 11:45 ]


  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 18-02 16:15
Voor amavisd heb ik het volgende in de master.cf staan:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#
# The amavis interface
# 
smtp-amavis     unix    -   -   n   -   5   smtp 
            -o smtp_data_done_timeout=1200
            -o disable_dns_lookups=yes 
127.0.0.1:10025 inet    n   -   n   -   -   smtpd 
            -o content_filter=
            -o local_recipient_maps=
            -o relay_recipient_maps=
            -o smtpd_restriction_classes=
            -o smtpd_client_restrictions=
            -o smtpd_helo_restrictions=
            -o smtpd_sender_restrictions=
            -o smtpd_recipient_restrictions=permit_mynetworks,reject
            -o mynetworks=127.0.0.0/8


Ik heb even het log van de pop3 server bekeken en als ik het zo zie dan komen de virussen alleen tussen 7.50 en 8.05 's ochtends er doorheen, de rest van de dag wordt alles gepakt??
Voor zover ik kan zien draait alleen Postfix en geen andere MTA's

Hail to the king baby!


  • Bas!
  • Registratie: April 2000
  • Laatst online: 30-11-2025
Ik heb het gevoel dat amavis het een en ander overneemt in die tijd, postfix zet er naar ik meen altijd bij dat hij de mail ontvangen heeft. En is dit niet zo kijk dan eens wanneer virusscanners geupdate worden en dat soort dingen meer.

  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 18-02 16:15
Dat heb ik al uitgezet, dus de scanner draaien wel dan. Ik zou verder niet weten waar ik het in kan zoeken.

Hail to the king baby!


  • Elijan9
  • Registratie: Februari 2004
  • Laatst online: 10-02 13:34
Ik ben geen expert, maar het lijkt er toch op dat al die virusmailtjes vanaf dialoc-idtechnology.nl (192.168.1.2) komen - en dat die niet via postfix/amavis hun weg vinden... Zo te zien leggen deze mailtjes (of alle intranet mailtjes?) een andere route af dan mailtjes naar mail.dialocid.com (of algemeen de mailtjes van buitenaf), kan dat kloppen?

Ik zou in elk geval ook eens kritisch gaan kijken naar die dialoc-idtechnology.nl (192.168.1.2). Het gaat om een virus hier die verstuurd wordt, wellicht is die machine zelf (eerst) geînfecteerd?

War is when the young and stupid are tricked by the old and bitter into killing each other. - Niko Bellic

Pagina: 1