Topic: Clamav und Spamassassin bei der Arbeit beobachten

[Fool_gs]

Hallo,

gibt es im SME 7.0 eine Möglichkeit clamav und spamassassin Logs zu sehen?

Ich möchte gerne ein ausführliches Log haben in dem ich sehen kann ab clamav eine Mail aussortiert oder nicht. Und gibt es die Möglichkeit das der Empfänger einer Virusmail eine Benachrichtigung bekommt das eine Mail an Ihn aussortiert wurde?
Ich habe gerede das Eicar Virus Testfile an eine Mailadresse auf dem SME geschickt. Die Mail ist angekommen inkl Attachment angekommen. Allerdings war es mir nicht möglich das eicar.zip Attachment in Mailreader zu lesen. Ich finde es allerdings schon komisch das der SME die Mail an den User ausliefert. Ist mein clamav nicht rihtig konfiguriert?

Auch bei Spamassassin würde mich ein ausführliches Log interessieren, wie ist Spamassassin zu seinem ergebinss gekommen.

Danke.

Mfg

Volker

[stefan24]

Ich habe folgendes Report Tool bei mir installiert:

http://www.smesmith.de/download/sme7/contribs/spam/

Lies den ersten Teil der install_howto.txt: Spam Filter Report Installation
und kopiere die beschriebenen Dateien an die richtige Stelle.

Ich habe dann noch als Empfänger der Stat-Mail meinen Namen im Script eingetragen:

Code: [Select]

$opt{'mail'}     = "sb";

[Fool_gs]

Hallo stefan24,

danke schon mal für den Reply.

Die Scripts habe ich bei mir auch schon drin. Als Übersicht ist die Mail die generiert wird auch ganz gut.

Was ich aber eher haben will ist einen genaueren Report. Was für Viren wurde abgefangen, es würde mir auch reichen wenn der clamd nen Logfile schreibt in das ich schauen kann.

Wie kann ich denn die clamd.conf beim SMe anpassen? Oder werden Änderungen darin wieder rückgängig gemacht? dann währe es schön zu wissen an welcher Stelle der SME seine config Einstellungen festschreibt.

Desweiteren währe es schön wenn ich es so einrichten könnte, das der Empfänger der Mail in der ein Virus steckt Benachrichtigt wird. Das finde ich immer sehr hilfreich wenn es darum geht von wem die Virenmail gekommen ist.

Aber schonmal danke.

Mfg

Volker

[stefan24]

Stimmt, clamd hat in seinem Log keine Infos über abgefangene Virenmails und /var/log/clamav/ ist bei mir leer!?

Wenn Du die clamd.conf anpassen willst, schau Dir das Template-System des SME Servers genauer an.
Die Schnipsel liegen in /etc/e-smith/templates/etc/clamd.conf/, Änderungen bzw. neue Passagen kommen dann in /etc/e-smith/templates-custom/etc/clamd.conf/.

(Verzeichnis(se) erstellen, wenn noch nicht vorhanden)

Absender von Virenmails werden eh so gut wie immer gefaked, wozu willst Du die also wissen?

[Fool_gs]

Hallo Stefan,

danke. Werde mir die Templates mal anschauen.

Das mit dem Absender ist mir dabei gar nicht so wichtig. Allerdings währe es schön wenn der Empfänger eine Benachrichtigung über das Abfangen einer Mail an Ihn bekommt. Besonders wichtig finde ich das im Zusammenhang mit geblockten Dateiformaten in mails. Wenn z.B. alle Executables geblockt werden würde ich gerne wissen wer mir das  nicht zugelassenes Attachment schicken wollte um Ihn darauf hinzuweisen und die Datei nochmal in gezippeter Form anfordern.

Aber der clamav auf meinem bisherigen Mailserver konnte das auch, werde dort mal in die conf gucken.

Danke erstmal.

Bis dann

Volker

[Fool_gs]

Hallo nochmal,

ich habe nun das Template so angepasst das er seine Logfiles in /varLog/clamav/clamav.log schreibt.

Erschreckenderweise scannt er aber meine Mails NICHT. Der Start des Daemons wird in der Logdatei noch eaufgeführt. Dann scheint der clamav auch zu laufen. Eine Testmail mit eicar.com oder eicar.zip wird aber NICHT abgefangen und auch "normale" Mails (logging für clean Mails ist an) werden nicht im Logfile aufgeführt.

Hat jemand einen Rat?

Ich habe den SME "out-of-the-box" installiert.

Das einzige Zusatzmodul das ich installiert habe ist der Spamassassin von hier:

http://www.sonoracomm.com/index.php?option=com_content&task=view&id=49&Itemid=32

Läuft auch sehr zufriedenstellend.

Währe schön wenn jemand Hilfe anbietet.

Danke.

Volker

[Fool_gs]

Hallo,

falscher Alarm. Die Eicar Testviren werden doch erkannt. Die Webseite die ich zum sende des Eicar Files benutzt habe sendet wohl eine falsche/modifizierte (und somit unbrauchbare) Version des Eicar.

Auf den c't Emailcheck reagiert der clamav wie erwartet und filtert die Mails aus!

Sorry für alle die sich Sorgen gemacht haben.

Mfg

Volker

[Fool_gs]

hallo,

noch eine Frage zur Integration des clamav in den SME Server.

Was für eine Schnittstelle wird benutzt um clamav und qmail zu verbinden? Ich habe beim suchen weder eine amavis noch eine qmail-scanner installation gesehen.

Wenn da einer Sachdienliche Hinweise hat währe das schön.

mfg

Volker

[mdo]

Hi,

ich habe nun das Template so angepasst das er seine Logfiles in /varLog/clamav/clamav.log schreibt

Ich rate von Modifikationen in diesem Bereich ab. Eine Standardinstallation schreibt Logfiles fuer "clamd" (der Daemon welcher Emails scannt im Gegensatz zu "clamav", der Batchjob der nachts oder am Wochenende laeuft) nach /var/log/clamd/current. Dort findest Du genau, wann/ob ein Virus erkannt wurde. Z.B.:
2006-09-25 12:36:14.065558500 /var/spool/qpsmtpd/1159144566:11297:0: HTML.Phishing.Bank-651 FOUND

Bzgl. Schnittstelle clam/qmail: Beim SMEserver wird "qpsmtpd" als frontend zu qmail verwendet und das hat jede Menge Schnittstellen fuer zusaetzliche Checks. Einer jener Checks ist eben auch fuer clam. Schau Dir mal die logfiles fuer qpsmtpd an (lang! /var/log/qpsmtpd/current), dort gibt's dann auch jede Menge info was clam gemacht/gefunden hat, z.B.:

2006-09-24 11:37:29.836006500 4421 running plugin (data_post): virus::clamav
2006-09-24 11:37:29.836008500 4421 virus::clamav plugin: Changing permissions on file to permit scanner access
2006-09-24 11:37:29.836110500 4421 virus::clamav plugin: Running: /usr/bin/clamdscan --stdout  --disable-summary /var/spool/qpsmtpd/1159054642:4421:0 2>&1
2006-09-24 11:37:30.028504500 4421 virus::clamav plugin: clamscan results: HTML.Phishing.Bank-651
2006-09-24 11:37:30.028514500 4421 virus::clamav plugin: Virus(es) found: HTML.Phishing.Bank-651
2006-09-24 11:37:30.028517500 4421 Plugin virus::clamav, hook data_post returned DENY, Virus Found: HTML.Phishing.Bank-651
2006-09-24 11:37:30.028520500 4421 552 Virus Found: HTML.Phishing.Bank-651

Gruss,
Michael

[Fool_gs]

OK danke.

Das hat geholfen.

Werde mir die Sache mal genau anschauen.

Danke nochmals.

Bis dann

VoSp