Topic: Hilfe bei Fetchmail und Virenscan

[spybot007]

Hallo,

ich hab ein kleines Problem mit meinem SME Server 7.5.
Ich rufe E-Mails mit Fechtmail von einem ISP ab. Der ISP hat kein Spamscanner und Virenscanner integriert.
Der SME Server ist darauf eingestellt Spam und Vieren zu Scanner, jedoch tut er dies nicht. Gibt es eine Möglichkeit das der SME Server die ankommenden E-Mails über Fechtmail überprüft?

Grüße

[SchulzStefan]

Alle Administrationsfunktionen sind sehr gut dokumentiert. Auch diese:

http://wiki.contribs.org/SME_Server:Documentation:Administration_Manual:Chapter13#E-mail_Filtering

stefan

[spybot007]

Hey,

der Link ist zwar ganz ausführlich, jedoch hilft mir das nicht weiter. Mein Problem nocheinmal beschrieben: E-Mails die mit Fetchmail abgerufen werden und so auf den Server gelangen werden NICHT durch den Virenscanner geschickt. Erst wenn Clam AV einen Virenscan macht sehe ich die ganzen Infizierten Daten, da ich das Protokoll per Mail bekomme. Kann mir jemand helfen??

[cactus]

Der SME Server ist darauf eingestellt Spam und Vieren zu Scanner, jedoch tut er dies nicht. Gibt es eine Möglichkeit das der SME Server die ankommenden E-Mails über Fechtmail überprüft?

Es sollte functionieren. Ich benutzen Fetchmail auch und im Header vom Fetchmail abgeholte Email stehen diese Eintrage:

Code: [Select]

X-Virus-Checked: Checked by ClamAV on snetram.local
X-Spam-Level: *
X-Spam-Status: No, hits=-2.0 required=5.0
tests=BAYES_00,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,HTML_MESSAGE,NORMAL_HTTP_TO_IP,RCVD_IN_DNSWL_NONE,SPF_PASS
X-Spam-Check-By: snetram.local

Bist du sicher das diese nicht in dienem Emailheaders stehen?

[spybot007]

Also ich habe einmal nachgeschaut. Hier ein Auszug von einer E-Mail:

Return-Path: <MAILER-DAEMON@xxxxde>
Delivered-To: admin@idserver01.office.xxxxx.de
Received: (qmail 10997 invoked by alias); 2 Aug 2010 05:45:45 -0000
Delivered-To: alias-localdelivery-admin@office.xxxx.de
Received: (qmail 10994 invoked by uid 453); 2 Aug 2010 05:45:45 -0000
X-Virus-Checked: Checked by ClamAV on office.identytec.de
X-Spam-Level: *
X-Spam-Status: No, hits=1.9 required=5.0
   tests=MISSING_MID,NO_RELAYS,T_FRT_CONTACT,URIBL_BLACK
X-Spam-Check-By: office.xxxx.de

Nun macht das System aber jeden Tag ein Virus Scan. Danach erhalte ich das Log per Mail und das sieht dann so aus:

/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281357987.P3682Q15.idserver01:2,a: Trojan.Zbot-12011 FOUND
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281357987.P3682Q15.idserver01:2,a: moved to '/var/spool/clamav/quarantine/1281357987.P3682Q15.idserver01:2,a'
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359168.P3682Q17.idserver01:2,a: Trojan.Zbot-12011 FOUND
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359168.P3682Q17.idserver01:2,a: moved to '/var/spool/clamav/quarantine/1281359168.P3682Q17.idserver01:2,a'
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359178.P3682Q18.idserver01:2,a: Trojan.Zbot-12011 FOUND
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359178.P3682Q18.idserver01:2,a: moved to '/var/spool/clamav/quarantine/1281359178.P3682Q18.idserver01:2,a'
und so weiter.....


Was kann das jetz bedeuten?

[cactus]

Also ich habe einmal nachgeschaut. Hier ein Auszug von einer E-Mail:

Code: [Select]

Return-Path: <MAILER-DAEMON@xxxxde>
Delivered-To: admin@idserver01.office.xxxxx.de
Received: (qmail 10997 invoked by alias); 2 Aug 2010 05:45:45 -0000
Delivered-To: alias-localdelivery-admin@office.xxxx.de
Received: (qmail 10994 invoked by uid 453); 2 Aug 2010 05:45:45 -0000
X-Virus-Checked: Checked by ClamAV on office.identytec.de
X-Spam-Level: *
X-Spam-Status: No, hits=1.9 required=5.0
tests=MISSING_MID,NO_RELAYS,T_FRT_CONTACT,URIBL_BLACK
X-Spam-Check-By: office.xxxx.de


Das bedeutet das für diesem E-mail Virusschutz funktioniert, so wie die SpamAssassin es auch bearbeitet hat.

Nun macht das System aber jeden Tag ein Virus Scan. Danach erhalte ich das Log per Mail und das sieht dann so aus:

Code: [Select]

/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281357987.P3682Q15.idserver01:2,a: Trojan.Zbot-12011 FOUND
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281357987.P3682Q15.idserver01:2,a: moved to '/var/spool/clamav/quarantine/1281357987.P3682Q15.idserver01:2,a'
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359168.P3682Q17.idserver01:2,a: Trojan.Zbot-12011 FOUND
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359168.P3682Q17.idserver01:2,a: moved to '/var/spool/clamav/quarantine/1281359168.P3682Q17.idserver01:2,a'
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359178.P3682Q18.idserver01:2,a: Trojan.Zbot-12011 FOUND
/home/e-smith/files/users/xxxxx.xxxxx/Maildir/.Junk/cur/1281359178.P3682Q18.idserver01:2,a: moved to '/var/spool/clamav/quarantine/1281359178.P3682Q18.idserver01:2,a'
Was kann das jetz bedeuten?

Das kann ich so nicht so schnell sagen, aber dieses bedeutet dass einem Trojan gefunden ist im einem specifieken Email und das diesem Mail im Quarantaine gestellt ist. Du kannst auch für diesem Mail nachschauen was die Header sind:

Code: [Select]

more /var/spool/clamav/quarantine/1281359178.P3682Q18.idserver01:2,a
Alles was du hier sehen lasst bedeutet das die Virenschutz und Spamschutz funktionieren wie es soll. Vielleicht das die Email im Quarantaine ist von vorher du die Spam- und Virenschutz activiert hattest?

[spybot007]

soo... habe jetz einmal eine Virus Mail geöffnet. Der Header sieht so aus:

Return-Path: <philosophizedpxt7@ramlort.com>
Delivered-To: xxxxx.xxxxx@idserver01.office.xxxxxxx.de
Received: (qmail 8690 invoked by alias); 9 Aug 2010 15:40:31 -0000
Delivered-To: alias-localdelivery-xxxxxx.xxxxx@office.xxxxxxx.de
Received: (qmail 8687 invoked by uid 453); 9 Aug 2010 15:40:30 -0000
X-Virus-Checked: Checked by ClamAV on office.xxxxxxx.de
X-Spam-Level: *******************
X-Spam-Status: Yes, hits=19.6 required=5.0
   tests=FH_FAKE_RCVD_LINE_B,FH_HELO_EQ_CHARTER,FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR2,KB_RATWARE_OUTLOOK_MID,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_PSBL,RCVD_IN_RP_RNBL,RCVD_IN_SORBS_WEB,RCVD_IN_XBL
X-Spam-Flag: YES
X-Spam-Check-By: office.xxxxxx.de

Sie wurde als Spam erkannt aber nicht als Virus

[cactus]

soo... habe jetz einmal eine Virus Mail geöffnet. Der Header sieht so aus:

Return-Path: <philosophizedpxt7@ramlort.com>
Delivered-To: xxxxx.xxxxx@idserver01.office.xxxxxxx.de
Received: (qmail 8690 invoked by alias); 9 Aug 2010 15:40:31 -0000
Delivered-To: alias-localdelivery-xxxxxx.xxxxx@office.xxxxxxx.de
Received: (qmail 8687 invoked by uid 453); 9 Aug 2010 15:40:30 -0000
X-Virus-Checked: Checked by ClamAV on office.xxxxxxx.de
X-Spam-Level: *******************
X-Spam-Status: Yes, hits=19.6 required=5.0
   tests=FH_FAKE_RCVD_LINE_B,FH_HELO_EQ_CHARTER,FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR2,KB_RATWARE_OUTLOOK_MID,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_PSBL,RCVD_IN_RP_RNBL,RCVD_IN_SORBS_WEB,RCVD_IN_XBL
X-Spam-Flag: YES
X-Spam-Check-By: office.xxxxxx.de

Sie wurde als Spam erkannt aber nicht als Virus

Und du bist sicher das ein Virus ist in diesem Email? Hat diesem Email ein Attachment?

[spybot007]

Ich habe nochmal nachgeschaut. Die E-Maisl die ich empfange haben einen Anhang, der wohl verseucht ist. Im Header steht ja drin das er auf Viren geprüft worden ist. Nun ist die Frage wieso lässt er die E-Mail durch wenn ein VIrus vorliegt? Muss ich vllt noch irgentwo einstellen das er die E-Mail gleich in Quarantäne schiebt?

[cactus]

Ich habe nochmal nachgeschaut. Die E-Maisl die ich empfange haben einen Anhang, der wohl verseucht ist. Im Header steht ja drin das er auf Viren geprüft worden ist. Nun ist die Frage wieso lässt er die E-Mail durch wenn ein VIrus vorliegt? Muss ich vllt noch irgentwo einstellen das er die E-Mail gleich in Quarantäne schiebt?

Ich denke das die E-mail selber geprüft is auf Virussen, aber nicht die Anhang. Ich bin nicht ganz sicher ob die Anhänge überhaupt nicht gepüft werden oder das es oben eine spezifizierte Grösse nicht geprüft werd. Weist du was die Grösse der Anhang war? War es ein spezifiekes type Anhang so wie zip oder doc oder so etwas?