Amavis, AVscan funktioniert nicht so wie gewünscht

mail
german

#1

Hallo allerseits.
UCS 4.0.0 errata 17, Zarafa mit Sophos Anti-Virus für Linux und clamav

Ich möchte den SMTP-Verkehr auf dem UCS auf Viren prüfen. Das klappt aber nicht vernünftig, dh. bei clamav passiert überhaupt nichts und Sophos wird zwar gescannt und das Ergebnis mitgeteilt, die Mail wird aber ungefiltert weitergeleitet.

Entsprechend dem Abschnitt ‘Section VII’ der config Datei /etc/univention/templates/files/etc/amavis/conf.d/60-univention habe ich in der UCR-Variable mail/antivir/scanner einen der (scheinbar) passenden AVscanner eingetragen - für den ClamAV-Daemon ‘clamav’ bzw. den ondemand-Scanner ClamAV ‘clamscan’ und für Sophos ‘sweep’. (Zum Testen habe ich immer nur einen Scanner angegeben.) Danach habe natürlich den Amavis Dienst neugestartet.

Der Versand von Testmails mit echten Virus (nicht Eicar!) wurde bei den beiden clamav Varianten überhaupt nicht geprüft und somit die Mail unangetastet zugestellt. Bei Sophos ist die Mail auch unverändert zugestellt worden, aber der Postmaster erhält wenigstens zwei Warnmails.

[code]von: amavisd-new
subject: UNCHECKED contents in mail FROM…
No viruses were found.

Content type: Unchecked
Internal reference code for the message is 16406-01/c0b5DTGCOzQ1

First upstream SMTP client IP address: […]
According to a ‘Received:’ trace, the message apparently originated at:
[…], ucs.kick.intern unknown […]

Return-Path: meine@email.adr
From: Ich meine@email.adr
Message-ID: <zarafa.54a17947…>
Subject: Test 13 doc zip
Not quarantined.

The message WILL BE relayed to:
meine@email.adr[/code]

von: root@ucs... Subject: [SAV-LINUX] Threat detected during on-demand scan on ucs.kick.intern A threat was detected during an on-demand scan. Details follow: 2 files scanned. Number of infections detected: 1 Number of infected files detected: 1 /var/lib/amavis/amavis-20141229T164700-15667-_BdR0vcQ/parts/p002 is infected with Troj/DocDl-CW.
In der Datei /var/log/mail.err wird mir nichts angezeigt, wenn ich die beiden clamav Varianten eingerichtet habe. Bei Sophos/sweep erhalte ich dann aber folgenden Eintrag:

ucs amavis[16406]: (16406-01) (!!)AV: ALL VIRUS SCANNERS FAILED

Hat jemand eine Idee was da falsch ist?

Gruß,
Peter


#2

Hallo,

ich kann das hier mangels Sophos und “echtem” Virus nicht vollständig nachstellen, in einem UCS Standard-Setup wird der Eicar test aber korrekt erkannt, postmaster und der Empfänger werden entsprechend informiert:Jan 2 09:43:49 master postfix/smtpd[15745]: connect from localhost[127.0.0.1] Jan 2 09:43:50 master postfix/smtpd[15745]: 0B811101DA2: client=localhost[127.0.0.1], sasl_method=PLAIN, sasl_username=user2@40lish.qa Jan 2 09:43:50 master postfix/cleanup[15747]: 0B811101DA2: message-id=<20150102084349.Horde.d3G1q4cye6_Tw74hz5iriw1@10.200.6.40> Jan 2 09:43:50 master postfix/qmgr[14809]: 0B811101DA2: from=<user2@40lish.qa>, size=1314, nrcpt=1 (queue active) Jan 2 09:43:50 master postfix/smtpd[15753]: connect from localhost[127.0.0.1] Jan 2 09:43:50 master postfix/smtpd[15745]: disconnect from localhost[127.0.0.1] Jan 2 09:43:50 master postfix/smtpd[15753]: 7D60B101F45: client=localhost[127.0.0.1] Jan 2 09:43:50 master postfix/cleanup[15747]: 7D60B101F45: message-id=<VAQTVXsPX6Qn0o@master.40lish.qa> Jan 2 09:43:50 master postfix/qmgr[14809]: 7D60B101F45: from=<postmaster@40lish.qa>, size=2544, nrcpt=1 (queue active) Jan 2 09:43:50 master postfix/smtpd[15753]: 9CFC4102259: client=localhost[127.0.0.1] Jan 2 09:43:50 master postfix/cleanup[15747]: 9CFC4102259: message-id=<VRQTVXsPX6Qn0o@master.40lish.qa> Jan 2 09:43:50 master postfix/qmgr[14809]: 9CFC4102259: from=<postmaster@40lish.qa>, size=1386, nrcpt=1 (queue active) Jan 2 09:43:50 master amavis[14450]: (14450-01) INFECTED (Eicar-Test-Signature), <user2@40lish.qa> -> <user1@40lish.qa>, quarantine QTVXsPX6Qn0o, Message-ID: <20150102084349.Horde.d3G1q4cye6_Tw74hz5iriw1@10.200.6.40>, Hits: - Jan 2 09:43:50 master postfix/smtp[15748]: 0B811101DA2: to=<user1@40lish.qa>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.95, delays=0.09/0.03/0.02/0.81, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=14450-01 - INFECTED: Eicar-Test-Signature) Jan 2 09:43:50 master postfix/qmgr[14809]: 0B811101DA2: removed Jan 2 09:43:51 master postfix/local[15754]: 7D60B101F45: to=<systemmail@master.40lish.qa>, orig_to=<postmaster@master.40lish.qa>, relay=local, delay=0.55, delays=0.13/0.03/0/0.4, dsn=2.0.0, status=sent (delivered to mailbox) Jan 2 09:43:51 master postfix/qmgr[14809]: 7D60B101F45: removed Jan 2 09:43:51 master postfix/qmgr[14809]: 9CFC4102259: removed

# ucr search --brief "mail/anti" mail/antispam/autostart: yes mail/antispam/bodysizelimit: 300 mail/antispam/learndaily: yes mail/antispam/requiredhits: 5.0 mail/antispam/rules/autoupdate: yes mail/antivir/amavis/autostart: yes mail/antivir/banned/basic_ext: yes mail/antivir/banned/double_ext: yes mail/antivir/banned/file_type: no mail/antivir/banned/long_ext: no mail/antivir/banned/mime_type: no mail/antivir/banned/rfc2046: yes mail/antivir/scanner: clamav mail/antivir/spam: yes mail/antivir: yes

Mit freundlichen Grüßen
Janis Meybohm


#3

Das Problem ist gelöst.

Eicar wird als bekannter Testvirus von jedem System erkannt. Der echte Virus, ein Trojaner im Word-Dokument, wird aber von ClamAV nicht erkannt sondern nur von Sophos.

ClamAV ist in Amavis als primärer AVscanner eingetragen und Sophos sweep nur als Backuplösung. Die Backupscanner werden von Amavis nur genutzt, wenn die primären Scanner fehlschlagen. Da aber der Trojaner nicht erkannt und als gefahrlos eingestuft wurde, hat Amavis auch nicht mehr Sophos sweep eingesetzt. Trage ich sweep als primären Scanner ein, so wird zwar der Trojaner erkannt, es kommt aber zu einer Fehlermeldung und die E-Mail wird trotzdem zugestellt.

Sweep ist aber nur ein on-demand-Scanner, weshalb ich dann die Daemon basierte Lösung Sophos SAV Dynamic Interface gefunden und erfolgreich eingerichtet habe.