Postfix mit ClamAV und Spamassassin aufsetzen

[Yvo]

Hi

Ich ziehe gerade von einem alten auf einen neuen VServer um und bin dabei, den Mailserver einzurichten. 1:1 kann ich nicht alles übernehmen, da die Debian-Version nun mit Jessie eine neuere ist und die Struktur der Config-files inzwischen etwas anders aussieht. Auf dem alten Server hatte ich in /etc/postfix/main.cf diesen Eintrag:

Code: Alles auswählen

smtpd_milters=unix:/var/run/clamav/clamav-milter.ctl,unix:/var/spool/postfix/spamass/spamass.sock

Auf dem neuen Server klappt das so nicht, habe auch beide Einträge einzeln getestet, die Ergebnisse im Log sehen so aus:

Code: Alles auswählen

postfix/smtpd[2235]: warning: connect to Milter service unix:/var/run/clamav/clamav-milter.ctl: No such file or directory

/var/run/clamav/clamav-milter.ctl ist aber da! Warum wird es nicht gefunden?

Code: Alles auswählen

postfix/smtpd[2416]: warning: connect to Milter service unix:/var/spool/postfix/spamass/spamass.sock: No such file or directory

/var/spool/postfix/spamass/ ist auch tatsächlich leer... aber warum? habe ich etwas vergessen?

Ohne ClamAV und Spamassassin läuft der Server schon.

Wenn ich nach Tutorials für Jessie google, finde ich immer nur ein Setup mit Amavis... braucht man das zwingend? Funktioniert das nicht mehr ohne?

Wäre für jegliche Hinweise, auch Links zu empfehlenswerten Tutorials sehr dankbar!

Liebe Grüße
Yvonne

[weshalb]

Hallo, gehe mal für Spamassassin die hier durch
http://forums.sentora.org/showthread.php?tid=22

[Yvo]

Danke! Das war super, läuft auf Anhieb!

Kennt noch jemand ein ebenso gutes Tutorial für clamav?

[Yvo]

Ich habe Clamav gerade auf diese Art versucht, auch wenn das Tutorial relativ alt ist:

https://www.debian-administration.org/a ... in_4_steps_

Leider kommen damit keine Mails mehr an
Fehler im log:

clamsmtpd: 100007: couldn't open cache file: Permission denied

Gute Ideen?

Frohe Ostern!
Yvonne

[weshalb]

Das hier ist meine und die geht bis heute. Mails werden allerdings auch beim Ausgang gescheckt und du kannst natürlich die Clamsmtp-Konfig nach deinen Wünschen noch etwas anpassen.

http://www.ghacks.net/2009/10/25/add-an ... th-clamav/

Probleme hatte ich bei Jessie mit der Notification (VirusAction: /usr/local/bin/clamsmtpvirus.sh) Ich musste zudem an var/spool/clamsmtp/ die Rechte von clamsmtp übertragen und EDIT: der /usr/local/bin/clamsmtpvirus.sh Leserechte geben.

[Yvo]

Ich glaube, ich hänge nun genau an diesen Berechtigungen (mein setup entspricht genau dem des Tutorials, falls ich keinen Fehler gemacht habe):

Im Syslog steht:

clamd[342]: WARNING: lstat() failed on: /var/spool/clamsmtp/clamsmtpd.5011TT
clamav error: /var/spool/clamsmtp/clamsmtpd.5011TT: lstat() failed: Permission denied. ERROR

Aber:

ls -al /var/spool/
insgesamt 32
drwxr-xr-x 8 root root 4096 Mär 26 19:36 .
drwxr-xr-x 12 root root 4096 Mär 24 13:11 ..
drwxr-x--- 2 clamsmtp clamsmtp 4096 Mär 28 01:23 clamsmtp
...

Und der User clamsmtp ist bereits Mitglied der Gruppe clamav und der User clamav ist Mitglied der Gruppe clamsmtp

Was kann denn jetzt noch fehlen?

[weshalb]

Ich würde mal zur Probe die Rechte hochziehen, auch für die Ordner in /var/spool/clamsmtp/. Ich erinnere mich auch nur noch dunkel dran.

[Yvo]

Was für Rechte haben die denn aktuell bei dir?

[weshalb]

Ich gehe am Besten nochmal meine Konfig durch, denn ich glaube, da hatte ich auch noch etwas stellen müssen.

# ------------------------------------------------------------------------------
# SAMPLE CLAMSMTPD CONFIG FILE
# ------------------------------------------------------------------------------
#
# - Comments are a line that starts with a #
# - All the options are found below with their defaults commented out


# The address to send scanned mail to.
# This option is required unless TransparentProxy is enabled
OutAddress: 10026

# The maximum number of connection allowed at once.
# Be sure that clamd can also handle this many connections
#MaxConnections: 64

# Amount of time (in seconds) to wait on network IO
#TimeOut: 180

# Address to listen on (defaults to all local addresses on port 10025)
Listen: 127.0.0.1:10025

# The address clamd is listening on
ClamAddress: /var/run/clamav/clamd.ctl

# A header to add to all scanned email
Header: X-AV-Checked: ClamAV using ClamSMTP

# Directory for temporary files
TempDirectory: /var/spool/clamsmtp

# PidFile: location of PID file
PidFile: /var/run/clamsmtp/clamsmtpd.pid

# Whether or not to bounce email (default is to silently drop)
#Bounce: off

Action:drop

# Whether or not to keep virus files
Quarantine: on

# Enable transparent proxy support
#TransparentProxy: off

# User to run as
User: clamsmtp

# Virus actions: There's an option to run a script every time a
# virus is found. Read the man page for clamsmtpd.conf for details.

VirusAction: /usr/local/bin/clamsmtpvirusging.sh

insgesamt 32
drwxr-xr-x 8 root root 4096 Mär 28 12:56 .
drwxr-xr-x 12 root root 4096 Nov 3 23:58 ..
drwxr-x--- 3 clamsmtp clamsmtp 4096 Mär 28 12:49 clamsmtp

[Yvo]

Meine config sieht in den wesentlichen Punkten genau so aus wie deine und meine Rechte nun so:

insgesamt 32
drwxr-xr-x 8 root root 4096 Mär 26 19:36 .
drwxr-xr-x 12 root root 4096 Mär 24 13:11 ..
drwxr-x--- 2 clamsmtp clamsmtp 4096 Mär 28 14:05 clamsmtp

Was sagt denn die Zahl aus, die bei mir eine 2 ist und bei dir eine 3 ?

[Yvo]

Und ist es eigentlich richtig, dass /var/spool/clamsmtp komplett leer ist? wird das ausschließlich beim Scannen temporär befüllt?

[weshalb]

Erhöhe ich in dem Ordner die Ordneranzahl, erhöht sich zumindest auch die erste Zahl.
Im Ordner befinden sich Virendateien sowie eine Maildir ala Dovecot. Lösche doch mal den Ordner und lege ihn wieder an.

mkdir /var/spool/clamsmtp
chown clamsmtp:clamsmtp /var/spool/clamsmtp und gebe ihm mal volle Rechte plus Gruppe, Eigentümer und Rechte rekursiv setzen. Habe das mit WinSCP gemacht. Dann nochmal durchstarten.

[weshalb]

Aber stimmt schon, ursprünglich ist der Ordner leer, die Dateien dort drin sind noch irgendeine Altlast.

EDIT: Versuche mal, den User zu ändern:

# User to run as
User: clamsmtp

in

# User to run as
User: clamav

chown -R clamav. /var/spool/clamsmtp
chown -R clamav. /var/run/clamsmtp

systemctl restart clamav-daemon
systemctl restart clamsmtp

[Yvo]

Läuft!!!

Hab genau gemacht, was du in deinem letzten Posting geschrieben hast und schon geht's

Vielen Dank für deine Hilfe!

Liebe Grüße
Yvonne

[weshalb]

Ich habe trotzdem zusätzlich noch eine Filterregel für jeden User erstellt, der erstmal alle Mails mit docx, xlsx usw. in einen gesonderten Ordner zur Prüfung umleitet.

Der Grund ist, dass diese Lösungen bei Ransomware wohl ziemlich alt aussehen.

[Yvo]

Das stimmt schon und bei einem größeren Nutzerkreis würde ich sowas wahrscheinlich auch tun. Ist aber der "Familien-Server" und ich habe inzwischen glaube ich jedem Familienmitglied eingetrichtert, dass man von Anhängen die Finger lassen sollte, wenn man den Absender nicht kennt und nichts erwartet. Solche Mails in einen Unterordner zu schieben nützt ja letztlich auch nur bedingt etwas, es rüttelt vielleicht wach, aber wenn der User meint, diese Mail lesen und den Anhang öffnen zu müssen, rettet es ihn auch nicht mehr...