Обсуждение статьи тематического каталога: Установка clamav+SpamAssasin для Qmail+Vpopmail для Linux (qmail mail spam virus clamav linux)Ссылка на текст статьи: http://www.opennet.me/base/net/qmail_clamav_spamassasin.txt....
Кстати, дополнение:
параметры контроля при включенном ключе --enable-per-domain=y задаются в файле /var/qmail/control/simcontrol формат описам в readme. Просто небольшое замечание, если установлен ключ --enable-spam-hits=10, то строка в simcontrol вида
:spam=yes,clam=yes
ведет к тому что, спам не будет отсеиваться, но SpamAssasin будет ставить свои заголовки и помечать письма. Для отсеивания надо
:spam=yes,clam=yes,spam_hits=10
Есть вопросы?
И ещё одни грабельки на которые пришлось наступить.
Если вы по каким либо причинам не знаете, есть у вас qmail_queue патч или нет (ну мало ли, может не вы сервер ставили). ТО проверяется просто:
root@mail:~# strings /var/qmail/bin/qmail-smtpd | grep QUEUE
QMAILQUEUE
root@mail:~#
Или открываете в MC по просмотру файл qmail-smtpd и где то на нажних 3 строках должно быть слово QMAILQUEUE.
там еще AFAIK надо simscanmk запустить, чтобы cdb перестроить...
P.S. Кстати, я так и не понял, зачем запускать simscan от vpopmail? Можно было и от родного юзера -- секьюрность выше...
Ну про simscank в readme можно нормально написано. А вот весь процесс установки опущен как само собой разумеющееся.
Не знаю, из под vpopmail проще получилось, из под своего, что-то не заладилось, я особо не разбирался.
>Ну про simscank в readme можно нормально написано. А вот весь процесс
>установки опущен как само собой разумеющееся.
>Не знаю, из под vpopmail проще получилось, из под своего, что-то не
>заладилось, я особо не разбирался.Есть пара вопросов, как к человеку, у которого все получилось :)
1. Добавляются ли нормальные заголовки Received с версией clamav в письмо?
2. Складываются ли вирусы в карантин?
3. Не пробовал указать другой каталог для карантина? У меня несмотря на явное указание другого каталога, configure все равно использует дефолтный. Написал им в mail-list -- никто не ответил...Если что-то из этого работает, был бы признателен за обмен конфигами / условиями сборки, а то у меня никак не получается заставить это работать...
>Есть пара вопросов, как к человеку, у которого все получилось :)
>1. Добавляются ли нормальные заголовки Received с версией clamav в письмо?
Да вот такого вида
Received: by simscan 1.1.0 ppid: 5291, pid: 5298, t: 5.4088s
scanners: clamav: 0.83/m:30/d:819 spam: 3.0.2
>2. Складываются ли вирусы в карантин?
Нет, они уничтожаются сразу.>3. Не пробовал указать другой каталог для карантина? У меня несмотря на
>явное указание другого каталога, configure все равно использует дефолтный. Написал им
>в mail-list -- никто не ответил...Лупит в дефолтный, надо бы в исходник залезть, но меня и это устроило.
>Если что-то из этого работает, был бы признателен за обмен конфигами /
>условиями сборки, а то у меня никак не получается заставить это
>работать...ДА вроде весь конфиг тут привел. Но если что пиши.
Разобрался -- не было файла /var/qmail/control/simversions.cdb ...
Причем, в мануале про него ни слова -- вычитал в исходниках.Встроенный help команды:
usage: simscanmk [-g]
no params: builds /var/qmail/control/simcontrol.cdb from /var/qmail/control/simcontrol
-g: builds /var/qmail/control/simversions.cdb from scannersто есть по дефолту он не создается... Осталось узнать, как он был создан у автора?
P.S. Это что же получается, надо запускать его по крону раз в минуту, чтобы в нем всегда была актуальная версия баз ClamAV? :(
Ну я же сказал: читать ридми!!! Там это есть. А вообще если нужно отображение актуальной версии то придется так делать.
Руками я его запускал естествено.
И инструкции и реадми лучше берите отсюда, тут они полнее по-моему.
http://www.qmailwiki.org/index.php?title=Simscan
>Ну я же сказал: читать ридми!!! Там это есть. А вообще если
>нужно отображение актуальной версии то придется так делать.
>Руками я его запускал естествено.Честно -- я readme знаю едва ли не наизусть, т.к. настраивал именно по нему, статью читал уже потом, для самопроверки. Не нашел там такого. Если не трудно, приведи цитату.
Если речь идет про это:Then run /var/qmail/bin/simscanmk to build the cdb files that simscan
uses. The changes will take effect immediately.То из этих слов вряд ли можно догадаться, что нужно запускать программу с отдельным ключем -- обычно все cdb-файлы в софте DJB и inter7 обновляются одной командой, ключей не разу не встречал.
P.S. Для автообновления файла можно использовать директиву OnUpdateExecute в конфиге freshclam, но сам пока не проверил, насколько это работает -- буду ждать обновления базы.
>Честно -- я readme знаю едва ли не наизусть, т.к. настраивал именно
>по нему, статью читал уже потом, для самопроверки. Не нашел там
>такого. Если не трудно, приведи цитату.--enable-received=y|n Simscan should add a received line showing
the version of all scanners that checked
the message
NOTE: simscanmk -g must be run to build the
version file.Всё блин... Достал ты меня... Буду переписывать:-)))))))))) С указанием всех замечаний.
> --enable-received=y|n
> Simscan should add a received line showing
> NOTE: simscanmk -g must be run to build the version file.В предыдущем посте линк не заметил. Я настраивал по http://www.inter7.com/simscan/README , там такого нет. Спасибо за помощь.
Ну как сработало после обновления?
>Ну как сработало после обновления?никак -- у меня freshclam работает не от root, и он не может писать в /var/qmail/control, причем, судя по всему, ему нужны и права доступа в каталог на запись. Сегодня попробую это все как-нибудь покрасивей решить...
рапортую:
поскольку, при изменениии cdb-файла (simversions.cdb) в каталоге создаются временные файлы, то пользователю, от которого работает freshclam (clamav по дефолту), нужно дать доступ на запись в этот каталог (/var/qmail/comtrol), что мне показалось не совсем красиво и безопасно. Поэтому второе решение -- разместить конфигурационные файлы simscan в отдельном каталоге, расположение -- по вкусу. Я выбрал /var/qmail/comtrol/simscan, хотя, когда они исправят баг с путем к каталогу карантина, можно будет собрать все каталоги simscan в одном месте. Вообщем, создаем отдельный каталог (предварительно его сконфигурив при сборке и пересобрав simscan), копируем туда все нужные файлы, делаем его владельцем юзера freshclam, то же самое делаем для simversions.cdb и указываем в конфиге freshclam
OnUpdateExecute /var/qmail/bin/simscanmk -g
и все должно работать.
В readme вроде написано, что авторы просто запускают clamd с правами root, но imho это не по-джедайски.
Вот, собственно и все... Не Howto, но смысл, надеюсь, ясен.
P.S. Сравнить версию в заголовках письма и в реальности можно примерно так:
sigtool -i /var/lib/clamav/daily.cvd | grep Vers
sigtool -i /var/lib/clamav/main.cvd | grep Vers
Слухай, скинь свои настройки, заодно перепишу статью, получится нормальное грамотное HowTo
Если есть желание давай в ICQ 226-226-130
>>2. Складываются ли вирусы в карантин?
>Нет, они уничтожаются сразу.
>>3. Не пробовал указать другой каталог для карантина? У меня несмотря на
>>явное указание другого каталога, configure все равно использует дефолтный. Написал им
>>в mail-list -- никто не ответил...
>Лупит в дефолтный, надо бы в исходник залезть, но меня и это устроило.Не понял ответа на 2 и 3 вопрос!
Если вирусы уничтожаются зачем тогда этот каталог(quarantine), и извиняюсь за повтор, что сделать, чтоб сообщения туда складывались (не смог я разобраться).
И вопросик возможно-ли отправка уведомления администратору о том, что получено письмо с вирусом, а также письмо отправителю (если хотца).Current settings
---------------------------------------
user = simscan
qmail directory = /var/qmail
work directory = /var/qmail/simscan
control directory = /var/qmail/control
qmail queue program = /var/qmail/bin/qmail-queue
clamdscan program = /usr/local/bin/clamdscan
clamav scan = ON
trophie scanning = OFF
attachement scan = ON
ripmime program = /usr/local/bin/ripmime
custom smtp reject = OFF
drop message = ON
regex scanner = OFF
quarantine processing = ON
quarantine directory = /var/qmail/quarantine
domain based checking = ON
add received header = ON
spam scanning = ON
spamc program = /usr/local/bin/spamc
spamc arguments =
spamc user = ON
spam passthru = ON===> Building for simscan-1.1
а так всё работает, если посмотреть лог clamav, рубятся куча вирусов только от-кого сообщение кому неизвестно :(
>Не понял ответа на 2 и 3 вопрос!
>Если вирусы уничтожаются зачем тогда этот каталог(quarantine), и извиняюсь за повтор, что
>сделать, чтоб сообщения туда складывались (не смог я разобраться).насколько я понял из их рассылки, это для спама.
>И вопросик возможно-ли отправка уведомления администратору о том, что получено письмо с
>вирусом, а также письмо отправителю (если хотца).readme читал?
>Current settings
> custom smtp reject = OFF
я бы включил...
> drop message = ON
уверен?
>а так всё работает, если посмотреть лог clamav, рубятся куча вирусов только
>от-кого сообщение кому неизвестно :(
надо смотреть лог qmail
>насколько я понял из их рассылки, это для спама.
Абсолютно верно.
Кстати есть мысль, что карантин можно настроить в clamav. Надо почитать, может есть настройки для перемещения, а не удаления файлов.
>> custom smtp reject = OFF
>я бы включил...
Без патча и не рыпайся, обматерит и работать не будет.
>> drop message = ON
>уверен?>надо смотреть лог qmail
Ага, точнее лог smtpd/
>
>>насколько я понял из их рассылки, это для спама.
>Абсолютно верно.
>Кстати есть мысль, что карантин можно настроить в clamav. Надо почитать, может
>есть настройки для перемещения, а не удаления файлов.нет.
>
>>> custom smtp reject = OFF
>>я бы включил...
>Без патча и не рыпайся, обматерит и работать не будет."Ну я же сказал: читать ридми!!!"
И еще, нашли news группу по simscan:
сервер news.gmane.org
группа gmane.mail.qmail.simscan
Есть веб форма: http://news.gmane.org/gmane.mail.qmail.simscan
Так что вперёд
еще можно попробовать assp (assp.sourceforge.net), который является perl-модулем и может запускаться с любым mta. в нем есть нативная поддержка баз от clam-av, фильтры rbl, spf, validation, bayes-фильтр, поддержка сигнатур, блокировки по расширеням вложений. может работать в виде демона.
также можно использовать daemontools для взлета конструкции.
Можно, но!
1. Simscan написан на C, и используется компилированный бинарник.
2. Писан специально для qmail.
3. tcpserver быстрее и надежнее daemontools
4. Блокировка вложений присутствует, но нам не нужна, поэтому в примере её нет.
5. Perl... Ну это же интерпретатор :-(
Вот из этих сображений было выбрано то, то выбрано.
>3. tcpserver быстрее и надежнее daemontoolsОй, звиняюсь, перепутал с inetD
вы мне лучше скажите как сделать чтобы Qmail не принимал почту на несуществующий ящик. А то почта приходит и уведомления сыпятся, да и само тело письма тоже приходит, хорошо анлим у меня а у людей у которых трафик как с этим справляются ?
>вы мне лучше скажите как сделать чтобы Qmail не принимал почту на
>несуществующий ящик. А то почта приходит и уведомления сыпятся, да и
>само тело письма тоже приходит, хорошо анлим у меня а у
>людей у которых трафик как с этим справляются ?
Патчик есть. Надо спросить, наш провайдер его использует.
После него qmail принимает только заголовок письма, и если адрес не существует, то отбивает.
из известных мне:
http://www.fehcom.de/qmail/spamcontrol.html
http://www.interazioni.it/opensource/chkuser/
www.qmailtoaster.com
>>2. Складываются ли вирусы в карантин?
>Нет, они уничтожаются сразу.
>>3. Не пробовал указать другой каталог для карантина? У меня несмотря на
>>явное указание другого каталога, configure все равно использует дефолтный. Написал им
>>в mail-list -- никто не ответил...
>Лупит в дефолтный, надо бы в исходник залезть, но меня и это устроило.Не понял ответа на 2 и 3 вопрос!
Если вирусы уничтожаются зачем тогда этот каталог(quarantine), и извиняюсь за повтор, что сделать, чтоб сообщения туда складывались (не смог я разобраться).
И вопросик возможно-ли отправка уведомления администратору о том, что получено письмо с вирусом, а также письмо отправителю (если хотца).Current settings
---------------------------------------
user = simscan
qmail directory = /var/qmail
work directory = /var/qmail/simscan
control directory = /var/qmail/control
qmail queue program = /var/qmail/bin/qmail-queue
clamdscan program = /usr/local/bin/clamdscan
clamav scan = ON
trophie scanning = OFF
attachement scan = ON
ripmime program = /usr/local/bin/ripmime
custom smtp reject = OFF
drop message = ON
regex scanner = OFF
quarantine processing = ON
quarantine directory = /var/qmail/quarantine
domain based checking = ON
add received header = ON
spam scanning = ON
spamc program = /usr/local/bin/spamc
spamc arguments =
spamc user = ON
spam passthru = ON===> Building for simscan-1.1
а так всё работает, если посмотреть лог clamav, рубятся куча вирусов только от-кого сообщение кому неизвестно :(
>Обсуждение статьи тематического каталога: Установка clamav+SpamAssasin для Qmail+Vpopmail для Linux (qmail mail
>spam virus clamav linux)
>
>Ссылка на текст статьи: http://www.opennet.me/base/net/qmail_clamav_spamassasin.txt....
ребят, установил все по доке.
вроде бы запустилось, но почему то почта не проверяется кламовым, вот что пишет.
@400000004360af9b05d0cec4 simscan: starting: work dir: /home/simscan/1130409873.97460.12012
@400000004360af9f20906724 simscan: pelookup: called with root@skycom.fly-net.ru
@400000004360af9f20935524 simscan: pelookup: domain is skycom.fly-net.ru
@400000004360af9f20935cf4 simscan: cdb looking up skycom.fly-net.ru
@400000004360af9f209368ac simscan: pelookup: local part is root
@400000004360af9f2093707c simscan: cdb looking up root@skycom.fly-net.ru
@400000004360af9f20937c34 simscan: pelookup: called with redmoon@fly-net.ru
@400000004360af9f209387ec simscan: pelookup: domain is fly-net.ru
@400000004360af9f20938fbc simscan: cdb looking up fly-net.ru
@400000004360af9f2093978c simscan: pelookup: local part is redmoon
@400000004360af9f2097dd4c simscan: cdb looking up redmoon@fly-net.ru
@400000004360af9f20aaa9cc simscan: clamdscan disabled
@400000004360af9f20ad1eb4 simscan: done, execing qmail-queue
@400000004360af9f20d34454 simscan: qmail-queue exited 0
@400000004360afa2142704fc tcpserver: end 12011 status 0
@400000004360afa2142802e4 tcpserver: status: 0/30
@400000004360b27a0f5c079c tcpserver: status: 1/30
то есть все работает, симскан пытается все проверить. Ноclamdscan disabled - вот это меня смущает, и еслественно в заголовках :
Received: (qmail 12165 invoked by uid 1010); 27 Oct 2005 11:07:18 -0000
Received: by simscan 1.1.0 ppid: 12162, pid: 12163, t: 0.2413s
scanners:noneкакие рекомендации будут ?
В конфигах что?
какие для доменов правила прописаны?
Под кем запущен clamdscan?
ЧТо в simcontrol?
>В конфигах что?
>какие для доменов правила прописаны?
>Под кем запущен clamdscan?
конфиг кламава - дефолтный, только стоит ScanMail.
все было сделано по статье.
кламав запускается от clamd
>>В конфигах что?
>>какие для доменов правила прописаны?
>>Под кем запущен clamdscan?
>конфиг кламава - дефолтный, только стоит ScanMail.
>все было сделано по статье.
>кламав запускается от clamdВ simcontrol что?
Демон то вообще висит clamd? Посмотри внимательно ридми, там в некоторых случаях clamav надо добавить в группу vpopmail.
ну как мне разрешить заголовки кламова ?
демон висит.
cat /var/qmail/control/simcontrol
:clam=yes,spam=yes,spam_hits=5.0
cat /etc/mail/spamassassin/local.cf
rewrite_header Subject *****SPAM*****
required_hits 5
dns_available yes
use_bayes 1
bayes_path /etc/mail/spamassassin/bayes
cat /etc/clamav/clamd.conf
LogFile /var/log/clamd.log
LogFileMaxSize 0M
LogTime
LogClean
LogSyslog
LogFacility LOG_MAIL
LogVerbose
PidFile /var/run/clamav/clamd.pid
TemporaryDirectory /tmp
LocalSocket /var/run/clamav/clamd
FixStaleSocket
User root
ScanPE
ScanOLE2
ScanMail
ScanHTML
ScanArchive
ScanRAR
ArchiveMaxFileSize 15M
ArchiveMaxRecursion 9
ArchiveMaxFiles 1500
AllowSupplementaryGroups
MaxThreads 20
FixStaleSocket
--enable-received=y|n Simscan should add a received line showing
the version of all scanners that checked
the message
NOTE: simscanmk -g must be run to build the
version file.
Может вот это спасёт отца русской демократии? Это требовалось?
Пожалуйста, внимательней читайте readme или хотя бы эту ветку полностью