[Postfixbuch-users] ClamAV-Konfigurationsproblem?

Max Grobecker max at grobecker-wtal.de
Mi Feb 29 14:22:09 CET 2012


Hallo,

danke an euch für die Tipps.
Ich habe gerade mal meine ClamAV-Konfiguration nochmal geprüft und die
Einstellungen die Ralf genannt hat sind alle so schon konfiguriert.
Die Extra-Signaturen hatte ich noch nicht installiert aber dies gerade
nachgeholt.
Unter /etc/clamav habe ich auch nur die clamd.conf und die
freshclam.conf - an sich dürfte es ja dann nur eine Konfiguration für
alles geben.
Werde mal den Debugmodus aktivieren und nachsehen, was er so alles
zusammenlädt.


Am 29.02.2012 13:56, schrieb Uwe Drießen:

> 1. auf Mailservern läuft nur ein rudimentärer Schutz der nicht den lokalen
> Schutz des Empfängers ersetzt.

Sehe ich auch so, aber andererseits sollte ClamAV Trojaner aus zwei
Wochen alten Mails an sich ja schon ablehnen können.

> 2. gibt es mit Sanesecurity weitere Pattern welche  in Clamav eingebunden
> werden können.

Die kannte ich noch nicht, habe ich aber gerade einmal hinzugefügt - Dane!

> 3. woher kamen die Mails das die überhaupt bis zur Annahme bzw. ins System
> kamen (solche Mails werden bei mir aufgrund der Herkunft bzw. anderer
> Restriktionen schon gar nicht angenommen) 

Ich habe mir daheim eine Testumgebung aufgebaut und dort von einem zum
anderen Mailserver mit eigenen öffentlichen IPs verschickt.
Außer Amavis mit Anbindung an ClamAV läuft da keine andere
Filtermaßnahme - mir ging es auch nur darum zu testen, wie gut die
Erkennungsraten von ClamAV geworden sind.

> 4. wie sahen die Header der Mails aus im Postfach? 

Bezogen auf die Herkunft oder ob Amavis/ClamAV irgendwelche Header
eingetragen haben?

> Welche sonstigen Tools wie z.B. Greylisting, Policyd weight, Postscreen
> laufen auf dem originalen Mailserver 

Auf dem originalen Mailserver laufen ebenfalls Amavis für Viren- und
Spam-Check und Policyd-Weight.
Da es aber nicht mein eigenes System ist, weiß ich nicht genau welche
Restriktionen da konfiguriert sind - ich mache mich aber nebenher schlau.

> Amavis behandelt Mails unterschiedlich. Eigene Domains und User bekommen
> eine anderen Score wie Fremde.

Auf dem Absender-Server habe ich mit den header_checks alle Absender und
Empfänger durch Dummy-Einträge ersetzt.
Amavis sollte die in keinem Fall als lokale Domains erkannt haben, prüfe
ich aber zur Sicherheit auch noch nach.

> 
> Echte Virus mails habe ich noch keine im System gehabt (zumindest keine
> Meldung von Kunden erhalten und die sind alle pinzig was das angeht)

Bei mir werden - zumindest mit dem kommerziellen Scanner - die ganzen
Viren auch aussortiert. Ich weiß aber auch, dass es einige Empfänger
nicht so genau nehmen mit "Wenn da schon E-Mails auf Englisch kommen und
du eine Datei öffnen sollst - dann lass es".



Viele Grüße aus dem Tal
Max



Mehr Informationen über die Mailingliste Postfixbuch-users