[ext] SOPHOS_VIRUS_FAIL

Frank Fiene ffiene at veka.com
Di Nov 19 13:33:12 CET 2019



> Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg <cr at ncxs.de>:
> 
> Hey,
> 
> es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob
> das im 2.1 Release schon drin war.
> 
> Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und
> schau mal ins savdi log.

Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren.

Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung „early“ beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder?


> Wegen der max Connections:
> https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666
> Vielleicht muss du da noch was drehen.

Da stand vorher

threadcount = 30
maxquedsessions=20

Ich habe den Wert der maxquedsessions auf 2 gesetzt.


Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt?


>>  scan_mime_parts = true;
>>  scan_text_mime = true;
>>  scan_image_mime = true;
>>  symbol = "SOPHOS_VIRUS";
> 
> Das erzeugt natürlich auch viele Requests.

Was ist deine Empfehlung?


>> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]
> 
> Das ist das neue generische Symbol für verschlüsselte Files. Da musst du
> deine Settings anpassen.
> 
> Viele Grüße
> 
> Carsten
> 
> 
> On 19.11.19 12:39, Ralf Hildebrandt wrote:
>> * Frank Fiene <ffiene at veka.com>:
>>> Seit etwas mehr als zwei Wochen:
>>> 
>>> /var/log/mail.log:835
>>> /var/log/mail.log.1:2347
>>> /var/log/mail.log.2:1792
>>> /var/log/mail.log.3:22
>>> /var/log/mail.log.4:27
>> 
>> Mein Setup:
>> 
>>  action = "reject";
>> 
>>  scan_mime_parts = true;
>>  scan_text_mime = true;
>>  scan_image_mime = true;
>>  symbol = "SOPHOS_VIRUS";
>> 
>>  type = "sophos";
>> 
>>  log_clean = false;
>>  timeout = 30.0;
>>  retransmits = 4;
>> 
>>  servers = "127.0.0.1:4010";
>> 

Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191119/d14b9ce7/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191119/d14b9ce7/attachment.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users