Rspamd: Antivirus-Modul funktioniert nicht
Gerald Galster
list+postfixbuch at gcore.biz
Di Mär 30 12:25:38 CEST 2021
Hallo Andreas,
wenn Eicar erkannt wird sieht das im log so ähnlich aus:
Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy; rspamd_mime_part_detect_language: detected part language: en
Mar 30 11:54:04 mx clamd[26034]: instream(local): Eicar-Signature FOUND
Mar 30 11:54:04 mx rspamd[21554]: <269064>; lua; common.lua:107: clamav: result - virusfound: "Eicar-Signature - score: 1"
Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy; rspamd_add_passthrough_result: <msg at id>: set pre-result to 'reject' *least (no score): 'virus found' from clamav(1)
Unter rspamd_task_write_log ist das Symbol CLAM_VIRUS(0.00){Eicar-Signature;} aufgeführt.
Wird clamav beim Start von rspamd geladen?
Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; lua_redis.lua:573: use default Redis settings for antivirus
Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; antivirus.lua:163: added antivirus engine clamav -> CLAM_VIRUS
Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; cfg; rspamd_init_lua_filters: init lua module antivirus from /usr/share/rspamd/plugins/antivirus.lua; digest: 13439b8ded
Wird die config durch andere includes verändert? (override.d/antivirus.conf, dynamic/antivirus.conf)
Könnte selinux/apparmor oder eine Firewall die Verbindung von rspamd zu clamd verhindern?
TCP Sockets sind normalerweise unproblematisch, alternativ könntest Du Unix Domain Sockets probieren:
local.d/antivirus.conf: servers = "/var/run/clamd/clamd.sock";
Du könntest in logging.inc debug_modules = ["antivirus"]; hinzufügen, evtl. sagt rspamd hier was fehlt.
Ist das antivirus Modul vorhanden?
[root at mx rspamd]# rpm -ql rspamd | egrep -i "clam|virus"
/etc/rspamd/modules.d/antivirus.conf
/usr/share/rspamd/lualib/lua_scanners/clamav.lua
/usr/share/rspamd/lualib/lua_scanners/virustotal.lua
/usr/share/rspamd/plugins/antivirus.lua
Andernfalls bliebe noch ein strace um zu überprüfen ob rspamd überhaupt etwas mit clamav macht.
Viele Grüße
Gerald
Mehr Informationen über die Mailingliste Postfixbuch-users