Rspamd: Antivirus-Modul funktioniert nicht

Gerald Galster list+postfixbuch at gcore.biz
Di Mär 30 12:25:38 CEST 2021


Hallo Andreas,

wenn Eicar erkannt wird sieht das im log so ähnlich aus:

Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy; rspamd_mime_part_detect_language: detected part language: en
Mar 30 11:54:04 mx clamd[26034]: instream(local): Eicar-Signature FOUND
Mar 30 11:54:04 mx rspamd[21554]: <269064>; lua; common.lua:107: clamav: result - virusfound: "Eicar-Signature - score: 1"
Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy; rspamd_add_passthrough_result: <msg at id>: set pre-result to 'reject' *least (no score): 'virus found' from clamav(1)

Unter rspamd_task_write_log ist das Symbol CLAM_VIRUS(0.00){Eicar-Signature;} aufgeführt.


Wird clamav beim Start von rspamd geladen?

Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; lua_redis.lua:573: use default Redis settings for antivirus
Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; antivirus.lua:163: added antivirus engine clamav -> CLAM_VIRUS
Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; cfg; rspamd_init_lua_filters: init lua module antivirus from /usr/share/rspamd/plugins/antivirus.lua; digest: 13439b8ded



Wird die config durch andere includes verändert? (override.d/antivirus.conf, dynamic/antivirus.conf)

Könnte selinux/apparmor oder eine Firewall die Verbindung von rspamd zu clamd verhindern?

TCP Sockets sind normalerweise unproblematisch, alternativ könntest Du Unix Domain Sockets probieren:
local.d/antivirus.conf: servers = "/var/run/clamd/clamd.sock";

Du könntest in logging.inc debug_modules = ["antivirus"]; hinzufügen, evtl. sagt rspamd hier was fehlt.

Ist das antivirus Modul vorhanden?

[root at mx rspamd]# rpm -ql rspamd | egrep -i "clam|virus"
/etc/rspamd/modules.d/antivirus.conf
/usr/share/rspamd/lualib/lua_scanners/clamav.lua
/usr/share/rspamd/lualib/lua_scanners/virustotal.lua
/usr/share/rspamd/plugins/antivirus.lua

Andernfalls bliebe noch ein strace um zu überprüfen ob rspamd überhaupt etwas mit clamav macht.

Viele Grüße
Gerald


Mehr Informationen über die Mailingliste Postfixbuch-users