Rspamd: Antivirus-Modul funktioniert nicht

Andreas postfix at linuxmaker.de
Di Mär 30 13:06:44 CEST 2021


Hallo Gerald,

das findet sich bei mir nicht in den Logs:
> 
> Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy;
> rspamd_mime_part_detect_language: detected part language: en Mar 30
> 11:54:04 mx clamd[26034]: instream(local): Eicar-Signature FOUND Mar 30
> 11:54:04 mx rspamd[21554]: <269064>; lua; common.lua:107: clamav: result -
> virusfound: "Eicar-Signature - score: 1" Mar 30 11:54:04 mx rspamd[21554]:
> <269064>; proxy; rspamd_add_passthrough_result: <msg at id>: set pre-result to
> 'reject' *least (no score): 'virus found' from clamav(1)
> 
> Unter rspamd_task_write_log ist das Symbol
> CLAM_VIRUS(0.00){Eicar-Signature;} aufgeführt.

> Wird clamav beim Start von rspamd geladen?
> 
> Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; lua_redis.lua:573: use
> default Redis settings for antivirus Mar 30 12:22:51 mx rspamd[17331]:
> <1orwxn>; lua; antivirus.lua:163: added antivirus engine clamav ->
> CLAM_VIRUS Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; cfg;
> rspamd_init_lua_filters: init lua module antivirus from
> /usr/share/rspamd/plugins/antivirus.lua; digest: 13439b8ded
Ich sage definit ja :
2021-03-30 12:33:35 #28302(main) <biooft>; lua; antivirus.lua:163: added 
antivirus engine clamav -> CLAM_VIRUS
2021-03-30 12:33:35 #28302(main) <biooft>; cfg; rspamd_init_lua_filters: init 
lua module antivirus from /usr/share/rspamd/plugins/antivirus.lua; digest: 
13439b8ded
2021-03-30 12:33:35 #28302(main) <biooft>; cfg; rspamd_init_lua_filters: init 
lua module arc from /usr/share/rspamd/plugins/arc.lua; digest: 5c7f784d04


> 
> 
> Wird die config durch andere includes verändert? (override.d/antivirus.conf,
> dynamic/antivirus.conf)
Nein, es existiert bislang nur ein antivir.conf unterhalb von local.d
> 
> Könnte selinux/apparmor oder eine Firewall die Verbindung von rspamd zu
> clamd verhindern?
Nein, auf dieser Maschine läuft keine Firewall, nur vor diesem Host. 
> 
> TCP Sockets sind normalerweise unproblematisch, alternativ könntest Du Unix
> Domain Sockets probieren: local.d/antivirus.conf: servers =
> "/var/run/clamd/clamd.sock";
> 
> Du könntest in logging.inc debug_modules = ["antivirus"]; hinzufügen, evtl.
> sagt rspamd hier was fehlt.
Habe ich bereits eingerichtet. Bislang kommen keine Fehler.

> 
> Ist das antivirus Modul vorhanden?
> 
> [root at mx rspamd]# rpm -ql rspamd | egrep -i "clam|virus"
> /etc/rspamd/modules.d/antivirus.conf
> /usr/share/rspamd/lualib/lua_scanners/clamav.lua
> /usr/share/rspamd/lualib/lua_scanners/virustotal.lua
> /usr/share/rspamd/plugins/antivirus.lua
Ja
# dpkg -L rspamd | egrep -i "clam|virus" 
/etc/rspamd/modules.d/antivirus.conf 
/usr/share/rspamd/lualib/lua_scanners/clamav.lua 
/usr/share/rspamd/lualib/lua_scanners/virustotal.lua 
/usr/share/rspamd/plugins/antivirus.lua



> 
> Andernfalls bliebe noch ein strace um zu überprüfen ob rspamd überhaupt
> etwas mit clamav macht.
Okay, da bin ich etwas unerfahren wie ich mit strace rspamd nutze, da ja 
rspamd von Postfix als Milter abgerufen wird.

Beste Grüße und vielen Dank

Andreas


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20210330/9faa9d19/attachment.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users