PDA

Bekijk Volledige Versie : Spamassissin verwijderd geen geinfecteerde bijlagen



Cloudy
21/12/14, 17:24
Hoi,

Nog even gezocht op het forum, kon niets vinden.

Hebben een nieuwe server in gebruik genomen, DA via CB2 geinstalleerd, waaronder ClamAV en Spamassassin. Alles werkt, echter bij testberichten met virus in bijlagen ontvangen wij deze zonder verwijdering of melding?

Iemand een idee hoe ik dat kan oplossen?

Gerard

Spyder01
21/12/14, 18:40
Je moet in je exim configuratie natuurlijk nog wel zorgen dat exim ClamAV gaat gebruiken. Daar is (ook hier wel op WHT) genoeg over te vinden.

Cloudy
21/12/14, 20:26
Volgens mij doet Custombuilder 2.0 dat toch uit zichzelf..

Spyder01
21/12/14, 21:21
Volgens jou. Maar zo te horen heb je dus niet de exim config gecheckt.

Cloudy
22/12/14, 10:45
Laat ik het anders vragen: Custombuilder past de exim.conf file tijdens het installeren aan. Hoe kan ik ervoor zorgen dat spamassassin, clamav of exim geinfecteerde bijlagen verwijderd?

systemdeveloper
22/12/14, 11:21
Is je /etc/exim.spamassassin.conf aanwezig en ook enabled in de exim.conf?

Cloudy
22/12/14, 12:57
Is aanwezig en enabled in exim.conf.

systemdeveloper
22/12/14, 13:42
Ook in directadmin bij de spam settings van de user spamassassin zelf enabled?

Zie je in de mail headers uberhaupt de header dat de bijlagen gescanned zijn?

"X-Antivirus-Scanner: Clean mail though you should still use an Antivirus"

Cloudy
22/12/14, 17:26
Kijk inderdaad: Clean mail though you should still use an Antivirus. Heb clamav wel goed gebuild.

systemdeveloper
22/12/14, 17:44
Vergeet ook niet freshclam regelmatig te updaten en ga er vooral niet van uit dat clamav alles tegenhoudt ;)

Cloudy
22/12/14, 17:55
Dit zou hem toch moeten zijn? Hij gooit nog steeds geen, duidelijk geïnfecteerde, bijlagen weg.

[..]

.include_if_exists /etc/exim.clamav.conf

## accept without checking if in skip_av_domains
# accept condition =${if and {{def:acl_m0}{def:acl_m0}} {true}{false}}

## deny if email contains malformed MIME header
deny message = CLAM_MALFORMED_MIME
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}

## deny if email containing virus or other harmful content
deny message = CLAM_HAS_VIRUS
demime = *
malware = *

## deny if email contains an attachment of type we don't accept.
deny message = CLAM_BAD_ATTACHMENT
demime = bat:com:pif:prf:scr:vbs:html:exe

## Accept but put warning into headers if message over 1000k
warn message = CLAM_SKIPPED
condition = ${if >={$message_size}{1000k} {1}{0}}

warn message = CLAM_CLEAN

[..]

systemdeveloper
22/12/14, 18:07
Uhm, in de exim.conf moet je iets hebben zoals:

bovenaan:

.include_if_exists /etc/exim.clamav.load.conf

en bij de acl's:

# ACL that is used after the DATA command
check_message:
.include_if_exists /etc/exim.clamav.conf
accept

In de exim.clamav.conf heb ik:

#1 (http://www.webhostingtalk.nl/usertag.php?do=list&action=hash&hash=1) .0
deny message = This message contains malformed MIME ($demime_reason)
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}
deny message = This message contains a virus or other harmful content ($malware_name)
demime = *
malware = *
deny message = This message contains an attachment of a type which we do not accept (.$found_extension)
demime = bat:com:pif:prf:scr:vbs
warn message = X-Antivirus-Scanner: Clean mail though you should still use an Antivirus

Cloudy
22/12/14, 18:52
Ja, precies hetzelfde hier. Was even vergeten dat alles vanuit een included conf wordt geladen.. Maar nog steeds geen beweging in mijn bijlagen..:(