Message: 2 Date: Wed, 2 Jun 2010 15:59:10 +0200 (CEST) From: Frank Lohoff f.lohoff@nielsen-design.de To: postfix-users@de.postfix.org Subject: [postfix-users] E-Mails interner User werden fäschlicherweise als Virus von clamav gefiltert Message-ID: 32011538.5601275487150458.OPEN-XCHANGE.WebMail.tomcat@openex Content-Type: text/plain; charset=ISO-8859-15

Hallo zusammen,

wir scannen unsere E-Mails mit clamav welches in amavis eingebunden ist. Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.

Bisher klappte das auch ganz gut aber jetzt werden immer öfter E-Mails von internen Users als Virus erkannt und zurück behalten. Das ist Problematisch, da nur der Empfänger eine Benachrichtigung bekommt und nicht der Sender. Dieser geht davon aus, das seine E-Mail ordenlich und ohne Probleme versendet wurde.

In einem Fall z.B. ist es eine reine Textemail ohne Anhang die zurückgehalten wurde. Scanne ich mit clamscan die orginal Datei bekomme ich folgende Meldung: 64070.: INetMsg.SpamDomain-2w.versanet_de.UNOFFICIAL FOUND

Ein zweiter Virenscanner erkennt den Virus nicht und sagt alles Ok.

Wie kann ich dieses Fehlverhalten abstellen? Gibt es eine whitelist für den clamav?

Mit freundlichem Gruß

Frank Lohoff IT-Administrator

Fon: 0049 (0) 52 42 - 41 05 244 Fax: 0049 (0) 52 42 - 94 61 244 E-Mail: f.lohoff@nielsen-design.de

---

Nielsen Design GmbH & Co. KG Röntgenstraße 10-12 33378 Rheda-Wiedenbrück Amtsgericht Gütersloh, HRA 5463

persönlich haftender Gesellschafter: Nielsen Design VerwaltungsGmbH Röntgenstraße 10-12 33378 Rheda-Wiedenbrück Amtsgericht Gütersloh, HRB 6443 Geschäftsführer: Albrecht Nitschke

---

Message: 3 Date: Wed, 2 Jun 2010 16:05:35 +0200 From: Ralf Hildebrandt Ralf.Hildebrandt@charite.de To: postfix-users@de.postfix.org Subject: Re: [postfix-users] E-Mails interner User werden fäschlicherweise als Virus von clamav gefiltert Message-ID: 20100602140535.GP24353@charite.de Content-Type: text/plain; charset=utf-8

• Frank Lohoff f.lohoff@nielsen-design.de:

...

Hallo zusammen,

wir scannen unsere E-Mails mit clamav welches in amavis eingebunden ist. Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.

Jetzt die Gretchenfrage: WELCHE?

Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM.

-- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt@charite.de | http://www.charite.de

---

Message: 4 Date: Wed, 02 Jun 2010 17:44:48 +0200 From: Robert Schetterer robert@schetterer.org To: postfix-users@de.postfix.org Subject: Re: [postfix-users] E-Mails interner User werden fäschlicherweise als Virus von clamav gefiltert Message-ID: 4C067C70.4030405@schetterer.org Content-Type: text/plain; charset=ISO-8859-1

Am 02.06.2010 16:05, schrieb Ralf Hildebrandt:

...

• Frank Lohoff f.lohoff@nielsen-design.de:

...

Hallo zusammen,

wir scannen unsere E-Mails mit clamav welches in amavis eingebunden ist. Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.

Jetzt die Gretchenfrage: WELCHE?

Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM.

Ich nutze die folgenden Datenbanken:

MSRBL-Images.hdb MSRBL-SPAM.ndb honeynet.hdb mbl.db mbl.ndb sanesecurity-INetMsg-SpamDomains-2m.ndb sanesecurity-INetMsg-SpamDomains-2w.ndb sanesecurity-doppelstern.hdb sanesecurity-doppelstern.ndb sanesecurity-junk.ndb sanesecurity-jurlbl.ndb sanesecurity-jurlbla.ndb sanesecurity-lott.ndb sanesecurity-phish.ndb sanesecurity-rogue.hdb sanesecurity-scam.ndb sanesecurity-scamnailer.ndb sanesecurity-spam.ldb sanesecurity-spamattach.hdb sanesecurity-spamimg.hdb sanesecurity-spear.ndb sanesecurity-spearl.ndb sanesecurity-winnow.attachments.hdb sanesecurity-winnow.complex.patterns.ldb sanesecurity-winnow_extended_malware.hdb sanesecurity-winnow_extended_malware_links.ndb sanesecurity-winnow_malware.hdb sanesecurity-winnow_malware_links.ndb sanesecurity-winnow_phish_complete.ndb sanesecurity-winnow_phish_complete_url.ndb sanesecurity-winnow_spam_complete.ndb securiteinfo.hdb vx.hdb

und habe glaube ich das Problem gefunden:

# Additional Sanesecruity distributed database that can be used and # their associated potential fales-positive ratings: # # USE 'ONLY' ONE OF THE FOLLOWING TWO SIGNATURE DATABASES: # # INetMsg-SpamDomains-2w.ndb    : HIGH false-positive rating # INetMsg-SpamDomains-2m.ndb    : HIGH false-positive rating

genau die INetMsg-SpamDomains-2w.ndb macht ordentlich Probleme.

Werde sie aus meiner Liste entfernen. Weiter habe ich eine false postive Support E-Mail Adresse gefunden: false_positive@sanesecurity.me.uk

Dahin habe ich meine Fälle eingeschickt.

Vielen Dank für eure Hilfe und ein schönes Wochenende!

Gruß, Frank Lohoff

mit clamav-milter koenntest du die mail in der hold schlange liegen lassen und auch whitelists benutzen ( geht auch mit amavis aber anderes Konzept), evtl verzichtest du auch auf outbound scanning etc, da gibts diverse moeglichkeiten ich verzichte mittlerweile auf amavis und mach das mit clamav-milter und spamass-milter, aber auch das hat nicht nur Vorteile aber wie schon erwaehnt wenn du keine zusaetzlichen clamav antispam signaturen benutzt sollt es eigentlich so gut wie nie zu false positives kommen

-- Best Regards

MfG Robert Schetterer

Germany/Munich/Bavaria

---

Message: 5 Date: Wed, 2 Jun 2010 21:10:58 +0200 From: KP Kirchdoerfer kapeka@bering-uclibc.de To: postfix-users@de.postfix.org Subject: [postfix-users] amavis local_domain_maps und sql Message-ID: 201006022110.58996.kapeka@bering-uclibc.de Content-Type: text/plain; charset="iso-8859-1"

Hallo;

ich komm nicht so recht weiter mit dem Eintrag für @local_domain_maps in der amavis Konfiguration.

Es funktioniert, wenn ich die Domains in der Art eintrage: @local_domains_maps = ( [ ".$mydomain", ".domain-1.de", "domain-n.de" ] );

Ich kann aus amavis auf eine mysql-DB zugreifen um bspw. Spam in mysql zu speichern mit den Einträgen

@lookup_sql_dsn= ( ['DBI:mysql:database=amavis;host=127.0.0.1;port=3306', 'amavis','passwort'], ); @storage_sql_dsn = @lookup_sql_dsn;

Ich habe hier

...

http://www.mail-archive.com/amavis-user@lists.sourceforge.net/msg13906.html

gelesen, daß das gehen könnte, die in der DB eingetragenen Benutzer in user.local für @local_domain_maps verwenden, nur verstanden hab ich es nicht :)

Wie müßte dann der Eintrag für @local_domain_maps lauten, damit die DB verwendet wird?

TIA

kp

---

Message: 6 Date: Thu, 3 Jun 2010 10:45:16 +0200 From: "Andreas" andreas@kado-web.de To: postfix-users@de.postfix.org Subject: [postfix-users] Mailqueue wird mails nicht los Message-ID: DF0710604399472A8211709BCED72BE0@ldap3792b335e9 Content-Type: text/plain; charset="iso-8859-1"

Hi list,

seit kurzem ist mir aufgefallen dass unser postfix-mail-server 1, der als haupt-mail-server fungiert und die mails nach innen und aussen weiterleitet, die queue mit allerhand mails voll hat. Darunter sind auch mails an verteiler.

Teilweise gibt es timeouts bei der kommunikation mit dem mailserver 2, welcher die postfächer enthält. (postfix, dovecot mit 2000 postfächern)

Postqueue –p auf mail server 1 enthält viele Nachrichten einer Aussendung an mehr als 1000 user in der Queue.

Es gibt folgende Meldung:

(conversation with mailserver 2 [ip] timed out while sending RCPT TO)

Diese Mails an die Verteiler stecken seit einigen Tagen in der queue fest.

Was blockiert die Aussendung dieser Verteiler-Mail ?

Vor allem gibt es keine Meldung, dass die Mails verzögert werden oder nicht angekommen sind.

Die log-Dateien geben nichts verdächtiges aus.

Wie gesagt, mails gehen rein und raus, nur bei den mails an die verteiler hakt es ordentlich.

Config –n (mailserver 1)

Mailserver 1:/ # postconf -n

alias_database = hash:/etc/aliases

alias_maps = hash:/etc/aliases

allow_percent_hack = yes

append_at_myorigin = yes

command_directory = /usr/sbin

config_directory = /etc/postfix

content_filter =

daemon_directory = /usr/lib/postfix

debug_peer_level = 20

default_destination_recipient_limit = 9000

default_extra_recipient_limit = 9000

defer_transports =

disable_dns_lookups = no

empty_address_recipient = MAILER-DAEMON

inet_interfaces = IP

local_recipient_maps = unix:passwd.byname $alias_maps

mail_owner = postfix

mail_spool_directory = /var/mail

mailbox_command =

mailbox_size_limit = 0

mailbox_transport =

mailq_path = /usr/bin/mailq

manpage_directory = /usr/share/man

maps_rbl_domains = pbl.spamhaus.org sbl-xbl.spamhaus.org relays.ordb.org combined.njabl.org

masquerade_classes = envelope_sender, header_sender, header_recipient

masquerade_domains = domain.de

masquerade_exceptions = root

mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, domain-2.de

mydomain = domain.de

myhostname = server.domain.de

mynetworks = IP

myorigin = $mydomain

newaliases_path = /usr/bin/newaliases

queue_directory = /var/spool/postfix

readme_directory = /usr/share/doc/postfix/README_Debian

relay_domains = $mydestination

relayhost =

sendmail_path = /usr/sbin/sendmail

setgid_group = postdrop

smtp_sasl_auth_enable = no

smtp_use_tls = no

smtpd_client_restrictions = reject_rbl_client sbl-xbl.spamhaus.org reject_rbl_client cbl.abuseat.org

smtpd_helo_required = yes

smtpd_helo_restrictions =

smtpd_recipient_limit = 9000

smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination

smtpd_sasl_auth_enable = no

smtpd_use_tls = no

strict_rfc821_envelopes = no

swap_bangpath = yes

unknown_local_recipient_reject_code = 450

virtual_alias_domains = virtual-domain.de

virtual_alias_maps = hash:/etc/postfix/virtual

postconf –n (mailserver 2)

mailserver 2:~# postconf -n

alias_maps = hash:/etc/aliases

command_directory = /usr/sbin

config_directory = /etc/postfix

daemon_directory = /usr/lib/postfix

default_destination_recipient_limit = 9000

default_extra_recipient_limit = 9000

home_mailbox = Maildir/

html_directory = /usr/share/doc/postfix/html

inet_interfaces = IP

mail_owner = postfix

mailq_path = /usr/bin/mailq

manpage_directory = /usr/share/man

message_size_limit = 30960000

mydestination = $myhostname, localhost.$mydomain, localhost

mydomain = mailserver 2.domain.de

myhostname = mailserver 2.domain.de

mynetworks = IPs

myorigin = $mydomain

newaliases_path = /usr/bin/newaliases

queue_directory = /var/spool/postfix

readme_directory = /usr/share/doc/postfix

relay_domains = $mydestination

sample_directory = /usr/share/postfix

sendmail_path = /usr/sbin/sendmail

setgid_group = postdrop

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

smtpd_recipient_limit = 9000

unknown_local_recipient_reject_code = 550

-------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: http://de.postfix.org/pipermail/postfix-users/attachments/20100603/786b84f2/attachment.html

---

---

postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

Ende postfix-users Nachrichtensammlung, Band 26, Eintrag 2

---