Добрый день.
В плане бреда - проверьте все таки сетевое соединение , очень похоже на
классический Half/full duplex mismatch.
On 29.12.2020 8:23, Victor Sudakov wrote:
Зарядил tcpdump на несколько часов. Результат еще больше удивил: из
15-20 попыток exim отправить письмо в clamav - одна попытка таки
успешно удается:
zINSTREAM....eFrom or...@peshkombooks.ru Mon Dec 28 23:16:26 2020
X-Envelope-From: <or...@peshkombooks.ru>
X-Envelope-To: m...@library.tomsk.ru
[...]
AAAAcDCg/wBwMKD/IwAwfQg8AH0IAAAAAAAAAAAAAAAAnwAstream: OK.
Остальные заканчиваются TCP reset со стороны почтового сервера. Т.е.
работает частично, закономерности обнаружить не удалось, разве что,
возможно, все переданные антивирусу письма - достаточно большие, с
вложениями.
Victor Sudakov wrote:
Уважаемые коллеги,
Случилось странное. После обновления до exim-4.94_4 (FreeBSD) поломалась
работа с clamd по TCP.
Настройка самая стандартная:
av_scanner = clamd:192.168.153.104 3310
И судя по документации синтаксис не менялся.
clamav разумеется живой:
$ telnet 192.168.153.104 3310
Trying 192.168.153.104...
Connected to 192.168.153.104.
Escape character is '^]'.
PING
PONG
Connection closed by foreign host.
Однако же при попытке доставки почты в лог exim пишется сообщение:
2020-12-28 21:57:21 1kttxZ-0000Xw-3x malware acl condition: clamd : unable to
send file body to socket (192.168.153.104)
Из пакетного дампа http://admin.sibptus.ru/~vas/2.pcap видно, что хост с
exim-ом открывает соединение с 192.168.153.104, тот отвечает, и хост с
exim-ом ... тут же посылает TCP RST. Вот это вообще отчего может быть?
На локальный сокет перейти не могу (скорее всего заработает, но надо
пока чтобы clamav был на другом хосте).
Пробовал гуглить по сообщению "clamd : unable to send file body to socket"
- ничего особенно интересного не нашлось. Разные предположения про то, что
clamav не успевает обработать файл или файл слишком велик - но в данном
случае в пакетном дампе не наблюдается попытки даже кусочек письма
передать.
Предположите что-нибудь пожалуйста.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
