>Message: 2 >Date: Wed, 2 Jun 2010 15:59:10 +0200 (CEST) >From: Frank Lohoff <[email protected]> >To: [email protected] >Subject: [postfix-users] E-Mails interner User werden fäschlicherweise >als Virus von clamav gefiltert >Message-ID: ><32011538.5601275487150458.open-xchange.webmail.tom...@openex> >Content-Type: text/plain; charset=ISO-8859-15 > >Hallo zusammen, > >wir scannen unsere E-Mails mit clamav welches in amavis eingebunden >ist. >Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet. > >Bisher klappte das auch ganz gut aber jetzt werden immer öfter E-Mails >von internen Users als Virus erkannt und zurück behalten. Das ist >Problematisch, da nur der Empfänger eine Benachrichtigung bekommt und >nicht der Sender. Dieser geht davon aus, das seine E-Mail ordenlich und >ohne Probleme versendet wurde. > >In einem Fall z.B. ist es eine reine Textemail ohne Anhang die >zurückgehalten wurde. Scanne ich mit clamscan die orginal Datei bekomme >ich folgende Meldung: >64070.: INetMsg.SpamDomain-2w.versanet_de.UNOFFICIAL FOUND > >Ein zweiter Virenscanner erkennt den Virus nicht und sagt alles Ok. > >Wie kann ich dieses Fehlverhalten abstellen? Gibt es eine whitelist für >den clamav? > > >Mit freundlichem Gruß > >Frank Lohoff >IT-Administrator > >Fon: 0049 (0) 52 42 - 41 05 244 >Fax: 0049 (0) 52 42 - 94 61 244 >E-Mail: [email protected] > > >---------------------------------------- >Nielsen Design GmbH & Co. KG >Röntgenstraße 10-12 >33378 Rheda-Wiedenbrück >Amtsgericht Gütersloh, HRA 5463 > >persönlich haftender Gesellschafter: >Nielsen Design VerwaltungsGmbH >Röntgenstraße 10-12 >33378 Rheda-Wiedenbrück >Amtsgericht Gütersloh, HRB 6443 >Geschäftsführer: Albrecht Nitschke > > > >------------------------------ > >Message: 3 >Date: Wed, 2 Jun 2010 16:05:35 +0200 >From: Ralf Hildebrandt <[email protected]> >To: [email protected] >Subject: Re: [postfix-users] E-Mails interner User werden >fäschlicherweise als Virus von clamav gefiltert >Message-ID: <[email protected]> >Content-Type: text/plain; charset=utf-8 > >* Frank Lohoff <[email protected]>: >>Hallo zusammen, >> >>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden >>ist. >>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet. > >Jetzt die Gretchenfrage: WELCHE? > >Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM. > >-- >Ralf Hildebrandt >Geschäftsbereich IT | Abteilung Netzwerk >Charité - Universitätsmedizin Berlin >Campus Benjamin Franklin >Hindenburgdamm 30 | D-12203 Berlin >Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >[email protected] | http://www.charite.de > > > >------------------------------ > >Message: 4 >Date: Wed, 02 Jun 2010 17:44:48 +0200 >From: Robert Schetterer <[email protected]> >To: [email protected] >Subject: Re: [postfix-users] E-Mails interner User werden >fäschlicherweise als Virus von clamav gefiltert >Message-ID: <[email protected]> >Content-Type: text/plain; charset=ISO-8859-1 > >Am 02.06.2010 16:05, schrieb Ralf Hildebrandt: >>* Frank Lohoff <[email protected]>: >>>Hallo zusammen, >>> >>>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden >>>ist. >>>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet. >> >>Jetzt die Gretchenfrage: WELCHE? >> >>Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM. >>
Ich nutze die folgenden Datenbanken: MSRBL-Images.hdb MSRBL-SPAM.ndb honeynet.hdb mbl.db mbl.ndb sanesecurity-INetMsg-SpamDomains-2m.ndb sanesecurity-INetMsg-SpamDomains-2w.ndb sanesecurity-doppelstern.hdb sanesecurity-doppelstern.ndb sanesecurity-junk.ndb sanesecurity-jurlbl.ndb sanesecurity-jurlbla.ndb sanesecurity-lott.ndb sanesecurity-phish.ndb sanesecurity-rogue.hdb sanesecurity-scam.ndb sanesecurity-scamnailer.ndb sanesecurity-spam.ldb sanesecurity-spamattach.hdb sanesecurity-spamimg.hdb sanesecurity-spear.ndb sanesecurity-spearl.ndb sanesecurity-winnow.attachments.hdb sanesecurity-winnow.complex.patterns.ldb sanesecurity-winnow_extended_malware.hdb sanesecurity-winnow_extended_malware_links.ndb sanesecurity-winnow_malware.hdb sanesecurity-winnow_malware_links.ndb sanesecurity-winnow_phish_complete.ndb sanesecurity-winnow_phish_complete_url.ndb sanesecurity-winnow_spam_complete.ndb securiteinfo.hdb vx.hdb und habe glaube ich das Problem gefunden: # Additional Sanesecruity distributed database that can be used and # their associated potential fales-positive ratings: # # USE 'ONLY' ONE OF THE FOLLOWING TWO SIGNATURE DATABASES: # # INetMsg-SpamDomains-2w.ndb : HIGH false-positive rating # INetMsg-SpamDomains-2m.ndb : HIGH false-positive rating genau die INetMsg-SpamDomains-2w.ndb macht ordentlich Probleme. Werde sie aus meiner Liste entfernen. Weiter habe ich eine false postive Support E-Mail Adresse gefunden: [email protected] Dahin habe ich meine Fälle eingeschickt. Vielen Dank für eure Hilfe und ein schönes Wochenende! Gruß, Frank Lohoff >mit clamav-milter koenntest du die mail in der hold schlange liegen >lassen und auch whitelists benutzen ( geht auch mit amavis aber anderes >Konzept), evtl verzichtest du auch auf outbound scanning etc, da gibts >diverse moeglichkeiten >ich verzichte mittlerweile auf amavis und mach das mit clamav-milter >und >spamass-milter, aber auch das hat nicht nur Vorteile >aber wie schon erwaehnt wenn du keine zusaetzlichen clamav antispam >signaturen benutzt sollt es eigentlich so gut wie nie zu false >positives >kommen > > >-- >Best Regards > >MfG Robert Schetterer > >Germany/Munich/Bavaria > > >------------------------------ > >Message: 5 >Date: Wed, 2 Jun 2010 21:10:58 +0200 >From: KP Kirchdoerfer <[email protected]> >To: [email protected] >Subject: [postfix-users] amavis local_domain_maps und sql >Message-ID: <[email protected]> >Content-Type: text/plain; charset="iso-8859-1" > >Hallo; > >ich komm nicht so recht weiter mit dem Eintrag für @local_domain_maps >in der >amavis Konfiguration. > >Es funktioniert, wenn ich die Domains in der Art eintrage: >@local_domains_maps = ( [ ".$mydomain", ".domain-1.de", "domain-n.de" ] >); > >Ich kann aus amavis auf eine mysql-DB zugreifen um bspw. Spam in mysql >zu >speichern mit den Einträgen > >@lookup_sql_dsn= >( >['DBI:mysql:database=amavis;host=127.0.0.1;port=3306', >'amavis','passwort'], >); >@storage_sql_dsn = @lookup_sql_dsn; > >Ich habe hier >>http://www.mail-archive.com/[email protected]/msg13906.html >gelesen, daß das gehen könnte, die in der DB eingetragenen Benutzer in >user.local für @local_domain_maps verwenden, nur verstanden hab ich es >nicht :) > >Wie müßte dann der Eintrag für @local_domain_maps lauten, damit die DB >verwendet wird? > >TIA > >kp > > >------------------------------ > >Message: 6 >Date: Thu, 3 Jun 2010 10:45:16 +0200 >From: "Andreas" <[email protected]> >To: <[email protected]> >Subject: [postfix-users] Mailqueue wird mails nicht los >Message-ID: <df0710604399472a8211709bced72...@ldap3792b335e9> >Content-Type: text/plain; charset="iso-8859-1" > >Hi list, > > > >seit kurzem ist mir aufgefallen dass unser postfix-mail-server 1, der >als >haupt-mail-server fungiert und die mails nach innen und aussen >weiterleitet, >die queue mit allerhand mails voll hat. Darunter sind auch mails an >verteiler. > >Teilweise gibt es timeouts bei der kommunikation mit dem mailserver 2, >welcher die postfächer enthält. (postfix, dovecot mit 2000 postfächern) > >Postqueue p auf mail server 1 enthält viele Nachrichten einer >Aussendung >an mehr als 1000 user in der Queue. > >Es gibt folgende Meldung: > >(conversation with mailserver 2 [ip] timed out while sending RCPT TO) > >Diese Mails an die Verteiler stecken seit einigen Tagen in der queue >fest. > >Was blockiert die Aussendung dieser Verteiler-Mail ? > >Vor allem gibt es keine Meldung, dass die Mails verzögert werden oder >nicht >angekommen sind. > > > >Die log-Dateien geben nichts verdächtiges aus. > >Wie gesagt, mails gehen rein und raus, nur bei den mails an die >verteiler >hakt es ordentlich. > > > >Config n (mailserver 1) > > > > > >Mailserver 1:/ # postconf -n > >alias_database = hash:/etc/aliases > >alias_maps = hash:/etc/aliases > >allow_percent_hack = yes > >append_at_myorigin = yes > >command_directory = /usr/sbin > >config_directory = /etc/postfix > >content_filter = > >daemon_directory = /usr/lib/postfix > >debug_peer_level = 20 > >default_destination_recipient_limit = 9000 > >default_extra_recipient_limit = 9000 > >defer_transports = > >disable_dns_lookups = no > >empty_address_recipient = MAILER-DAEMON > >inet_interfaces = IP > >local_recipient_maps = unix:passwd.byname $alias_maps > >mail_owner = postfix > >mail_spool_directory = /var/mail > >mailbox_command = > >mailbox_size_limit = 0 > >mailbox_transport = > >mailq_path = /usr/bin/mailq > >manpage_directory = /usr/share/man > >maps_rbl_domains = pbl.spamhaus.org sbl-xbl.spamhaus.org >relays.ordb.org >combined.njabl.org > >masquerade_classes = envelope_sender, header_sender, header_recipient > >masquerade_domains = domain.de > >masquerade_exceptions = root > >mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, >domain-2.de > >mydomain = domain.de > >myhostname = server.domain.de > >mynetworks = IP > >myorigin = $mydomain > >newaliases_path = /usr/bin/newaliases > >queue_directory = /var/spool/postfix > >readme_directory = /usr/share/doc/postfix/README_Debian > >relay_domains = $mydestination > >relayhost = > >sendmail_path = /usr/sbin/sendmail > >setgid_group = postdrop > >smtp_sasl_auth_enable = no > >smtp_use_tls = no > >smtpd_client_restrictions = reject_rbl_client sbl-xbl.spamhaus.org >reject_rbl_client cbl.abuseat.org > >smtpd_helo_required = yes > >smtpd_helo_restrictions = > >smtpd_recipient_limit = 9000 > >smtpd_recipient_restrictions = >permit_mynetworks,reject_unauth_destination > >smtpd_sasl_auth_enable = no > >smtpd_use_tls = no > >strict_rfc821_envelopes = no > >swap_bangpath = yes > >unknown_local_recipient_reject_code = 450 > >virtual_alias_domains = virtual-domain.de > >virtual_alias_maps = hash:/etc/postfix/virtual > > > > > > > >postconf n (mailserver 2) > > > >mailserver 2:~# postconf -n > >alias_maps = hash:/etc/aliases > >command_directory = /usr/sbin > >config_directory = /etc/postfix > >daemon_directory = /usr/lib/postfix > >default_destination_recipient_limit = 9000 > >default_extra_recipient_limit = 9000 > >home_mailbox = Maildir/ > >html_directory = /usr/share/doc/postfix/html > >inet_interfaces = IP > >mail_owner = postfix > >mailq_path = /usr/bin/mailq > >manpage_directory = /usr/share/man > >message_size_limit = 30960000 > >mydestination = $myhostname, localhost.$mydomain, localhost > >mydomain = mailserver 2.domain.de > >myhostname = mailserver 2.domain.de > >mynetworks = IPs > >myorigin = $mydomain > >newaliases_path = /usr/bin/newaliases > >queue_directory = /var/spool/postfix > >readme_directory = /usr/share/doc/postfix > >relay_domains = $mydestination > >sample_directory = /usr/share/postfix > >sendmail_path = /usr/sbin/sendmail > >setgid_group = postdrop > >smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > >smtpd_recipient_limit = 9000 > >unknown_local_recipient_reject_code = 550 > > > > > >-------------- nächster Teil -------------- >Ein Dateianhang mit HTML-Daten wurde abgetrennt... >URL: ><http://de.postfix.org/pipermail/postfix-users/attachments/20100603/786b84f2/attachment.html> > >------------------------------ > >_______________________________________________ >postfix-users mailing list >[email protected] >http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users > > >Ende postfix-users Nachrichtensammlung, Band 26, Eintrag 2 >********************************************************** _______________________________________________ postfix-users mailing list [email protected] http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
