Rspamd: Antivirus-Modul funktioniert nicht

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
13 messages Options
Reply | Threaded
Open this post in threaded view
|

Rspamd: Antivirus-Modul funktioniert nicht

Andreas-2

Hallo,

 

ich versuche bei Rspamd das Antivirus-Modul zu integrieren und komme nicht weiter (Postfix/Dovecot auf Debian/Buster).

Unter /etc/rspamd/local.d liegt antivirus.conf mit

 

antivirus {
 clamav {
   action = "reject";
   message = '${SCANNER}: virus found: "${VIRUS}"';
   symbol = "CLAM_VIRUS";
   type = "clamav";
   servers = "127.0.0.1:3310";
   whitelist = "/etc/rspamd/antivirus.wl";
 }

 .include(try=true,priority=5) "${DBDIR}/dynamic/antivirus.conf"
 .include(try=true,priority=10) "$LOCAL_CONFDIR/override.d/antivirus.conf"
}
und folgender Befehl liefert

 

#  rspamadm configdump antivirus
nested section: antivirus { antivirus { ... } }, it is likely a configuration error
unknown antivirus type: antivirus
cannot add rule: "antivirus"
cannot find dependency on symbol CLAM_VIRUS for symbol FORCE_ACTION_VIRUS_REJECT
*** Section antivirus ***
antivirus {
   clamav {
       action = "reject";
       message = "${SCANNER}: virus found: \"${VIRUS}\"";
       servers = "127.0.0.1:3310";
       whitelist = "/etc/rspamd/antivirus.wl";
       type = "clamav";
       symbol = "CLAM_VIRUS";
   }
}

*** End of section antivirus ***


In dem Logfile
/var/log/rspamd/rspamd.log finde ich:

 

2021-03-29 09:24:53 #19614(main) lua; lua_cfg_transform.lua:498: nested section: antivirus { antivirus { ... } }, it is likely a configuration error
2021-03-29 09:24:54 #19614(main) <dpkjgp>; lua; antivirus.lua:83: unknown antivirus type: antivirus
2021-03-29 09:24:54 #19614(main) <dpkjgp>; lua; antivirus.lua:161: cannot add rule: "antivirus"

Ein Eicar-Test von heise.de wird ungetestet zugestellt.
Mir ist jetzt nicht klar, warum ich hier eine "nested section" habe, antivirus ist nur an dieser Stelle konfiguriert.
Warum ist der antivirus-Typ unbekannt und wo erstelle ich welche Regel "antivirus"?
Ich finde leider im Internet und bei rspamd.com nichts dazu.

Beste Grüße

 

Andreas


Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

André Peters
Hi, in die local.d files nur den Inhalt des Modules, ergo

clamav { 
  action = "reject";
  message = '${SCANNER}: virus found: "${VIRUS}"';
  symbol = "CLAM_VIRUS";
  type = "clamav";
  servers = "127.0.0.1:3310";
  whitelist = "/etc/rspamd/antivirus.wl";

------ Originalnachricht ------
Von: "Andreas" <[hidden email]>
Gesendet: 29.03.2021 09:58:05
Betreff: Rspamd: Antivirus-Modul funktioniert nicht

Hallo,

 

ich versuche bei Rspamd das Antivirus-Modul zu integrieren und komme nicht weiter (Postfix/Dovecot auf Debian/Buster).

Unter /etc/rspamd/local.d liegt antivirus.conf mit

 

antivirus {
 clamav {
   action = "reject";
   message = '${SCANNER}: virus found: "${VIRUS}"';
   symbol = "CLAM_VIRUS";
   type = "clamav";
   servers = "127.0.0.1:3310";
   whitelist = "/etc/rspamd/antivirus.wl";
 }

 .include(try=true,priority=5) "${DBDIR}/dynamic/antivirus.conf"
 .include(try=true,priority=10) "$LOCAL_CONFDIR/override.d/antivirus.conf"
}
und folgender Befehl liefert

 

#  rspamadm configdump antivirus
nested section: antivirus { antivirus { ... } }, it is likely a configuration error
unknown antivirus type: antivirus
cannot add rule: "antivirus"
cannot find dependency on symbol CLAM_VIRUS for symbol FORCE_ACTION_VIRUS_REJECT
*** Section antivirus ***
antivirus {
   clamav {
       action = "reject";
       message = "${SCANNER}: virus found: \"${VIRUS}\"";
       servers = "127.0.0.1:3310";
       whitelist = "/etc/rspamd/antivirus.wl";
       type = "clamav";
       symbol = "CLAM_VIRUS";
   }
}

*** End of section antivirus ***


In dem Logfile
/var/log/rspamd/rspamd.log finde ich:

 

2021-03-29 09:24:53 #19614(main) lua; lua_cfg_transform.lua:498: nested section: antivirus { antivirus { ... } }, it is likely a configuration error
2021-03-29 09:24:54 #19614(main) <dpkjgp>; lua; antivirus.lua:83: unknown antivirus type: antivirus
2021-03-29 09:24:54 #19614(main) <dpkjgp>; lua; antivirus.lua:161: cannot add rule: "antivirus"

Ein Eicar-Test von heise.de wird ungetestet zugestellt.
Mir ist jetzt nicht klar, warum ich hier eine "nested section" habe, antivirus ist nur an dieser Stelle konfiguriert.
Warum ist der antivirus-Typ unbekannt und wo erstelle ich welche Regel "antivirus"?
Ich finde leider im Internet und bei rspamd.com nichts dazu.

Beste Grüße

 

Andreas


Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Andreas-2

Vielen Dank

 

für Deinen Hinweis. Das war aus Anleitungen mit cp modules.d/antivirus.conf local.d/
nicht ersichtlich.

 

Allerdings gehen die Eicar-Tests von Heise.de immer noch durch.

 

Grüße

 

Andreas

 

Am Montag, 29. März 2021, 09:59:39 CEST schrieb André Peters:

> Hi, in die local.d files nur den Inhalt des Modules, ergo

>

> clamav {

> action = "reject";

> message = '${SCANNER}: virus found: "${VIRUS}"';

> symbol = "CLAM_VIRUS";

> type = "clamav";

> servers = "127.0.0.1:3310";

> whitelist = "/etc/rspamd/antivirus.wl";

> }

 

 

 


Reply | Threaded
Open this post in threaded view
|

Re[2]: Rspamd: Antivirus-Modul funktioniert nicht

André Peters
Das ist richtig, schau dir bitte mal die Rspamd Logs an. :) Welche Symbole hat er für die Mail hinzugefügt?

------ Originalnachricht ------
Von: "Andreas" <[hidden email]>
Gesendet: 29.03.2021 10:19:50
Betreff: Re: Rspamd: Antivirus-Modul funktioniert nicht

Vielen Dank

 

für Deinen Hinweis. Das war aus Anleitungen mit cp modules.d/antivirus.conf local.d/
nicht ersichtlich.

 

Allerdings gehen die Eicar-Tests von Heise.de immer noch durch.

 

Grüße

 

Andreas

 

Am Montag, 29. März 2021, 09:59:39 CEST schrieb André Peters:

> Hi, in die local.d files nur den Inhalt des Modules, ergo

>

> clamav {

> action = "reject";

> message = '${SCANNER}: virus found: "${VIRUS}"';

> symbol = "CLAM_VIRUS";

> type = "clamav";

> servers = "127.0.0.1:3310";

> whitelist = "/etc/rspamd/antivirus.wl";

> }

 

 

 


Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Andreas-2

Am Montag, 29. März 2021, 10:30:58 CEST schrieb André Peters:

> Das ist richtig, schau dir bitte mal die Rspamd Logs an. :) Welche Symbole

> hat er für die Mail hinzugefügt?

 

Das ist der Log, wenn ich eine Eicar-Testmail sende:

 

2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 53138
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; milter; rspamd_milter_process_command: got connection from 193.99.144.71:48354
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_message_parse: loaded message; id: <[hidden email]>; queue-id: <2D79712005D>; size: 1347; checksum: <443fefbf795442a7c77d8e37f1173174>
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_mime_text_part_utf8_convert: converted text part from ISO-8859-1 ('iso-8859-1' announced) to UTF-8 inlen: 813, outlen: 820 (813 UTF16 chars)
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_mime_part_detect_language: detected part language: de
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; lua; spf.lua:159: use cached record for ct.de (0x2b618ce2fac2c84f) in LRU cache for 391 seconds
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_symcache_finalize_item: slow rule: SEM_URIBL_UNKNOWN(276): 339.92 ms; enable slow timer delay
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_symcache_finalize_item: slow rule: SEM_URIBL_FRESH15_UNKNOWN(263): 368.92 ms
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_symcache_finalize_item: slow rule: SURBL_MULTI(273): 463.92 ms; enable slow timer delay
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_symcache_finalize_item: slow rule: URIBL_MULTI(272): 467.92 ms
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_SPAM of classifier bayes: not enough learns 12; 200 required
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_HAM of classifier bayes: not enough learns 0; 200 required
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_stat_classifiers_process: skip statistics as SPAM class is missing
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; lua; greylist.lua:318: Score too low - skip greylisting
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_task_write_log: id: <[hidden email]>, qid: <2D79712005D>, ip: 193.99.144.71, from: <[hidden email]>, (default: F (no action): [0.03/15.
00] [R_MIXED_CHARSET(0.83){subject;},RCVD_IN_DNSWL_HI(-0.50){193.99.144.71:from;},R_SPF_ALLOW(-0.20){+ip4:193.99.144.0/24:c;},MIME_GOOD(-0.10){text/plain;},ARC_NA(0.00){},ARC_SIGNED(0.00){linuxmaker.de:s=2021:i=1;},ASN(0.00){asn:12
306, ipnet:193.99.144.0/24, country:DE;},DMARC_NA(0.00){ct.de;},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},MIME_TRACE(0.00){0:+;},RCPT_COUNT_ONE(0.00){1;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_GOOD(0.00){193
.99.144.71:from;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]), len: 1347, time: 633.894ms, dns req: 17, digest: <443fefbf795442a7c77d8e37f1173174>, rcpts: <[hidden email]>, mime_rcpts: <[hidden email]>
2021-03-29 12:43:37 #21119(rspamd_proxy) <f939bc>; proxy; rspamd_protocol_http_reply: regexp statistics: 0 pcre regexps scanned, 4 regexps matched, 174 regexps total, 66 regexps cached, 0B scanned using pcre, 3.34KiB scanned total
2021-03-29 12:43:37 #21119(rspamd_proxy) <a620a8>; proxy; proxy_milter_finish_handler: finished milter connection



Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Gerald Galster-2
Am Montag, 29. März 2021, 10:30:58 CEST schrieb André Peters:
> Das ist richtig, schau dir bitte mal die Rspamd Logs an. :) Welche Symbole
> hat er für die Mail hinzugefügt?

 

Das ist der Log, wenn ich eine Eicar-Testmail sende:

Schick Dir selbst eine Mail und schreibe nur den Eicar-Teststring hinein:

Abschnitt "The Anti-Malware Testfile", der String, der mit X5O... anfängt.

Falls das erkannt wird füge in local.d/antivirus.conf folgende Optionen
hinzu und starte rspamd neu:

clamav {
    ...
    scan_mime_parts = true;
    scan_text_mime = true;
    scan_image_mime = true;
    retransmits = 4;
    timeout = 15;
    ...
}

Schau auch im Systemlog ob clamav selbst Eicar erkennt.


Alternativ prüfe die clamd.conf (von clamav, nicht von rspamd):

ScanMail BOOL
              Enable scanning of mail files.
              If you turn off this option, the original files will still be scanned, but without parsing individual messages/attachments.
              Default: yes

Siehe man clamd.conf


Viele Grüße
Gerald
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Andreas-2

Habe ich gemacht

> Schick Dir selbst eine Mail und schreibe nur den Eicar-Teststring hinein:

>

> https://www.eicar.org/?page_id=3950 <https://www.eicar.org/?page_id=3950>

> Abschnitt "The Anti-Malware Testfile", der String, der mit X5O... anfängt.

>

Die Mail geht durch und ich sehe in dem Log nichts was auf Clamav hinweisen könnte:

2021-03-30 09:27:21 #21552(rspamd_proxy) <61f921>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 34572

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; milter; rspamd_milter_process_command: got connection from 93.220.240.201:39246

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_message_parse: loaded message; id: <1718393.pc0sDAHv4L@stuttgart>; queue-id: <5DE1D12005D>; size: 1360; checksum: <098d1f73438de343dde440b579977062>

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_mime_part_detect_language: detected part language: en

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_mime_part_detect_language: detected part language: en

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua; greylist.lua:204: skip greylisting for local networks and/or authorized users

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; dkim_symbol_callback: skip DKIM checks for local networks and authorized users

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua; spf.lua:185: skip SPF checks for local networks and authorized users

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua; dmarc.lua:596: skip DMARC checks as either SPF or DKIM were not checked

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua; once_received.lua:99: Skipping once_received for authenticated user or local network

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_HAM of classifier bayes: not enough learns 2; 200 required

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_SPAM of classifier bayes: not enough learns 16; 200 required

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_stat_classifiers_process: skip statistics as SPAM class is missing

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua; greylist.lua:318: Score too low - skip greylisting

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_task_write_log: id: <1718393.pc0sDAHv4L@stuttgart>, qid: <5DE1D12005D>, ip: 93.220.240.201, user: [hidden email], from: <[hidden email]>, (default: F (no action): [2.90/15.00] [MISSING_MIME_VERSION(2.00){},CTE_CASE(0.50){},MID_RHS_NOT_FQDN(0.50){},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:3320, ipnet:93.192.0.0/10, country:DE;},DKIM_SIGNED(0.00){linuxmaker.de:s=2021;},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},MIME_TRACE(0.00){0:+;1:+;2:~;},RCPT_COUNT_ONE(0.00){1;},RCVD_COUNT_ZERO(0.00){0;},TO_DN_NONE(0.00){},TO_EQ_FROM(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]), len: 1360, time: 16.134ms, dns req: 1, digest: <098d1f73438de343dde440b579977062>, rcpts: <[hidden email]>, mime_rcpts: <[hidden email]>

2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy; rspamd_protocol_http_reply: regexp statistics: 0 pcre regexps scanned, 3 regexps matched, 174 regexps total, 42 regexps cached, 0B scanned using pcre, 1.35KiB scanned total

2021-03-30 09:27:23 #21552(rspamd_proxy) <649a1d>; proxy; proxy_milter_finish_handler: finished milter connection

> Falls das erkannt wird füge in local.d/antivirus.conf folgende Optionen

> hinzu und starte rspamd neu:

>

> clamav {

> ...

> scan_mime_parts = true;

> scan_text_mime = true;

> scan_image_mime = true;

> retransmits = 4;

> timeout = 15;

> ...

> }

Das habe ich vorsorglich auch eingefügt.

>

> Schau auch im Systemlog ob clamav selbst Eicar erkennt.

>

>

> Alternativ prüfe die clamd.conf (von clamav, nicht von rspamd):

>

> ScanMail BOOL

> Enable scanning of mail files.

> If you turn off this option, the original files will still be

> scanned, but without parsing individual messages/attachments. Default: yes

Nun, das ist mit

"ScanMail true"
aktiv. Ebenfalls habe ich in der clamd.conf

TCPAddr 127.0.0.1
TCPSocket 3310

gesetzt. So funktioniert auch

ss -tulpen | grep 3310
tcp     LISTEN   0        15             127.0.0.1:3310           0.0.0.0:*      users:(("clamd",pid=12798,fd=4)) uid:112 ino:2057446 sk:1b <->  

Aber er scannt leider nicht die Mails.

 

Beste Grüße

 

Andreas

 

 

 

Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Andreas-2

Hallo zusammen!

 

Ich habe Clamav separat mit einer EICAR-Datei getestet und das funktioniert:

 

# clamscan test  
/root/test: Eicar-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 8516193
Engine version: 0.102.4
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 12.130 sec (0 m 12 s)

Nur wird Clamav nicht von Rspamd aufgerufen.

 

Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Gerald Galster-2
Hallo Andreas,

wenn Eicar erkannt wird sieht das im log so ähnlich aus:

Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy; rspamd_mime_part_detect_language: detected part language: en
Mar 30 11:54:04 mx clamd[26034]: instream(local): Eicar-Signature FOUND
Mar 30 11:54:04 mx rspamd[21554]: <269064>; lua; common.lua:107: clamav: result - virusfound: "Eicar-Signature - score: 1"
Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy; rspamd_add_passthrough_result: <msg@id>: set pre-result to 'reject' *least (no score): 'virus found' from clamav(1)

Unter rspamd_task_write_log ist das Symbol CLAM_VIRUS(0.00){Eicar-Signature;} aufgeführt.


Wird clamav beim Start von rspamd geladen?

Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; lua_redis.lua:573: use default Redis settings for antivirus
Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; antivirus.lua:163: added antivirus engine clamav -> CLAM_VIRUS
Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; cfg; rspamd_init_lua_filters: init lua module antivirus from /usr/share/rspamd/plugins/antivirus.lua; digest: 13439b8ded



Wird die config durch andere includes verändert? (override.d/antivirus.conf, dynamic/antivirus.conf)

Könnte selinux/apparmor oder eine Firewall die Verbindung von rspamd zu clamd verhindern?

TCP Sockets sind normalerweise unproblematisch, alternativ könntest Du Unix Domain Sockets probieren:
local.d/antivirus.conf: servers = "/var/run/clamd/clamd.sock";

Du könntest in logging.inc debug_modules = ["antivirus"]; hinzufügen, evtl. sagt rspamd hier was fehlt.

Ist das antivirus Modul vorhanden?

[root@mx rspamd]# rpm -ql rspamd | egrep -i "clam|virus"
/etc/rspamd/modules.d/antivirus.conf
/usr/share/rspamd/lualib/lua_scanners/clamav.lua
/usr/share/rspamd/lualib/lua_scanners/virustotal.lua
/usr/share/rspamd/plugins/antivirus.lua

Andernfalls bliebe noch ein strace um zu überprüfen ob rspamd überhaupt etwas mit clamav macht.

Viele Grüße
Gerald
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Andreas-2

Hallo Gerald,

 

das findet sich bei mir nicht in den Logs:

>

> Mar 30 11:54:04 mx rspamd[21554]: <269064>; proxy;

> rspamd_mime_part_detect_language: detected part language: en Mar 30

> 11:54:04 mx clamd[26034]: instream(local): Eicar-Signature FOUND Mar 30

> 11:54:04 mx rspamd[21554]: <269064>; lua; common.lua:107: clamav: result -

> virusfound: "Eicar-Signature - score: 1" Mar 30 11:54:04 mx rspamd[21554]:

> <269064>; proxy; rspamd_add_passthrough_result: <msg@id>: set pre-result to

> 'reject' *least (no score): 'virus found' from clamav(1)

>

> Unter rspamd_task_write_log ist das Symbol

> CLAM_VIRUS(0.00){Eicar-Signature;} aufgeführt.

 

> Wird clamav beim Start von rspamd geladen?

>

> Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; lua; lua_redis.lua:573: use

> default Redis settings for antivirus Mar 30 12:22:51 mx rspamd[17331]:

> <1orwxn>; lua; antivirus.lua:163: added antivirus engine clamav ->

> CLAM_VIRUS Mar 30 12:22:51 mx rspamd[17331]: <1orwxn>; cfg;

> rspamd_init_lua_filters: init lua module antivirus from

> /usr/share/rspamd/plugins/antivirus.lua; digest: 13439b8ded

Ich sage definit ja :

2021-03-30 12:33:35 #28302(main) <biooft>; lua; antivirus.lua:163: added antivirus engine clamav -> CLAM_VIRUS

2021-03-30 12:33:35 #28302(main) <biooft>; cfg; rspamd_init_lua_filters: init lua module antivirus from /usr/share/rspamd/plugins/antivirus.lua; digest: 13439b8ded

2021-03-30 12:33:35 #28302(main) <biooft>; cfg; rspamd_init_lua_filters: init lua module arc from /usr/share/rspamd/plugins/arc.lua; digest: 5c7f784d04

 

 

>

>

> Wird die config durch andere includes verändert? (override.d/antivirus.conf,

> dynamic/antivirus.conf)

Nein, es existiert bislang nur ein antivir.conf unterhalb von local.d

>

> Könnte selinux/apparmor oder eine Firewall die Verbindung von rspamd zu

> clamd verhindern?

Nein, auf dieser Maschine läuft keine Firewall, nur vor diesem Host.

>

> TCP Sockets sind normalerweise unproblematisch, alternativ könntest Du Unix

> Domain Sockets probieren: local.d/antivirus.conf: servers =

> "/var/run/clamd/clamd.sock";

>

> Du könntest in logging.inc debug_modules = ["antivirus"]; hinzufügen, evtl.

> sagt rspamd hier was fehlt.

Habe ich bereits eingerichtet. Bislang kommen keine Fehler.

 

>

> Ist das antivirus Modul vorhanden?

>

> [root@mx rspamd]# rpm -ql rspamd | egrep -i "clam|virus"

> /etc/rspamd/modules.d/antivirus.conf

> /usr/share/rspamd/lualib/lua_scanners/clamav.lua

> /usr/share/rspamd/lualib/lua_scanners/virustotal.lua

> /usr/share/rspamd/plugins/antivirus.lua

Ja

# dpkg -L rspamd | egrep -i "clam|virus"
/etc/rspamd/modules.d/antivirus.conf
/usr/share/rspamd/lualib/lua_scanners/clamav.lua
/usr/share/rspamd/lualib/lua_scanners/virustotal.lua
/usr/share/rspamd/plugins/antivirus.lua

 

>

> Andernfalls bliebe noch ein strace um zu überprüfen ob rspamd überhaupt

> etwas mit clamav macht.

Okay, da bin ich etwas unerfahren wie ich mit strace rspamd nutze, da ja rspamd von Postfix als Milter abgerufen wird.

 

Beste Grüße und vielen Dank

 

Andreas

 


Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Gerald Galster-2
> Ich sage definit ja :
> 2021-03-30 12:33:35 #28302(main) <biooft>; lua; antivirus.lua:163: added antivirus engine clamav -> CLAM_VIRUS
> 2021-03-30 12:33:35 #28302(main) <biooft>; cfg; rspamd_init_lua_filters: init lua module antivirus from /usr/share/rspamd/plugins/antivirus.lua; digest: 13439b8ded
> 2021-03-30 12:33:35 #28302(main) <biooft>; cfg; rspamd_init_lua_filters: init lua module arc from /usr/share/rspamd/plugins/arc.lua; digest: 5c7f784d04

Zumindest wird das Modul schon mal geladen.

Gibt es whitelists oder maps (z.B. prefilter, IPs, Domains, SASL, ...), die den Viruscheck überspringen könnten?

Oder sind Symbole deaktiviert? (symbols = []; symbols_disabled = ["", "", ...])

Hattest Du den loglevel schon auf debug?
(logging.inc -> level = "info";)

> > Andernfalls bliebe noch ein strace um zu überprüfen ob rspamd überhaupt
> > etwas mit clamav macht.
> Okay, da bin ich etwas unerfahren wie ich mit strace rspamd nutze, da ja rspamd von Postfix als Milter abgerufen wird.

Such die pids von rspamd mit "ps axf" raus und häng Dich mit strace dran:

strace -f -s 4096 -p 1234 > log.1234.txt 2>&1
strace -f -s 4096 -p 1235 > log.1235.txt 2>&1
...

oder

strace -f -s 4096 -p 1234 -p 1235 > log.txt 2>&1

-f folgt forks und -s zeigt Daten bis 4096 Bytes an

Evtl. findet sich "permission denied", "connection refused" oder was mit clam ...

Viele Grüße
Gerald
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Carsten Rosenberg
In reply to this post by Andreas-2
Hey,

hast du debugging für antivirus angemacht?

# /etc/rspamd/local.d/logging.inc

debug_modules = ["antivirus"];

Füg mal noch einen Parameter zur clamav config hinzu

# /etc/rspamd/local.d/antivirus.conf

clamav {

  log_clean = true;

  scan_mime_parts = true;
  scan_text_mime = true;

  action = "reject";
  message = '${SCANNER}: virus found: "${VIRUS}"';
  symbol = "CLAM_VIRUS";
  type = "clamav";
  servers = "127.0.0.1:3310";
  whitelist = "/etc/rspamd/antivirus.wl";
}

Und dann schau einmal genau in die Logs. was rspamd in Bezug auf

antivirus.lua
common.lua
clamav.lua

loggt. Jetzt sollte er dir auch schreiben, wenn Clamav keinen Virus
gefunden hat.

Clamav zickt nämlich manchmal wenn der Eicar String einfach nur im Text
ist. Heise bietet ja auch 1-2 andere Viren an. Ansonsten einfach als
.com Anhang oder so senden.

Viele Grüße

Carsten

On 30.03.21 09:35, Andreas wrote:

> Habe ich gemacht
>
>> Schick Dir selbst eine Mail und schreibe nur den Eicar-Teststring hinein:
>
>>
>
>> https://www.eicar.org/?page_id=3950 <https://www.eicar.org/?page_id=3950>
>
>> Abschnitt "The Anti-Malware Testfile", der String, der mit X5O... anfängt.
>
>>
>
> Die Mail geht durch und ich sehe in dem Log nichts was auf Clamav
> hinweisen könnte:
>
> 2021-03-30 09:27:21 #21552(rspamd_proxy) <61f921>; proxy;
> proxy_accept_socket: accepted milter connection from ::1 port 34572
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; milter;
> rspamd_milter_process_command: got connection from 93.220.240.201:39246
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_message_parse: loaded message; id:
> <1718393.pc0sDAHv4L@stuttgart>; queue-id: <5DE1D12005D>; size: 1360;
> checksum: <098d1f73438de343dde440b579977062>
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_mime_part_detect_language: detected part language: en
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_mime_part_detect_language: detected part language: en
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua;
> greylist.lua:204: skip greylisting for local networks and/or authorized
> users
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> dkim_symbol_callback: skip DKIM checks for local networks and authorized
> users
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua; spf.lua:185:
> skip SPF checks for local networks and authorized users
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua; dmarc.lua:596:
> skip DMARC checks as either SPF or DKIM were not checked
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua;
> once_received.lua:99: Skipping once_received for authenticated user or
> local network
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_redis_connected: skip obtaining bayes tokens for BAYES_HAM of
> classifier bayes: not enough learns 2; 200 required
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_redis_connected: skip obtaining bayes tokens for BAYES_SPAM of
> classifier bayes: not enough learns 16; 200 required
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_stat_classifiers_process: skip statistics as SPAM class is missing
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; lua;
> greylist.lua:318: Score too low - skip greylisting
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_task_write_log: id: <1718393.pc0sDAHv4L@stuttgart>, qid:
> <5DE1D12005D>, ip: 93.220.240.201, user: [hidden email], from:
> <[hidden email]>, (default: F (no action): [2.90/15.00]
> [MISSING_MIME_VERSION(2.00){},CTE_CASE(0.50){},MID_RHS_NOT_FQDN(0.50){},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:3320,
> ipnet:93.192.0.0/10,
> country:DE;},DKIM_SIGNED(0.00){linuxmaker.de:s=2021;},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},MIME_TRACE(0.00){0:+;1:+;2:~;},RCPT_COUNT_ONE(0.00){1;},RCVD_COUNT_ZERO(0.00){0;},TO_DN_NONE(0.00){},TO_EQ_FROM(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]),
> len: 1360, time: 16.134ms, dns req: 1, digest:
> <098d1f73438de343dde440b579977062>, rcpts: <[hidden email]>,
> mime_rcpts: <[hidden email]>
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <61f921>; proxy;
> rspamd_protocol_http_reply: regexp statistics: 0 pcre regexps scanned, 3
> regexps matched, 174 regexps total, 42 regexps cached, 0B scanned using
> pcre, 1.35KiB scanned total
>
> 2021-03-30 09:27:23 #21552(rspamd_proxy) <649a1d>; proxy;
> proxy_milter_finish_handler: finished milter connection
>
>> Falls das erkannt wird füge in local.d/antivirus.conf folgende Optionen
>
>> hinzu und starte rspamd neu:
>
>>
>
>> clamav {
>
>> ...
>
>> scan_mime_parts = true;
>
>> scan_text_mime = true;
>
>> scan_image_mime = true;
>
>> retransmits = 4;
>
>> timeout = 15;
>
>> ...
>
>> }
>
> Das habe ich vorsorglich auch eingefügt.
>
>>
>
>> Schau auch im Systemlog ob clamav selbst Eicar erkennt.
>
>>
>
>>
>
>> Alternativ prüfe die clamd.conf (von clamav, nicht von rspamd):
>
>>
>
>> ScanMail BOOL
>
>> Enable scanning of mail files.
>
>> If you turn off this option, the original files will still be
>
>> scanned, but without parsing individual messages/attachments. Default: yes
>
> Nun, das ist mit
>
> "ScanMail true"
> aktiv. Ebenfalls habe ich in der clamd.conf
>
> TCPAddr 127.0.0.1
> TCPSocket 3310
>
> gesetzt. So funktioniert auch
>
> ss -tulpen | grep 3310
> tcp     LISTEN   0        15             127.0.0.1:3310
>           0.0.0.0:*      users:(("clamd",pid=12798,fd=4)) uid:112
> ino:2057446 sk:1b <->  
>
> Aber er scannt leider nicht die Mails.
>
>  
>
> Beste Grüße
>
>  
>
> Andreas
>
>  
>
>  
>
>  
>
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd: Antivirus-Modul funktioniert nicht

Andreas-2

Hallo Carsten ,

 

die Einstellungen hatte ich bereits intus.

 

Ich hatte jetzt das Versenden des Eicar-Strings als normalen Anhang versucht, wie empfohlen.

Am Dienstag, 30. März 2021, 15:21:14 CEST schrieb Carsten Rosenberg:

> Clamav zickt nämlich manchmal wenn der Eicar String einfach nur im Text

> ist. Heise bietet ja auch 1-2 andere Viren an. Ansonsten einfach als

> .com Anhang oder so senden.

 

Das hat jetzt clamav reagieren lassen und die Mail rejected. Das funktioniert auch, wenn ich die Datei als Zip-Datei komprimiere. Nicht funktioniert die Erkennung nur des Eicar-Strings in dem Mailbody und wenn ich mir alle drei Arten von Heiseonline schicken lasse.

 

Ich würde mal sagen, es funktioniert zur Hälfte.

 

Das strace-Log liefert keine Auffälligkeiten.

 

Jedenfalls bis hierher vielen Dank für die Unterstützung.

 

Mit besten Grüßen

 

Andreas