[gelöst] amavis-new Zustellung

Huflatisch · 21 März 2007

Hallo

Habe mir Postfix, cyrus, amavis-new, spamassassin und clamav installiert.
scheint auch soweit zu funktionieren. Jetzt fehlt noch bissel grobes feintunning ...

An welcher Stelle kann ich einstellen das bei erkennen einer Virusmail der Empfänger eine Nachricht bekommt das jemand versucht hat einen Virus zu schicken. Bei mir verschwinden die email ohne Info in var/virusmails Ordner. Werden die darin automatisch gelöscht ? Und wo kann ich auch einstellen das die Absender eine Nachricht "email account gibs nicht" bekommen.

Und mit Spamassi hab ich dasselbe Problem. An welcher Stelle kann ich einstellen das als Spam erkannte Emails in einem shared folder des imad landen oder im spamordner der einzelnen user.

Auch habe ich nichts so richtig gefunden wie ich spamd konfigurieren lernen und einstellen kann. Gib es da irgendwo eine deutsche Anleitung

cu Huflatisch

pft · 21 März 2007

Anleitung Fehölanzeige - soweit ich weiß.

Konfiguriert wird beides (!) in der amavis.conf.

Das Problem über das ich gestoltpert bin ist, dass unter /etc nur eine Kurzfassung liegt, die nicht alle Optionen enthält. Das war füher (z.B. 9.1) besser. Allerdings kann man die alte Config nicht vewenden, da amaivs dann heftig meckert und dann abschmiert.

Du bist daher gut beraten die beispiele in /usr/share/doc/packages/amavis (oder so ähnlich) zu studieren.

Die genauen Optionen hab ich grad nicht zur Hand. Melde Dich nochmal wenn Du nicht zurecht kommst.
Es gibt aber einige Keywords die man auf D_BOUNCE, D_REJECT D_BVANNED und so setzen kann.
Ausserdem optionen wer über was informiert wird, also sowas ähnliches wir notify_sender, notify_recipient etc.

Bis denne

Huflatisch · 22 März 2007

Hallo

Hier mal meine amavis.conf

Code:

use strict;

# COMMONLY ADJUSTED SETTINGS:

# @bypass_virus_checks_maps = (1);  # uncomment to DISABLE anti-virus code
# @bypass_spam_checks_maps  = (1);  # uncomment to DISABLE anti-spam code

$max_servers = 2;            # number of pre-forked children (2..15 is common)
$daemon_user = 'vscan';
$daemon_group = 'vscan';

$mydomain = 'domain.loc';   # a convenient default for other settings

$MYHOME = '/var/spool/amavis';
$TEMPBASE = "$MYHOME/tmp";   # working directory, needs to be created manually
$ENV{TMPDIR} = $TEMPBASE;    # environment variable TMPDIR
$QUARANTINEDIR = '/var/spool/amavis/virusmails';
# $quarantine_subdir_levels = 1;  # add level of subdirs to disperse quarantine

# $daemon_chroot_dir = $MYHOME;   # chroot directory or undef

# $db_home   = "$MYHOME/db";
# $helpers_home = "$MYHOME/var";  # prefer $MYHOME clean and owned by root?
# $pid_file  = "$MYHOME/var/amavisd.pid";
# $lock_file = "$MYHOME/var/amavisd.lock";
#NOTE: create directories $MYHOME/tmp, $MYHOME/var, $MYHOME/db manually

@local_domains_maps = ( [".$mydomain"] );
# @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
#                   10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 );

$log_level = 0;              # verbosity 0..5
$log_recip_templ = undef;    # disable by-recipient level-0 log entries
$DO_SYSLOG = 1;              # log via syslogd (preferred)
$SYSLOG_LEVEL = 'mail.debug';

$enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP and nanny)
$enable_global_cache = 1;    # enable use of libdb-based cache if $enable_db=1

$inet_socket_port = 10024;   # listen on this local TCP port(s) (see $protocol)
$unix_socketname = "$MYHOME/amavisd.sock";  # when using sendmail milter

$sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 5.0;
$sa_kill_level_deflt = 6.31; # triggers spam evasive actions
$sa_dsn_cutoff_level = 9;    # spam level beyond which a DSN is not sent
# $sa_quarantine_cutoff_level = 20; # spam level beyond which quarantine is off

$sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0;    # only tests which do not require internet access?
$sa_auto_whitelist = 1;      # turn on AWL in SA 2.63 or older (irrelevant
                             # for SA 3.0, cf option is 'use_auto_whitelist')

# @lookup_sql_dsn =
#   ( ['DBI:mysql:database=mail;host=127.0.0.1;port=3306', 'user1', 'passwd1'],
#     ['DBI:mysql:database=mail;host=host2', 'username2', 'password2'],
#     ["DBI:SQLite:dbname=$MYHOME/sql/mail_prefs.sqlite", '', ''] );
# @storage_sql_dsn = @lookup_sql_dsn;  # none, same, or separate database

$virus_admin               = "virusalert\@$mydomain";  # notifications recip.
$mailfrom_notify_admin     = "virusalert\@$mydomain";  # notifications sender
$mailfrom_notify_recip     = "virusalert\@$mydomain";  # notifications sender
$mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender
$mailfrom_to_quarantine = ''; # null return path; uses original sender if undef

@addr_extension_virus_maps      = ('virus');
@addr_extension_spam_maps       = ('spam');
@addr_extension_banned_maps     = ('banned');
@addr_extension_bad_header_maps = ('badh');
# $recipient_delimiter = '+';  # undef disables address extensions altogether
# when enabling addr extensions do also Postfix/main.cf: recipient_delimiter=+

$path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin';
# $dspam = 'dspam';
$MAXLEVELS = 14;
$MAXFILES = 1500;
$MIN_EXPANSION_QUOTA =      100*1024;  # bytes  (default undef, not enforced)
$MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes  (default undef, not enforced)

$sa_spam_subject_tag = '***SPAM*** ';
$defang_virus  = 1;  # MIME-wrap passed infected mail
$defang_banned = 1;  # MIME-wrap passed mail containing banned name

# OTHER MORE COMMON SETTINGS (defaults may suffice):
$myhostname = 'domain.loc';

# $notify_method  = 'smtp:[127.0.0.1]:10025';
# $forward_method = 'smtp:[127.0.0.1]:10025';  # set to undef with milter!

# $final_virus_destiny      = D_DISCARD;
$final_virus_destiny      = D_REJECT;
# $final_banned_destiny     = D_BOUNCE;
$final_spam_destiny = D_PASS;
# $final_bad_header_destiny = D_PASS;

# SOME OTHER VARIABLES WORTH CONSIDERING (see amavisd.conf-default for all)

# $warnbadhsender,
# $warnvirusrecip, $warnbannedrecip, $warnbadhrecip, (or @warn*recip_maps)
#
# @bypass_virus_checks_maps, @bypass_spam_checks_maps,
# @bypass_banned_checks_maps, @bypass_header_checks_maps,
#
# @virus_lovers_maps, @spam_lovers_maps,
# @banned_files_lovers_maps, @bad_header_lovers_maps,
#
# @blacklist_sender_maps, @score_sender_maps,
#
# $virus_quarantine_to, $banned_quarantine_to,
# $bad_header_quarantine_to, $spam_quarantine_to,
#
# $defang_bad_header, $defang_undecipherable, $defang_spam

# REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS

@viruses_that_fake_sender_maps = (new_RE(
# [qr'\bEICAR\b'i => 0],            # av test pattern name
# [qr'^(WM97|OF97|Joke\.)'i => 0],  # adjust names to match your AV scanner
  [qr/^/ => 1],  # true for everything else
));

@keep_decoded_original_maps = (new_RE(
# qr'^MAIL$',   # retain full original message for virus checking (can be slow)
  qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables
  qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
# qr'^Zip archive data',     # don't trust Archive::Zip
));

# for $banned_namepath_re, a new-style of banned table, see amavisd.conf-sample

$banned_filename_re = new_RE(
# qr'^UNDECIPHERABLE$',  # is or contains any undecipherable components

  # block certain double extensions anywhere in the base name
  qr'\.[^./]*[A-Za-z][^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,

# qr'\{[0-9a-z]{4,}(-[0-9a-z]{4,}){0,7}\}?'i,  # Class ID extensions - CLSID

  qr'^application/x-msdownload$'i,                  # block these MIME types
  qr'^application/x-msdos-program$'i,
  qr'^application/hta$'i,

# qr'^message/partial$'i,         # rfc2046 MIME type
# qr'^message/external-body$'i,   # rfc2046 MIME type

# [ qr'^\.(Z|gz|bz2)$'           => 0 ],  # allow any in Unix-compressed
  [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any in Unix-type archives
# [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],  # allow any within such archives

  qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic
# qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
#        inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
#        ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
#        wmf|wsc|wsf|wsh)$'ix,  # banned ext - long

# qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i,  # banned extension - WinZip vulnerab.

  qr'^\.(exe-ms)$',                       # banned file(1) types
# qr'^\.(exe|lha|tnef|cab|dll)$',         # banned file(1) types
);
# See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631
# and http://www.cknow.com/vtutor/vtextensions.htm


# ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING

@score_sender_maps = ({ # a by-recipient hash lookup table,
                        # results from all matching recipient tables are summed

# ## per-recipient personal tables  (NOTE: positive: black, negative: white)
# 'user1@example.com'  => [{'bla-mobile.press@example.com' => 10.0}],
# 'user3@example.com'  => [{'.ebay.com'                 => -3.0}],
# 'user4@example.com'  => [{'cleargreen@cleargreen.com' => -7.0,
#                           '.cleargreen.com'           => -5.0}],

  ## site-wide opinions about senders (the '.' matches any recipient)
  '.' => [  # the _first_ matching sender determines the score boost

   new_RE(  # regexp-type lookup table, just happens to be all soft-blacklist
    [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i         => 5.0],
    [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0],
    [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0],
    [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i   => 5.0],
    [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i  => 5.0],
    [qr'^(your_friend|greatoffers)@'i                                => 5.0],
    [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i                    => 5.0],
   ),

#  read_hash("/var/amavis/sender_scores_sitewide"),

   { # a hash-type lookup table (associative array)
     'nobody@cert.org'                        => -3.0,
     'cert-advisory@us-cert.gov'              => -3.0,
     'owner-alert@iss.net'                    => -3.0,
     'slashdot@slashdot.org'                  => -3.0,
     'bugtraq@securityfocus.com'              => -3.0,
     'ntbugtraq@listserv.ntbugtraq.com'       => -3.0,
     'security-alerts@linuxsecurity.com'      => -3.0,
     'mailman-announce-admin@python.org'      => -3.0,
     'amavis-user-admin@lists.sourceforge.net'=> -3.0,
     'notification-return@lists.sophos.com'   => -3.0,
     'owner-postfix-users@postfix.org'        => -3.0,
     'owner-postfix-announce@postfix.org'     => -3.0,
     'owner-sendmail-announce@lists.sendmail.org'   => -3.0,
     'sendmail-announce-request@lists.sendmail.org' => -3.0,
     'donotreply@sendmail.org'                => -3.0,
     'ca+envelope@sendmail.org'               => -3.0,
     'noreply@freshmeat.net'                  => -3.0,
     'owner-technews@postel.acm.org'          => -3.0,
     'ietf-123-owner@loki.ietf.org'           => -3.0,
     'cvs-commits-list-admin@gnome.org'       => -3.0,
     'rt-users-admin@lists.fsck.com'          => -3.0,
     'clp-request@comp.nus.edu.sg'            => -3.0,
     'surveys-errors@lists.nua.ie'            => -3.0,
     'emailnews@genomeweb.com'                => -5.0,
     'yahoo-dev-null@yahoo-inc.com'           => -3.0,
     'returns.groups.yahoo.com'               => -3.0,
     'clusternews@linuxnetworx.com'           => -3.0,
     lc('lvs-users-admin@LinuxVirtualServer.org')    => -3.0,
     lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0,

     # soft-blacklisting (positive score)
     'sender@example.net'                     =>  3.0,
     '.example.net'                           =>  1.0,

   },
  ],  # end of site-wide tables
});


@decoders = (
  ['mail', \&do_mime_decode],
  ['asc',  \&do_ascii],
  ['uue',  \&do_ascii],
  ['hqx',  \&do_ascii],
  ['ync',  \&do_ascii],
  ['F',    \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ],
  ['Z',    \&do_uncompress, ['uncompress','gzip -d','zcat'] ],
  ['gz',   \&do_gunzip],
  ['gz',   \&do_uncompress,  'gzip -d'],
  ['bz2',  \&do_uncompress,  'bzip2 -d'],
  ['lzo',  \&do_uncompress,  'lzop -d'],
  ['rpm',  \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ],
  ['cpio', \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['tar',  \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['tar',  \&do_tar],
  ['deb',  \&do_ar,          'ar'],
# ['a',    \&do_ar,          'ar'],  # unpacking .a seems an overkill
  ['zip',  \&do_unzip],
  ['rar',  \&do_unrar,      ['rar','unrar'] ],
  ['arj',  \&do_unarj,      ['arj','unarj'] ],
  ['arc',  \&do_arc,        ['nomarch','arc'] ],
  ['zoo',  \&do_zoo,         'zoo'],
  ['lha',  \&do_lha,         'lha'],
# ['doc',  \&do_ole,         'ripole'],
  ['cab',  \&do_cabextract,  'cabextract'],
  ['tnef', \&do_tnef_ext,    'tnef'],
  ['tnef', \&do_tnef],
  ['exe',  \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
);

@av_scanners = (
 ['ClamAV-clamd',
   \&ask_daemon, ["CONTSCAN {}\n", "127.0.0.1:3310"],
   qr/\bOK$/, qr/\bFOUND$/,
   qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
);

@av_scanners_backup = (

);

1;  # insure a defined return

Ich weis nicht an welcher Stelle ich einstelle das der Virusempfänger eine Nachricht bekommt und das die Emails gleich gelöscht werden.
Welcher Eintrag ist für die Verteilung zuständig das Spam in bestimmte Ordner geht und mit welchen Eintrag kann ich Bayes einschalten

cu Huflatisch

TomcatMJ · 22 März 2007

Hi!

Huflatisch schrieb:
...
Ich weis nicht an welcher Stelle ich einstelle das der Virusempfänger eine Nachricht bekommt ...

Ich hoffe, daß dir DAS auch niemand verrät, es sei denn derjenige will, daß du zum Spammer mutierst! Die meisten Spams und Virenverteilermails nutzen schießich gefakte oder fremde Mailadressen die mit dem eigentlicen Versender ungefähr soviel zu tun haben wie ein finnisches Gurkenglas mit einem südafrikanischen Fahrradfahrer, nämlich gar nix. Wenn du solche Mails mit einer Medung quittierst, dann dürfte dein provider dir ziemlich fix die Leitung kappen, spätestens jedoch nach der 5. Abusemeldung über dich als Serverbetreiber die er deswegen woh dann erhalten dürfte.

...
und das die Emails gleich gelöscht werden.
Welcher Eintrag ist für die Verteilung zuständig das Spam in bestimmte Ordner geht und mit welchen Eintrag kann ich Bayes einschalten

cu Huflatisch

Hm, mit amavis-new hab ich mich bisher noch nicht allzu eingehend beschäftigt...die Mails direkt nach /dev/null zu verschieben bzw. zu löschen wäre jedenfalls das effektivste Gegenmittel was zu nutzen wäre.
Wenn bis Anfang nächster Woche jedoch noch niemand was dazu gesagt haben sollte werd ich wohl inzwischen meinen Wissensstand diesbezüglich erweitert haben und dann dazu was genaueres sagen können*g*

Bis denne,
Tom

Huflatisch · 22 März 2007

Hi

Eigendlich will ich das der "Empfänger" an den ein Virus geschickt wurde eine Nachricht erhält das jemand versucht hat ihm einen Virus zu schicken, und das der Virus nicht erst in ./virusmails verschoben, sondern gleich gelöscht wird.

Ich habe woanders "clamd" direkt laufen da funktioniert das so einwandfrei

cu Huflatisch

TomcatMJ · 22 März 2007

Achso, also wohl ein Missverständnis meinerseits bei dem ich dachte du wollest dem Absender der Mai eine Info zukommen lassen*g*
Ok, also benötigst du wohl sowas wie ein Zusatzflag im Mailheader ( X-Virus-Status wäre da wohl gängig ) und einen Hinweis im Mailbody daß dort der Virus entfernt wurde und die ansonsten reguläre Mailauslieferung abzüglich dem Virus....
Ich schätze, bis spätestens Montag dürfte sich da doch was verwertbares zu finden lassen

Bis denne,
Tom

Huflatisch · 22 März 2007

Hey

So ... bin ein bisssel weiter

Code:

$sa_tag_level_deflt  = 2.0;
#das sagt ab welchem Level eine Spaminfo in den Header kommt. 
#Hab ich auf -1000 gesetzt, damit bekommt jede Emaildiese Info

Code:

$sa_tag2_level_deflt = 5.0;
#ab diesem Level gibs ein neuse Headerfeld mit X-Spam-Status yes

Code:

$sa_kill_level_deflt = 6.31;
#ab diesem Level wird $final_spam_destiny ausgeführt

Bei $final_spam_destiny gibs verschiedene Optionen

D_REJECT bekommt der Absender ein MAILER-DAEMON und wird in ./virusmails gespeichet
D_PASS wird einfach ausgeliefert
D_DISCARD wird gelöscht
D_BOUNCE ---> keine Ahnung

dasselbe gibst für $final_virus_destiny

Code:

$sa_spam_subject_tag 
#gibt an was im Header hinzugefügt wird wenn $sa_tag2_level_deflt größer dem eingestellten Level ist

... aber ich weiß einfach noch nicht wie ich die Spammail auf einen globalen oder einen, dem User (Emailempfänger) zugeordneten cyrus ordner schicken kann.

cu Huflatisch

Huflatisch · 23 März 2007

Hey

Habe ein openBook gefunden was einen sehr guten Eindruck macht. Werds mal durchlesen. Mal sehen ob da alles erklärt ist. Die Grundlagen sind schon ziemlich gut beschrieben.

http://www.oreilly.de/german/freebooks/spamvirger/

cu Huflatisch

pft · 23 März 2007

Hi Huflatisch,

sorry war ein paar Tage offline

hier die entsprechenden Zeilen:

Code:

# Notify virus (or banned files) RECIPIENT?
#  (not very useful, but some policies demand it)
$warnvirusrecip = 1;	# (defaults to false (undef))
$warnbannedrecip = 1;	# (defaults to false (undef))

Ich hoffe das hilft

bei weiteren Fragen melde dich nochmal

BTW, auch wenn ich mich wiederhole:
wenn Du mehr über alle Optionen wissen willst, dann vergiß die /etc/amavisd.conf sondern lies /usr/share/doc/packages/amavisd-new/amavisd.conf-sample

Das sind 2432 Zeilen wohl dokumentierte und gut strukturierte Informationen.

Huflatisch · 23 März 2007

Hey

Danke

Das sind 2432 Zeilen wohl dokumentierte und gut strukturierte Informationen

... ja, aber leider komplett in engl. Damit hab ich "leichte" Probleme

Dea O'Reilly ist in deutsch und Grundlagentechnisch sehr gut erklärend. Ich denke mit dem Teil komm ich jetzt klar.
Um meine Email noch in die imap Ordner zu sortieren ist procmail zuständig. Das hatte ich bis jetzt komplett ignoriert. ;-)

cu Huflatisch

carsten · 23 März 2007

in deiner Konfiguration bietet sich da sieve statt procmail an

Huflatisch · 23 März 2007

Hey

Danke für die Info.

Ich bin gerade am egroupware zu installieren. Dort kann ich angeblich die sieve Regeln für cyrus einstellen und Verwalten.

cu Huflatisch

pft · 24 März 2007

@Huflatisch:

na, Hauptsache es hat geholfen.
Anderseits stelle ich mir Linux ohne Englisch verdammt hart vor

Motiviert einen die Aussicht mit Linux besser zurecht zu kommen nicht dazu etwas Englisch zu lernen ? :wink:

Huflatisch · 1 Apr. 2007

Hey

Ich habe schon versucht in der Abendschule englisch zu lernen. Aber bei einmal in der Woche und dann ohne Zeit bis zu nächsten Woche was zu behalten --->

---> habe dann nach 60h aufgegeben :?

cu Huflatisch

PS: kann egroupware nur empfehlen. Wenn jemand cyrus draufhat ist dieses das ideale Web Gui für Email, Kontake, Termine usw. Die sieve Regeln sind auch in jeder Richtung anpassbar. Design ist nicht schlecht. Deutsches Handbuch. Deutsches FAQ