[postfix-users] postfix-users Nachrichtensammlung, Band 26, Eintrag 2

Fr Jun 4 12:56:34 CEST 2010

>Message: 2
>Date: Wed, 2 Jun 2010 15:59:10 +0200 (CEST)
>From: Frank Lohoff <f.lohoff at nielsen-design.de>
>To: postfix-users at de.postfix.org
>Subject: [postfix-users] E-Mails interner User werden fäschlicherweise
>als Virus von clamav gefiltert
>Message-ID:
><32011538.5601275487150458.OPEN-XCHANGE.WebMail.tomcat at openex>
>Content-Type: text/plain; charset=ISO-8859-15
>
>Hallo zusammen,
>
>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden
>ist.
>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.
>
>Bisher klappte das auch ganz gut aber jetzt werden immer öfter E-Mails
>von internen Users als Virus erkannt und zurück behalten. Das ist
>Problematisch, da nur der Empfänger eine Benachrichtigung bekommt und
>nicht der Sender. Dieser geht davon aus, das seine E-Mail ordenlich und
>ohne Probleme versendet wurde.
>
>In einem Fall z.B. ist es eine reine Textemail ohne Anhang die
>zurückgehalten wurde. Scanne ich mit clamscan die orginal Datei bekomme
>ich folgende Meldung:
>64070.: INetMsg.SpamDomain-2w.versanet_de.UNOFFICIAL FOUND
>
>Ein zweiter Virenscanner erkennt den Virus nicht und sagt alles Ok.
>
>Wie kann ich dieses Fehlverhalten abstellen? Gibt es eine whitelist für
>den clamav?
>
>
>Mit freundlichem Gruß
>
>Frank Lohoff
>IT-Administrator
>
>Fon: 0049 (0) 52 42 - 41 05 244
>Fax: 0049 (0) 52 42 - 94 61 244
>E-Mail: f.lohoff at nielsen-design.de
>
>
>----------------------------------------
>Nielsen Design GmbH & Co. KG
>Röntgenstraße 10-12
>33378 Rheda-Wiedenbrück
>Amtsgericht Gütersloh, HRA 5463
>
>persönlich haftender Gesellschafter:
>Nielsen Design VerwaltungsGmbH
>Röntgenstraße 10-12
>33378 Rheda-Wiedenbrück
>Amtsgericht Gütersloh, HRB 6443
>Geschäftsführer: Albrecht Nitschke
>
>
>
>------------------------------
>
>Message: 3
>Date: Wed, 2 Jun 2010 16:05:35 +0200
>From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
>To: postfix-users at de.postfix.org
>Subject: Re: [postfix-users] E-Mails interner User werden
>fäschlicherweise als Virus von clamav gefiltert
>Message-ID: <20100602140535.GP24353 at charite.de>
>Content-Type: text/plain; charset=utf-8
>
>* Frank Lohoff <f.lohoff at nielsen-design.de>:
>>Hallo zusammen,
>>
>>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden
>>ist.
>>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.
>
>Jetzt die Gretchenfrage: WELCHE?
>
>Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM.
>
>--
>Ralf Hildebrandt
>Geschäftsbereich IT | Abteilung Netzwerk
>Charité - Universitätsmedizin Berlin
>Campus Benjamin Franklin
>Hindenburgdamm 30 | D-12203 Berlin
>Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>ralf.hildebrandt at charite.de | http://www.charite.de
>
>
>
>------------------------------
>
>Message: 4
>Date: Wed, 02 Jun 2010 17:44:48 +0200
>From: Robert Schetterer <robert at schetterer.org>
>To: postfix-users at de.postfix.org
>Subject: Re: [postfix-users] E-Mails interner User werden
>fäschlicherweise als Virus von clamav gefiltert
>Message-ID: <4C067C70.4030405 at schetterer.org>
>Content-Type: text/plain; charset=ISO-8859-1
>
>Am 02.06.2010 16:05, schrieb Ralf Hildebrandt:
>>* Frank Lohoff <f.lohoff at nielsen-design.de>:
>>>Hallo zusammen,
>>>
>>>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden
>>>ist.
>>>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.
>>
>>Jetzt die Gretchenfrage: WELCHE?
>>
>>Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM.
>>

Ich nutze die folgenden Datenbanken:

MSRBL-Images.hdb
MSRBL-SPAM.ndb
honeynet.hdb
mbl.db
mbl.ndb
sanesecurity-INetMsg-SpamDomains-2m.ndb
sanesecurity-INetMsg-SpamDomains-2w.ndb
sanesecurity-doppelstern.hdb
sanesecurity-doppelstern.ndb
sanesecurity-junk.ndb
sanesecurity-jurlbl.ndb
sanesecurity-jurlbla.ndb
sanesecurity-lott.ndb
sanesecurity-phish.ndb
sanesecurity-rogue.hdb
sanesecurity-scam.ndb
sanesecurity-scamnailer.ndb
sanesecurity-spam.ldb
sanesecurity-spamattach.hdb
sanesecurity-spamimg.hdb
sanesecurity-spear.ndb
sanesecurity-spearl.ndb
sanesecurity-winnow.attachments.hdb
sanesecurity-winnow.complex.patterns.ldb
sanesecurity-winnow_extended_malware.hdb
sanesecurity-winnow_extended_malware_links.ndb
sanesecurity-winnow_malware.hdb
sanesecurity-winnow_malware_links.ndb
sanesecurity-winnow_phish_complete.ndb
sanesecurity-winnow_phish_complete_url.ndb
sanesecurity-winnow_spam_complete.ndb
securiteinfo.hdb
vx.hdb

und habe glaube ich das Problem gefunden:

# Additional Sanesecruity distributed database that can be used and
# their associated potential fales-positive ratings:
#
# USE 'ONLY' ONE OF THE FOLLOWING TWO SIGNATURE DATABASES:
#
# INetMsg-SpamDomains-2w.ndb    : HIGH false-positive rating
# INetMsg-SpamDomains-2m.ndb    : HIGH false-positive rating

genau die INetMsg-SpamDomains-2w.ndb macht ordentlich Probleme.

Werde sie aus meiner Liste entfernen. Weiter habe ich eine false postive
Support E-Mail Adresse gefunden:
false_positive at sanesecurity.me.uk

Dahin habe ich meine Fälle eingeschickt.

Vielen Dank für eure Hilfe und ein schönes Wochenende!

Gruß,
Frank Lohoff

>mit clamav-milter koenntest du die mail in der hold schlange liegen
>lassen und auch whitelists benutzen ( geht auch mit amavis aber anderes
>Konzept), evtl verzichtest du auch auf outbound scanning etc, da gibts
>diverse moeglichkeiten
>ich verzichte mittlerweile auf amavis und mach das mit clamav-milter
>und
>spamass-milter, aber auch das hat nicht nur Vorteile
>aber wie schon erwaehnt wenn du keine zusaetzlichen clamav antispam
>signaturen benutzt sollt es eigentlich so gut wie nie zu false
>positives
>kommen
>
>
>--
>Best Regards
>
>MfG Robert Schetterer
>
>Germany/Munich/Bavaria
>
>
>------------------------------
>
>Message: 5
>Date: Wed, 2 Jun 2010 21:10:58 +0200
>From: KP Kirchdoerfer <kapeka at bering-uclibc.de>
>To: postfix-users at de.postfix.org
>Subject: [postfix-users] amavis local_domain_maps und sql
>Message-ID: <201006022110.58996.kapeka at bering-uclibc.de>
>Content-Type: text/plain; charset="iso-8859-1"
>
>Hallo;
>
>ich komm nicht so recht weiter mit dem Eintrag für @local_domain_maps
>in der
>amavis Konfiguration.
>
>Es funktioniert, wenn ich die Domains in der Art eintrage:
>@local_domains_maps = ( [ ".$mydomain", ".domain-1.de", "domain-n.de" ]
>);
>
>Ich kann aus amavis auf eine mysql-DB zugreifen um bspw. Spam in mysql
>zu
>speichern mit den Einträgen
>
>@lookup_sql_dsn=
>(
>['DBI:mysql:database=amavis;host=127.0.0.1;port=3306',
>'amavis','passwort'],
>);
>@storage_sql_dsn = @lookup_sql_dsn;
>
>Ich habe hier

>>http://www.mail-archive.com/amavis-user@lists.sourceforge.net/msg13906.html
>gelesen, daß das gehen könnte, die in der DB eingetragenen Benutzer in
>user.local für @local_domain_maps verwenden, nur verstanden hab ich es
>nicht :)
>
>Wie müßte dann der Eintrag für @local_domain_maps lauten, damit die DB
>verwendet wird?
>
>TIA
>
>kp
>
>
>------------------------------
>
>Message: 6
>Date: Thu, 3 Jun 2010 10:45:16 +0200
>From: "Andreas" <andreas at kado-web.de>
>To: <postfix-users at de.postfix.org>
>Subject: [postfix-users] Mailqueue wird mails nicht los
>Message-ID: <DF0710604399472A8211709BCED72BE0 at ldap3792b335e9>
>Content-Type: text/plain; charset="iso-8859-1"
>
>Hi list,
>
>
>
>seit kurzem ist mir aufgefallen dass unser postfix-mail-server 1, der
>als
>haupt-mail-server fungiert und die mails nach innen und aussen
>weiterleitet,
>die queue mit allerhand mails voll hat. Darunter sind auch mails an
>verteiler.
>
>Teilweise gibt es timeouts bei der kommunikation mit dem mailserver 2,
>welcher die postfächer enthält. (postfix, dovecot mit 2000 postfächern)
>
>Postqueue –p auf mail server 1 enthält viele Nachrichten einer
>Aussendung
>an mehr als 1000 user in der Queue.
>
>Es gibt folgende Meldung:
>
>(conversation with mailserver 2 [ip] timed out while sending RCPT TO)
>
>Diese Mails an die Verteiler stecken seit einigen Tagen in der queue
>fest.
>
>Was blockiert die Aussendung dieser Verteiler-Mail ?
>
>Vor allem gibt es keine Meldung, dass die Mails verzögert werden oder
>nicht
>angekommen sind.
>
>
>
>Die log-Dateien geben nichts verdächtiges aus.
>
>Wie gesagt, mails gehen rein und raus, nur bei den mails an die
>verteiler
>hakt es ordentlich.
>
>
>
>Config –n (mailserver 1)
>
>
>
>
>
>Mailserver 1:/ # postconf -n
>
>alias_database = hash:/etc/aliases
>
>alias_maps = hash:/etc/aliases
>
>allow_percent_hack = yes
>
>append_at_myorigin = yes
>
>command_directory = /usr/sbin
>
>config_directory = /etc/postfix
>
>content_filter =
>
>daemon_directory = /usr/lib/postfix
>
>debug_peer_level = 20
>
>default_destination_recipient_limit = 9000
>
>default_extra_recipient_limit = 9000
>
>defer_transports =
>
>disable_dns_lookups = no
>
>empty_address_recipient = MAILER-DAEMON
>
>inet_interfaces = IP
>
>local_recipient_maps = unix:passwd.byname $alias_maps
>
>mail_owner = postfix
>
>mail_spool_directory = /var/mail
>
>mailbox_command =
>
>mailbox_size_limit = 0
>
>mailbox_transport =
>
>mailq_path = /usr/bin/mailq
>
>manpage_directory = /usr/share/man
>
>maps_rbl_domains = pbl.spamhaus.org sbl-xbl.spamhaus.org
>relays.ordb.org
>combined.njabl.org
>
>masquerade_classes = envelope_sender, header_sender, header_recipient
>
>masquerade_domains = domain.de
>
>masquerade_exceptions = root
>
>mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain,
>domain-2.de
>
>mydomain = domain.de
>
>myhostname = server.domain.de
>
>mynetworks = IP
>
>myorigin = $mydomain
>
>newaliases_path = /usr/bin/newaliases
>
>queue_directory = /var/spool/postfix
>
>readme_directory = /usr/share/doc/postfix/README_Debian
>
>relay_domains = $mydestination
>
>relayhost =
>
>sendmail_path = /usr/sbin/sendmail
>
>setgid_group = postdrop
>
>smtp_sasl_auth_enable = no
>
>smtp_use_tls = no
>
>smtpd_client_restrictions = reject_rbl_client sbl-xbl.spamhaus.org
>reject_rbl_client cbl.abuseat.org
>
>smtpd_helo_required = yes
>
>smtpd_helo_restrictions =
>
>smtpd_recipient_limit = 9000
>
>smtpd_recipient_restrictions =
>permit_mynetworks,reject_unauth_destination
>
>smtpd_sasl_auth_enable = no
>
>smtpd_use_tls = no
>
>strict_rfc821_envelopes = no
>
>swap_bangpath = yes
>
>unknown_local_recipient_reject_code = 450
>
>virtual_alias_domains = virtual-domain.de
>
>virtual_alias_maps = hash:/etc/postfix/virtual
>
>
>
>
>
>
>
>postconf –n (mailserver 2)
>
>
>
>mailserver 2:~# postconf -n
>
>alias_maps = hash:/etc/aliases
>
>command_directory = /usr/sbin
>
>config_directory = /etc/postfix
>
>daemon_directory = /usr/lib/postfix
>
>default_destination_recipient_limit = 9000
>
>default_extra_recipient_limit = 9000
>
>home_mailbox = Maildir/
>
>html_directory = /usr/share/doc/postfix/html
>
>inet_interfaces = IP
>
>mail_owner = postfix
>
>mailq_path = /usr/bin/mailq
>
>manpage_directory = /usr/share/man
>
>message_size_limit = 30960000
>
>mydestination = $myhostname, localhost.$mydomain, localhost
>
>mydomain = mailserver 2.domain.de
>
>myhostname = mailserver 2.domain.de
>
>mynetworks = IPs
>
>myorigin = $mydomain
>
>newaliases_path = /usr/bin/newaliases
>
>queue_directory = /var/spool/postfix
>
>readme_directory = /usr/share/doc/postfix
>
>relay_domains = $mydestination
>
>sample_directory = /usr/share/postfix
>
>sendmail_path = /usr/sbin/sendmail
>
>setgid_group = postdrop
>
>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>
>smtpd_recipient_limit = 9000
>
>unknown_local_recipient_reject_code = 550
>
>
>
>
>
>-------------- nächster Teil --------------
>Ein Dateianhang mit HTML-Daten wurde abgetrennt...
>URL:
><http://de.postfix.org/pipermail/postfix-users/attachments/20100603/786b84f2/attachment.html>
>
>------------------------------
>
>_______________________________________________
>postfix-users mailing list
>postfix-users at de.postfix.org
>http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>
>
>Ende postfix-users Nachrichtensammlung, Band 26, Eintrag 2
>**********************************************************