Problème avec l'antivirus pour le mail sur SME 7

[dpfpic]

Bonjour à tous,

Ma config :

Ma SME 7.0rc2 est en server only dans la DMZ d’un ipcop.

Tout fonctionne, les sites, le mail, donc c’est parfait.

Mais j’ai fais des essais d’antivirus sur le mail, mais il me semble que cela ne fonctionne pas.

J’ai fais les tests du site http://www.gfi.com/emailsecuritytest/ aucun des mails envoyés ont été bloqués.

J’ai regardé dans la source des messages je ne vois pas la ligne : X-Virus-Scanned: by amavis-ng-x.x.x on svwebmail.domain.com

J’ai bien la ligne pour le SPAM. X-SPAM xxxx

J'ai fais des recherches sur IXSUS, mais je n'ai rien trouvé concernant l'antivirus Mail sur SME7.

Quelles sont les commandes que je pourrais faire pour vérifier que tout est OK sur ma SME ?

C’est peut être dû à ma config "server only".

Merci de vos réponses pour m’aider à chercher une solution.

DPFPIC

[MasterSleepy]

Salut,

Je vais peut-être poser une question co... mais as-tu activer le scan des mails dans l'interface du server-manager?
Dans le panneau e-mail.

A+

[dpfpic]

MasterSleepy,

Déjà merci pour ta réponse.

Oui, j'ai bien activé le scan des mails dans l'interface du server-manager.

Je vais refaire une install sur un pc de test pour continuer mes recherches.

DPFPIC

[MasterSleepy]

Je viens de vérifier sur un serveur en version 7,
Le header n'a plus les mentions
X-Virus-Scanned
car il ne passe plus par amavis mais par un plugin qpsmtp
pour être sur qu'il est bien scanné regarde dans le log
/var/log/qpsmtpd/current

A+

[Mael]

Salut,

J'ai eu la meme inquietude, à savoir pas de header sur SME7

En fait quand on active le scan de virus pour les mails sur SME7, il scanne tous les mails:
entrants,sortants,locaux,externes.

Pour avoir le header il faut faire la manip suivante donnée par Jon Blakely dans le bugtracker:
http://www.contribs.org/bugzilla/show_bug.cgi?id=1368

Code: Tout sélectionner

from /usr/share/qpsmtpd/plugins/virus/clamav

     elsif ($result) {
       $self->log(LOGERROR, "ClamAV error: $cmd: $result\n");
     }
+    $transaction->header->add( 'X-Virus-Checked',
+    "Checked by ClamAV on " . $self->qp->config("me") );

     return (DECLINED);

   }



Mael

[dpfpic]

Bonjour,


Merci pour vos réponse. J'ai bien vu que Clamav scan bien les mails.

Dans le fonctionnement, losque le Clamav voit un virus, il rejete le message et la personne qui a
envoyer le mail recoit un mail pour l'informer du virus.

EN SME 6, il y avait une quarantaine pas sur SME 7 ?

Merci de vos réposes.

DPFPIC

[androme]

j'ai fais un essai et je recois bien les mails (ils ne sont pas rejetés) sauf que la piece jointe n'est plus présente si elle est verolée, par contre il me met spam en entête du mail, que ce soit du spam ou du virus.

[dpfpic]

Androme,

Peux tu me dire comment tu as procédé pour faire le test ?

Pour moi, voilà la réponse donnée suite à l'envoye d'un mail avec un test virus eicar.com

- Ces destinataires ont été traités par le serveur de messagerie :
dpfpic@dpfpic.com; Échec; 5.3.4 (le message est trop volumineux pour le système)

ATM à distance dpfpic.com : erreur du réseau


- Diagnostic SMTP : 552 Virus Found: Eicar-Test-Signature

Dans le fichier /var/log/qpsmtpd/current voici la partie sur Clanav

@4000000044621b1725d64974 7024 running plugin (data_post): virus::clamav
@4000000044621b1725d64d5c 7024 virus::clamav plugin: Changing permissions on file to permit scanner access
@4000000044621b1726a9e554 7024 virus::clamav plugin: Running: /usr/bin/clamdscan --stdout --disable-summary /var/spool/qpsmtpd/1147280138:7024:0 2>&1
@4000000044621b172b1b9754 7024 virus::clamav plugin: clamscan results: Eicar-Test-Signature
@4000000044621b172b1bb694 7024 virus::clamav plugin: Virus(es) found: Eicar-Test-Signature
@4000000044621b172b1bc24c 7024 Plugin virus::clamav, hook data_post returned DENY, Virus Found: Eicar-Test-Signature
@4000000044621b172b1bce04 7024 552 Virus Found: Eicar-Test-Signature
@4000000044621b172d8684a4 7024 dispatching QUIT
@4000000044621b172d902964 7024 trying to get config for me
@4000000044621b172d965f3c 7024 221 dpfpic.com closing connection. Have a wonderful day.
@4000000044621b172d9d96e4 7024 click, disconnecting
@4000000044621b17387d9604 6839 cleaning up after 7024

Et au final pour moi, je ne reçois pas de mail, est ce lié à ma config en server only ?

Merci pour vos réponses.

DPFPIC

[dpfpic]

Bonjour à tous,

Comment parametrer SME 7 pour mettre les mails infectés en quarantaine ?

Dans le server-manager, je n'ai pas vu l'option, il y a bien une quarantaine mais pour les fichers dans
l'option "Antivirus (ClamAV)".

Pour moi, les mails sont systhématiquement rejetés.

Merci pour votre aide.

DPFPIC

[androme]

Androme,

Peux tu me dire comment tu as procédé pour faire le test ?

DPFPIC

j'ai fais le test sur le même site que toi.

[dpfpic]

Androme,

Peux tu me montrer la partie du fichier /var/log/qpsmtpd/current concernant Clanav ?

Le mail mis en quarantaine, se trouve ou dans SME ?

Merci de tes réponses

DPFPIC

[androme]

oups dsl, j'ai nettoyé mes logs suite à cela et donc plus de trace, peut être une autre personne qui lit ceci ?

[Mael]

SME rejette les mails vérolés, ils ne sont pas placés en quarantaine ni nettoyés,

seuls les fichiers infectés deja présent sur le serveur lors d'un scan sont placés dans:
/var/spool/clamav/quarantine/

Par contre le site en question fait tout un tas de tests mais un seul concerne le test antivirus,
donc probablement androme, tu as reçu les autres mails.

Mais si tu sélectionnes uniquement le test EICAR, tu ne devrais rien recevoir et avoir le meme log
que dpfpic.


Donc finalement le plus simple pour savoir que son AV fonctionne c'est d'appliquer la petite modif
dans /usr/share/qpsmtpd/plugins/virus/clamav



Mael

[dpfpic]

Mael

Grand merci pour ta réponse, qui confirme que le mail infecté est bien rejeté.

J'ai appliqué la petite modif dans /usr/share/qpsmtpd/plugins/virus/clamav et j'ai bien
le header dans la source du mail.

Dans la version de SME6 avec d'addon de Jesper Knudsen les mails infectés étaient mis en
quarantaine.

Sur SM7 il y pas la possibilité de la faire ?

Je trouvais cette option bien pratique.

DPFPIC

[Argenlos]

Bonjour,
Suite à ce post, j'ai voulu tester l'envois d'un mail externe avec une signature eicar.com sur mon serveur SME7rc2 (mise à jour d'une rc1)

Quelle ne fut pas ma surprise en voyant le message arriver sans encombre!
J'ai bien entendu vérifié que l'antivirus était actif pour la messagerie.
Voici l'extrait d'un envoie externe vers mon serveur.

Code: Tout sélectionner

@400000004463a39f0bdcc034 3826 running plugin (data_post): check_basicheaders
@400000004463a39f0c1fbca4 3826 running plugin (data_post): virus::klez_filter
@400000004463a39f0c543254 3826 running plugin (data_post): virus::pattern_filter
@400000004463a39f0dc6f07c 3826 running plugin (data_post): tnef2mime
@400000004463a39f132cc67c 3826 running plugin (data_post): spamassassin
@400000004463a3a5307ce144 3826 spamassassin plugin: check_spam: No, hits=1.3, required=5.0, tests=BLANK_LINES_70_80,NO_REAL_NAME
@400000004463a3a5307d17f4 3826 running plugin (data_post): spamassassin
@400000004463a3a53147e5ec 3826 running plugin (data_post): virus::clamav
@400000004463a3a5316754cc 3826 virus::clamav plugin: Changing permissions on file to permit scanner access@400000004463a3a53b237914 3826 virus::clamav plugin: clamscan results: /var/spool/qpsmtpd/1147380629:3826:0: OK
@400000004463a3a53b810e1c 3826 running plugin (queue): queue::qmail_2dqueue
@400000004463a3a600af8f5c 3832 queue::qmail_2dqueue plugin: (for 3826 ) Queuing qp 3832 to /var/qmail/bin/qmail-queue
@400000004463a3a6035877dc 3826 250 Queued! 1147380636 qp 3832 <1147381109.4463a575612b4@imp8-g19.free.fr>
@400000004463a3a60393b004 3826 dispatching QUIT
@400000004463a3a603c687a4 3826 221 argenlos.dyndns.org closing connection. Have a wonderful day.
@400000004463a3a603de68ec 3826 click, disconnecting
@400000004463a3a61d83427c 2935 cleaning up after 3826

A aucun moment, il ne voit la signature eicar.com..c'est plustôt inquiétant.

2e problème:
Si je test un envoie interne avec une signature eicar.com, il la détecte bien:

Code: Tout sélectionner

@400000004463a2b9253ec07c 3695 running plugin (data_post): spamassassin
@400000004463a2b925687ffc 3695 running plugin (data_post): virus::clamav
@400000004463a2b9258adcdc 3695 virus::clamav plugin: Changing permissions on file to permit scanner access@400000004463a2b927febb3c 3695 virus::clamav plugin: clamscan results: Eicar-Test-Signature
@400000004463a2b928160fe4 3695 virus::clamav plugin: Virus(es) found: Eicar-Test-Signature
@400000004463a2b9284d2574 3695 552 Virus Found: Eicar-Test-Signature
@400000004463a2ba170833bc 2935 cleaning up after 3695


A aucun moment, il ne délivre le mail (ce que l'on a vu plus haut dans les autres posts et cela est normal), mais en fait pour moi , c'est un peut différent, il ne veut même pas prendre en compte le mail j'ai une erreur via le webmail, "Une erreur est survenue lors de l'envoi du message : unable to send data" ,lorque je fais un mail dans ma propre boite avec une signature eicar.com, mais si je modifie la signature (en enlevant une lettre par exemple), le mail est envoyé correctement.

En résumé, le mail est refusé avant même d'être pris en charge si il contient une signature virus, il ne part même pas.

D'ailleurs quelquesoit le clients de messagerie utilisé, je tombe en erreur (sous Evolution, j'ai ce message d'erreur: "Erreur durant l'exécution de l'opération.La commande DATA a échoué: Opération courriel demandée abandonnée : allocation de stockage excessif")

Le mail ne par pas, mail dans les logs, il y a un enregistremeent comme quoi un virus de test eicar.com à été trouvé!


3e problème:
Je n'ai pas de mail m'informant d'un mail vérolé

Enfin, j'ai voulu mettre à jour le fichier /usr/share/qpsmtpd/plugins/virus/clamav, et bien rien de mieux.

Cela viens t-il du fait que je me connecte via imap sur mon serveur (webmail et Evolution)

Quelqu'un a t-il une idée une piste?...me voilà à découvert

Merci bien.
Bonne nuit

P.S: le filtre anti-spam fonctionne correctement
P.P.S: j'ai la contrib fetchmail de schirrms d'installée