clama мне очень дорог!

[kao]

Добрый день.
У меня небольшой вопрос.
Работает связка linux/exim/mysql/dspam/clamav
Точнее не работает:( clamav
Посылаю письмо-получаю-смотрю заголовки-dspam отработал, никаких сообщений от кламава,
что проверил письмо я не вижу, в логах тоже ничего нет, такое впечатление, что
кламав функционирует сам по себе, но в тоже время, если я в group снимаю принадлежность
пользователя clamav к группе mail -clamav начинает ругаться на папку /var/spool/exim/scan
то кламав сразу говорит что у него нет прав-т.е таким способом я увидел, что он вызывается exim-om
В процессах все нормально висит-но почту не проверяет!. В ехиме нормально прописано malware-все по конфигу.
Еще один момент-в конфиге dspam а есть строки

Код: Выделить всё

ClamAVPort    3310
ClamAVHost    127.0.0.1
ClamAVResponse accept

нигде у Вас в конфигах спамфильтра я этого не заметил-кроме того, я их включал-выключал -не меняется ничего!
Можете помочь?
В оcтальноv почта бегает, никак не могу понять-почему не отрабатывет clamav
---
Вот заголовки

Код: Выделить всё

Return-path: <xx@duma.ru>
Envelope-to: xx@duma.ru,
 xx@duma.ru
Delivery-date: Thu, 19 Jul 2007 18:08:01 +0300
Received: from mailnull by duma with spam-scanned (Exim 4.67)
	(envelope-from <xx@duma.ru>)
	id 1IBXbl-0005WG-TL; Thu, 19 Jul 2007 18:08:01 +0300
Received: from [10.0.1.253] (helo=pc-110)
	by pc-110 with smtp (Exim 4.67)
	(envelope-from <xx@duma.ru>)
	id 1IBXbl-0004In-Oc
	for xx@duma.ru; Thu, 19 Jul 2007 18:08:01 +0300
Message-ID: <9E4C38BAE1A74466ADC030AD9F899CD9@PC-110.local>
Reply-To: "XX" <xx@duma.ru>
From: "XX" <xx@duma.ru>
To: "XX" <xx@duma.ru>
Subject: rt
Date: Thu, 19 Jul 2007 18:05:11 +0300
Organization: PC-110 Service
MIME-Version: 1.0
Content-Type: text/plain;
	format=flowed;
	charset="koi8-r";
	reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.3959
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.3959
X-DSPAM-Result: Whitelisted
X-DSPAM-Processed: Thu Jul 19 18:08:01 2007
X-DSPAM-Confidence: 0.9899
X-DSPAM-Probability: 0.0000
X-DSPAM-Signature: 469f7e51303771261010452
X-DSPAM-Factors: 27,
	Received*<XX, 0.01000,
	*duma.ru, 0.01000,
	*Thu, 0.01000,
	*XX, 0.01000,
	To*XX", 0.01000,
	Reply-To*xx@duma.ru>, 0.01000,
	X-MimeOLE*By, 0.01000,
	To*<XX, 0.01000,
	Received*(helo=PC-110), 0.01000,
	Organization*Service, 0.01000,
	X-MimeOLE*Produced, 0.01000,
	*18, 0.01000,
	Content-Type*charset="koi8, 0.01000,
	Received*4.67), 0.01000,
	X-Mailer*6.00.3790.3959, 0.01000,
	Received*19, 0.01000,
	*From, 0.01000,
	*Jul, 0.01000,
	Received*duma.ru, 0.01000,
	Organization*XX, 0.01000,
	Content-Type*type=original, 0.01000,
	Date*18, 0.01000,
	Date*2007, 0.01000,
	Received*with, 0.01000,
	Received*id, 0.01000,
	X-Mailer*Microsoft, 0.01000,
	To*P, 0.01000

----------------
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

юзай кнопочку code
==============
а счего они должны быть вообще - заголовки? он же не через мильтер подключен.

Код: Выделить всё

more /usr/local/etc/clamd.conf | grep LogFi
# LogFile must be writable for the user running daemon.
LogFile /var/log/clamav/clamd.log
# please # copy the configuration file, change the LogFile variable, and run
#LogFileUnlock
LogFileMaxSize 2000M
# Use system logger (can work together with LogFile).

и смотри в указанном фале результаты.
опять же поищи по слову eicar - это тестовый врус, и отправь его.
сразу станет ясно - проверяет или нет.

[kao]

Точно не через мильтер!
Мильтер в сендмыле, привык что он свой чек
в логи сервера пишет.
С другой стороны разве он не должен
в заголоках отмечатся-конечному пользователю,
что проверен Clamav, как например DSPAM?
И почему строки clamava присутствую в конфиге dspama?
День второй...

[kao]

Спасибо Лис!
Действительно работает.
Хотя непонтно..

[schizoid]

а где в логах clamav-а видно, что он проверяет почту?
чета у ся глянул, то вот:
cat clamd.log

Код: Выделить всё

...
Thu Jul 19 00:00:04 2007 -> SelfCheck: Database status OK.
Thu Jul 19 03:00:03 2007 -> SelfCheck: Database status OK.
Thu Jul 19 03:31:26 2007 -> SelfCheck: Database status OK.
Thu Jul 19 04:05:37 2007 -> SelfCheck: Database modification detected. Forcing reload.
Thu Jul 19 04:05:49 2007 -> Reading databases from /var/db/clamav
Thu Jul 19 04:07:42 2007 -> Database correctly reloaded (138877 signatures)
Thu Jul 19 06:00:02 2007 -> SelfCheck: Database status OK.
Thu Jul 19 09:00:02 2007 -> SelfCheck: Database status OK.
Thu Jul 19 12:00:03 2007 -> SelfCheck: Database status OK.
Thu Jul 19 15:00:03 2007 -> SelfCheck: Database status OK.
Thu Jul 19 16:05:39 2007 -> SelfCheck: Database modification detected. Forcing reload.
Thu Jul 19 16:05:39 2007 -> Reading databases from /var/db/clamav
Thu Jul 19 16:07:57 2007 -> Database correctly reloaded (138903 signatures)
Thu Jul 19 17:05:40 2007 -> SelfCheck: Database modification detected. Forcing reload.
Thu Jul 19 17:05:54 2007 -> Reading databases from /var/db/clamav
Thu Jul 19 17:07:50 2007 -> Database correctly reloaded (138927 signatures)
Thu Jul 19 18:00:03 2007 -> SelfCheck: Database status OK.
Thu Jul 19 19:45:51 2007 -> SelfCheck: Database status OK.
Thu Jul 19 21:00:05 2007 -> SelfCheck: Database status OK.
Fri Jul 20 00:00:03 2007 -> SelfCheck: Database status OK.
Fri Jul 20 03:00:02 2007 -> SelfCheck: Database status OK.
Fri Jul 20 03:31:47 2007 -> SelfCheck: Database status OK.
Fri Jul 20 04:05:43 2007 -> SelfCheck: Database modification detected. Forcing reload.
Fri Jul 20 04:05:55 2007 -> Reading databases from /var/db/clamav
Fri Jul 20 04:07:51 2007 -> Database correctly reloaded (138928 signatures)
Fri Jul 20 06:00:03 2007 -> SelfCheck: Database status OK.
Fri Jul 20 09:00:02 2007 -> SelfCheck: Database status OK.
Fri Jul 20 12:00:02 2007 -> SelfCheck: Database status OK.
Fri Jul 20 13:05:45 2007 -> SelfCheck: Database modification detected. Forcing reload.
Fri Jul 20 13:05:45 2007 -> Reading databases from /var/db/clamav
Fri Jul 20 13:07:50 2007 -> Database correctly reloaded (138949 signatures)
Fri Jul 20 14:05:45 2007 -> SelfCheck: Database modification detected. Forcing reload.
Fri Jul 20 14:05:45 2007 -> Reading databases from /var/db/clamav
Fri Jul 20 14:07:47 2007 -> Database correctly reloaded (138958 signatures)
Fri Jul 20 15:00:03 2007 -> SelfCheck: Database status OK.
Fri Jul 20 17:05:47 2007 -> SelfCheck: Database modification detected. Forcing reload.
Fri Jul 20 17:06:00 2007 -> Reading databases from /var/db/clamav
Fri Jul 20 17:07:57 2007 -> Database correctly reloaded (139359 signatures)
Fri Jul 20 18:00:04 2007 -> SelfCheck: Database status OK.

[Alex Keda]

Код: Выделить всё

Fri Jul 20 19:09:54 2007 -> /var/spool/exim/scan/1IBu77-0001Gn-EX/1IBu77-0001Gn-EX.eml: Email.Phishing.RB-1222 FOUND
Fri Jul 20 19:09:58 2007 -> /var/spool/exim/scan/1IBu7C-0001Go-8Y/1IBu7C-0001Go-8Y.eml: Email.Phishing.RB-1217 FOUND
Fri Jul 20 19:13:16 2007 -> /var/spool/exim/scan/1IBuAN-0001K5-9X/1IBuAN-0001K5-9X.eml: Email.Phishing.RB-1216 FOUND
Fri Jul 20 19:19:29 2007 -> /var/spool/exim/scan/1IBuGP-0001ND-2J/1IBuGP-0001ND-2J.eml: Email.Phishing.RB-1222 FOUND
Fri Jul 20 19:23:31 2007 -> /var/spool/exim/scan/1IBuKJ-0001QO-Ae/1IBuKJ-0001QO-Ae.eml: Email.Phishing.RB-1221 FOUND
Fri Jul 20 19:32:34 2007 -> SelfCheck: Database status OK.
Fri Jul 20 19:36:04 2007 -> /var/spool/exim/scan/1IBuWS-0001YW-DP/1IBuWS-0001YW-DP.eml: Email.Phishing.RB-1223 FOUND
Fri Jul 20 19:42:04 2007 -> /var/spool/exim/scan/1IBucF-0001bd-HH/1IBucF-0001bd-HH.eml: Email.Phishing.RB-1223 FOUND
Fri Jul 20 19:43:58 2007 -> /var/spool/exim/scan/1IBue5-0001cT-Nz/1IBue5-0001cT-Nz.eml: Email.Phishing.RB-1223 FOUND
Fri Jul 20 19:48:45 2007 -> /var/spool/exim/scan/1IBuih-0001g2-UV/1IBuih-0001g2-UV.eml: Email.Phishing.RB-1222 FOUND
Fri Jul 20 20:04:47 2007 -> SelfCheck: Database status OK.
Fri Jul 20 20:07:48 2007 -> /var/spool/exim/scan/1IBv1A-0001sp-4r/1IBv1A-0001sp-4r.eml: Email.Phishing.RB-1222 FOUND
Fri Jul 20 20:13:44 2007 -> Reading databases from /var/db/clamav
Fri Jul 20 20:13:44 2007 -> /var/spool/exim/scan/1IBv6u-0001wH-21/1IBv6u-0001wH-21.eml: Email.Phishing.RB-1217 FOUND
Fri Jul 20 20:13:47 2007 -> Database correctly reloaded (94167 viruses)
Fri Jul 20 20:18:36 2007 -> /var/spool/exim/scan/1IBvBc-0001z8-D3/1IBvBc-0001z8-D3.eml: Email.Phishing.RB-1223 FOUND
Fri Jul 20 20:23:24 2007 -> /var/spool/exim/scan/1IBvGG-00022G-5G/1IBvGG-00022G-5G.eml: Email.Phishing.RB-1220 FOUND
Fri Jul 20 20:32:12 2007 -> /var/spool/exim/scan/1IBvOl-000275-U5/1IBvOl-000275-U5.eml: Email.Phishing.RB-1222 FOUND
Fri Jul 20 20:36:36 2007 -> SelfCheck: Database status OK.
Fri Jul 20 20:38:59 2007 -> /var/spool/exim/scan/1IBvVK-0002AX-JK/1IBvVK-0002AX-JK.eml: Email.Phishing.RB-1221 FOUND
Fri Jul 20 20:44:29 2007 -> /var/spool/exim/scan/1IBvae-0002E7-W4/1IBvae-0002E7-W4.eml: Email.Phishing.RB-1217 FOUND
Fri Jul 20 20:46:43 2007 -> /var/spool/exim/scan/1IBvcp-0002Fl-D8/1IBvcp-0002Fl-D8.eml: Email.Phishing.RB-1221 FOUND
Fri Jul 20 20:51:04 2007 -> /var/spool/exim/scan/1IBvh1-0002IQ-4E/1IBvh1-0002IQ-4E.eml: Email.Phishing.RB-1222 FOUND

[schizoid]

это все в clamd.log ?
бля... пошел смотреть конфиги...

[schizoid]

хм...так а куда собсно смотреть?
в конфе ексима вот это av_scanner = clamd:/var/run/clamav/clamd есть..

[Alex Keda]

пошли вирус и смотри.

[schizoid]

поделитесь вирусом

[Alex Keda]

http://lissyara.su/virus.eml
письмо с вирусом.

[schizoid]

снкс

Код: Выделить всё

Fri Jul 20 20:30:58 2007 -> /var/spool/exim/scan/1IBwJV-000A6v-En/1IBwJV-000A6v-En.eml: Worm.Stration.pac-1 FOUND

ну значить мине везло
тьфу-тьфу-тьфу...тук-тук-тук

[Alex Keda]

на сервере откуда лог очень большой поток писем...
там это постоянно...