Hallo allerseits.
UCS 4.0.0 errata 17, Zarafa mit Sophos Anti-Virus für Linux und clamav
Ich möchte den SMTP-Verkehr auf dem UCS auf Viren prüfen. Das klappt aber nicht vernünftig, dh. bei clamav passiert überhaupt nichts und Sophos wird zwar gescannt und das Ergebnis mitgeteilt, die Mail wird aber ungefiltert weitergeleitet.
Entsprechend dem Abschnitt ‘Section VII’ der config Datei /etc/univention/templates/files/etc/amavis/conf.d/60-univention habe ich in der UCR-Variable mail/antivir/scanner einen der (scheinbar) passenden AVscanner eingetragen - für den ClamAV-Daemon ‘clamav’ bzw. den ondemand-Scanner ClamAV ‘clamscan’ und für Sophos ‘sweep’. (Zum Testen habe ich immer nur einen Scanner angegeben.) Danach habe natürlich den Amavis Dienst neugestartet.
Der Versand von Testmails mit echten Virus (nicht Eicar!) wurde bei den beiden clamav Varianten überhaupt nicht geprüft und somit die Mail unangetastet zugestellt. Bei Sophos ist die Mail auch unverändert zugestellt worden, aber der Postmaster erhält wenigstens zwei Warnmails.
[code]von: amavisd-new
subject: UNCHECKED contents in mail FROM…
No viruses were found.
Content type: Unchecked
Internal reference code for the message is 16406-01/c0b5DTGCOzQ1
First upstream SMTP client IP address: […]
According to a ‘Received:’ trace, the message apparently originated at:
[…], ucs.kick.intern unknown […]
Return-Path: meine@email.adr
From: Ich meine@email.adr
Message-ID: <zarafa.54a17947…>
Subject: Test 13 doc zip
Not quarantined.
The message WILL BE relayed to:
meine@email.adr[/code]
von: root@ucs...
Subject: [SAV-LINUX] Threat detected during on-demand scan on ucs.kick.intern
A threat was detected during an on-demand scan. Details follow:
2 files scanned.
Number of infections detected: 1
Number of infected files detected: 1
/var/lib/amavis/amavis-20141229T164700-15667-_BdR0vcQ/parts/p002 is infected with Troj/DocDl-CW.
In der Datei /var/log/mail.err wird mir nichts angezeigt, wenn ich die beiden clamav Varianten eingerichtet habe. Bei Sophos/sweep erhalte ich dann aber folgenden Eintrag:
ucs amavis[16406]: (16406-01) (!!)AV: ALL VIRUS SCANNERS FAILED
Hat jemand eine Idee was da falsch ist?
Gruß,
Peter