Clamav-ngrok

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Integration von ClamAV in Rspamd

Dieser Artikel beschreibt die Integration von ClamAV in Rspamd zur Virenerkennung in E-Mails. Es wird vorausgesetzt, dass Rspamd und ClamAV bereits installiert sind und die Postfix-Integration funktioniert. Ziel ist es, eine einfache Anleitung für eine Schulung bereitzustellen, inklusive eines Tests mit der EICAR-Testdatei.

Voraussetzungen

  • Rspamd und ClamAV sind installiert.
  • Postfix ist mit Rspamd als Milter integriert und funktioniert.
  • Root- oder Admin-Rechte sind vorhanden.

Schritt-für-Schritt-Anleitung

ClamAV-Dienst prüfen

Stelle sicher, dass der ClamAV-Daemon läuft und auf einem Socket erreichbar ist (Standard: /var/run/clamav/clamd.ctl).

  • sudo systemctl status clamav-daemon

Falls nötig, starte den Dienst:

  • sudo systemctl start clamav-daemon
  • sudo systemctl enable clamav-daemon

Socket-Berechtigungen anpassen

Der Rspamd-Benutzer (z. B. _rspamd) muss auf den ClamAV-Socket zugreifen können. Füge ihn der Gruppe clamav hinzu:

  • sudo usermod -aG clamav _rspamd

Überprüfe die Berechtigungen:

  • ls -l /var/run/clamav/clamd.ctl

Passe sie bei Bedarf an:

  • sudo chmod 660 /var/run/clamav/clamd.ctl
  • sudo chown clamav:clamav /var/run/clamav/clamd.ctl

Rspamd konfigurieren

Bearbeite die Datei /etc/rspamd/local.d/antivirus.conf:

  • sudo nano /etc/rspamd/local.d/antivirus.conf

Füge diese Konfiguration ein: 

clamav {
  symbol = "CLAM_VIRUS";
  type = "clamav";
  servers = "/var/run/clamav/clamd.ctl";
  scan_mime_parts = true;
  action = "reject";
  message = "Virus gefunden: ${VIRUS}";
  log_clean = true;
}

Rspamd neu starten

Starte Rspamd neu, um die Änderungen zu übernehmen:

  • sudo systemctl restart rspamd
  • sudo systemctl status rspamd

Test mit EICAR

Teste die Integration mit der EICAR-Testdatei.

Erstelle die Testdatei:

  • echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.txt

Optional: Teste mit ClamAV direkt:

  • clamdscan eicar.txt

Sende eine Test-E-Mail (mit swaks):

  • sudo apt install swaks
  • swaks --to test@deinedomain.de --from sender@deinedomain.de --attach eicar.txt --server localhost

Überprüfe die Logs:

  • sudo tail -f /var/log/rspamd/rspamd.log
  • sudo tail -f /var/log/mail.log

Ergebnis

Bei Erkennung der EICAR-Datei wird die E-Mail abgelehnt, und ein Logeintrag wie clamav: virus found: "Eicar-Test-Signature" erscheint.

Zusammenfassung

Die Integration ermöglicht die Virenprüfung von E-Mails mit ClamAV in Rspamd. Die Schritte umfassen Dienstprüfung, Berechtigungsanpassung, Konfiguration, Neustart und Test. Das Ergebnis ist eine funktionierende Virenerkennung mit Ablehnung infizierter E-Mails.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Clamav-ngrok&oldid=60526