Rspamd Zentrale Virenscan-Koordination (Antivirus-Hub)

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Zentrale Virenscan-Koordination (Antivirus-Hub)

Nachdem die Pakete in der Grundinstallation bereitgestellt wurden, muss Rspamd explizit als Koordinator (Hub) konfiguriert werden. Erst diese Logik veranlasst Rspamd, Dateianhänge zur Prüfung an den ClamAV-Daemon zu senden.

Funktionsweise der Scanner-Koppelung

Die Kommunikation findet lokal über einen Unix-Socket statt. Rspamd agiert hierbei als Client, der den Scan-Auftrag erteilt.

  • MIME-Extraktion: Rspamd zerlegt die eingehende E-Mail in ihre Bestandteile (Body, Attachments).
  • Datenübergabe: Anhänge werden über den Socket /run/clamav/clamd.ctl an ClamAV gestreamt.
  • Resultat-Verarbeitung: ClamAV meldet entweder CLEAN oder den Namen des gefundenen Virus zurück.


Konfiguration der Hub-Logik

Damit der Hub aktiv wird, muss das Antivirus-Modul in Rspamd definiert werden. Hier legen wir fest, welcher Scanner genutzt wird und welches Symbol bei einem Fund gesetzt werden soll.

Datei: /etc/rspamd/local.d/antivirus.conf 

clamav {
  # Aktiviert den Scan für alle Mail-Anhänge
  scan_mime_parts = true;
  
  # Definiert das Symbol für das Scoring
  symbol = "CLAM_VIRUS";
  
  # Legt den Scanner-Typ fest
  type = "clamav";
  
  # Pfad zum Socket (aus der ClamAV-Grundkonfiguration)
  servers = "/run/clamav/clamd.ctl";
}

Absicherung der Prozess-Kommunikation

Obwohl die Dienste installiert sind, scheitert der Hub-Betrieb oft an fehlenden Dateiberechtigungen auf dem Socket. Der Rspamd-Prozess muss Mitglied der Gruppe 'clamav' sein, um Schreibzugriff auf den Socket zu erhalten.

  • usermod -aG clamav rspamd
  • systemctl restart rspamd

Verifikation der Hub-Funktion

Ein erfolgreicher Scan-Vorgang lässt sich im Journal nachweisen. Wenn der Hub arbeitet, erscheint bei jeder Mail (auch bei sauberen) eine kurze Meldung über den Antivirus-Check.

  • journalctl -u rspamd -f | grep -i "antivirus"

Erwartete Ausgabe bei einer sauberen Mail: 

(default: F (pass): [...] [antivirus(clean)])

Erwartete Ausgabe bei einem Virus-Fund (z.B. EICAR-Test): 

(default: F (reject): [20.00 / 15.00] [CLAM_VIRUS(20.00)])

Fazit zur Hub-Konfiguration

Zuständigkeit
ClamAV scannt, aber Rspamd entscheidet anhand des Ergebnisses über das Schicksal der Mail.
Integration
Ohne die 'antivirus.conf' bleibt der Virenscanner ein isolierter Dienst ohne Einfluss auf den Mailfluss.
Sicherheit
Der Hub-Ansatz ermöglicht es, später weitere Scanner (z.B. Sophos) parallel einzubinden.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Rspamd_Zentrale_Virenscan-Koordination_(Antivirus-Hub)&oldid=67528