https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Rspamd_Zentrale_Virenscan-Koordination_%28Antivirus-Hub%29Rspamd Zentrale Virenscan-Koordination (Antivirus-Hub) - Versionsgeschichte2026-04-15T03:40:37ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=Rspamd_Zentrale_Virenscan-Koordination_(Antivirus-Hub)&diff=67528&oldid=prevThomas.will: Die Seite wurde neu angelegt: „== Zentrale Virenscan-Koordination (Antivirus-Hub) == Nachdem die Pakete in der Grundinstallation bereitgestellt wurden, muss Rspamd explizit als Koordinator…“2026-03-18T19:06:57Z<p>Die Seite wurde neu angelegt: „== Zentrale Virenscan-Koordination (Antivirus-Hub) == Nachdem die Pakete in der Grundinstallation bereitgestellt wurden, muss Rspamd explizit als Koordinator…“</p>
<p><b>Neue Seite</b></p><div>== Zentrale Virenscan-Koordination (Antivirus-Hub) ==<br />
<br />
Nachdem die Pakete in der Grundinstallation bereitgestellt wurden, muss Rspamd explizit als Koordinator (Hub) konfiguriert werden. Erst diese Logik veranlasst Rspamd, Dateianhänge zur Prüfung an den ClamAV-Daemon zu senden.<br />
<br />
=== Funktionsweise der Scanner-Koppelung ===<br />
<br />
Die Kommunikation findet lokal über einen Unix-Socket statt. Rspamd agiert hierbei als Client, der den Scan-Auftrag erteilt.<br />
<br />
* MIME-Extraktion: Rspamd zerlegt die eingehende E-Mail in ihre Bestandteile (Body, Attachments).<br />
* Datenübergabe: Anhänge werden über den Socket /run/clamav/clamd.ctl an ClamAV gestreamt.<br />
* Resultat-Verarbeitung: ClamAV meldet entweder CLEAN oder den Namen des gefundenen Virus zurück.<br />
<br />
<br />
<br />
=== Konfiguration der Hub-Logik ===<br />
<br />
Damit der Hub aktiv wird, muss das Antivirus-Modul in Rspamd definiert werden. Hier legen wir fest, welcher Scanner genutzt wird und welches Symbol bei einem Fund gesetzt werden soll.<br />
<br />
Datei: /etc/rspamd/local.d/antivirus.conf<br />
<pre><br />
clamav {<br />
# Aktiviert den Scan für alle Mail-Anhänge<br />
scan_mime_parts = true;<br />
<br />
# Definiert das Symbol für das Scoring<br />
symbol = "CLAM_VIRUS";<br />
<br />
# Legt den Scanner-Typ fest<br />
type = "clamav";<br />
<br />
# Pfad zum Socket (aus der ClamAV-Grundkonfiguration)<br />
servers = "/run/clamav/clamd.ctl";<br />
}<br />
</pre><br />
<br />
=== Absicherung der Prozess-Kommunikation ===<br />
<br />
Obwohl die Dienste installiert sind, scheitert der Hub-Betrieb oft an fehlenden Dateiberechtigungen auf dem Socket. Der Rspamd-Prozess muss Mitglied der Gruppe 'clamav' sein, um Schreibzugriff auf den Socket zu erhalten.<br />
<br />
* usermod -aG clamav rspamd<br />
* systemctl restart rspamd<br />
<br />
=== Verifikation der Hub-Funktion ===<br />
<br />
Ein erfolgreicher Scan-Vorgang lässt sich im Journal nachweisen. Wenn der Hub arbeitet, erscheint bei jeder Mail (auch bei sauberen) eine kurze Meldung über den Antivirus-Check.<br />
<br />
* journalctl -u rspamd -f | grep -i "antivirus"<br />
<br />
Erwartete Ausgabe bei einer sauberen Mail:<br />
<pre><br />
(default: F (pass): [...] [antivirus(clean)])<br />
</pre><br />
<br />
Erwartete Ausgabe bei einem Virus-Fund (z.B. EICAR-Test):<br />
<pre><br />
(default: F (reject): [20.00 / 15.00] [CLAM_VIRUS(20.00)])<br />
</pre><br />
<br />
== Fazit zur Hub-Konfiguration ==<br />
<br />
;Zuständigkeit: ClamAV scannt, aber Rspamd entscheidet anhand des Ergebnisses über das Schicksal der Mail.<br />
;Integration: Ohne die 'antivirus.conf' bleibt der Virenscanner ein isolierter Dienst ohne Einfluss auf den Mailfluss.<br />
;Sicherheit: Der Hub-Ansatz ermöglicht es, später weitere Scanner (z.B. Sophos) parallel einzubinden.</div>Thomas.will