POP3 Proxy zerstört Anhänge

nubi

Hallo,

ich lasse mehrere Mailkonten mittels POP3 mit Spam und Virenprüfung abholen. Dabei werden seltsamerweise 70-80% aller angehängten PDF Dateien unbrauchbar sodass ich die Prüfung wieder abschalten musste.

Kann mir jemand etwas zu dem Problem sagen?

wolfili

Hallo,
betrifft das nur PDF Dokumente?
Wie siehts mit EXE,ZIP,JPG Files aus?+

gruß wolfi

nubi

betrifft auch andere Dateien. Office Dokumente. Allerdings nicht jedes, aber fast.
Der Spamfilter soll die Nachrichten kennzeichnen und dann durchlassen.

wolfili

Hi,

steht villeicht irgend was bei den Protokollem im ClamAV ?

gruß

nubi

dafür gibt es bei mir kein Protokoll im GUI.
Und bei Dienste - Clam lässt sich auch kein Protokoll aktivieren.

Geht spamfiltern auch ohne Clam?

wolfili

WebGUI ==> Protokolle ==> Dienste ==> ClamAV da steht was drin

kannst dir das auch direkt anschauen unter /var/log/clamav/clamd.log dort sepeichert ClamAV die Logs ab.

für alles andere kannst auch mal mit WinSCP geht am einfachsten ins /var/log/ schauen.

Du kannst beim POP Proxy doch sagen er soll bei grün,oragne,oder blau kein VirenScannen

nubi

hab das log gefunden... Danke!

hier die auffälligsten Zeilen. Versuche jetzt noch mal ohne clam auszukommen und hoffe das clam und nicht der Spamfilter die Ursache ist.
Verwirrend ist für mich auch die anzeige im Status:

Email Scanner (POP3) läuft
Spamfilter für POP3 (spamd) läuft
Viren Scanner angehalten

Was ist der EmailScanner? ist das ein übergeordneter Dienst? Weil Spam und Viren steht ja weiter unten.

Feb 24 11:45:08 clamd[7495]: SelfCheck: Database status OK.
Feb 24 11:50:23 clamd[7495]: /var/spool/havp/havp-dm65II: PUA.Script.Packed FOUND
Feb 24 11:50:32 clamd[7495]: /var/spool/havp/havp-CDMp1i: PUA.Script.Packed FOUND

Feb 26 07:46:04 clamd[13447]: /var/spool/havp/havp-AMhFfL: Broken.Executable FOUND
Feb 26 07:48:14 clamd[13447]: /var/spool/havp/havp-gctYqM: Broken.Executable FOUND
Feb 26 07:48:31 clamd[13447]: /var/spool/havp/havp-Uz1o2N: Broken.Executable FOUND

Feb 26 15:28:18 clamd[6661]: Limits: Global size limit set to 52428800 bytes.
Feb 26 15:28:18 clamd[6661]: Limits: File size limit set to 26214400 bytes.
Feb 26 15:28:18 clamd[6661]: Limits: Recursion level limit set to 5.
Feb 26 15:28:18 clamd[6661]: Limits: Files limit set to 1000.
Feb 26 15:28:18 clamd[6661]: Archive support enabled.
Feb 26 15:28:18 clamd[6661]: Algorithmic detection enabled.
Feb 26 15:28:18 clamd[6661]: Portable Executable support enabled.
Feb 26 15:28:18 clamd[6661]: ELF support enabled.
Feb 26 15:28:18 clamd[6661]: Detection of broken executables enabled.
Feb 26 15:28:18 clamd[6661]: Mail files support enabled.
Feb 26 15:28:18 clamd[6661]: OLE2 support enabled.
Feb 26 15:28:18 clamd[6661]: PDF support enabled.
Feb 26 15:28:18 clamd[6661]: HTML support enabled.

nubi

nach ein paar Stunden mit aktiven EMail Scanner ohne Clam, nur Spam
tritt genau das selbe Problem wieder auf. PDF Dateien werden zerstört. Die Mail selbst sieht im Mailprogramm völlig normal aus.

Damit fällt Clam wohl als Ursache aus.

Was kann ich noch tun?

wolfili

Hallo,
versteh ich richtig Virenscanner ist aus nur noch der Spamfilter ist aktiv?

Ist Razor an oder wie immer das geschrieben wird gg ?

nubi

ja, ich hab nur den
PROXY --> POP3 --->Email Scanner (POP3) auf grün aktiviert und darunter den SPAM-Filter (spamassassin)

ich rufe mails über POP3 ab. Erkannte werden gekennzeichnet und durchgelassen. Das funktioniert auch.

Aber sobald ich das aktiv habe, sind viele PDF Anhänge zerstört...

???

wolfili

Was mich intereeren würde ob die Dateiintigrität beibehalten wird.

Kannst du eine MD5 Checksumme machen vor dem Versenden und dann eine nach dem Versenden wen die Mail mit Anhang angekommen ist und defekt ist?

nubi

das war wohl der passende Hinweis. Und die Firewall ist vielleicht auch unschuldig, wenn auch die Ursache.

ich arbeite intern mit einem Exchange Server der mit Groupshield gefiltert werden soll. Die Konten liegen bei einem Provider. Groupshield filtert aber nur SMTP. Deshalb hole ich mit dem Programm Poproute ab und das sendet die mit SMTP an Exchange/Groupshield weiter.

Das PDF ist definitiv schon zerstört bevor es an Exchange weitergeleitet wird. (Poproute archiviert ja). Hole ich die Mail beim Provider direkt ab, ist das PDF in Ordnung. Habe das jetzt mehrfach wiederholt.

Somit funktioniert wohl Poproute nicht durch Endian mit Spamfilter hindurch. Das Ist zwar trotzdem seltsam, da Poproute ja ein einfacher POP3 Client ist.

Ich habe den Aufbau so gewählt, weil ich gern Groupshield zum Virenscan nutzen möchte, aber der Spam Teil schlecht ist. Ich spare mir den Virenscan auf den Clients, da das McAffee Outlook-plugin extrem die Performance nach unten zieht.

wolfili

Wie stellst das ganze dann nun ein?
Wer Scannt was und wer nicht

Aber recht interessant ... wo da der Fehler passiert.

nubi

Da bin ich im Moment noch am Überlegen.

1. Wenn ich den Groupshield verwenden will, muss ich dem Exchange die Mails per SMTP liefern. Also brauch ich ein Programm wie Poproute dazwischen.
2. Ich könnte auch den Exchange die mails via Popconnector abholen lassen. Dann bräuchte ich Clam auf der Firewall. Kann man Clam trauen? Erkennungsrate, Timeoutverhalten?
3. Den Exchange ins Internet stellen und Mails direkt empfangen. Das ist aber mehr Aufwand/Risiko als Nutzen.

So gesehen werde ich mich mal nach einer Alternative zu Poproute umsehen. Das Programm wird eh schon lange nicht mehr entwickelt. Was aber nichts heißt, denn bisher hat es gut funktioniert...

PS: das PDF mit einem Editor geöffnet ist total mit anderen Zeichen gefüllt als das Original. Es wird also nicht nur irgendwas weggeschnitten oder zuviel reingeschrieben.

nubi

Nachtrag:

Ich habe jetzt das Programm zum Abholen der Mails mit POP3 ausgetauscht und mit dem Neuen Programm ( P2S ) sind bisher alle Anhänge erhalten geblieben.
Somit scheidet Endian als Fehlerquelle aus.

Danka für die Hilfe!

Benutzer online in diesem Thema