Fórum Root.cz

Hlavní témata => Server => Téma založeno: czechsys 04. 11. 2019, 15:02:00

Název: Rspamd - když není ClamAV dostupný, propustí email
Přispěvatel: czechsys 04. 11. 2019, 15:02:00
Ahoj,

zatim jsem narazil na jednu issue na gitu rspamd ohledne tohoto, pry az nekdy ve v2 pokud vubec. Nema nekdo rspamd nasazeny? Rad bych, aby clamav byl ovladany pres rspamd (jednodussi konfig nez postfix/amavis), ale nevim jak se vyhnout tomu, ze kdyz neni clamav na IP/portu dostupny, tak aby ho rspamd nepustil dale...Jedine, co me napada, je mit restransmision na vysokem cisle - existuje nekonecno/time limit?

Jak na to?
Diky
Název: Re:Rspamd - kdyz neni clamav dostupny, propusti email
Přispěvatel: Fautzi 04. 11. 2019, 15:44:07
Nastavit to IMHO jde, rSpamd mám nasazený i s ClamAV. Pokud vím, tak ClamAV generuje CLAM_FAIL symbol, pokud neproběhne průchod ClamAVem. Stačí se mrknout do modulu force actions https://rspamd.com/doc/modules/force_actions.html kde si nastavíš, aby symbol CLAM_FAIL triggnul akci reject.

EDIT: Jenom nechápu smysl toho co chceš, pokud tobě nepojede ClamAV, tak rejectneš mail a vrátíš ho odesílateli, protože máš na svém serveru nedostupný antivirus?
Název: Re:Rspamd - kdyz neni clamav dostupny, propusti email
Přispěvatel: czechsys 04. 11. 2019, 16:08:35
No chtel bych, aby doruceni mailu bylo pozastaveno. Protoze jinak to klidne doruci zavirovany mail k uzivateli. Takze neco jako soft-bounce ze strany rspamd.
Název: Re:Rspamd - kdyz neni clamav dostupny, propusti email
Přispěvatel: Fautzi 04. 11. 2019, 17:47:07
V tom případě hledáš akci soft reject a musíš si nastavit postfix nějak rozumně, aby se pokusil o znovudoručení (rspamd milteru)
Název: Re:Rspamd - když není ClamAV dostupný, propustí email
Přispěvatel: czechsys 05. 11. 2019, 09:49:56
No, nastavil jsem local.d/force_actions.conf:

Kód: [Vybrat]
rules {
 CLAMAV_OFFLINE {
  action = "soft reject";
  expressoin = "CLAM_VIRUS_FAIL";
  }
}

S timhle to tu zpravu odmitne. To by slo. Ale vaham nad metodou, jak mam rspamd dle dokumentace napojen na postfix - jako self-scan proxy.

a] amavis: muj postfix prijme email, pak ho preda do amavisu, dokud neprojde zpracovanim amavisu, tak zustava na mem mailserveru -> zatez rozlozena na pocet mailu na postfixu. Vyhodou je prijem emailu bez cekani na zpracovani, nevyhodou, ze tak prijimam i emaily, co jsou "vadne".

b] rspamd: postfix neprijme email, dokud neprojde rspamd.  Vyhodou je, ze se neprijmou emaily co jsou "vadne", odhad nevyhod je ten, ze se zpomali prijimani emailu kvuli nutnosti pruchodu skrz rspamd - z cehoz vznika zavislost na tom, kdy to znovu posle prijemce (v pripade soft bounce atd).

Nejaka zkusenost s chovanim b]?
Název: Re:Rspamd - když není ClamAV dostupný, propustí email
Přispěvatel: Fautzi 06. 11. 2019, 08:15:27
ad b] můžeš si v master.cf vytvořit druhou lokální instanci postfixe na které bude pověšený rSpamd, první a hlavní instance, která bude vystrčena do světa bude přijímat emaily tzn. pro protistranu bude stav, že ti zprávu doručil, ta ji bude následně doručovat do lokální instance s rSpamd, pokud rSpamd soft bouncne z důvodu nedostupnosti ClamAV, předá ji zpět hlavní instanci, která se ji bude znovu snažit doručit dle nastavených parametrů do lokální.
Název: Re:Rspamd - když není ClamAV dostupný, propustí email
Přispěvatel: X 06. 11. 2019, 08:35:48
Malá praktická otázka: už vám někomu někdy Clamav něco chytil? Měl jsem ho totiž léta na serveru a v podstatě efekt 0 (propustil mi i ransomware) i když byl aktuální... Teď jsem se vydal cestou blokování potenciálně vadných příloh a zatím to vypadá jako docela funkční - rspamd stejně zahazuje nebo minimálně taguje všechen bordel prakticky bez chyb.
Název: Re:Rspamd - když není ClamAV dostupný, propustí email
Přispěvatel: Fautzi 06. 11. 2019, 09:00:14
Skrze virovou DB určitě něco zachytil, skrze heuristiku snad myslím nic, na tohle je lepší užívat bohužel komerční řešení.
Název: Re:Rspamd - když není ClamAV dostupný, propustí email
Přispěvatel: czechsys 06. 11. 2019, 10:18:00
ad b] můžeš si v master.cf vytvořit druhou lokální instanci postfixe na které bude pověšený rSpamd, první a hlavní instance, která bude vystrčena do světa bude přijímat emaily tzn. pro protistranu bude stav, že ti zprávu doručil, ta ji bude následně doručovat do lokální instance s rSpamd, pokud rSpamd soft bouncne z důvodu nedostupnosti ClamAV, předá ji zpět hlavní instanci, která se ji bude znovu snažit doručit dle nastavených parametrů do lokální.

Do neceho takoveho se mi moc nechce. Pouzivam uz neco obdobneho - virtual postfix instance, sice je to funkcni, ale ma to sva ale. Necham si to do zalohy. No co, zkusim to zatim s jednou instanci.