[postfix-users] dkim Frage - Leopard

Matthias Schmidt beta at admilon.net
Mo Mär 16 17:35:23 CET 2009


Am/On Mon, 16 Mar 2009 15:40:06 +0100 schrieb/wrote Patrick Ben Koetter:

>* Matthias Schmidt <postfix-users at de.postfix.org>:
>> Am/On Sun, 15 Mar 2009 00:45:59 +0900 schrieb/wrote Matthias Schmidt:
>> 
>> >Am/On Sat, 14 Mar 2009 16:42:30 +0100 schrieb/wrote Patrick Ben Koetter:
>> >
>> >>* Matthias Schmidt <postfix-users at de.postfix.org>:
>> >>> Hallo,
>> >>> 
>> >>> eigentlich keine Postfix Frage ....
>> >>> 
>> >>> Ich hab auf meinem MacOS 10.5.6 Server amavis auf die version 2.6.2
>> >>> aktualisiert.
>> >>> Bis jetzt signiere ich meine Mails mit Dkimproxy, der als Daemon
läuft -
>> >>> dämonische signieren ;-D
>> >>> amavis unterstützt jetzt seinerseits den Vorgang. Ist es besser
es so zu
>> >>> lassen, wie es ist, oder amavis den Job direkt machen zu lassen? 
>> >>
>> >>amavis DKIM-Feature ist stabil. Du kannst es gut und gerne nutzen und
>> >>Dkimproxy stilllegen. Eine Software weniger, um die Du Dich kümmern
musst.
>> 
>> hab ich jetzt mal versucht aufzusetzen und bin auf die Nase gefallen ...
>> 
>> mein log sagt mir, dass clamd nicht mehr hochfährt:
>> TROUBLE in check_mail: virus_scan FAILED: virus_scan: ALL VIRUS SCANNERS
>> FAILED: ClamAV-clamd av-scanner FAILED: run_av error: Too many retries
>> to talk to /var/amavis/clamd (Can't connect to UNIX socket /var/amavis/
>> clamd: No such file or directory) at (eval 98) line 325.; ClamAV-
>> clamscan av-scanner FAILED: run_av error: run_av: Exceeded allowed time
>> at (eval 98) line 532.
>
>Wo erstellt denn clamd den Socket? Schon in die /etc/clamd.conf reingesehen?
>Nebenbei: Steht da auch AllowSuppelementaryGroups auf yes? Ist clamav
Mitglied
>in der amavisd Gruppe?

na klar, hab ich das nochmals gecheckt.
Mit meiner aktuellen Konfiguration funzt ja alles wie's soll.

da steht jedenfalls:
LocalSocket  /var/amavis/clamd und das entspricht dem setting in der
amavisd.config, sonst würd's ja so nicht funzen.
User _amavis <- ist sich auch korrekt beim Leopard
AllowSupplementaryGroups yes

die aktuelle config unterscheidet sich von der geänderten in 3 Dateien:
amavisd.config
master.cf
main.cf

an clamAV hab ich gar nicht rumgedreht und warum der socket nicht
angelegt wird versteh ich nicht.

>
>
>> der Socket wird auch gar nicht angelegt - also kann sich amavis damit
>> gar nicht unterhalten und es wird versucht clamscan zu nehmen, das
>> dauert aber zu lang:
>> killing process [97275] running ClamAV-clamscan (reason: on reading:
>> timed out)
>> process [97275] running ClamAV-clamscan is still alive, using a bigger
>hammer
>> run_av (ClamAV-clamscan): collect_results - reading aborted: timed out
>> at /usr/bin/amavisd line 3202.
>> ClamAV-clamscan av-scanner FAILED: run_av error: run_av: Exceeded
>> allowed time at (eval 98) line 532.
>> .....
>> 
>> ich hab auf dem Netz einen Eintrag gefunden, dass es im Zusammenhang mit
>> amavis 2.6.2 einen Bug in clam-scan gibt mit einem Patch, nur weiss ich
>> nicht, wo der rein soll und ob das überhaupt hier zutrifft.
>
>
>Ohne den Patch zu sehen kann ich nicht sagen, ob er paßt.

das hab ich hier gefunden;
<http://tinyurl.com/d7hl5b>
und der Beitrag ist vom 14.2. und stammt von Marc Martinec:

Here is a patch for this bug (against 2.6.2):

--- amavisd.orig        2008-12-15 01:50:09.000000000 +0100
+++ amavisd     2009-02-15 01:57:40.000000000 +0100
@@ -19993,4 +19993,5 @@
       1;
     } or do { $eval_stat = $@ ne '' ? $@ : "errno=$!" };
+    prolong_timer('ask_daemon_internal', $deadline-time);
     last  if $eval_stat eq '';  # mission accomplished
     # error handling (most interesting error codes are EPIPE and ENOTCONN)


>
>
>> Denn meine alte config mit dem daemon geht ja, also denk ich, dass ich
>> im master.cf von Postfix Mist gebaut hab.
>
>
>Das ist eher unwahrscheinlich. Wenn amavisd nicht mit clamd reden kann, dann
>ist das eine Sache zwischen den Beiden - Postfix ist da aussen vor.

dann muss der Bock in der amavisd.config stecken, geändert hab ich:

$enable_dkim_verification = 1;
$enable_dkim_signing = 1;

$inet_socket_port = [10024,10026]; 

dkim_key('admilon.net', 'default',       '/private/var/db/dkim/
private.key.pem');
(...)
$policy_bank{'ORIGINATING'} = {  # mail originating from our users
    originating => 1,  # indicates client is ours, allows signing
    #
    # force MTA to convert mail to 7-bit before DKIM signing
    # to avoid later conversions which could destroy signature:
    smtpd_discard_ehlo_keywords => ['8BITMIME'],
    #
    # forward to a smtpd service providing DKIM signing service
    # (if using a signing milter instead of signing by amavisd):
    forward_method => 'smtp:[127.0.0.1]:10027',
    #
    # other special treatment of locally originating mail,
    # just some suggestions here:
    spam_admin_maps  => ["spamalert\@$mydomain"],  # warn of spam from us
    virus_admin_maps => ["virusalert\@$mydomain"],
    banned_filename_maps => ['ALT-RULES'],         # more relaxed rules
    spam_quarantine_cutoff_level_maps => undef,    # quarantine all spam
    spam_dsn_cutoff_level_maps => undef,
    spam_dsn_cutoff_level_bysender_maps => # bounce to local senders only
      [ { lc(".$mydomain") => undef,  '.' => 15 } ],
  };

(...)
$forward_method = 'smtp:[127.0.0.1]:10025';  # MTA with non-signing service
$notify_method  = 'smtp:[127.0.0.1]:10027';

und unter @av_scanners steht:

# ### http://www.clamav.net/
['ClamAV-clamd',
  \&ask_daemon, ["CONTSCAN {}\n", "/var/amavis/clamd"],
  qr/\bOK$/, qr/\bFOUND$/,
  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

da hab ich aber nix rumgeschraubt.

Du schreibst in der Readme Datei zu amavis amavisfeed entweder mit smtp
oder lmtp aufzusetzen.
Könnte das die Ursache sein, denn in der main.cf steht:
virtual_transport = lmtp:unix:/var/imap/socket/lmtp
wenn ich das richtig lese, sollte das aber damit gar nix zu tun haben.

>> und wo setzt ich eigentlich diese Mailadressen:
>>     spam_admin_maps  => ["spamalert\@$mydomain"],  
>>     virus_admin_maps => ["virusalert\@$mydomain"],
>> ich will eigentlich ,dass er mir alle Warnungen an eine E-Mail schickt.
>
>Global in der amavisd.conf.

kann ich da einfach reinschreiben:
spam_admin_maps  => ["kopfweh at admilon.net"]

>
>> Danke für die Geduld
>
>Genau dafür ist diese Liste da. ;)

na da fällt mir ein Stein vom Herz :-)

Dank und Gruss

Matthias



More information about the postfix-users mailing list