Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:postfix_amavis_installieren

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:postfix_amavis_installieren [2012/06/13 14:52] klaustachtler:postfix_amavis_installieren [2013/04/25 13:19] (aktuell) – [Postfix AMaViS starten] klaus
Zeile 432: Zeile 432:
 # #
 # $defang_bad_header, $defang_undecipherable, $defang_spam # $defang_bad_header, $defang_undecipherable, $defang_spam
 +
 +# Tachtler
 +# BadHdr8bit - Non-encoded 8-bit data are present. ("Umlaute").
 +# disable check for (invalid) non-encoded 8-bit chars in header:
 +$allowed_header_tests{'8bit'} = 0;
  
 # Tachtler # Tachtler
Zeile 437: Zeile 442:
 # Possibility to - DISABLE - using the - QUARANTINEDIR - possibility. # Possibility to - DISABLE - using the - QUARANTINEDIR - possibility.
 # No e-Mails will be stored in /var/viusmails. # No e-Mails will be stored in /var/viusmails.
-# - FUTUREUSE - 
 # #
-$virus_quarantine_to = undef; +$virus_quarantine_to = undef; 
-$banned_quarantine_to = undef; +$banned_quarantine_to = undef; 
-$spam_quarantine_to = undef; +$spam_quarantine_to = undef; 
-$bad_header_quarantine_to = undef;+$bad_header_quarantine_to = undef;
  
 ... ...
Zeile 487: Zeile 491:
 und für [[http://www.centos.org|CentOS]] **Version 6.x** unter  und für [[http://www.centos.org|CentOS]] **Version 6.x** unter 
   * [[tachtler:postfix_centos_6#amavis_einbinden]] beschrieben durchgeführt werden!   * [[tachtler:postfix_centos_6#amavis_einbinden]] beschrieben durchgeführt werden!
 +
 +==== Postfix AMaViS Konfigurieren: submission ====
 +
 +Falls via **Port submission** bein [[http://www.ijs.si/software/amavisd/|AMaViS]] eingeliefert werden soll, bietet sich dies über den **zusätzlichen Port ''10026''** an.
 +
 +Gründe hierfür sind
 +  * Nutzung eines eigenen Ports zur besseren Kontrolle
 +  * Einbindung eines **Disclaimers** via [[http://www.ijs.si/software/amavisd/|AMaViS]] und alterMIME
 +
 +Gerade die Einbindung eines **Disclaimers** ist normalerweise an die Einlieferung aus **MYNETS** gebunden, sprich aus dem eigenen Netzwerken, was ja via **Port submission** gerade nicht der Fall ist. Um dies jedoch trotzdem zu realisieren, müssen nachfolgende Konfigurationen in der Konfigurationsdatei
 +  * /etc/amavisd.conf
 +durchgeführt werden.
 +
 +Zusätzliches lauschen auf **Port ''10026''** (nur relevanter Ausschnitt):
 +
 +**Vorher**:
 +<code>
 +...
 +$inet_socket_port = 10024;   # listen on this local TCP port(s)
 +...
 +</code>
 +
 +**Nachher**:
 +<code>
 +...
 +$inet_socket_port = [10024,10026];  # listen on multiple TCP ports
 +...
 +</code>
 +
 +Anpassungen an Konfigurationsbereich **''re-route mail from authenticated roaming users''** (nur relevanter Ausschnitt):
 +<code>
 +...
 +# it is up to MTA to re-route mail from authenticated roaming users or
 +# from internal hosts to a dedicated TCP port (such as 10026) for filtering
 +$interface_policy{'10026'} = 'ORIGINATING';
 +
 +$policy_bank{'ORIGINATING'} = {  # mail supposedly originating from our users
 +  originating => 1,  # declare that mail was submitted by our smtp client
 +  allow_disclaimers => 1,  # enables disclaimer insertion if available
 +  # notify administrator of locally originating malware
 +  virus_admin_maps => ["virusalert\@$mydomain"],
 +  spam_admin_maps  => ["virusalert\@$mydomain"],
 +  warnbadhsender   => 1,
 +  # forward to a smtpd service providing DKIM signing service
 +  # Tachtler
 +  # default: forward_method => 'smtp:[127.0.0.1]:10027',
 +  # forward_method => 'smtp:[127.0.0.1]:10027',
 +  # force MTA conversion to 7-bit (e.g. before DKIM signing)
 +  smtpd_discard_ehlo_keywords => ['8BITMIME'],
 +  bypass_banned_checks_maps => [1],  # allow sending any file names and types
 +  terminate_dsn_on_notify_success => 0,  # don't remove NOTIFY=SUCCESS option
 +};
 +...
 +</code>
 +
 +:!: **HINWEIS** - ** Das Auskommentieren der nachfolgenden Zeilen bewirkt, das keine __separate__ DKIM-Signatur angehängt wird !!!**
 +<code>
 +...
 +  # forward to a smtpd service providing DKIM signing service
 +  # Tachtler
 +  # default: forward_method => 'smtp:[127.0.0.1]:10027',
 +  # forward_method => 'smtp:[127.0.0.1]:10027',
 +...
 +</code>
 +
 +:!: **HINWEIS** - Das Einbinden einer DKIM-Signatur sollte auf anderem Wege, wie in nachfolgendem internen Link beschrieben erfolgen:
 +  * [[tachtler:postfix_amavis_dkim_einsetzen|Postfix AMaViS DKIM einsetzen]]
  
 ===== Postfix AMaViS starten ===== ===== Postfix AMaViS starten =====
Zeile 508: Zeile 579:
 Jan  2 21:33:17 nss amavis[25314]: Net::Server: Binding to UNIX socket file /var/amavis/amavisd.sock using SOCK_STREAM Jan  2 21:33:17 nss amavis[25314]: Net::Server: Binding to UNIX socket file /var/amavis/amavisd.sock using SOCK_STREAM
 Jan  2 21:33:17 nss amavis[25314]: Net::Server: Binding to TCP port 10024 on host 127.0.0.1 Jan  2 21:33:17 nss amavis[25314]: Net::Server: Binding to TCP port 10024 on host 127.0.0.1
 +Jan  2 21:33:17 nss amavis[25314]: Net::Server: Binding to TCP port 10026 on host 127.0.0.1
 Jan  2 21:33:17 nss amavis[25314]: Net::Server: Group Not Defined.  Defaulting to EGID '104 104' Jan  2 21:33:17 nss amavis[25314]: Net::Server: Group Not Defined.  Defaulting to EGID '104 104'
 Jan  2 21:33:17 nss amavis[25314]: Net::Server: User Not Defined.  Defaulting to EUID '102' Jan  2 21:33:17 nss amavis[25314]: Net::Server: User Not Defined.  Defaulting to EUID '102'
Zeile 625: Zeile 697:
 <code> <code>
 # netstat -tulpen | grep amavis # netstat -tulpen | grep amavis
-tcp        0      0 127.0.0.1:10024             0.0.0.0:                  LISTEN      102        104354     22140/amavisd (mast+tcp        0      0 0.0.0.0:10024               0.0.0.0:                  LISTEN      497        17837239   12608/amavisd (mast  
 +tcp        0      0 0.0.0.0:10026               0.0.0.0:                  LISTEN      497        17837240   12608/amavisd (mast
 </code> </code>
 bzw. bzw.
Zeile 634: Zeile 707:
 amavisd 22146 amavis    6u  IPv4 104354       TCP localhost.localdomain:10024 (LISTEN) amavisd 22146 amavis    6u  IPv4 104354       TCP localhost.localdomain:10024 (LISTEN)
 amavisd 22147 amavis    6u  IPv4 104354       TCP localhost.localdomain:10024 (LISTEN) amavisd 22147 amavis    6u  IPv4 104354       TCP localhost.localdomain:10024 (LISTEN)
 +</code>
 +<code>
 +# lsof -i :10026
 +COMMAND   PID   USER   FD   TYPE DEVICE SIZE NODE NAME
 +amavisd 22140 amavis    6u  IPv4 104354       TCP localhost.localdomain:10026 (LISTEN)
 +amavisd 22146 amavis    6u  IPv4 104354       TCP localhost.localdomain:10026 (LISTEN)
 +amavisd 22147 amavis    6u  IPv4 104354       TCP localhost.localdomain:10026 (LISTEN)
 </code> </code>
  
-Folgender Test kann zeigen, ob [[http://www.ijs.si/software/amavisd/|AMaViS]] auf ''localhost'' bzw. ''127.0.0.1'' und Port ''10024'' auch korrekt antwortet:+Folgender Test kann zeigen, ob [[http://www.ijs.si/software/amavisd/|AMaViS]] auf ''localhost'' bzw. ''127.0.0.1'' und Port ''10024'' und Port ''10026'' auch korrekt antwortet:
 <code> <code>
 # telnet localhost 10024 # telnet localhost 10024
 +Trying 127.0.0.1...
 +Connected to localhost.localdomain (127.0.0.1).
 +Escape character is '^]'.
 +220 [127.0.0.1] ESMTP amavisd-new service ready
 +QUIT
 +221 2.0.0 [127.0.0.1] amavisd-new closing transmission channel
 +Connection closed by foreign host.
 +</code>
 +<code>
 +# telnet localhost 10026
 Trying 127.0.0.1... Trying 127.0.0.1...
 Connected to localhost.localdomain (127.0.0.1). Connected to localhost.localdomain (127.0.0.1).
Zeile 922: Zeile 1012:
 }); });
 ... ...
-</code perl+</code> 
  
 :!: **WICHTIG** - Eine beispielhafte Anwendung ist hier beschrieben (**nur relevanter Ausschnitt**): :!: **WICHTIG** - Eine beispielhafte Anwendung ist hier beschrieben (**nur relevanter Ausschnitt**):
-<code>+<code perl>
 ... ...
      # Tachtler - whitelisting via score-points      # Tachtler - whitelisting via score-points
Zeile 934: Zeile 1024:
 ... ...
 </code> </code>
 +
 +
 +===== Postfix AMaViS Prüfungen =====
 +
 +Falls es einmal notwendig sein sollte bestimmte **"Prüfungen"** zu Beeinflussen, kann dies mit nachfolgenden Einstellungen realisiert werden.
 +
 +==== BadHdr8bit ====
 +
 +Beispielsweise kann mit nachfolgender Konfiguration, das senden von Benachrichtigung via e-Mails verhindert werden, wenn eine Prüfung auf falsch kodierte Zeichen z.B. im **Subject** durchgeführt wird und hier z.B. **Umlaute** wie **"äöü"** oder auch das **"ß"** vorhanden sind un diese falsch kodiert wurden. Hier würde **normalerweise** nachfolgende e-Mail generiert werden:
 +
 +**__Beispiel: e-Mail für - BadHdr8bit__** (**nur relevanter Ausschnitt**):
 +<code>
 +No viruses were found.
 +
 +Bad header:
 +  Non-encoded 8-bit data (char C3 hex): Subject: Eingangsbest\303\244tigung
 +    Ihrer R[...]
 +Content type: BadHdr8bit
 +Internal reference code for the message is 01825-11/a+SBYVZa4JXl
 +...
 +</code>
 +
 +Um diese Benachrichtigung via e-Mail **__nicht__** mehr zu erhalten und **__nur__** diese Prüfung zu deaktivieren, kann nachfolgende Konfiguration in der Konfigurationsdatei 
 +  * **''/etc/amavisd.conf''**
 +ergänzt werden (**nur relevanter Ausschnitt**):
 +<code perl>
 +...
 +# Tachtler
 +# BadHdr8bit - Non-encoded 8-bit data are present. ("Umlaute").
 +# disable check for (invalid) non-encoded 8-bit chars in header:
 +$allowed_header_tests{'8bit'} = 0;
 +...
 +</code> 
  
 ===== Postfix AMaViS MySQL-Anbindung ===== ===== Postfix AMaViS MySQL-Anbindung =====
Zeile 1341: Zeile 1464:
  
 :!: **Empfehlung** - Die Neuerstellung mit Hilfe der neu mitgelieferten Beispiel-Konfigurationsdatei ''/etc/amavisd.conf.rpmnew'' aufgrund der alten Einstellungen ist zu empfehlen! :!: **Empfehlung** - Die Neuerstellung mit Hilfe der neu mitgelieferten Beispiel-Konfigurationsdatei ''/etc/amavisd.conf.rpmnew'' aufgrund der alten Einstellungen ist zu empfehlen!
 +
 +===== Postfix AMaViS Upgrade Version 2.8.0 =====
 +
 +Beim Upgrade von [[http://www.ijs.si/software/amavisd/|AMaViS]] auf die Version 2.8.0, sind folgende Haupt-Punkte zu beachten:
 +  * Die Schemata im Bezug auf die Anbindung von [[http://www.mysql.de|MySQL]] an [[http://www.ijs.si/software/amavisd/|AMaViS]] haben sich geändert
 +  * Es werden Benachrichtigungen versendet, wenn e-Mails, welche nicht geprüft werden konnten (z.B. PGP oder S/MIME verschlüsselte e-Mails) versendet werden.
 +
 +==== Allgemeines ====
 +
 +Die Konfigurationsdatei hat sich punktuell verändert, so das ein Vergleich mit der bestehenden Konfigurationsdatei mit einem Programm wie''diff'', oder auf andere geeignete Weise unumgänglich ist und zur Erstellung der Konfigurationsdatei mit der Vorlage der mitgelieferten Beispiel-Konfigurationsdatei durchgeführt werden sollte. Viele Änderungen in der ''/etc/amavisd.conf'' sind bei der Einbindung der //Viren-Scann-Engine// durchgeführt worden, im Detail sind das eher syntaktisch kleine Änderungen, jedoch recht viele.
 +
 +:!: **Empfehlung** - Die Neuerstellung mit Hilfe der neu mitgelieferten Beispiel-Konfigurationsdatei ''/etc/amavisd.conf.rpmnew'' aufgrund der alten Einstellungen ist zu empfehlen!
 +
 +==== SQL-Upgrade ====
 +
 +Nachfolgende SQL-Statements wurden ausgeführt:
 +<code mysql>
 +ALTER TABLE msgrcpt ADD rseqnum                  integer     DEFAULT 0   NOT NULL;
 +ALTER TABLE msgrcpt ADD content                  char(1)     DEFAULT ' ' NOT NULL;
 +ALTER TABLE msgrcpt ADD is_local                 char(1)     DEFAULT ' ' NOT NULL;
 +ALTER TABLE msgs    ADD originating              char(1)     DEFAULT ' ' NOT NULL;
 +ALTER TABLE policy  ADD unchecked_lover          char(1)     DEFAULT NULL;
 +ALTER TABLE policy  ADD unchecked_quarantine_to  varchar(64) DEFAULT NULL;
 +ALTER TABLE policy  ADD archive_quarantine_to    varchar(64) DEFAULT NULL;
 +ALTER TABLE policy  ADD spam_tag3_level          float       DEFAULT NULL;
 +ALTER TABLE policy  ADD spam_subject_tag3        varchar(64) DEFAULT NULL;
 +ALTER TABLE policy  ADD disclaimer_options       varchar(64) DEFAULT NULL;
 +ALTER TABLE policy  ADD forward_method           varchar(64) DEFAULT NULL;
 +ALTER TABLE policy  ADD sa_userconf              varchar(64) DEFAULT NULL;
 +ALTER TABLE policy  ADD sa_username              varchar(64) DEFAULT NULL;
 +</code>
 +
 +:!: Der oben genannte Punkt ist bei einem Upgrade zwingend zu beachten!
 +
 +==== Benachrchtigungen ====
 +
 +Falls **keine Benachrichtigungen beim versenden von e-Mails, welche nicht geprüft werden können** versendet werden sollen, ist nachfolgende Ergänzung in der Konfigurationsdatei
 +  * **''/etc/amavisd.conf''**
 +erfoderlich: (**nur relevanter Ausschnitt**)
 +<code>
 +...
 +%admin_maps_by_ccat = (
 +  CC_VIRUS,       sub { ca('virus_admin_maps') },
 +  CC_BANNED,      sub { ca('banned_admin_maps') },
 +#   CC_UNCHECKED,   sub { ca('virus_admin_maps') },
 +  CC_SPAM,        sub { ca('spam_admin_maps') },
 +  CC_BADH,        sub { ca('bad_header_admin_maps') },
 +);
 +...
 +</code>
  
 ==== Postfix AMaViS Upgrade: DKIM ==== ==== Postfix AMaViS Upgrade: DKIM ====
tachtler/postfix_amavis_installieren.1339591921.txt.gz · Zuletzt geändert: 2012/06/13 14:52 von klaus