Archive/RerunClamavSpamassGreylistd/index.mdwn

   1
   2
   3 ## Exim Konfiguration:
   4
   5
   6 ### Main
   7
   8 zuerst:
   9 [[!format txt """
  10 sudo aptitude install clamav spamassassin spamc greylistd
  11
  12 adduser clamav Debian-exim
  13 adduser Debian-exim clamav
  14 """]]
  15 /etc/clamav/clamd.conf
  16 [[!format txt """
  17 #Automatically Generated by clamav-base postinst
  18 #To reconfigure clamd run #dpkg-reconfigure clamav-base
  19 #Please read /usr/share/doc/clamav-base/README.Debian.gz for details
  20 LocalSocket /var/run/clamav/clamd.ctl
  21 FixStaleSocket
  22 User clamav
  23 AllowSupplementaryGroups
  24 ScanMail
  25 ScanArchive
  26 ArchiveMaxRecursion 5
  27 ArchiveMaxFiles 1000
  28 ArchiveMaxFileSize 10M
  29 ArchiveMaxCompressionRatio 250
  30 ReadTimeout 180
  31 MaxThreads 12
  32 MaxConnectionQueueLength 15
  33 LogFile /var/log/clamav/clamav.log
  34 LogTime
  35 LogFileMaxSize 0
  36 PidFile /var/run/clamav/clamd.pid
  37 DatabaseDirectory /var/lib/clamav
  38 SelfCheck 3600
  39 ScanOLE2
  40 ScanPE
  41 DetectBrokenExecutables
  42 ScanHTML
  43 ArchiveBlockMax
  44 """]]
  45 /etc/exim4/conf.d/main/02_exim4-config_options
  46 [[!format txt """
  47 ### main/02_exim4-config_options
  48 #################################
  49
  50 av_scanner = clamd:/var/run/clamav/clamd.ctl
  51 spamd_address = 127.0.0.1 783
  52
  53 ...
  54 """]]
  55 /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt
  56 [[!format txt """
  57 # This access control list is used for every RCPT command in an incoming
  58 # SMTP message. The tests are run in order until the address is either
  59 # accepted or denied.
  60 #
  61 acl_check_rcpt:
  62
  63   # Accept if the source is local SMTP (i.e. not over TCP/IP). We do this by
  64   # testing for an empty sending host field.
  65   accept hosts = :
  66
  67   # Add missing Date and Message-ID header for relayed messages
  68   warn hosts = +relay_from_hosts
  69        control = submission/sender_retain
  70
  71   # The following section of the ACL is concerned with local parts that contain
  72   # @ or % or ! or / or | or dots in unusual places.
  73   #
  74   # The characters other than dots are rarely found in genuine local parts, but
  75   # are often tried by people looking to circumvent relaying restrictions.
  76   # Therefore, although they are valid in local parts, these rules lock them
  77   # out, as a precaution.
  78   #
  79   # Empty components (two dots in a row) are not valid in RFC 2822, but Exim
  80   # allows them because they have been encountered. (Consider local parts
  81   # constructed as "firstinitial.secondinitial.familyname" when applied to
  82   # someone like me, who has no second initial.) However, a local part starting
  83   # with a dot or containing /../ can cause trouble if it is used as part of a
  84   # file name (e.g. for a mailing list). This is also true for local parts that
  85   # contain slashes. A pipe symbol can also be troublesome if the local part is
  86   # incorporated unthinkingly into a shell command line.
  87   #
  88   # Two different rules are used. The first one is stricter, and is applied to
  89   # messages that are addressed to one of the local domains handled by this
  90   # host. It blocks local parts that begin with a dot or contain @ % ! / or |.
  91   # If you have local accounts that include these characters, you will have to
  92   # modify this rule.
  93   deny    domains       = +local_domains
  94           local_parts   = ^[.] : ^.*[@%!/|\'`#&?]
  95           message       = restricted characters in address
  96
  97   # The second rule applies to all other domains, and is less strict. This
  98   # allows your own users to send outgoing messages to sites that use slashes
  99   # and vertical bars in their local parts. It blocks local parts that begin
 100   # with a dot, slash, or vertical bar, but allows these characters within the
 101   # local part. However, the sequence /../ is barred. The use of @ % and ! is
 102   # blocked, as before. The motivation here is to prevent your users (or
 103   # your users' viruses) from mounting certain kinds of attack on remote sites.
 104
 105   deny    domains       = !+local_domains
 106           local_parts   = ^[./|] : ^.*[@%!\'`#&?] : ^.*/\\.\\./
 107           message       = restricted characters in address
 108
 109   # Accept mail to postmaster in any local domain, regardless of the source,
 110   # and without verifying the sender.
 111   #
 112   accept local_parts = postmaster
 113          domains = +local_domains
 114
 115   # deny bad senders (envelope sender)
 116   # CONFDIR/local_sender_blacklist holds a list of envelope senders that
 117   # should have their access denied to the local host. Incoming messages
 118   # with one of these senders are rejected at RCPT time.
 119   #
 120   # The explicit white lists are honored as well as negative items in
 121   # the black list. See /usr/share/doc/exim4-config/default_acl for details.
 122   deny message = sender envelope address $sender_address is locally blacklisted here. If you think this is wrong, get in touch with postmaster
 123        !acl = acl_whitelist_local_deny
 124        senders = ${if exists{CONFDIR/local_sender_blacklist}\
 125                              {CONFDIR/local_sender_blacklist}\
 126                              {}}
 127
 128   # deny bad sites (IP address)
 129   # CONFDIR/local_host_blacklist holds a list of host names, IP addresses
 130   # and networks (CIDR notation)  that should have their access denied to
 131   # The local host. Messages coming in from a listed host will have all
 132   # RCPT statements rejected.
 133   #
 134   # The explicit white lists are honored as well as negative items in
 135   # the black list. See /usr/share/doc/exim4-config/default_acl for details.
 136   deny message = sender IP address $sender_host_address is locally blacklisted here. If you think this is wrong, get in touch with postmaster
 137        !acl = acl_whitelist_local_deny
 138        hosts = ${if exists{CONFDIR/local_host_blacklist}\
 139                              {CONFDIR/local_host_blacklist}\
 140                              {}}
 141
 142
 143
 144   # Deny unless the sender address can be verified.
 145   #
 146   # This is disabled by default so that DNSless systems don't break. If
 147   # your system can do DNS lookups without delay or cost, you might want
 148   # to enable the following line.
 149   #deny message = Sender verification failed
 150   #     !acl = acl_whitelist_local_deny
 151   #     !verify = sender
 152
 153   # Warn if the sender host does not have valid reverse DNS.
 154   #
 155   # This is disabled by default so that DNSless systems don't break. If
 156   # your system can do DNS lookups without delay or cost, you might want
 157   # to enable the following lines.
 158   # If sender_host_address is defined, it's a remote call.  If
 159   # sender_host_name is not defined, then reverse lookup failed.  Use
 160   # this instead of !verify = reverse_host_lookup to catch deferrals
 161   # as well as outright failures.
 162   warn message = X-Host-Lookup-Failed: Reverse DNS lookup failed for $sender_host_address (${if eq{$host_lookup_failed}{1}{failed}{deferred}})
 163          condition = ${if and{{def:sender_host_address}{!def:sender_host_name}}\
 164                        {yes}{no}}
 165
 166   #############################################################################
 167   # There are no checks on DNS "black" lists because the domains that contain
 168   # these lists are changing all the time. You can find examples of
 169   # how to use dnslists in /usr/share/doc/exim4-config/examples/acl
 170   #############################################################################
 171
 172
 173   # Perform greylisting on incoming messages from remote hosts.
 174   # We do NOT greylist messages with no envelope sender, because that
 175   # would conflict with remote hosts doing callback verifications, and we
 176   # might not be able to send mail to such hosts for a while (until the
 177   # callback attempt is no longer greylisted, and then some).
 178   #
 179   # We also check the local whitelist to avoid greylisting mail from
 180   # hosts that are expected to forward mail here (such as backup MX hosts,
 181   # list servers, etc).
 182   #
 183   # Because the recipient address has not yet been verified, we do so
 184   # now and skip this statement for non-existing recipients.  This is
 185   # in order to allow for a 550 (reject) response below.  If the delivery
 186   # happens over a remote transport (such as "smtp"), recipient callout
 187   # verification is performed, with the original sender intact.
 188   #
 189   defer
 190     message        = $sender_host_address is not yet authorized to deliver. \
 191                      Please try later.
 192     log_message    = greylisted.
 193     !senders       = :
 194     !hosts         = : +relay_from_hosts : \
 195                      ${if exists {/etc/greylistd/whitelist-hosts}\
 196                                  {/etc/greylistd/whitelist-hosts}{}} : \
 197                      ${if exists {/var/lib/greylistd/whitelist-hosts}\
 198                                  {/var/lib/greylistd/whitelist-hosts}{}}
 199     !authenticated = *
 200     !acl           = acl_whitelist_local_deny
 201     domains        = +local_domains : +relay_to_domains : dsearch;/etc/exim4/virtual
 202     verify         = recipient/callout=20s,use_sender,defer_ok
 203     condition      = ${readsocket{/var/run/greylistd/socket}\
 204                                  {--grey \
 205                                   ${mask:$sender_host_address/24}} \
 206 #                                  $sender_address \
 207 #                                  $local_part@$domain}\
 208                                  {5s}{}{false}}
 209
 210
 211
 212   # Accept if the address is in a local domain, but only if the recipient can
 213   # be verified. Otherwise deny. The "endpass" line is the border between
 214   # passing on to the next ACL statement (if tests above it fail) or denying
 215   # access (if tests below it fail).
 216   #
 217   accept domains = +local_domains
 218          endpass
 219          message = unknown user
 220          verify = recipient
 221
 222   accept domains = dsearch;/etc/exim4/virtual
 223          endpass
 224          message = unknown user
 225          verify = recipient
 226
 227   # Accept if the address is in a domain for which we are relaying, but again,
 228   # only if the recipient can be verified.
 229   #
 230   accept domains = +relay_to_domains
 231          endpass
 232          message = unrouteable address
 233          verify = recipient
 234
 235   # If control reaches this point, the domain is neither in +local_domains
 236   # nor in +relay_to_domains.
 237
 238   # Accept if the message comes from one of the hosts for which we are an
 239   # outgoing relay. Recipient verification is omitted here, because in many
 240   # cases the clients are dumb MUAs that don't cope well with SMTP error
 241   # responses. If you are actually relaying out from MTAs, you should probably
 242   # add recipient verification here.
 243   #
 244   accept hosts = +relay_from_hosts
 245
 246   # Accept if the message arrived over an authenticated connection, from
 247   # any host. Again, these messages are usually from MUAs, so recipient
 248   # verification is omitted.
 249   #
 250   accept authenticated = *
 251
 252   # Reaching the end of the ACL causes a "deny", but we might as well give
 253   # an explicit message.
 254   #
 255   deny message = relay not permitted
 256
 257
 258 """]]
 259 /etc/exim4/conf.d/acl/40_exim4-config_check_data
 260 [[!format txt """
 261 # 40_exim4-config_check_data
 262
 263 acl_check_data:
 264   # greylistd(8) configuration follows.
 265   # This statement has been added by "greylistd-setup-exim4",
 266   # and can be removed by running "greylistd-setup-exim4 remove".
 267   # Any changes you make here will then be lost.
 268   #
 269   # Perform greylisting on incoming messages with no envelope sender here.
 270   # We did not subject these to greylisting after RCPT TO:, because that
 271   # would interfere with remote hosts doing sender callout verifications.
 272   #
 273   # Because there is no sender address, we supply only two data items:
 274   #  - The remote host address
 275   #  - The recipient address (normally, bounces have only one recipient)
 276   #
 277   # We also check the local whitelist to avoid greylisting mail from
 278   # hosts that are expected to forward mail here (such as backup MX hosts,
 279   # list servers, etc).
 280   #
 281   defer
 282     message        = $sender_host_address is not yet authorized to deliver. \
 283                      Please try later.
 284     log_message    = greylisted.
 285     senders        = :
 286     !hosts         = : +relay_from_hosts : \
 287                      ${if exists {/etc/greylistd/whitelist-hosts}\
 288                                  {/etc/greylistd/whitelist-hosts}{}} : \
 289                      ${if exists {/var/lib/greylistd/whitelist-hosts}\
 290                                  {/var/lib/greylistd/whitelist-hosts}{}}
 291     !authenticated = *
 292     !acl           = acl_whitelist_local_deny
 293     condition      = ${readsocket{/var/run/greylistd/socket}\
 294                                  {--grey \
 295                                   ${mask:$sender_host_address/24}} \
 296 #                                  $recipients}\
 297                                   {5s}{}{false}}
 298
 299
 300    # Deny unless the address list headers are syntactically correct.
 301    #
 302    # This is disabled by default because it might reject legitimate mail.
 303    # If you want your system to insist on syntactically valid address
 304    # headers, you might want to enable the following lines.
 305    # deny message = Message headers fail syntax check
 306    #    !acl = acl_whitelist_local_deny
 307    #    !verify = header_syntax
 308
 309    # require that there is a verifiable sender address in at least
 310    # one of the "Sender:", "Reply-To:", or "From:" header lines.
 311    # deny message = No verifiable sender address in message headers
 312    #    !acl = acl_whitelist_local_deny
 313    #    !verify = header_sender
 314
 315
 316 deny  message = Serious MIME defect detected ($demime_reason)
 317       demime = *
 318       condition = ${if >{$demime_errorlevel}{2}{1}{0}}
 319
 320 deny   message   = Blacklisted file extension detected
 321        condition = ${if match \
 322                         {${lc:$mime_filename}} \
 323                         {\N(\.bat|\.com|\.exe|\.pif|\.prf|\.scr|\.vbs)$\N} \
 324                      {1}{0}}
 325
 326 deny message = This message contains malware ($malware_name)
 327      malware = *
 328
 329
 330 # Always put X-Spam-Score header in the message.
 331 # It looks like this:
 332 # X-Spam-Score: 6.6 (++++++)
 333 # When a MUA cannot match numbers, it can match for an
 334 # equivalent number of '+' signs.
 335 # The 'true' makes sure that the header is always put
 336 # in, no matter what the score.
 337 warn message = X-Spam-Score: $spam_score ($spam_bar)
 338      condition = ${if <{$message_size}{300k}{1}{0}}
 339      spam = spamassassin:true
 340
 341 # Always put X-Spam-Report header in the message.
 342 # This is a multiline header that informs the user
 343 # which tests a message has "hit", and how much a
 344 # test has contributed to the score.
 345 warn message = X-Spam-Flag: YES
 346      condition = ${if <{$message_size}{300k}{1}{0}}
 347      spam = spamassassin:true
 348      condition = ${if >{$spam_score_int}{30}{1}{0}}
 349
 350
 351 deny message = Spam score too high ($spam_score)
 352      condition = ${if <{$message_size}{300k}{1}{0}}
 353      spam = spamassassin:true
 354      condition = ${if >{$spam_score_int}{100}{1}{0}}
 355
 356
 357    # accept otherwise
 358    accept
 359 """]]
 360
 361
 362  [[!tag CategoryCodeSnippets]] [[!tag CategoryTipsAndTricks]]