Zimbra unchecked или обновите clam в старых версиях.

0

3

Доброго понедельника.
zimbra 8.0.3 c clamav 0.97 на борту с самого утра стала в тему письма помещать «***UNCHECKED***».
Выяснилось, что данная проблема имеет место быть, и связана с тем, что clamav 0.97 больше не поддерживается.
Решение опубликовано на сомом zimbra.com:

1. остановить всё зимбровское
2. скачать (по ссылкам в KB) новый ClamAV подходящей версии
3. распаковать его (под root-ом) в каталог зимбры
4. удалить старую ссылку clamav и создать ее заново, чтобы она указывала на новый каталог
5. убедиться, что ссылка указывает на каталог с новым ClamAV

6. запустить зимбру и порадоваться за нормальную работу антивируса (в крации)

Так вот после выполнения действий получаю в логи вот это

--------------------------------------
freshclam daemon 0.98.4 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
ClamAV update process started at Mon Oct 24 15:07:47 2016
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.98.4 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Downloading daily-22422.cdiff [100%]
daily.cld updated (version: 22422, sigs: 774399, f-level: 63, builder: neo)
bytecode.cld is up to date (version: 283, sigs: 53, f-level: 63, builder: neo)
Database updated (4993242 signatures) from db.us.clamav.net (IP: 209.198.147.20)
WARNING: Clamd was NOT notified: Can't connect to clamd through /opt/zimbra/data/clamav/clamav.sock: Connection refused
--------------------------------------

В итоге проблема не решается в теме письма фигурирует все то же унчекед. Чяднт? Может обновить до 0.99? Хотя на зимбровской вики нет инфы о потдержки этой версии в 8.0.7 и ниже. Я в смятении(((

Ссылка

←	Dovecot sieve

TARPIT в качестве действия для black_list?

→

Clamd was NOT notified: Can't connect to clamd through /opt/zimbra/data/clamav/clamav.sock: Connection refused

clamd запущен ?

anc ★★★★★
(24.10.16 18:05:29 MSK)

Ответ на: комментарий от anc 24.10.16 18:05:29 MSK

А вообще имхо какое-то извращение, если вы не из сурсов ставили... что за дистр? В нем не было обновления clam ?

anc ★★★★★
(24.10.16 18:08:31 MSK)

Ссылка

Ответ на: комментарий от anc 24.10.16 18:05:29 MSK

:~$ ps aux | grep clamd
zimbra   13508 81.4  0.0 455056   876 ?        Rs   Oct21 3928:21 /opt/zimbra/clamav/sbin/clamd --config-file=/opt/zimbra/conf/clamd.conf
it3      18951  0.0  0.0  10632   916 pts/0    S+   00:20   0:00 grep --color=auto clamd
:~$

что за дистр?

ubuntu server 12.04

clam не ставился отдельным пакетом, если я правильно понял версия 097 включена в пакет зимбры. Руководствовался вот этой инфой: https://wiki.zimbra.com/wiki/ClamAV_DB_update_leads_to_**UNCHECKED**_in_all_messages

julixs ★★★
(24.10.16 23:34:06 MSK) автор топика

Ответ на: комментарий от julixs 24.10.16 23:34:06 MSK

Может выключить ClamAV вообще? Смысл от него есть хоть какой-то?

DALDON ★★★★★
(24.10.16 23:38:31 MSK)

Ответ на: комментарий от DALDON 24.10.16 23:38:31 MSK

Ну вообще есть, например вот:

BANNED CONTENTS ALERT

Our content checker found
    banned name: application/octet-stream,.asc,Ð¸ÑÐ½Ñ399.js
    MIME error: error: part did not end with expected boundary; ; error:
      unexpected end of parts before epilogue


in an email to you from:
  miheev.s@nalog.ru

Content type: Banned
Our internal reference code for your message is 10805-17/J59U8G-GnXq1

First upstream SMTP client IP address: [79.133.219.226] poczta.esculap.pl
According to a 'Received:' trace, the message apparently originated at:
  [186.4.244.74], poczta.esculap.pl poczta.esculap.pl [79.133.219.226]

Return-Path: <miheev.s@nalog.ru>
From: =?UTF-8?B?0KTQtdC00LXRgNCd0LDQu9C+0LPQodC70YPQttCx0LAg0JzQuNGF0LXQtdCy?=
  <miheev.s@nalog.ru>
Message-ID: <20160909103957.1B45F11A323A@poczta.esculap.pl>
Subject: =?UTF-8?B?M9C60LLQsNGA0YLQsNC7?=
The message has been quarantined as: virus-quarantine.ucljxh3u@vzsk.org

Please contact your system administrator for details.

julixs ★★★
(24.10.16 23:51:36 MSK) автор топика

Ссылка

Ответ на: комментарий от julixs 24.10.16 23:34:06 MSK

Ок. Зимру не пользовал, поэтому все на уровне предположений и опыта работы с почтарями. Посмотрите сокет живой «/opt/zimbra/data/clamav/clamav.sock» в наличии есть?

anc ★★★★★
(25.10.16 00:22:52 MSK)

Ответ на: комментарий от anc 25.10.16 00:22:52 MSK

:/home/it3$ ls -a /opt/zimbra/data/clamav/ . .. clamav.sock db

julixs ★★★
(25.10.16 00:30:32 MSK) автор топика

ага, у наших сегодня такое приключилось

targitaj ★★★★★
(25.10.16 00:33:25 MSK)

Ответ на: комментарий от julixs 25.10.16 00:30:32 MSK

Я спросил «живой». Например fuser что скажет? Или socat - UNIX-CONNECT:/opt/zimbra/data/clamav/clamav.sock

anc ★★★★★
(25.10.16 01:00:37 MSK)
Последнее исправление: anc 25.10.16 01:01:21 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 25.10.16 01:00:37 MSK

я так понимаю дохлый(

it3@mail:~$ socat - UNIX-CONNECT:/opt/zimbra/data/clamav/clamav.sock
2016/10/25 09:27:12 socat[23952] E connect(3, AF=1 "/opt/zimbra/data/clamav/clamav.sock", 37): Connection refused

julixs ★★★
(25.10.16 08:28:46 MSK) автор топика

Ссылка

А у меня он, кроме этого, ещё и 100% процессора отъедать стал.

Пока отключил, на новую версию Зимбры перехожу.

mycop
(25.10.16 08:29:57 MSK)

Ответ на: комментарий от targitaj 25.10.16 00:33:25 MSK

Проблемка глобальная, каснулась всех у кого zimbra с clam 0.97 на борту, тут в соседней теме вообще хлам сервак вешает и в логи срет.

julixs ★★★
(25.10.16 08:30:27 MSK) автор топика

Ссылка

Ответ на: комментарий от mycop 25.10.16 08:29:57 MSK

у меня с нагрузкой все ок. В clamav.log чисто, только в freshclam пишет, выше приводил.

julixs ★★★
(25.10.16 08:32:17 MSK) автор топика
Последнее исправление: julixs 25.10.16 08:33:18 MSK (всего исправлений: 1)

Ответ на: комментарий от julixs 25.10.16 08:32:17 MSK

Автор, подскажите, такая же беда. Плюс еще 100% нагрузка ЦП и логи под 300 Гб... Удалось ли вам обновить его? Можете ссылкой поделиться, по которой делали апгрейд?

serega1576
(25.10.16 08:38:15 MSK)

Ответ на: комментарий от serega1576 25.10.16 08:38:15 MSK

ссылку приводил постом выше, обновлял по ней проблема пока не решена. Сейчас отключил временно проверку на вирусы.

julixs ★★★
(25.10.16 08:40:49 MSK) автор топика
Последнее исправление: julixs 25.10.16 08:45:24 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от serega1576 25.10.16 08:38:15 MSK

В 10 перезапущу сервисы посмотрю результат если положительный скину ссыль на решение.

julixs ★★★
(25.10.16 09:34:50 MSK) автор топика

Ответ на: комментарий от julixs 25.10.16 09:34:50 MSK

Обновление проводил, как уже писал выше, по этому материалу, после чего возникла проблема описанная в стартовом посте.
Решение нашел тут.
Спасибо anc что обратил мое внимание на сокет.
Всем спасибо за участие, успеха на трудовом поприще)))

julixs ★★★
(25.10.16 10:12:08 MSK) автор топика
Последнее исправление: julixs 25.10.16 10:16:21 MSK (всего исправлений: 2)

Ссылка

Чяднт? Может обновить до 0.99?

Выкинуть Зибру, если она не может с 0.99 работать. Ничего там не менялось в протоколе работы с clamd. А сидеть на 0.98 получше, конечно, чем на 0.97, но тоже ничего хорошего. Хотя базы и делаются с оглядкой на 0.98 пока, но что-то новое может быть не задействовано, плюс исправлений безопасности для 0.98 больше не будет. Разве что мантейнеры пакета в дистрибутивах будут фиксы бакпортировать.

AS ★★★★★
(25.10.16 13:58:10 MSK)
Последнее исправление: AS 25.10.16 13:58:21 MSK (всего исправлений: 1)

Ответ на: комментарий от AS 25.10.16 13:58:10 MSK

если она не может с 0.99 работать.

хз что там у 8.7. под капотом, об этом лучше расскажут те кто пользует, но по крайней мере с 8.0.6 включен 0.98, планируем перекат с 8.0.3 на 8.7 там и посмотрю.

julixs ★★★
(25.10.16 14:18:29 MSK) автор топика

Ответ на: комментарий от julixs 25.10.16 14:18:29 MSK

хз что там у 8.7. под капотом

Мне кажется, что антивирус туда втыкать - это совсем неаккуратно. Либо уж обновляться сразу вместе в его обновлением. Неужели она с внешним антивирусом работать не умеет ? Какая разница, кто ей сокет создаст ?

AS ★★★★★
(25.10.16 14:25:13 MSK)

Ответ на: комментарий от AS 25.10.16 14:25:13 MSK

Неужели она с внешним антивирусом работать не умеет ?

Судя по этому нет:

Clam AntiVirus, an antivirus engine used for scanning email messages and attachments in email messages for viruses
SpamAssassin and DSPAM, mail filters that attempt to identify unsolicited commercial email (spam), using a variety of mechanisms
Amavisd-New, a Postfix content filter used as an interface between Postfix and ClamAV / SpamAssassin. In the Zimbra Collaboration Suite configuration, mail transfer and delivery are distinct functions.

julixs ★★★
(25.10.16 16:10:35 MSK) автор топика

Ответ на: комментарий от AS 25.10.16 13:58:10 MSK

Плюсану. Вот с чем с чем, а с clam никогда проблем не возникало, конфиги как были давно подправлены, так и работают от версии к версии. Правда с sendmail-ом. Единственная проблема какую помню, это когда две версии старая/новая оказались установлены по разным путям, но это исключительно косяк моих кривых рук.

anc ★★★★★
(25.10.16 19:04:54 MSK)

Ссылка

Ответ на: комментарий от julixs 25.10.16 14:18:29 MSK

Если не сложно, опиши как обновитесь! Очень рад буду опыт прочитать.

DALDON ★★★★★
(25.10.16 22:20:18 MSK)

Ссылка

Ответ на: комментарий от julixs 25.10.16 16:10:35 MSK

Судя по этому нет:

Думаю, это по барабану. Просто надо убить её ClamAV и поставить свой. И сокет для него указать тот, который Зимбра хочет.

Опять же: Amavisd-New. Ну не может там не быть текстового конфига, где этот самый сокет указан, и я ну никак не верю, что его там нельзя указать другой. Страна непуганных виндузятников, блин.

AS ★★★★★
(26.10.16 09:11:18 MSK)