ClamScan Antivirus unter Plesk installieren

Lesedauer 3 Minuten

Jeder mit PLESK administrierte Server lässt sich kostenlos mit ClamScan Antivirus nachrüsten, sofern man SSH-Zugang mit Root-Rechten hat. Eingehende Mails werden dann automatisch von ClamScan nach Viren und Trojanern untersucht und ggf. aus dem Verkehr gezogen. Dieses Tutorial zeigt die einzelnen Schritte um ClamScan Antivirus unter PLESK zu integrieren.

Inhaltsverzeichnis:

Plesk: Postfix SMTP Server und Virenscanner

Plesk nutzt Postfix als SMTP-Server. Postfix selbst hat eine offene Architektur, die es erlaubt über TCP/IP Ports mit externen Programmen wie Virenscannern zu kommunizieren. Da ClamScan keine direkte Kommunikation per TCP/IP beherrscht, muss ein Art Proxy-Server, hier ClamSMTP dazwischen geschaltet werden.

Die folgende Grafik zeigt das Zusammenspiel der einzelnen Komponenten:

Postfix empfängt Mails von aussen über Port 25 und gibt diese über Port 10026 an ClamSMTP weiter.
ClamSMTP kommuniziert mit dem Virenscanner (ClamScan) über eine lokale Unix Socket und teilt mit, welche Dateien zu scannen sind.
Wenn keine Infektion vorliegt, gibt ClamSMTP die Mail an Postfix über Port 10025 zurück.
Ansonsten wurde die Mail von ClamScan je nach Konfiguration entweder gelöscht oder in Quarantäne verschoben.
Postfix speichert die Mail anschliessend in der Mailbox des Users.

ClamScan und ClamSMTP installieren

Neben ClamScan und ClamSMTP wird noch ein vernünftiger Editor (hier Nano) benötigt. Mit dem folgenden Befehl werden die entsprechenden Pakete installiert:

apt-get install clamav clamsmtp nano

1	apt-get install clamav clamsmtp nano

In den folgenden beiden Config-Dateien ist AllowSupplementaryGroups auf true zu setzen:

/etc/clamav/clamd.conf
/etc/clamav/freshcalm.conf

Die Datei /etc/clamsmtpd.conf wird mit folgenden Einträgen ergänzt:

Header: X-AV-Checked: ClamAV using ClamSMTP on mail.domain.com
Quarantine: off
VirusAction:/usr/local/bin/clamsmtp_on_virus.sh

Header: X-AV-Checked: ClamAV using ClamSMTP on mail.domain.com

Quarantine: off

VirusAction:/usr/local/bin/clamsmtp_on_virus.sh

mail.domain.com ist hier durch den Namen des eigenen SMTP-Servers zu ersetzen.

ClamSMTP VirusAction-Script

Nun erzeugen wir das zugehörige VirusAction-Script für ClamSMTP. Jede eingehende Mail durchläuft dieses Script. Enthält die Mail eine Bedrohung, so wird sie unmittelbar gestoppt. Der Admin und optional auch der Empfänger werden benachrichtigt:

nano /usr/local/bin/clamsmtp_on_virus.sh

1	nano /usr/local/bin/clamsmtp_on_virus.sh

Der Inhalt des Scripts fügen wie per Copy-Paste direkt in den Editor ein. Die Variablen ADMIN und MAILFROM müssen entsprechend angepasst werden:

#!/bin/bash
#
# clamscan_on_virus 1.0.0
#
# Virus handler script for ClamSMTPd
#
# (c)2017 Harald Schneider
#

ADMIN="notify@domain.com"
MAILFROM="clamscan@domain.com"
LOG="/var/log/virus.log"
DIR="/var/spool/clamsmtp"

exec 1>>$LOG
exec 2>>$LOG

# Add to log

echo "----------------------------------------"
echo FROM $SENDER
echo TO $RECIPIENTS
echo VIRUS $VIRUS
echo "----------------------------------------"

# Move to quarantine
# This only works if quarantine is enabled
#
#if [ -n "$EMAIL" ]; then
# mv "$EMAIL" "$DIR"
#fi

MAILTEXT="
The following threat has been deteced and eleminated:

VIRUSNAME: $VIRUS
SENDER IP: $REMOTE
SENT FROM: $SENDER
RECIPIENT: $RECIPIENTS



--
ClamScan Antivirus

"

# Send mail to original recipient:
#echo "$MAILTEXT" | mail -r $MAILFROM -s "VIRUS filtered ($SENDER)" $RECIPIENTS

# Send mail to admin
echo "$MAILTEXT" | mail -r $MAILFROM -s "CLAMSCAN: VIRUS filtered ($SENDER)" $ADMIN

#!/bin/bash

# clamscan_on_virus 1.0.0

# Virus handler script for ClamSMTPd

ADMIN="notify@domain.com"

MAILFROM="clamscan@domain.com"

LOG="/var/log/virus.log"

DIR="/var/spool/clamsmtp"

exec 1>>$LOG

exec 2>>$LOG

# Add to log

echo "----------------------------------------"

echo FROM $SENDER

echo TO $RECIPIENTS

echo VIRUS $VIRUS

echo "----------------------------------------"

# Move to quarantine

# This only works if quarantine is enabled

#if [ -n "$EMAIL" ]; then

# mv "$EMAIL" "$DIR"

#fi

MAILTEXT="

The following threat has been deteced and eleminated:

VIRUSNAME: $VIRUS

SENDER IP: $REMOTE

SENT FROM: $SENDER

RECIPIENT: $RECIPIENTS

ClamScan Antivirus

# Send mail to original recipient:

#echo "$MAILTEXT" | mail -r $MAILFROM -s "VIRUS filtered ($SENDER)" $RECIPIENTS

# Send mail to admin

echo "$MAILTEXT" | mail -r $MAILFROM -s "CLAMSCAN: VIRUS filtered ($SENDER)" $ADMIN

Nachdem wir das Script gespeichert haben, setzen wir die Zugriffsrechte mit

chmod 755 /usr/local/bin/clamsmtp_on_virus.sh

1	chmod 755 /usr/local/bin/clamsmtp_on_virus.sh

ClamScan in Postfix integrieren

Um die Kommunikation zwischen ClamSMTP und Postfix herzustellen, müssen 2 Config-Dateien von Postfix entsprechend angepasst werden:

nano /etc/postfix/main.cf

1	nano /etc/postfix/main.cf

Nach

sender_dependent_default_transport_maps = hash:/var/spool/postfix/plesk/sdd_transport_maps

1	sender_dependent_default_transport_maps = hash:/var/spool/postfix/plesk/sdd_transport_maps

muss diese Zeile eingefügt werden:

content_filter = scan:127.0.0.1:10026

1	content_filter = scan:127.0.0.1:10026

Nun die 2. Datei:

nano /etc/postfix/master.cf

1	nano /etc/postfix/master.cf

Hier fügt man am Ende der Datei die folgenden Zeilen ein:

scan      unix  -       -       n       -       16      smtp 
        -o smtp_send_xforward_command=yes 

# For injecting mail back into postfix from the filter 
127.0.0.1:10025 inet  n -       n       -       16      smtpd 
      -o content_filter= 
      -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
      -o smtpd_helo_restrictions= 
      -o smtpd_client_restrictions= 
      -o smtpd_sender_restrictions= 
      -o smtpd_recipient_restrictions=permit_mynetworks,reject 
      -o mynetworks_style=host 
      -o smtpd_authorized_xforward_hosts=127.0.0.0/8

scan unix - - n - 16 smtp

-o smtp_send_xforward_command=yes

# For injecting mail back into postfix from the filter

127.0.0.1:10025 inet n - n - 16 smtpd

-o content_filter=

-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks

-o smtpd_helo_restrictions=

-o smtpd_client_restrictions=

-o smtpd_sender_restrictions=

-o smtpd_recipient_restrictions=permit_mynetworks,reject

-o mynetworks_style=host

-o smtpd_authorized_xforward_hosts=127.0.0.0/8

Plesk: ClamScan automatisch aktualisieren

Das stündliche Aktualisieren der Virusdefinitionen von ClamScan wird über den Task-Scheduler von PLESK übernommen. Hierzu erstellen wir einen Task mit dem folgenden Kommando:

rm /var/log/clamav/freshclam.log;/usr/bin/freshclam --quiet

1	rm /var/log/clamav/freshclam.log;/usr/bin/freshclam --quiet

ClamScan + ClamSMTP + Postfix: GO !

Über die folgenden Befehle werden die Änderungen aktiviert:

/etc/init.d/clamav-daemon start
/etc/init.d/clamavsmtp start
/etc/init.d/postfix restart

/etc/init.d/clamav-daemon start

/etc/init.d/clamavsmtp start

/etc/init.d/postfix restart

Wenn wir alles richtig gemacht haben, enthalten alle ab jetzt empfangenen Mails im Header folgende Zeile:

X-AV-Checked: ClamAV using ClamSMTP on mail.domain.com

1	X-AV-Checked: ClamAV using ClamSMTP on mail.domain.com

Um ClamScan zu testen, können wir eine Mail mit der EICAR-Testdatei an einen Empfänger auf unserem Server senden. Die Datei enthält nur die EICAR Virus-Signatur, jedoch nicht den Virus selbst. Ist alles OK, kommt beim Empfänger anstatt der Testmail die Nachricht des VirusAction-Scripts an.

Hat Dir der Beitrag gefallen?

Wenn Du Fragen oder Anmerkungen zu diesem Beitrag hast, dann starte einen Kommentar. DANKE für Dein Feedback!

GRATIS: Hol Dir Pulse², die App zu meinem Blog.

Von hschneider|2022-09-22T13:17:12+02:002017-07-18|Kategorien: Tipps, Tricks, Hacks|Tags: Linux, Mail, Plesk, Security|10 Kommentare

10 Kommentare

Neuester

Ältester Beliebtester

Inline Feedbacks

View all comments

Senjor Alfonso

1 Jahr zuvor

Läuft leider nicht.

This is the mail system at host xx.domain.de.

I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

Antworten

Autor

hschneider

1 Jahr zuvor

Reply to Senjor Alfonso

Der Header der bounced Mail sowie die entsprechenden Log-Einträge dazu wären hilfreich.

Bitte beachten: Der Beitrag ist von 2017. Inzwischen hat sich Seitens Plesk sicher einiges geändert.

Antworten

Senjor Alfonso

1 Jahr zuvor

Reply to hschneider

Hier einmal die Logs:

mail.err: Jun 3 01:56:07 server01 clamsmtpd: 100001: SERVER: couldn’t connect to: IP.IP.IP.IP:10025: Transport endpoint is not connected,

maillog: clamsmtpd: 100001: SERVER: couldn’t connect to: IP.IP.IP.IP:10025: Transport endpoint is not connected

Antworten

Autor

hschneider

1 Jahr zuvor

Reply to Senjor Alfonso

Steht da 127.0.0.1:10025 oder eine andere IP?

Antworten

Senjor Alfonso

1 Jahr zuvor

Reply to hschneider

Die externe, darum hab ich sie im Kommentar entfernt.

Antworten

Autor

hschneider

1 Jahr zuvor

Reply to Senjor Alfonso

Überall wo in meinem Beitrag 127.0.0.1 steht, muss das so bleiben. Die Kommunikation findet über Localhost statt, nicht über die ext. IP. Daher bekommst du keinen Connect.

Antworten

Autor

hschneider

1 Jahr zuvor

Reply to hschneider

Hab das grad mal in der Grafik ergänzt, dann ist es klarer.

Antworten

Senjor Alfonso

1 Jahr zuvor

Reply to hschneider

ah sorry, und der header

<user@domain.de>: host 127.0.0.1[127.0.0.1] said: 554 5.7.1
<user@domain.de>: Recipient address rejected: Access denied (in reply to
RCPT TO command)
Reporting-MTA: dns; server01.domain.de
X-Postfix-Queue-ID: 6057EDA
X-Postfix-Sender: rfc822; user@domain.de
Arrival-Date: Fri, 3 Jun 2022 08:37:29 +0200 (CEST)

Final-Recipient: rfc822; user@domain.de
Original-Recipient: rfc822;user@domain.de
Action: failed
Status: 5.7.1
Remote-MTA: dns; 127.0.0.1
Diagnostic-Code: smtp; 554 5.7.1 <user@domain.de>: Recipient address
rejected: Access denied

Antworten

Stefan

1 Jahr zuvor

Reply to Senjor Alfonso

I had the same Problem, the following fixed it for me:

The entry in the /etc/postfix/master.cf should be:

scan unix – – n – 16 smtp
-o smtp_send_xforward_command=yes

# For injecting mail back into postfix from the filter
127.0.0.1:10025 inet n – n – 16 smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

Furthermore the AllowSupplementaryGroups entry in /etc/clamav/clamd.conf and /etc/clamav/freshcalm.conf is deprecated and no longer needed.

I hope this information is helpful for you :)

Antworten

Autor

hschneider

1 Jahr zuvor

Reply to Stefan

Thank you for sharing this!

Antworten

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Wordpress Application Firewall
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte.
Zweck	Essentielles Session-Cookie um die Sicherheit unserer Website zu gewährleisten. Identifiziert den Besucher anhand einer anonymen ID um mehrfache Hackversuche wiederkehrender Besucher zu verhindern.
Cookie Name	icwp-wpsf

Name	Wordpress Login Session
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte.
Zweck	Dieses Session Cookie speichert den Zustand unseres Login-Bereichs, um festzustellen ob ein User eingeloggt ist oder nicht.
Cookie Name	swpm_session

Name	PHP Session ID
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte
Zweck	Dieses Session-Cookie wird benötigt um die einwandfreie Navigation auf unseren Seiten zu gewährleisten. Es identifiziert den Besucher anhand einer anonymen ID.
Cookie Name	PHPSESSID

Name	WooCommerce
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte
Zweck	Dieses Cookie wird zur Funktionalität des WooCommerce Onlineshops benötigt.
Cookie Name	woocommerce_cart_hash, tk_ai

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische, anonymisierte Daten darüber, wie der Besucher die Website nutzt. Google Analytics hilft uns, unser Angebot auf unsere Besucher besser abstimmen zu können.
Datenschutzerklärung	https://policies.google.com/privacy
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	1 Jahre

Akzeptieren	Vimeo
Name	Vimeo
Anbieter	Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA
Zweck	Wird verwendet, um Vimeo-Inhalte zu entsperren.
Datenschutzerklärung	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie Name	vuid
Cookie Laufzeit	2 Jahre

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird verwendet, um YouTube-Inhalte zu entsperren.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate

ClamScan Antivirus unter Plesk installieren

Plesk: Postfix SMTP Server und Virenscanner

ClamScan und ClamSMTP installieren

ClamSMTP VirusAction-Script

ClamScan in Postfix integrieren

Plesk: ClamScan automatisch aktualisieren

ClamScan + ClamSMTP + Postfix: GO !

Hat Dir der Beitrag gefallen?

Titel