作業四日目。
ほぼ終わってはいるのだが、clamdの返答が欲しい。
freshclamでデータベースの更新もした。
clamdもきちんと動作している。
amavisdとclamdも更新している。
されどメール内に仕込んだテスト用データをclamdは拾わない。
amavisdのログを見てもCLEANと返してくるのだ。
ここでサンプルに使ったデータは、
/opt/local/share/amavisd-new/test-messages/
内に在った、sample.tar.gz.complを展開したものと、下記の1行を入れたもの。
「X5O!P%@AP[4P\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」
clamscanを使っても、同ディレクトリ内に在ったREADMEに従ってもclamdはCLEANを返す。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
% clamscan Loading: 10s, ETA: 0s [========================>] 3.70M/3.70M sigs Compiling: 5s, ETA: 0s [========================>] 41/41 tasks sample-badh.txt: OK sample-executable.txt: OK sample-nonspam.txt: OK sample-spam-GTUBE-junk.txt: OK sample-spam-GTUBE-nojunk.txt: OK sample-spam.txt: OK sample-virus-nested.txt: OK sample.tar.gz.compl: OK ----------- SCAN SUMMARY ----------- Known viruses: 3702185 Engine version: 1.5.2 Scanned directories: 1 Scanned files: 8 Infected files: 0 Data scanned: 62.77 KiB Data read: 34.45 KiB (ratio 1.82:1) Time: 16.532 sec (0 m 16 s) Start Date: 2026:04:23 14:44:17 End Date: 2026:04:23 14:44:34 |
logを見るとよく解る。
amavisd側
|
1 2 3 4 5 |
Apr 23 15:38:22 mail.example.com /opt/local/sbin/amavisd[44087]: (44087-02) ClamA V-clamd: Sending CONTSCAN /opt/local/var/amavis/tmp/amavis-20260423T144012-44087-cLHrjmQj/parts/\n to socket/opt/local/var/run/clamav/clamd.socket Apr 23 15:38:22 mail.example.com /opt/local/sbin/amavisd[44087]: (44087-02) rw_loop read: got eof Apr 23 15:38:22 mail.example.com /opt/local/sbin/amavisd[44087]: (44087-02) run_av (ClamAV-clamd): CLEAN Apr 23 15:38:22 mail.example.com /opt/local/sbin/amavisd[44087]: (44087-02) run_av (ClamAV-clamd) result: clean |
ClamAV側
|
1 2 3 |
Thu Apr 23 15:38:22 2026 -> /opt/local/var/amavis/tmp/amavis-20260423T144012-44087-cLHrjmQj/parts/p004: OK Thu Apr 23 15:38:22 2026 -> /opt/local/var/amavis/tmp/amavis-20260423T144012-44087-cLHrjmQj/parts/p001: OK Thu Apr 23 15:38:22 2026 -> /opt/local/var/amavis/tmp/amavis-20260423T144012-44087-cLHrjmQj/parts/p002: OK |
ちょっと進みました。
進んだと言っても、両者が連携していること、clamdが「OK」を出して、amavisdが「CLEAN」と受け取ったと言うことです。
つまりamavisdはちゃんと橋渡しをしていて、clamdの返事をきちんと受け取っている。
あと調べるのは、clamdの設定内容くらいです。
この辺りは、Geminiさんの回答もループしちゃって、二人で悩みに悩んだところでした。
この回答が出たのは夕方になってからです。
Geminiさんから離れて、clamdのチェック方法を探していました。
そこに真っ先に出てきたのが、eicar.comという、Anti MailWere Testfileでした。
|
1 |
wget https://secure.eicar.org/eicar.com |
として、テストしましょう。とありました。
早速wgetしようとして、wgetが無い。
port install wget
からか〜。
気を取り直し、getしたeicar.com fileに対しclamscanをかけます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
% clamscan eicar.com Loading: 10s, ETA: 0s [========================>] 3.70M/3.70M sigs Compiling: 3s, ETA: 0s [========================>] 41/41 tasks eicar.com: Eicar-Test-Signature FOUND ----------- SCAN SUMMARY ----------- Known viruses: 3702185 Engine version: 1.5.2 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 68 B Data read: 68 B (ratio 1.00:1) Time: 15.424 sec (0 m 15 s) Start Date: 2026:04:23 17:27:20 End Date: 2026:04:23 17:27:35 |
やっとFOUNDが出ました。
やったね。
次はメールにeicar.comを貼り付けて送信。
clamd.logにきちんと
|
1 2 3 4 5 6 7 8 |
Thu Apr 23 17:34:39 2026 -> /opt/local/var/amavis/tmp/amavis-20260423T161513-45771-VfrP8VGf/parts/p005: Eicar-Signature FOUND と出た。 amavisd.logには amavisd[45771]: (45771-02) ClamAV-clamd: Sending SCAN /opt/local/var/amavis/tmp/amavis-20260423T161513-45771-VfrP8VGf/parts\n to socket /opt/local/var/run/clamav/clamd.socket amavisd[45771]: (45771-02) rw_loop read: got eof amavisd[45771]: (45771-02) run_av (ClamAV-clamd): /opt/local/var/amavis/tmp/amavis-20260423T161513-45771-VfrP8VGf/parts INFECTED: Eicar-Signature amavisd[45771]: (45771-02) virus_scan: (Eicar-Signature), detected by 1 scanners: ClamAV-clamd amavisd[45771]: (45771-02) sending SMTP response: "250 2.7.0 Ok, discarded, id=45771-02 - INFECTED: Eicar-Signature" |
とEicar-Signatureの文字が。(喜
postfix_logにも出てきたよ。
|
1 2 3 4 5 |
Apr 23 17:34:43 mail postfix/smtp[58212]: 730E33220263: to=<fromUser@example.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.6, delays=0.04/0.01/0/3.5, tls=none, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=45771-02 - INFECTED: Eicar-Signature) Apr 23 17:34:43 mail postfix/smtp[58212]: 730E33220263: to=<stoUser@example.com>, relay=127.0.0. 1[127.0.0.1]:10024, delay=3.6, delays=0.04/0.01/0/3.5, tls=none, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=45771-02 - INFECTED: Eicar-Signature) Apr 23 17:34:43 mail postfix/local[58219]: F36103220278: passing <postmaster@example.com> to transport=lmtp Apr 23 17:34:43 mail postfix/qmgr[44960]: 730E33220263: removed |
これでclamdのチェックは終了だね!
そこで忘れていたことの確認。とどめの一手ですな〜。
amavisd-newが闇に葬ったメールの確認でござる。
/opt/local/var/amavis/quarantine/の中で一番新しいファイルのヘッダを調べる。
これね。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
Return-Path: <> Delivered-To: virus-quarantine X-Envelope-From: <fromUser@example.com> X-Envelope-To: <fromUser@example.com>, <toUser@example.com> X-Envelope-To-Blocked: <fromUser@example.com>, <toUser@example.com> X-Quarantine-ID: <kPVS4IZeC6yX> X-Amavis-Alert: INFECTED, message contains virus: Eicar-Signature X-Spam-Flag: NO X-Spam-Score: 0 X-Spam-Level: X-Spam-Status: No, score=x tag=-2 tag2=6.2 kill=6.9 tests=[] autolearn=unavailable Received: from mail.example.com ([127.0.0.1]) by localhost (mail.example.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id kPVS4IZeC6yX; Thu, 23 Apr 2026 17:34:39 +0900 (JST) Received: from smtpclient.apple (mail.example.com [192.168.0.36]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail.example.com (Postfix) with ESMTPSA id 730E33220263; Thu, 23 Apr 2026 17:34:39 +0900 (JST) |
これで完璧です。
きちんと、「Delivered-To: virus-quarantine」で隔離することを宣言。
「X-Amavis-Alert: INFECTED, message contains virus: Eicar-Signature」eicar.signatureを発見したことを宣言。
で隔離されたという。
最近のトレンドは「ウイルスは発見したら隔離」だそうで、userには送られたことすら知らせない。知っているのは「隔離したよ」と連絡を受けるpostmasterだけだそうです。
そのpostmasterにも実態は教えない。見たければ見られる(上で隔離ファイルからヘッダを抜き出しているし)けれど、基本は連絡のみだそうです。
以上。
四日目にて「サーバーの構築終了!」となりました。
目出度し目出度し。
Geminiさんのお蔭で、随分と早く終わりました。
ありがと〜Geminiさん。