Securepoint Support Forum

Guten Abend,

auf allen Firewall spinnt der ClamAV seit ca. 29.05.08/16:30.
Auf den Firewalls läuft der ClamAV als SMTP-Virenscanner, als POP3-Virenscanner und im WEBproxy.
Sobald ein Benutzer per POP3 was abholt bekommt er folgenden Text als Mail :

The message from: xxxxxx@gmx.de
to: xxxxxx@nosurf.de
received from host: mail.gmx.net
was processed as follows:


A part had the following status: scan error.
The following action was performed: skipped.
Additional info: N/A


Backup location: N/A (no backup done).
Backup action: N/A.

This is the default notification message.

Das selbe bekommen auch andere Kunden von mir die die Mails direkt per SMTP an die Firewall geliefert bekommen.
Sobald die Virenprüfung der Maildienste ausgeschaltet wird funktioniert wieder alles..sprich die Mail kommen in gewohnter Form an.
Der Webzugriff scheint aber einwandfrei zu gehen...der eicar testfiel wird zumindest erkannt.

Eine superschnelle Lösung wäre Klasse, denn meine Kunden sind ebenso unzufrieden mit der Virenlösung wie ziemlich viele hier im Forum auch ...

Die beiden Fiels des ClamAV (daily.cvd und main.cvd habe ich schon manuell gelöscht und mit "update virusscan" neu geholt... komisch ist da nur das die daily Datei vorher daily.cld hies und nach dem löschen und neu holen dail.cvd ????


Mit nicht mehr so freundlichen Grüßen
-Roland Hermes-

P.S. Langsam wird die Virenprüfung in der Securepoint zum Glücksspiel und man kann Ihr nicht mehr vertrauen !

..habe ich vergessen.

Die Version der securepoint ist selbstverständlich die 2007nxP14.
Komisch ist auch die Dateibenennung und die Datumsangaben ??

vor dem manuellen löschen:
daily.cld (May 29 22:09)
main.cvd (Apr 10 20:13)

nach dem manuellen löschen und dem update:
daily.cvd (May 29 23:44) -> (plötzlich .cvd anstatt .cld !!!)
main.cvd (May 29 23:44)

MfG
-Roland Hermes-

Die Datumsangaben sind wirklich ein bisschen komisch ich hab im Manager nach der gleichen Prozedur ein:

06 Apr 2008 18-57 +0000
29 May 2008 19-39 +0000

Können Sie das noch mal prüfen?

Guten tag,

die Datumsangaben im Manager sind bei mir z.Zt.

Haupt-Datenbank: 06 Apr 2008 18-57 +0000
Tägliche-Datenbank: 30 May 2008 08-45 +0000

Die Anzeige des Datums habe ich aus der Console gehabt...sprich im Dateisystem

MfG
-Roland Hermes-

P.S. Kommen die Meldungen mit dem Virus denn wirklich vom ClamAV ?
Entspricht die Meldungsform der Mail der Vorlage für den Fehler ?

carsten hat geschrieben: Die Datumsangaben sind wirklich ein bisschen komisch ich hab im Manager nach der gleichen Prozedur ein:

06 Apr 2008 18-57 +0000
29 May 2008 19-39 +0000

Können Sie das noch mal prüfen?

Was passiert wenn sie die Dienste neustarten? Läuft dann der clamav erst mal wieder?

Tritt dies beim POP3-Proxy auf wenn größere Datei-Anhänge gescanned werden? Also der erste Absturz, wenn es sowas gibt?

Um was für Geräte handelt es sich?

Halo,

es handelt sich um verschiedene Geräte.
RC100 , RC200 , Software unter VMware ESX, Software auf Hardware.
Ein Nestarte der Dienste hat auch nichts gebrach...
Er stürtzt anscheinend ja auch nicht ab...de
eldung kommt ja bei jeder Mail, auch wenn es nur Textmails sind..

MfG
R. Hermes

carsten hat geschrieben: Was passiert wenn sie die Dienste neustarten? Läuft dann der clamav erst mal wieder?

Tritt dies beim POP3-Proxy auf wenn größere Datei-Anhänge gescanned werden? Also der erste Absturz, wenn es sowas gibt?

Um was für Geräte handelt es sich?

Nabend alle zusammen,

also hier nun eine Aktuelle Erfahrung von meiner Seite.
Hab eine SecurePoint R3 Final auf einem Rechner mit DualCore und 4GB RAM in einem VMWare Server(1.04) laufen.Auf diesem VMWare server laufen außerdem ein Windows 2003 SBS als DC, ein Windows 2003 Standart als Webserver und ein Windows 2003 Standart als Terminal Server.

Habe nun vorhin ein Pop3 Konto mit 1910 Mails abgerufen, das ganze über den Pop3 Proxy mit aktiviertem Filter und Scanner.
Während des Abrufes habe ich die SecurePoint weiter konfiguriert und mehrmals den Sendmail Dienst neugestartet.

Obwohl die SecurePoint am limit gearbeitet hat, hat alles ohne Probleme funktioniert, es wurden ca. 1850 Mails als SPAM erkannt und ca. 5 als Virenverseucht erkannt. Die SecurePoint hat sehr zuverlässig gearbeitet und überhaupt keine Mucken gemacht. Und dazu zählt auch der ClamAV.

Es kann also nicht ganz so schlecht sein wie viele sagen. Mit der richtigen Hardware rennt die SP ziemlich zuverlässig.

Grüße
A. Rietz

Nabend..
zur Hardware kann ich nur sagen das die Fehler die ich hatte auf einem

VMWare ESX Server 3.5
2 x Dualcore AMD Opteron 2216 mit 32 GB RAM.
Daran kann es nicht gelegen haben...

Ich sage ja auch nicht das der ClamAV ansich das Problem
darstellt...nur ist die Karre irgendwie durch die vielen auffallenden Kleinigkeiten bei meinen Kunden in den Dreck gefahren.

Das Vertrauen zu dem Produkt ist weg...Teilweise schon bei der Umrüstung auf die Securepoint 2007nx.
Vorher, in der 2006er Variante, war noch ein F-Prot. Mit dem Begriff F-Prot konnten die meisten noch was anfangen. ist halt bekannter als ClamAV. (Ich sage nicht unbedingt das der besser ist !)
Den ClamAV kannte so nun keiner und jeder war erstmal skepisch..

Am besten wäre der Einsatz verschiedener Virenscanner, so wie ich es mit Sendmail und Miltern auf meinem Mailserver auch fahre...
- Sendmail 8.xx.xx
- F-Prot Milter
- Kaspersky Milter
- Spam Scanner

mfG
-Roland Hermes.

Hallo,
also zum Thema Virenscanner kann ich nur sagen, dass ich am Horizont Wolken sah, die sich diesem Problem bald annehmen werden.
Leider sind viele Kunden und Admins dem Thema OpenSource immer noch sehr skeptisch gegenueber eingestellt, obwohl CLamAV es locker mit den am Markt vertretenden kommerziellen Produkten aufnehmen kann.
Dann muss halt auch dafuer gezahlt werden, ohne wirklich einen besseren Nutzen davon zu haben.
In den Wolken stand zu lesen = kommerzielles AV-Produkt wird kommen und entsprechend als weitere Scan-Engine integriert......aber zu Details sollte sich besser SP aeussern.

Habe die 2007er im R2-Status auch auf einer ESXer laufen, ohne diese Probleme.
SMTP und Web-Traffic (Proxy) wird gescannt und die 20 User sind dezent gesagt "Hardcore"....surfen, newsletter, alles was das Netz hergibt. Entsprechend ist auch das Spamaufkommen.
Der Unterschied ist halt das kein POP3-Proxy eingesetzt wird....weil ich meinen Kunden Mailschrott immer mehr ersparen will, was nur mit direktem MXer, Black- und Greylists richtig zu realisieren ist bzw. man Einfluss ausueben kann, ohne beim Provider betteln zu muessen.

Gruss

M.Goeres