Bug 15392 - sendmail-milter ablösen
sendmail-milter ablösen
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: ZZZ - Trash - Scalix for UCS
UCS 2.2
All All
: P5 normal (vote)
: UCS 2.2 scalix
Assigned To: Arvid Requate
Andreas Büsching
:
Depends on: 15357
Blocks:
  Show dependency treegraph
 
Reported: 2009-08-17 16:06 CEST by Stefan Gohmann
Modified: 2023-03-25 06:44 CET (History)
0 users

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Stefan Gohmann univentionstaff 2009-08-17 16:06:31 CEST
Wir haben in der Vergangenheit einige Probleme durch unsere sendmail-milter Konfiguration bekommen, u.a. Bug #12418.

Laut Florian hat Scalix seit Version 11.4.1 eine eigene milter-Schnittstelle, di kann in der smtpd.cfg konfiguriert werden.

Am Montag, 17. August 2009 schrieb Florian von Kurnatowski:
> Stefan,
>
> dieses Dokument beschreibt, wie Scalix AntiSpam (basierend auf
> Commtouch) in Scalix integriert wird:
>
> http://www.scalix.com/wiki/index.php?title=TB/TB-2008-04-CTASAV
>
> Ich empfehle, den Amavis-Milter, sowohl was die eigentliche Milter-
> Anbindung wie auch was das Routing des Submission-Traffics betrifft,
> parallel dazu zu gestalten.
>
> Die Anbindung von ClamAV an den internen MTA ("Service Router"), durch
> den sowohl aller interner wie externer Traffic läuft, wird in
> http://www.scalix.com/documents/scalix_setup_and_configuration_guide_113.pd
>f ab Seite 13 beschrieben; ich denke, das trifft auch für UCS zu.

Wir sollten unser milter Paket ablösen bzw. so ändern, dass die senmail-milter Schnittstelle nicht mehr verwendet wird, sondern nur noch die Scalix-Schnittstelle. Das sollte beim Update funktionieren, aber wenn vorher keine Spam- oder Virenprüfung aktiv war, dann darf diese nicht aktiviert werden.
Comment 1 Arvid Requate univentionstaff 2009-09-03 18:41:05 CEST
antispam und antivir Maßnahmen werden jetzt nicht mehr gleichermaßen per mail/sendmail/milter über die Sendmail Konfiguration und Amavis-Milter in das Mailrouting eingebunden, sondern jeweils separat über Scalix:

  * antispam: Scalix SMTP Relay -> amavis-milter -> amavis -> Spamassassin

    Mit "Routing des Submission-Traffics" ist in Kommentar 1 wohl gemeint,
    dass interne Mail Clients (Scalix SWA und Scalix wireless (platform))
    Mail an dem antispam Filter vorbei an den "Submission port" (587) schicken
    können. Das wird von Scalix zur Vermeidung von false positives empfohlen.
    Für Desktop Mail Clients wie Thunderbird wird zusätzlich per stunnel
    der SMTPS port aufgemacht und auf den "Submission port" geleitet.

  * antivir: Scalix service router -> omvscan.map -> ClamAV

    "Anbindung von ClamAV an den internen MTA ("Service Router"), durch
     den sowohl aller interner wie externer Traffic läuft"

Es wurden dazu die Pakete univention-scalix, univention-scalix-amavis und univention-antivier-mail angepasst:

univention-scalix (3.0.1-1) Auszug aus debian/changelog:
  * update for scalix_version=11.4.5 (Bug #15357)

  * Für antispam:
    * configure SMTPMILTER in smtpd.cfg for amavis-milter (Bug #15392)
    * activate Submission port in smtpd.cfg allowing internal bypass of antispam
    * new scalix/smtps variable for optional SMTPS tunnel to the Submission port

  * Für antivir:
    * add clamav user to group scalix
    * provide omvscan.map from examples/general
    * activate omvscan by commiting ~scalix/rules/ALL-ROUTES.VIR
    * exclude Scalix distribution lists and text attachments from omvscan

univention-scalix-amavis (1.0.1-1) Auszug aus debian/changelog:
  * ucr unset mail/sendmail/milter on update, Scalix SMTP Router now offers
    an SMTPMILTER interface (Bug #15392)
  * ucr set scalix/smtps?yes on update
  * ucr set mail/antivir/scanner='none' on update, the Scalix service router now
    also scans internally via omvscan.map

univention-antivir-mail (1.3.6-1) unstable; urgency=low
  * introduce 'none' value for mail/antivir/scanner as equivalent to '' but
    resistant to postinst ucr set mail/antivir/scanner?'clamav' (Bug #15392)

Die Pakete sind im ucs_2.2-0-scalix Scope gebaut.

Vermutlich ändert sich durch diese Umstellungen leider nichts an Bug #12418, das sollte in der QA mit getestet werden (1. Mail an mailPrimaryAddress, die keine Scalix Mailbox ist, 2. Mail an uid@maildomain wobei maildomain in /etc/mail/local-host-names eingetragen ist).

Release Changelog über Bug #15357.

Zur internen Dokumentation: Kommentierter Teil aus der Scalix Doku zu antispam MILTER Anbindung:
===================================================================
"A new '''MILTER interface''' has been implemented in the '''Scalix SMTP Relay'''. The Commtouch service is integrated through this new MILTER interface by wrapping Commtouch's scanning engine ctengine. For more information on MILTERs please refer to http://milter.org

Please be advised that the option SMTPFILTER has been deprecated in favor of SMTPMILTER, and should not be used any longer. [ARQ: UCR Variable heisst weiterhin scalix/smtpfilter]

The Commtouch MILTER will be run by the new sxmilter service [ARQ: d.h. sxmilter ist vermutlich nur der Wrapper für ctengine].

All existing Relay rules in smtpd.cfg will be applied exactly once before the messages gets processed by any configured milters. Unlike sendmail Scalix will call milters sequentially and not in parallel to avoid conflicting changes to headers by multiple milters.

A message will only be accepted if all configured milters return the ACCEPT action. As soon as one returns with an action different than ACCEPT (e.g. DISCARD, TEMPFAIL, ...) processing stops, the later milters will not be called and the last action returned will be applied to the message [ARQ: d.h. CTmilter darf nicht als INPUT_MAIL_FILTER in smtpd.cfg aufgeführt sein, wenn er nicht lizensiert ist].

When a message has been processed by Scalix AntiSpam or Scalix ZeroHour AntiVirus a special header, by default called X-SMP-CT-RefID, will have been added to it. This header is used to identify the message when reporting false positives/negatives.

The newly implemented '''MILTER interface''' can also be used to integrate other applications like Spamassassin, AMaViS or ClamAV through ***their respective milters***. Be advised that this has not been tested by Scalix. [ARQ: d.h. der amavisd-milter socket muss als INPUT_MAIL_FILTER in smtpd.cfg eingetragen werden.]

The provided MILTER for Commtouch ctengine integration is intended to be used with Scalix only, no tests have been made to ensure sendmail compatibility.

Scalix is compatible to version 2 milters."
	-- http://www.scalix.com/wiki/index.php?title=TB/TB-2008-04-CTASAV
Comment 2 Arvid Requate univentionstaff 2009-09-07 19:52:40 CEST
Das neu eingespielte Paket scalix-wireless_1.0.1.575_all.deb behebt das Problem.
Comment 3 Arvid Requate univentionstaff 2009-09-07 19:53:20 CEST
Kommentar 2 ist am falschen Bug gelandet.. bitte ignorieren.
Comment 4 Arvid Requate univentionstaff 2009-09-11 16:43:16 CEST
In ~scalix/rules/ALL-ROUTES.VIR darf keine Leerzeile stehen, daher wurde aus dem Template jetzt das trailing newline entfernt (echo -e "`cat ALL-ROUTES.VIR`\c" > ALL-ROUTES.VIR).
Comment 5 Andreas Büsching univentionstaff 2009-09-14 11:15:27 CEST
Die Virenerkennung funktioniert mit der neuen Integration sowohl nach einem Update als auch bei der Neuinstallation. Sie kann auch nachträglich deaktiviert werden (UCR + das scalix conffile Skript).