Thunderbird en KlamAV

[Filip.Lauwyck]

Hallo,

Ik gebruik Thunderbird om mijn mails te lezen.
Verder heb ik KlamAV geïnstalleerd als extra vangnet voor eventueel virussen (Ja, ik weet wel dat ik Ubuntu draai, maar die staat wel tussen windows PC's en een extra waarschuwing is nooit weg).

Nu zou ik graag KlamAV mijn Mails in Thunderbird laten scannen.
Googlen heeft jammer genoeg niet veel concreets opgeleverd, het enige dat ik gevonden heb is dat dit kon werken met een add-on in thunderbird dat niet meer beschikbaar is.

Weet er iemand hoe ik dit kan instellen?

Bedankt,
Filip.

[HarzG]

Je hebt KlamAV geschreven en dat is volgens mij de KDE-versie van clamav. Gebruik je nou Ubuntu of Kubuntu?
Volgens mij is het passender om op Ubuntu en Xubuntu-systemen clamtk te installeren als grafische schil van de virusscanner. Maar dit terzijde.

Een probleem van Thunderbird met virusscanners is het mailformaat van Thunderbird. De mails staan namelijk allemaal in 1 groot bestand (Postvak In = Inbox; Verzonden = Sent in de Thunderbird-map),  Als de configuratie of het programma niet goed zijn, dan wordt niet "een mail" maar het complete bestand Inbox met alle mails aangepakt en die ben je dan kwijt. De reparatie van deze Thunderbird-mailbox is mogelijk, maar dat is voor een doorsnee-gebruiker nogal ingewikkeld en kost veel tijd.

Na een beetje zoeken, heb ik het volgende gevonden: P3Scan. De scan vindt dus plaats voordat de mails in de mailbox van Thunderbird of een ander mailprogramma belanden.
Je kan aan deze proxy-server koppelen aan de volgende virusscanners:

P3Scan is known to work with:
    Kaspersky Anti-Virus for Linux (AVPD)
    Trophie Anti-Virus Daemon
    FRISK F-Prot Antivirus
    Clam AntiVirus
    F-Secure Anti-Virus

P3Scan kan via het Ubuntu software-center geïnstalleerd worden.

Een veilige optie voor mails is in Thunderbird zelf te vinden. Als je alleen de berichtkoppen laat downloaden, kan je zien of de afzender je bevalt. Dat helpt je helaas niet zodra een bekende van je een besmette mail gaat verzenden.

Ik ken overigens geen geval waar een Linux-systeem besmet raakte door een mail en vervolgens anderen via de mail ging besmetten. Maar misschien weten anderen daar meer van.

[Filip.Lauwyck]

Hallo HarzG,

Bedankt voor de snelle reactie. Nu nog even uitproberen en dat laat ik nog iets weten.

Om je andere vragen te beantwoorden, ik ben behoorlijk nieuw in Ubuntu en heb dus gewoon op "virus" gezocht in het softwarecentrum.
Dit leverde KlamAV als treffer op en dat heb ik geïnstalleerd. En ja, ik gebruik Ubuntu (ondertussen 10.10), maar misschien heb ik ondertussen onderweg een software bron toegevoegd, maar die kan ik niet terugvinden (misschien een gevolg van de upgrade).

In verband met je opmerking over virussen verspreiden. Ik vind het prachtig dat virussen (bijna) geen kans maken in Linux, maar door deze extra controle wordt het ook nog eens bewezen.

Filip.

[HarzG]

Het nadeel van de KDE-versie is, dat je meteen 35MB extra installeren moet (kdelibs*). Als je clamtk zou gebruiken, wordt sowieso ook clamav geïnstalleerd, maar dan heb je slechts 1MB extra nodig voor de grafische interface clamtk. Het is niet "dramatisch" maar het is voor toekomstige installaties zinvol om misschien via synaptic te kijken wat er allemaal extra geïnstalleerd wordt als je KDE-software installeert die niet voor de Gnome-desktop werd geschreven.
Ik ben niet helemaal tevreden met het Ubuntu Software-Center omdat ook bij mij als 1e treffer KlamAV getoond wordt. De gebruikers moeten eigenlijk eerst de pakketten zien die bij de Gnome-desktop behoren.

Met het toevoegen van softwarebronnen moet je voorzichtig omgaan. Voor beginnende Ubuntu-gebruikers raad ik dat af.
Het is verstandig om nog uit te zoeken wat je hebt toegevoegd als bron. De upgrade van je systeem verandert niet zelfstandig eerdere keuzes voor de pakketbronnen.

[Filip.Lauwyck]

Ondertussen heb ik KlamAV vervangen door ClamAV. Dus dit is opgelost;-)

Jammer genoeg lukt het me niet om p3scan lopende te krijgen.
Indien ik p3scan activeer en ook de routing aanpas dan wordt de verbinding blijkbaar wel opgebouwd naar de pop server, maar het antwoord dat terug komt gaat verloren. Blijkbaar overzie ik nog iets.

Alle instellingen en traces zijn gebeurt op dezelfde machine (192.168.1.12).

Iemand een idee?

Voor mijn firewall heb ik de volgende instellingen doorgevoerd (hij was voordien niet actief)
sudo ufw enable

sudo iptables -t nat -I PREROUTING -p tcp -i eth0 --dport pop3 -j REDIRECT --to 8110

sudo iptables -t nat -I PREROUTING -p tcp -i eth1 --dport pop3 -j REDIRECT --to 8110

sudo iptables -t nat -I OUTPUT -p tcp --dport pop3 -j REDIRECT --to 8110

sudo iptables -t nat -I OUTPUT -p tcp --dport pop3 -m owner --uid-owner mail -j ACCEPT


In de syslog komt het volgende:

Dec 12 18:00:54 laptop p3scan[22508]: POP3 Connection from 192.168.1.12:54389

Dec 12 18:00:54 laptop p3scan[22508]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22509]: POP3 Connection from 192.168.1.12:54390

Dec 12 18:00:54 laptop p3scan[22509]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22510]: POP3 Connection from 192.168.1.12:54391

Dec 12 18:00:54 laptop p3scan[22510]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22511]: POP3 Connection from 192.168.1.12:54392

Dec 12 18:00:54 laptop p3scan[22511]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22512]: POP3 Connection from 192.168.1.12:54393

Dec 12 18:00:54 laptop p3scan[22512]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22513]: POP3 Connection from 192.168.1.12:54394

Dec 12 18:00:54 laptop p3scan[22513]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22514]: POP3 Connection from 192.168.1.12:54395

Dec 12 18:00:54 laptop p3scan[22514]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22515]: POP3 Connection from 192.168.1.12:54396

Dec 12 18:00:54 laptop p3scan[22515]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[22516]: POP3 Connection from 192.168.1.12:54397

Dec 12 18:00:54 laptop p3scan[22516]: Real-server address is <pop-server>:110

Dec 12 18:00:54 laptop p3scan[1252]: MAX_CHILDS (10) reached!

Dec 12 18:00:54 laptop p3scan[22517]: POP3 Connection from 192.168.1.12:54398

Dec 12 18:00:54 laptop p3scan[22517]: Real-server address is <pop-server>:110



Wireshark:

No.     Time        Source                Destination           Protocol Info

     28 18.059948   192.168.1.12        127.0.0.1             TCP      54389 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274842 TSER=0 WS=6

     29 18.059994   <pop-server>         192.168.1.12        TCP      pop3 > 54389 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274842 TSER=1274842 WS=6

     30 18.060042   192.168.1.12        127.0.0.1             TCP      54389 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274842 TSER=1274842

     31 18.062972   192.168.1.12        127.0.0.1             TCP      54390 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274843 TSER=0 WS=6

     32 18.063013   <pop-server>         192.168.1.12        TCP      pop3 > 54390 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274843 TSER=1274843 WS=6

     33 18.063054   192.168.1.12        127.0.0.1             TCP      54390 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274843 TSER=1274843

     34 18.065244   192.168.1.12        127.0.0.1             TCP      54391 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274843 TSER=0 WS=6

     35 18.065282   <pop-server>         192.168.1.12        TCP      pop3 > 54391 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274843 TSER=1274843 WS=6

     36 18.065321   192.168.1.12        127.0.0.1             TCP      54391 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274843 TSER=1274843

     37 18.066704   192.168.1.12        127.0.0.1             TCP      54392 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274844 TSER=0 WS=6

     38 18.066722   <pop-server>         192.168.1.12        TCP      pop3 > 54392 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274844 TSER=1274844 WS=6

     39 18.066737   192.168.1.12        127.0.0.1             TCP      54392 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274844 TSER=1274844

     40 18.067641   192.168.1.12        127.0.0.1             TCP      54393 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274844 TSER=0 WS=6

     41 18.067659   <pop-server>         192.168.1.12        TCP      pop3 > 54393 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274844 TSER=1274844 WS=6

     42 18.067675   192.168.1.12        127.0.0.1             TCP      54393 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274844 TSER=1274844

     43 18.068555   192.168.1.12        127.0.0.1             TCP      54394 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274844 TSER=0 WS=6

     44 18.068574   <pop-server>         192.168.1.12        TCP      pop3 > 54394 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274844 TSER=1274844 WS=6

     45 18.068589   192.168.1.12        127.0.0.1             TCP      54394 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274844 TSER=1274844

     46 18.069486   192.168.1.12        127.0.0.1             TCP      54395 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274844 TSER=0 WS=6

     47 18.069503   <pop-server>         192.168.1.12        TCP      pop3 > 54395 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274844 TSER=1274844 WS=6

     48 18.069519   192.168.1.12        127.0.0.1             TCP      54395 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274844 TSER=1274844

     49 18.070585   192.168.1.12        127.0.0.1             TCP      54396 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274845 TSER=0 WS=6

     50 18.070604   <pop-server>         192.168.1.12        TCP      pop3 > 54396 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274845 TSER=1274845 WS=6

     51 18.070620   192.168.1.12        127.0.0.1             TCP      54396 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274845 TSER=1274845

     52 18.078939   192.168.1.12        127.0.0.1             TCP      54397 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274847 TSER=0 WS=6

     53 18.078969   <pop-server>         192.168.1.12        TCP      pop3 > 54397 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274847 TSER=1274847 WS=6

     54 18.078994   192.168.1.12        127.0.0.1             TCP      54397 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274847 TSER=1274847

     55 18.079991   192.168.1.12        127.0.0.1             TCP      54398 > 8110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=1274847 TSER=0 WS=6

     56 18.080008   <pop-server>         192.168.1.12        TCP      pop3 > 54398 [SYN, ACK] Seq=0 Ack=0 Win=32768 Len=0 MSS=16396 TSV=1274847 TSER=1274847 WS=6

     57 18.080024   192.168.1.12        127.0.0.1             TCP      54398 > 8110 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1274847 TSER=1274847