
<div dir="ltr">OK everyone I also changed the option<br><br><br>Quarantine Silent Virus = yes<br><br><br>I will test and post results here in the list<br><br><br><br><br><div class="gmail_quote">On Mon, Nov 23, 2009 at 8:53 AM, Monis Monther <span dir="ltr">&lt;<a href="mailto:mmmm82@gmail.com">mmmm82@gmail.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div dir="ltr">Dear Julian , Thanks for your reply,  I read about what you proposed and did the following<br>

<br>1- Under MailScanner.conf<br>Still deliver silent viruses = yes<br><br>and I removed the eicar from the nonforgering virus list <br>

<br>2- Restart the MailScanner service<br><br>I sent the eicar virus and in the log I got this<br><br>Silent: Delivered 1 messages containing silent viruses<br><br><br>Still I did not get the message I only go the attachment that says <br>


<br>The original e-mail attachment &quot;the entire message&quot;<br>was believed to be dangerous and/or infected by a virus and has been<br>replaced by this warning message.<br><br>Due to limitations placed on us by the Regulation of Investigatory Powers<br>


Act 2000, we were unable to keep a copy of the infected attachment. Please<br>ask the sender of the message to disinfect their original version and send<br>you a clean copy.<br><br><br><br>My Goal is that if someone sent a message that contained a virus, the virus should be quarantined/deleted , but the message should reach its recipient with the subject changed to virus and the warning attachment sent with it, the last two I am achieving but the first I am failing at.Thanks. <br>

<div><div></div><div class="h5">

<br><br><div class="gmail_quote">On Sun, Nov 22, 2009 at 2:15 PM, Jules Field <span dir="ltr">&lt;<a href="mailto:MailScanner@ecs.soton.ac.uk" target="_blank">MailScanner@ecs.soton.ac.uk</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">


If it&#39;s being treated as a &quot;Silent Virus&quot; then it won&#39;t be stored in the quarantine. Read about &quot;Silent Viruses&quot; and &quot;Non-Forging Viruses&quot; in MailScanner.conf.<div><br>

<br>

On 22/11/2009 10:26, Monis Monther wrote:<br>

</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div>

&gt; I have the clamavmodule and its working fine<br>

<br>

How do you know this?<br>

<br>

<br>

I knew because I see in the logs that it is catching stuff<br>

<br>

<br>

Try sending an email through the machine with the EICAR attachment<br>

(<a href="http://www.eicar.org/anti_virus_test_file.htm" target="_blank">http://www.eicar.org/anti_virus_test_file.htm</a>), and check:<br>

<br>

I tried the test , thanks for the link<br>

<br>

a) the mail system logs, to see whether MailScanner thinks it&#39;s detected a<br>

virus<br>

<br>

In the log , it found it and gave this<br>

<br>

Virus and Content Scanning: Starting<br>

ClamAVModule::INFECTED:: Eicar-Test-Signature:: ./A32B56E03A2.E8204/<br></div>

ClamAVModule::INFECTED:: Eicar-Test-Signature:: ./A32B56E03A2.E8204/<a href="http://eicar.com" target="_blank">eicar.com</a> &lt;<a href="http://eicar.com" target="_blank">http://eicar.com</a>&gt;<div><br>

....<br>

.....<br>

Requeue: A32B56E03A2.E8204 to E19D26E009C<br>

....<br>

....<br>

Cleaned: Delivered 1 cleaned messages<br>

<br>

<br>

b) the headers of the (presumably) received message, to see whether it tells<br>

you that anti-virus scanning was performed (X-OrganisationName-<br>

<br>

    Viruscheck)<br>

<br>

I only had these headers<br>

X-MyDomain-MailScanner-ID: AA32E6E03B9.9919A<br>

X-MyDomain-MailScanner: Found to be infected<br>

X-MyDomain-MailScanner-SpamScore: ss<br></div>

X-MyDomain-MailScanner-From: <a href="mailto:monis.monther@mediaintl.net" target="_blank">monis.monther@mediaintl.net</a> &lt;mailto:<a href="mailto:monis.monther@mediaintl.net" target="_blank">monis.monther@mediaintl.net</a>&gt;<div>


<br>

X-Spam-Status: No<br>

X-RCPT-TO: &lt;someone&gt;<br>

Status: U<br>

X-UIDL: 548082981<br>

<br>

So I conclude that it was not detected as spam but as infected , and I got the notification attachment delivered saying call help desk... bal bla<br>

<br>

But the attachment was not saved under quarantine, I want the attachments to be saved.<br>

<br>

    c) the output of /path/to/MailScanner --lint (to see whether it<br>

    thinks the<br>

    antivirus engine is correctly installed and available)<br>

<br>

<br>

It showed that I have clamavmodule successfully installed<br>

<br>

<br>

<br>

Conclusion: I was mistakes when I thought it was related to spam score, but now I want the virus attachment to be stored in quarantine not deleted, Thanks<br>

<br>

<br>

<br>

<br>

<br></div><div><div></div><div>

On Thu, Nov 19, 2009 at 2:26 PM, Antony Stone &lt;<a href="mailto:Antony.Stone@mailscanner.open.source.it" target="_blank">Antony.Stone@mailscanner.open.source.it</a> &lt;mailto:<a href="mailto:Antony.Stone@mailscanner.open.source.it" target="_blank">Antony.Stone@mailscanner.open.source.it</a>&gt;&gt; wrote:<br>


<br>

    On Thursday 19 November 2009, Monis Monther wrote:<br>

<br>

    &gt; I have the following<br>

    &gt;<br>

    &gt; Virus Scanning = yes<br>

    &gt; Virus Scanners = clamavmodule<br>

    &gt; Deliver Disinfected Files = no<br>

    &gt; Silent Viruses = HTML-IFrame All-Viruses<br>

    &gt; Still Deliver Silent Viruses = no<br>

    &gt;<br>

    &gt; I have the clamavmodule and its working fine<br>

<br>

    How do you know this?<br>

<br>

    &gt; and when I set HighScore spam = store it started to quarantine<br>

    virus that<br>

    &gt; get a high score spam and still delivers viruses that come with<br>

    low spam<br>

    &gt; messages<br>

<br>

    Are you saying that the quarantined messages (quarantined because<br>

    they are<br>

    detected as spam) still contain the virus attachments, or have<br>

    these been<br>

    cleaned?<br>

<br>

    Try sending an email through the machine with the EICAR attachment<br>

    (<a href="http://www.eicar.org/anti_virus_test_file.htm" target="_blank">http://www.eicar.org/anti_virus_test_file.htm</a>), and check:<br>

<br>

    a) the mail system logs, to see whether MailScanner thinks it&#39;s<br>

    detected a<br>

    virus<br>

<br>

    b) the headers of the (presumably) received message, to see<br>

    whether it tells<br>

    you that anti-virus scanning was performed<br>

    (X-OrganisationName-Viruscheck)<br>

<br>

    c) the output of /path/to/MailScanner --lint (to see whether it<br>

    thinks the<br>

    antivirus engine is correctly installed and available)<br>

<br>

<br>

    Antony.<br>

<br>

    --<br>

    &quot;Reports that say that something hasn&#39;t happened are always<br>

    interesting to me,<br>

    because as we know, there are known knowns; there are things we<br>

    know we know.<br>

    We also know there are known unknowns; that is to say we know<br>

    there are some<br>

    things we do not know. But there are also unknown unknowns - the<br>

    ones we<br>

    don&#39;t know we don&#39;t know.&quot;<br>

<br>

     - Donald Rumsfeld, US Secretary of Defence<br>

<br>

                                                        Please reply<br>

    to the list;<br>

                                                              please<br>

    don&#39;t CC me.<br>

    --<br>

    MailScanner mailing list<br>

    <a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a><br></div></div>

    &lt;mailto:<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a>&gt;<div><br>

    <a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>

<br>

    Before posting, read <a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a><br>

<br>

    Support MailScanner development - buy the book off the website!<br>

<br>

<br>

</div></blockquote>

<br>

Jules<br>

<br>

-- <br>

Julian Field MEng CITP CEng<br>

<a href="http://www.MailScanner.info" target="_blank">www.MailScanner.info</a><br>

Buy the MailScanner book at <a href="http://www.MailScanner.info/store" target="_blank">www.MailScanner.info/store</a><br>

<br>

Need help customising MailScanner?<br>

Contact me!<br>

Need help fixing or optimising your systems?<br>

Contact me!<br>

Need help getting you started solving new requirements from your boss?<br>

Contact me!<br>

<br>

PGP footprint: EE81 D763 3DB0 0BFD E1DC 7222 11F6 5947 1415 B654<br>

Follow me at <a href="http://twitter.com/JulesFM" target="_blank">twitter.com/JulesFM</a> and <a href="http://twitter.com/MailScanner" target="_blank">twitter.com/MailScanner</a><br>

<br>

<br>

-- <br>

This message has been scanned for viruses and<br>

dangerous content by MailScanner, and is<br>

believed to be clean.<br><font color="#888888">

<br>

-- <br></font><div><div></div><div>

MailScanner mailing list<br>

<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a><br>

<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>

<br>

Before posting, read <a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a><br>

<br>

Support MailScanner development - buy the book off the website! <br>

</div></div></blockquote></div><br></div></div></div>

</blockquote></div><br></div>