Случилось странное. После обновления до exim-4.94_4 (FreeBSD) поломалась
работа с clamd по TCP.
Настройка самая стандартная:
av_scanner = clamd:192.168.153.104 3310
И судя по документации синтаксис не менялся.
clamav разумеется живой:
$ telnet 192.168.153.104 3310
Trying 192.168.153.104...
Connected to 192.168.153.104.
Escape character is '^]'.
PING
PONG
Connection closed by foreign host.
Однако же при попытке доставки почты в лог exim пишется сообщение:
2020-12-28 21:57:21 1kttxZ-0000Xw-3x malware acl condition: clamd : unable to send file body to socket (192.168.153.104)
Из пакетного дампа http://admin.sibptus.ru/~vas/2.pcap видно, что хост с
exim-ом открывает соединение с 192.168.153.104, тот отвечает, и хост с
exim-ом ... тут же посылает TCP RST. Вот это вообще отчего может быть?
На локальный сокет перейти не могу (скорее всего заработает, но надо
пока чтобы clamav был на другом хосте).
Пробовал гуглить по сообщению "clamd : unable to send file body to socket"
- ничего особенно интересного не нашлось. Разные предположения про то, что
clamav не успевает обработать файл или файл слишком велик - но в данном
случае в пакетном дампе не наблюдается попытки даже кусочек письма
передать.
Предположите что-нибудь пожалуйста.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users
zINSTREAM....eFrom or...@peshkombooks.ru Mon Dec 28 23:16:26 2020
X-Envelope-From: <or...@peshkombooks.ru>
X-Envelope-To: m...@library.tomsk.ru
[...]
AAAAcDCg/wBwMKD/IwAwfQg8AH0IAAAAAAAAAAAAAAAAnwAstream: OK.
Остальные заканчиваются TCP reset со стороны почтового сервера. Т.е.
работает частично, закономерности обнаружить не удалось, разве что,
возможно, все переданные антивирусу письма - достаточно большие, с
вложениями.
В плане бреда - проверьте все таки сетевое соединение , очень похоже на
классический Half/full duplex mismatch.
Они там все в пределах одного гипервизора. Ну и не мог же дуплекс
поменяться после апгрейда exim?
Впрочем...
$ dd if=/dev/zero bs=1m count=200 | ssh 192.168.153.104 dd of=/dev/null bs=1m
200+0 records in
200+0 records out
209715200 bytes transferred in 3.552324 secs (59036050 bytes/sec)
0+6718 records in
200+0 records out
209715200 bytes transferred in 3.357370 secs (62464134 bytes/sec)
Не похоже.
Вдруг кому пригодится.
Отключил TCP Fast Open на хосте, где exim:
sysctl net.inet.tcp.fastopen.client_enable=0
И всё заработало.
Технические подробности тут:
https://lists.exim.org/lurker/thread/20201230.133835.ec4c86b3.en.html
> Отключил TCP Fast Open на хосте, где exim:
> sysctl net.inet.tcp.fastopen.client_enable=0
> И всё заработало.
У меня заранее на всякий случай в транспортах smtp:
hosts_try_fastopen =
А что за случай такой? Известно что оно сломано?
Впрочем мне бы не помогло, наверное - судя по документации, вряд ли
данная настройка действует на av_scanner.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
_______________________________________________