ClamAV ist ein kostenloser open source [[VirenScanner|Virenscanner]] für Unix/Linux. Besonders gern wird er auf Mailservern verwendet, um verseuchte Emails abzufangen.

Homepage: http://www.clamav.net/

Lizenz: [[GPL]]

= Links =
'''Deutsche Dokumentationen'''

[[http://www.opensource.apple.com/darwinsource/10.4.1/SpamAssassin-124/clamav/docs/German/clamdoc_de.pdf|Clam AntiVirus 0.71 Benutzerhandbuch]]

[[http://www.howtoforge.de/howto/dspam-mit-eingebettetem-clamav-integriert-in-postfix-mit-virtuellen-benutzern-und-domains/|DSPAM mit eingebettetem ClamAV, integriert in Postfix]]

[[http://www.postfix-howto.de/installation/clamav.htm|Postfix-Cyrus-Procmail-SpamAssassin Howto]]

[[http://blog.docx.org/2007/04/16/entry03433/|Postfix + ClamAV in 4 Schritten]]

'''Englische Dokumantationen'''

[[http://wiki.clamav.net/Main/WebHome|Ausführliche Doku vom ClamAV-Projekt]]

[[http://www.clamav.net/doc/latest/clamav-mirror-howto.pdf|Clam AntiVirus 0.93]]

= Tipps & Tricks =
 * wenn man clamav aus den Sourcen übersetzt, ist die Installation standardmäßig nach /usr/local. Die Config wird dann korrekt unter {{{/usr/local/etc/{clamav.conf,freshclam.conf}}}} gefunden, ohne dass man das angeben müsste.
 * Änderungen an {{{clamav.conf}}}:
 {{{
# DIES SOLLTE MAN NICHT ÜBERSEHEN UND ENTFERNEN:
# Comment or remove the line below.
Example
LogFile /var/log/virus.log
LogTime
# folgendes muss mit der amavis-config übereinstimmen:
LocalSocket /var/run/clamav/clamd
FixStaleSocket
# gleicher User wie amavis:
User antivirus
}}}
 * Änderungen an {{{freshclam.conf}}}:
 {{{
# gleicher user wie amavis:
DatabaseOwner antivirus
NotifyClamd
OnErrorExecute echo "freshclam: virus database update failed." | mail -s "clamav virus db update failed." root@localhost
}}}

Per {{{/etc/cron.d/antivirus}}} mittels cron alle 2h nach Updates sehen (entspricht der Empfehlung von ClamAV):

{{{
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin
0 */2 * * *  root /usr/local/bin/freshclam >/dev/null 2>&1
}}}
Man kann freshclam auch als Dämon laufen lassen, die cron-Methode war mir aber lieber weil:

 * kein dauerlaufender Dämon Resourcen benötigt
 * kein Dämon sich verklemmen kann (und dann nie wieder updated)
 * kein Initscript notwendig ist

Für die aktuelle Version unter Debian folgende Zeilen in die sources.list aufnehmen:

{{{
deb ftp://ftp2.de.debian.org/debian-volatile stable/volatile main
deb ftp://ftp2.de.debian.org/debian-volatile stable-proposed-updates/volatile main
}}}
== Clamav in Debian etch tut nicht mehr stabil, Update-Probleme ... ==
Clamav 0.90 aus etch tut nicht mehr korrekt, freshclam.log zeigt:

{{{
ClamAV update process started at Sun Feb 24 08:25:22 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.90.1 Recommended version: 0.92.1
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cvd is up to date (version: 45, sigs: 169676, f-level: 21, builder: sven)
Ignoring mirror 62.26.160.3 (too often connections with outdated version)
Trying host db.local.clamav.net (62.201.161.84)...
Downloading daily-5950.cdiff [0%]
Ignoring mirror 62.201.161.84 (too often connections with outdated version)
ERROR: getpatch: Can't download daily-5951.cdiff from db.local.clamav.net
}}}
Der #clamav IRC-Support empfiehlt, die Version aus etch/volatile zu nehmen.

Dazu dieses zu `/etc/apt/sources.list` hinzufügen:

{{{
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free
}}}
Dann `apt-get update`, um neue Paketlisten zu holen und mit `apt-get -s dist-upgrade` simulieren, was es alles in Bezug auf clamav updaten würde.

Dann mit `apt-get install <paketname>` diese clamav-Pakete installieren.

Frage: WELCHE clamav-pakete? Könnte man das bitte präziser beschreiben? Danke!

(!) Zum Schluss vorsichtshalber die `sources.list` wieder in den alten Zustand versetzen und nochmal `apt-get update`.

Na, das ist ja wohl quatsch, denn damit würde man beim nächsten update die Pakte wieder rausschmeissen.-

@addon
nein - bei mir nicht - man sollte sogar volatile wieder auskommentieren, denn dummerweise wird ja nicht nur clamav geupdated sondern auch alles andere - und dort will ich keine volatile-pakete haben !

= Mini-Howto =
== Viren ausfiltern auf MUA-Ebene ==
Mit [[AMaViS]] oder ScanMail kann man ganze Mailserver vor Viren schützen. Manchmal will man aber auch  nur das eigene Mail-Konto sauber halten.

=== Kmail ===
Mit dem angehängten Python-Programm [[attachment:pclamscan.py]] kann man bei [[kmail]] alle eingehenden Mails Scannen und ggf. in einen Quarantäne Ordner verschieben (Falls der Spam-Filter sie nicht schon fängt). Bei einem Virus-Verdacht fügt es einer durchgepipeten Mail den Header {{{X-Virus: yes}}} an. Um das in Kmail zu erreichen sind folgende Schritte nötig:

 1. ggf. [[Python]] installieren
 1. pclamscan.py in den Pfad kopieren (z.B. nach /usr/bin/)
 1. und ausführbar machen: {{{chmod a+x pclamscan.py}}}
 1. In Kmail den Ordner {{{Virus-Verdacht}}} anlegen
 1. Einstellungen/Filter Einrichten auswählen
 1. einen neuen Filter anlegen und in {{{Virusscan mark}}}" umbenennen
 1. Filter Bedingung: {{{<Nachricht>}}} passt auf Regulären Ausdruck: {{{.*}}}
 1. Filter Aktion: Entferne Vorspann: {{{X-Virus}}}
 1. Filter Aktion: mehr anklicken
 1. Filter Aktion: durch Programm leiten: {{{pclamscan.py}}}
 1. bei Weitere Einstellungen darf die Option "Bearbeitung hier abbrechen, falls Bedingung zutrifft" '''nicht''' aktiviert sein
 1. einen weiteren Filter anlegen und {{{Virusscan Quarantäne}}} nennen.
 1. der {{{Virusscan Quarantäne}}} Filter muss unterhalb des {{{Virusscan mark}}} Filters stehen
 1. Filter Bedingung: {{{X-Virus}}} enthält {{{yes}}}
 1. Filter Aktion: Verschieben in Ordner {{{Virus-Verdacht}}}
 1. bei Weitere Einstellungen '''soll''' diesmal die Option "Bearbeitung hier abbrechen, falls Bedingung zutrifft"  aktiviert sein

==== Hinweis zu Mandriva ====
Unter Mandriva muss man unter Umständen das Skript pclamscan.py anpassen sofern es nach obiger Beschreibung nicht funktioniert. Dazu öffnet man das Skript pclamscan.py in einem beliebigen Texteditor und ändert die Zeile {{{scannerbin = "/usr/local/bin/clamscan --mbox -"}}} in {{{scannerbin = "/usr/bin/clamscan --mbox -"}}}, entfernt also das {{{/local}}}.

=== TrashScan ===
Bei ClamAV ist ein kleines Shellscript dabei, mit dem man sich der nervigen Windows-Viren entledigen kann.  Es verwendet procmail.