clamav: failed to scan, maximum retransmits exceed

MockZ · Post by **MockZ** » Fri 6. Jun 2025, 12:29

Hallo,

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt

Jep.

Server-Betriebssystem + Version

Debian 12.11 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie

keine

KeyHelp-Version + Build-Nummer

25.0 (Build 3398)

Problembeschreibung / Fehlermeldungen

Seit einen Serverabsturz habe ich in der History der RSPamD Console eine Errorliste mit Messages „clamav: failed to scan, maximum retransmits exceed” stehen. Mails mit Anhängen werden mit ***UNCHECKED*** im Betreff markiert. ClamAV ist aktiv; ein Neustart brachte keine Verbesserung. Wie bekomme ich diesen Fehler repariert?

Gruß
Mock

Post by **Florian** » Fri 6. Jun 2025, 15:01

Hallo,

lauscht der ClamAV auch auf dem Port und nicht auf dem Socket?

MockZ · Post by **MockZ** » Tue 10. Jun 2025, 12:47

Das weiß ich leider nicht. Installation OOB, ohne Änderungen.

> lauscht der ClamAV auch auf dem Port und nicht auf dem Socket?

Wie kann ich das ermitteln?

Danke schon mal.

Mock

Post by **Alexander** » Wed 11. Jun 2025, 09:50

Das Problem ist mit erscheinen von KeyHelp 25.1 dann nicht mehr relevant, weil die Kommunikation von Rspamd und Clamav dann auf anderem Wege abläuft. Du musst also nur noch ein klein wenig Geduld haben.

BuCo · Post by **BuCo** » Tue 24. Jun 2025, 15:15

Hallo Alexander,
wir haben heute das Update auf 25.1 bekommen und seitdem haben wir das in diesem Therad beschriebene Problem.
Durch die force_actions.conf wird der Betreff jeder Email, die einen Anhang enthält, mit ***UNCHECKED*** erweitert.

Im speziellen geht es um folgenden Abschnitt:

Code: Select all

    VIRUS_FAIL {
        action = "rewrite subject";
        expression = "CLAM_VIRUS_FAIL";
        subject = "***UNCHECKED*** %s";
        # No need to honor "add header", as headers are always added due to milter_headers.conf
        honor_action = ["reject", "soft reject"];

In der rspamd.log finden sich dazu folgende Einträge:

Code: Select all

2025-06-24 14:58:28 #3378243(normal) <2e54eb>; lua; clamav.lua:117: clamav: failed to scan, maximum retransmits exceed
2025-06-24 14:58:28 #3378243(normal) <2e54eb>; lua; common.lua:113: clamav: result - FAILED with error: "failed to scan and retransmits exceed - score: 0"
2025-06-24 14:58:28 #3378243(normal) <2e54eb>; lua; greylist.lua:360: Score too low - skip greylisting
2025-06-24 14:58:28 #3378243(normal) <2e54eb>; task; rspamd_add_passthrough_result: <2b6de96e-586a-49ce-ad5a-6adee6729167@unseredomain>: set pre-result to 'rewrite subject' (no score): 'unknown reason' from force_actions(0)

Hast du eine Idee, was man ändern muss, damit ees wieder funktioniert?

Vielen Dank schonmal.

Post by **Alexander** » Tue 24. Jun 2025, 15:25

Wie groß ist der Anhang der Mail denn?

Ggf. ist dieser recht groß und ClamAV braucht zu lange ihn zu scannen.

Du kannst mal Testweise in dieser Datei

Code: Select all

/etc/rspamd/local.d/antivirus.conf

innerhalb des clamav { } blocks

Code: Select all

max_size = 20000000;

ergänzen und anschließend Rspamd neu starten. Der Wert ist in Bytes, also vielleicht musst du noch weiter runter gehen, auf z.b. 10000000.

BuCo · Post by **BuCo** » Tue 24. Jun 2025, 16:18

Hallo Alexander,

vielen Dank für deine schnelle Antwort.

Der Anhang ist nicht groß, weniger als 50kB.
Ich habe trotzdem einmal den Wert für max_size gesetzt, da wir diesen gar nicht unserer Konfiguration gesetzt hatten. Aber auch mit dem Wert besteht das Problem weiter.

BuCo · Post by **BuCo** » Wed 25. Jun 2025, 07:08

Alexander wrote: ↑Wed 11. Jun 2025, 09:50 Das Problem ist mit erscheinen von KeyHelp 25.1 dann nicht mehr relevant, weil die Kommunikation von Rspamd und Clamav dann auf anderem Wege abläuft. Du musst also nur noch ein klein wenig Geduld haben.

Hab den Fehler gefunden.
Ausschlagebend war, dass du oben erwähnt hast, dass sich die Kommunikation von rspamd und clamav in Keyhelp 25.1 geändert hat.

Wir hatten vor längerer Zeit die Datei /etc/rspamd/override.d/antivirus.conf mit folgendem Inhalt erstellt:

Code: Select all

clamav {
   type = "clamav";
   servers = "127.0.0.1:3310";
   symbol = "CLAM_VIRUS";
   log_clean = true;
   message = '${SCANNER}: VIRUS GEFUNDEN: "${VIRUS}"';
}

Die Kommunikation läuft aber jetzt scheinbar nicht mehr über localhost und Port 3310, sondern wie in der mit dem Update geänderten Datei /etc/rspamd/local.d/antivirus.conf in folgendem Abschnitt angegeben, über eine andere Schiene:

Code: Select all

clamav {
    type = "clamav";
    servers = "/run/clamav/clamd.ctl";
    symbol = "CLAM_VIRUS";
    log_clean = true;
}

Ich habe alle Zeilen in Datei /etc/rspamd/override.d/antivirus.conf testweise auskommentiert und jetzt sind auch die Fehlermeldungen aus /var/log/rspamd/rspamd.log verschwunden und der Betreff von E-Mails mit Anhang wird auch nicht mehr mit ***UNCHECKED*** ergänzt.

Vielen Dank nochmal für deine Hilfe.

clamav: failed to scan, maximum retransmits exceed [GELÖST]

clamav: failed to scan, maximum retransmits exceed

Re: clamav: failed to scan, maximum retransmits exceed

Re: clamav: failed to scan, maximum retransmits exceed

Re: clamav: failed to scan, maximum retransmits exceed

Re: clamav: failed to scan, maximum retransmits exceed

Re: clamav: failed to scan, maximum retransmits exceed

Re: clamav: failed to scan, maximum retransmits exceed

Re: clamav: failed to scan, maximum retransmits exceed [GELÖST]