Docker-Mailserver中Rspamd与ClamAV集成故障排查指南

问题背景

在使用Docker-Mailserver邮件服务器时，用户发现当启用Rspamd并禁用Amavis时，ClamAV病毒扫描功能未能正常工作。具体表现为邮件附件中的EICAR测试病毒未被检测和拦截，且相关日志中未显示扫描记录。

环境配置分析

典型配置包括：

• Docker-Mailserver版本：v14.0.0
• 操作系统：Debian 12.7/amd64
• 启用服务：Rspamd、ClamAV
• 禁用服务：Amavis、OpenDKIM等

根本原因

经过深入排查，发现存在两个关键问题点：

1. 权限配置不当
   /var/run/clamav目录权限设置不当，导致Rspamd服务无法访问ClamAV的Unix套接字文件。正确的权限应该是确保相关服务都有访问权限。

2. 网络模式冲突
   当使用特定网络模式运行时，Docker容器与宿主机的网络栈共享可能影响Unix域套接字的正常通信。

解决方案

方案一：修复权限问题（推荐）

1. 创建user-patches.sh脚本：

#!/bin/bash
chown clamav:clamav /var/run/clamav

2. 重启相关服务：

service-manager restart rspamd

此方案保持了系统原有的Unix套接字通信方式，是最符合Docker-Mailserver设计理念的解决方案。

方案二：TCP网络通信方式

1. 修改ClamAV配置：

TCPSocket 3310
TCPAddr localhost

2. 调整Rspamd配置：

servers = "127.0.0.1:3310"

3. 重启服务使配置生效

方案三：独立ClamAV容器部署

对于需要分离部署的场景：

1. 单独运行ClamAV容器：

docker run -d -p 3310:3310 --name=clamav clamav/clamav:latest

2. 在Docker-Mailserver中禁用内置ClamAV：

-e ENABLE_CLAMAV=0

3. 配置Rspamd连接外部ClamAV服务

技术原理深度解析

1. Unix域套接字 vs TCP套接字
   Unix域套接字通常提供更高的性能，但需要严格的权限控制。TCP套接字更具灵活性，适合跨容器通信，但会引入少量性能开销。

2. 权限系统工作机制
   系统中，进程对文件的访问不仅受文件权限限制，还受父目录权限影响。即使套接字文件权限正确，父目录权限不当也会导致访问失败。

3. Docker网络模式影响
   特定网络模式改变了容器的网络命名空间，可能影响系统服务的IPC通信机制，特别是对于需要访问系统资源的服务。

最佳实践建议

1. 优先使用方案一的权限修复方案，保持系统原有设计
2. 定期检查/var/run目录下的服务套接字权限
3. 对于生产环境，建议：
   • 实施完整的日志监控
   • 定期测试病毒扫描功能
   • 建立权限变更的审计机制
4. 在必须使用特定网络模式时，确保：
   • 所有相关目录权限正确配置
   • 定期验证服务间通信

测试验证方法

1. 使用标准EICAR测试字符串：

swaks --body 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'

2. 测试附件扫描：

swaks --attach eicar_test_file.txt

3. 验证日志输出：

grep -i "ClamAV" /var/log/mail.log

通过本文的详细分析和解决方案，用户应该能够有效解决Docker-Mailserver中Rspamd与ClamAV集成时的病毒扫描失效问题，确保邮件系统的安全防护功能正常运作。