<html><head></head><body><div dir="auto" style="direction: ltr; margin: 0; padding: 0; font-family: sans-serif; font-size: 11pt; color: black; background-color: white;">Did you try to "retain full original message for virus checking" using this below in your amavis @keep_decoded_original_maps ?<br>
<br>
</div>
<div dir="auto" style="direction: ltr; margin: 0; padding: 0; font-family: sans-serif; font-size: 11pt; color: black; background-color: white;">qr'^MAIL$'<br>
<br>
</div>
<div dir="auto" style="direction: ltr; margin: 0; padding: 0; font-family: sans-serif; font-size: 11pt; color: black; background-color: white;">Marius</div>
<br><br><br>
<div class="gmail_quote">On Wed, May 31, 2017 at 4:48 PM +0300, "Gerben Roest" <span dir="ltr"><<a href="mailto:g.roest@grepit.nl" target="_blank">g.roest@grepit.nl</a>></span> wrote:<br>
<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div dir="3D"ltr"">
<pre>Hello,

I noticed that a javascript trojan slipped through because amavis
extracted the virus from the zip file to something like:

/var/lib/amavis/tmp/amavis-20170522T095840-15377-v7RlAZkS/parts/p005

and my virus scanner "esets_cli" didn't recognize that as a virus. I
noticed that esets_cli needs the .js extension (or .bat or something) to
recognize it.

ESET doesn't have a mode or flag to disregard any extensions, so my hope
is that I can tell amavis not to extract to p005 but to 15364.js for
instance. Is that possible?

Thanks,

Gerben
</pre>
</div>

</blockquote>
</div>
</body></html>