[Postfixbuch-users] amavis mit Fehlern?

Kai Fürstenberg postfix at fuerstenberg.ws
Di Aug 15 19:40:02 CEST 2006


Fred Ockert schrieb:
> Marc Samendinger schrieb:
>> On Tue, Aug 15, 2006 at 11:28:51AM +0200, Kai Fürstenberg wrote:
>>> Fred Ockert schrieb:
>>>> Hallo,
>>> Hallo Fred,
>>>
>>>> mein Amavis sortiert (eigentlich) alle Attachments mit *.exe, *.vbs ... 
>>>> usw. aus und schickt sie zur Quarantäne.
>>>> Soweit - so gut, aber ... nun fällt mir immer wieder auf, dass einige 
>>>> Attachments durchrutschen.
>>>> Frage - warum ??
>>>> Postfix liefert alles auf Port 10024 an amavis(-new), der das auch 
>>>> bearbeitet... jetzt kam wieder mal von einem User die Frage...
>>>> " .. ich dachte, Du hats das auf´gefiltert, ist der Filter ausser 
>>>> Betrieb, weil ich wieder EXE-Files bekomme ...."
>>>>
>>>> War ein SFX mit Bildern , aber es gibt mit zu denken ... wo sollte ich 
>>>> das Problem suchen?
>>>> Keine Ahnung... ist *.exe was anderes als *.EXE ??
>>> Nein, Amavis unterscheidet nicht zwischen groß- und kleingeschriebenen 
>>> Dateinamenserweiterungen (vielleicht macht er es doch, aber betrachtet 
>>> beides als gleich).
>> Interessanter als blocken auf Dateierweiterung ist sowieso das hier:
>>
>> # new-style of banned lookup table
>> $banned_namepath_re = new_RE(
>> *schnipp*
>> #  qr'(?# BLOCK Microsoft EXECUTABLES )
>> #     ^ (.*\t)? T=exe-ms (\t.*)? $'xm,              # banned file(1)
>> #     type
>>
>> # qr'(?# BLOCK ANY EXECUTABLE )
>> #    ^ (.*\t)? T=exe (\t.*)? $'xm,                 # banned file(1) type
>>
>> # qr'(?# BLOCK THESE TYPES )
>> #    ^ (.*\t)? T=(exe|lha|tnef|cab) (\t.*)? $'xm,  # banned file(1)
>> #    types
>> *schnapp*
>>
>> Damit wird die Datei mit file(1) überprüft und es ist völlig egal wie
>> die Datei heisst.
> 
> Alles schon getan ... er filtert mir auch täglich 20..30 Dateien aus - 
> aber nicht ALLE !!
> 
> Blocke auch auf *.wmf   und *.bmp ... da fallen täglich knapp 100 in der 
> Quaranäne an .
> 
> Also solltes es eigentlich funktionieren -> wieso aber kommen einige 
> (wenige ??) dann trotzdem durch ????   darüber mache ich mir mehr Sorgen.
> Und genau diese AbsenderMailAdressen finde ich nirgendwo im Amavis-log.
> Als ob die Postfix nicht an amavis weitergegeben hat... oder dort 
> durchgereicht worden sind ... ich erfahre von 1..2. Mails auf 14 Tage..
> Massive "Maulerei" wegen *nicht* durchgelassener *.EXE files - das 
> täglich (incl. BLOCKED Meldung..)...und ab und an kommen sie trotzdem 
> durch , wenn sie *.exe heissen ...

Ich versuch jetzt mal ein bisschen die Postfix-Doku zu interpretieren 
und ein klein wenig rumzuspinnen ;-) . Korrigiert mich bitte, wenn ich 
falsch liege.

Bei "content_filter" (ich gehe mal davon aus, dass du Amavis über diesen 
eingebunden hast) handelt es sich um einen Mail-Transport, welcher die 
Aufgabe hat, zu filtern.
Content_filter hat eine niedrigere Priorität als ein content_filter der 
in access(5) definiert wird. Könnte also über access(5) auch 
ausgeschaltet werden, bzw. *wird* ausgeschaltet, wenn in access ein 
Filter verwandt wird (zumindest, wenn der Filter auf die Mail zutrifft).
Content_filter hat ebenfalls niedrigere Priorität als header_checks(5) 
und body_checks(5), könnte also auch hier ausgeschaltet werden, bzw. 
*wird* ausgeschaltet, wenn in bla bla bla (analog zu access).

Könnte es sein, dass (weil ja wohl nicht alle Mails von deinem Problem 
betroffen sind) vielleicht eine Access-Regel oder header- und/oder 
body_checks-Regeln den Amavis ausser Kraft setzen?

Kai



Mehr Informationen über die Mailingliste Postfixbuch-users