[Postfixbuch-users] amavis mit Fehlern?

Kai Fürstenberg postfix at fuerstenberg.ws
Do Aug 17 11:32:02 CEST 2006 

Fred Ockert schrieb:
> Kai Fürstenberg schrieb:
>>>>>> mein Amavis sortiert (eigentlich) alle Attachments mit *.exe, *.vbs ... 
>>>>>> usw. aus und schickt sie zur Quarantäne.
>>>>>> Soweit - so gut, aber ... nun fällt mir immer wieder auf, dass einige 
>>>>>> Attachments durchrutschen.
>>>>>> Frage - warum ??
>>>>>> Postfix liefert alles auf Port 10024 an amavis(-new), der das auch 
>>>>>> bearbeitet... jetzt kam wieder mal von einem User die Frage...
>>>>>> " .. ich dachte, Du hats das auf´gefiltert, ist der Filter ausser 
>>>>>> Betrieb, weil ich wieder EXE-Files bekomme ...."
>>>>>>
>>>>>> War ein SFX mit Bildern , aber es gibt mit zu denken ... wo sollte ich 
>>>>>> das Problem suchen?
>>>>>> Keine Ahnung... ist *.exe was anderes als *.EXE ??
>>>>> Nein, Amavis unterscheidet nicht zwischen groß- und kleingeschriebenen 
>>>>> Dateinamenserweiterungen (vielleicht macht er es doch, aber betrachtet 
>>>>> beides als gleich).
>>>> Interessanter als blocken auf Dateierweiterung ist sowieso das hier:
>>>>
>>>> # new-style of banned lookup table
>>>> $banned_namepath_re = new_RE(
>>>> *schnipp*
>>>> #  qr'(?# BLOCK Microsoft EXECUTABLES )
>>>> #     ^ (.*\t)? T=exe-ms (\t.*)? $'xm,              # banned file(1)
>>>> #     type
>>>>
>>>> # qr'(?# BLOCK ANY EXECUTABLE )
>>>> #    ^ (.*\t)? T=exe (\t.*)? $'xm,                 # banned file(1) type
>>>>
>>>> # qr'(?# BLOCK THESE TYPES )
>>>> #    ^ (.*\t)? T=(exe|lha|tnef|cab) (\t.*)? $'xm,  # banned file(1)
>>>> #    types
>>>> *schnapp*
>>>>
>>>> Damit wird die Datei mit file(1) überprüft und es ist völlig egal wie
>>>> die Datei heisst.
>>> Alles schon getan ... er filtert mir auch täglich 20..30 Dateien aus - 
>>> aber nicht ALLE !!
>>>
>>> Blocke auch auf *.wmf   und *.bmp ... da fallen täglich knapp 100 in der 
>>> Quaranäne an .
>>>
>>> Also solltes es eigentlich funktionieren -> wieso aber kommen einige 
>>> (wenige ??) dann trotzdem durch ????   darüber mache ich mir mehr Sorgen.
>>> Und genau diese AbsenderMailAdressen finde ich nirgendwo im Amavis-log.
>>> Als ob die Postfix nicht an amavis weitergegeben hat... oder dort 
>>> durchgereicht worden sind ... ich erfahre von 1..2. Mails auf 14 Tage..
>>> Massive "Maulerei" wegen *nicht* durchgelassener *.EXE files - das 
>>> täglich (incl. BLOCKED Meldung..)...und ab und an kommen sie trotzdem 
>>> durch , wenn sie *.exe heissen ...
>> Ich versuch jetzt mal ein bisschen die Postfix-Doku zu interpretieren 
>> und ein klein wenig rumzuspinnen ;-) . Korrigiert mich bitte, wenn ich 
>> falsch liege.
>>
>> Bei "content_filter" (ich gehe mal davon aus, dass du Amavis über diesen 
>> eingebunden hast) handelt es sich um einen Mail-Transport, welcher die 
>> Aufgabe hat, zu filtern.
> jawoll
> 
>> Content_filter hat eine niedrigere Priorität als ein content_filter der 
>> in access(5) definiert wird. Könnte also über access(5) auch 
>> ausgeschaltet werden, bzw. *wird* ausgeschaltet, wenn in access ein 
>> Filter verwandt wird (zumindest, wenn der Filter auf die Mail zutrifft).
>> Content_filter hat ebenfalls niedrigere Priorität als header_checks(5) 
>> und body_checks(5), könnte also auch hier ausgeschaltet werden, bzw. 
>> *wird* ausgeschaltet, wenn in bla bla bla (analog zu access).
> access -nein, header_checks ein,
> 
>> Könnte es sein, dass (weil ja wohl nicht alle Mails von deinem Problem 
>> betroffen sind) vielleicht eine Access-Regel oder header- und/oder 
>> body_checks-Regeln den Amavis ausser Kraft setzen?
>>
> 
> also .. eigentlich ist es mit ja egal, welche Regel das verbietet.
> Habe nur DENY bzw. REJECT ..
> 
> hmmm... und ich dachte dass letztlich alles über den content_filter muss
> (abzüglich dessen, was vorher rejected wurde...)..
> Habe ich da falsch gedacht ??

Nein. Das ist richtig.

[..]

> Also sollte eigentlich alles gehen ??

Es geht ja wohl auch überwiegend, wenn ich dich richtig verstanden habe. 
Hast du vielleicht mal einen Log-Mitschnitt?

Einfacher als Suchen wäre, den User zu bitten, dass er mal seinen 
Mail-Partner bittet, die gleiche Mail nochmal zu schicken. Die müsste ja 
dann wieder durchkommen. Und dann hast du auch einen Logeintrag.

Kai

Mehr Informationen über die Mailingliste Postfixbuch-users