[Postfixbuch-users] Telekom-Rechnung (Spam/Virus)

[Maximilian Grobecker]

Moin,


Am 20.01.2014 12:47, schrieb Bjoern Meier:

>>> Dass die Scanner ggf. in Zips nicht rein schauen können verstehe ich
>>> ja, aber warum kann man diese Zips nicht als Virus erkennen? Werden
>>> die Zips immer frisch generiert, so dass sich die Signaturen immer
>>> andere sind?

Ich habe die Erfahrung gemacht, dass Amavis nach Möglichkeit die Anhänge
für die Virenprüfung nicht abtrennen oder gar entpacken, sondern die
vollständige E-Mail an den Virenscanner geben sollte.
Hintergrund ist ein einfacher:
Bei den allermeisten Virenscannern (ClamAV als Daemon eingeschlossen)
wertet Amavis scheinbar nur den letzten Rückgabewert aus. Wenn die
E-Mail aus drei MIME-Parts besteht (HTML, ZIP, Reintext - in der
Reihenfolge) liest Amavis daraus, dass da nichts gefunden wurde.
Klar, im Reintext-Teil war ja auch nichts.
Das mag ein Konfigurationsfehler auf meiner Seite sein, ich habe die
Squeeze-Konfiguration als Basis verwendet und für meine Bedürfnisse
angepasst.


Ich habe jedenfalls in meiner 50-user.conf folgenden Block drin:

@keep_decoded_original_maps = (new_RE(
  qr'^MAIL$',   # retain full original message for virus checking
  qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if undecipherable
  qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
  qr'^Zip archive data',     # don't trust Archive::Zip
));


Habe ich mir irgendwann mal so von einem Blog "geklaut" ;-)
Damit wird Amavis halt angewiesen die E-Mail als Gesamtkunstwerk
vorzusetzen, was zumindest bei ClamAV so ziemlich alles abhält.

Davon aber abgesehen:
Mein Amavis ist angewiesen, ausführbare Anhänge (.exe, .bat...)
aufzuessen resp. die Mail garnicht erst anzunehmen (SMTP-Proxy).
Die Nutzer wissen, dass keine Programme per Mail verschickt und
empfangen werden können und bisher hat es auch keinen so wirklich gestört...
Vielleicht wäre das ja auch bei dir eine Option? Das würde ziemlich
zuverlässig >99% der verseuchten Anhänge fernhalten ;-)




Viele Grüße aus dem Tal
Max