OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven

[Django]

HI Winfried!

Am 23.09.2015 um 13:31 schrieb Winfried Neessen:

> Darf ich fragen, warum Du Dir wegen so 'ner laepschen Malware soviel Arbeit
> machst? 

Weil der Kunde wahnsinnig Wert auf Sicherheit legt und er nicht haben
will, dass Schadsoftware bis zum DAU durchschlägt.

> Sie wird von jeder halbwegs brauchbaren A/V Software erkannt[1].

Tja, jetzt schon, aber als die gefakten bounces (08.09) massenhaft
ankamen wurden diese eben nicht von einem Virenscanner erkannt, nicht
von ClamAV, SOPHOS, AVIRA.

exe- stehen auf der banned-mimetype und das hat dann die Sache dann erst
recht interessant gemacht. EXE im Anhang bzw als ZIP gepackt sollten ja
generell garnienicht angenommen werden.

Und wie Uwe schon erklärte, wird der multipart-Teil von AMaViS nur als
Text erkannt und nicht als Text + Attachment. Somit schlägt der
multipart-Teil bis zum DAU durch. Und bei unserem 3-stufigen
Viren-Filter, kann der letzte (3.) Virenfilter den Schadcode erst
erkennen, wenn entsprechende pattern bereit stehen.

> Dein
> Versuch an mich gestern wurde ja - wie gestern schon erwaehnt - auch
> erkannt.

Weil seit 23.09. Viruspattern bereit stehen, gemäß Deinem link.

> Sowas kommt bei uns taeglich Hauf rein und wird erfolgreich geblockt.

Echt? Code in gefakten bounces versteckt, habe ich, wen ich ehrlich sein
darf, in den letzten 8 Jahren noch nicht gesehen. Oder es ist mir nie
aufgefallen.

> Wenn ich
> dafuer jedesmal soviel Aufwand treiben wuerde, wuerde ich nichts anders
> gebacken bekommen. 

Ich verdien mir damit meine Brötchen. :)

> Kein Vorwurf oder aehnl. - reines Interesse warum Dir
> das so wichtig ist ;)

Weil es mich interessiert und mit irgendwas muss ich mich ja
beschäftigen, sonst gehts mir wie der Sockenpuppe. ;)


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django