OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven

Django Django
Do Sep 24 11:32:00 CEST 2015


HI!

Am 24.09.2015 um 10:52 schrieb Winfried Neessen:

> Der Grund dafuer ist die amavisd Standardconfig. Im @decoders Array hat
> man die
> Moeglichkeit, fuer bestimmte Dateiendungen entsprechende Decoder
> festzulegen. Z. B.
> fuer .gz wird gzip benutzt. Hier gibt es auch einen Eintrag fuer .asc
> der aber
> per default auskommentiert ist:
> 
> [[qw(asc uue hqx ync)], \&do_ascii],  # not safe

Also beim Kunden sind folgende decoder-Definitionen jetzt schon am Start:

@decoders = (
  ['mail', \&do_mime_decode],
  ['asc',  \&do_ascii],
  ['uue',  \&do_ascii],
  ['hqx',  \&do_ascii],
  ['ync',  \&do_ascii],
  ['F',    \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ],
  ['Z',    \&do_uncompress, ['uncompress','gzip -d','zcat'] ],
  ['gz',   \&do_uncompress,  'gzip -d'],
  ['gz',   \&do_gunzip],
  ['bz2',  \&do_uncompress,  'bzip2 -d'],
  ['lzo',  \&do_uncompress,  'lzop -d'],
  ['rpm',  \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ],
  ['cpio', \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['tar',  \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['deb',  \&do_ar,          'ar'],
# ['a',    \&do_ar,          'ar'],  # unpacking .a seems an overkill
  ['zip',  \&do_unzip],
  ['7z',   \&do_7zip,       ['7zr','7za','7z'] ],
  ['rar',  \&do_unrar,      ['rar','unrar'] ],
  ['arj',  \&do_unarj,      ['arj','unarj'] ],
  ['arc',  \&do_arc,        ['nomarch','arc'] ],
  ['zoo',  \&do_zoo,        ['zoo','unzoo'] ],
  ['lha',  \&do_lha,         'lha'],
# ['doc',  \&do_ole,         'ripole'],
  ['cab',  \&do_cabextract,  'cabextract'],
  ['tnef', \&do_tnef_ext,    'tnef'],
  ['tnef', \&do_tnef],
# ['sit',  \&do_unstuff,     'unstuff'],  # broken/unsafe decoder
  ['exe',  \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
);

Wir haben bei einem anderen Kunden die Einstellung nach Deinem Vorschlag
angepasst, Mail mit exe kommt immer noch durch.


> Wenn man also do_ascii fuer .asc (oder auch andere Typen nutzt), kann
> man sich
> gegen solche Attachments in DSN schuetzen.

Das können wir leider so nicht bestätigen. :/

> ine andere Moeglichkeit waere dann noch das "Pen Pal" Feature zu nutzen.

Das feature können wir so nicht verwenden, da wir zwei AMaViS-Instanzen
auf zwei unterschiedlichen Netzen betreiben und da können wir leider
keinen SPOF (zentrale MariaDB) betreiben.


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django



Mehr Informationen über die Mailingliste Postfixbuch-users