AW: pdf wird geblockt

Di Jul 5 15:06:25 CEST 2016

Evt. ne verseuchte PDF die über nen open Relay versendet wurde und Telekom nur Fake ist als Absender?

Festnetz Rechnungen kommen von rechnungonline at telekom.de und Mobil von kundenservice.rechnungonline at telekom.de

Bei mir im header steht:
from="Kundenservice.Rechnungonline at telekom.de"; helo=AwMail121.telekom.de; client-ip=80.149.113.211
Authentication-Results: X; dmarc=none header.from=telekom.de
Authentication-Results: X;
	dkim=pass (2048-bit key) header.d=telekom.de header.i=@telekom.de header.b=Y/Ss7vTD
Received: from AwMail121.telekom.de (awmail121.telekom.de [80.149.113.211])
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
	(Client CN "awmail121.telekom.de", Issuer "TeleSec ServerPass DE-2" (verified OK))

Der Dateiname der PDF passt gut zu einer normalen Rechnung, bei den Mobilrechnung ist aber bei mir zumindest noch ne zweite PDF, ne Rechnungsbeilage.

Kannst ja schauen ob die IP zu der bei dir passt.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andre Tann
Gesendet: Dienstag, 5. Juli 2016 14:37
An: postfixbuch-users at listen.jpberlin.de
Betreff: pdf wird geblockt

Hallo zusammen

bei mir wird eine Mail mit PDF-Anhang geblockt, und ich seh nicht warum. 
So sieht das in der Mail aus, die ich als Postmaster krieg:

    The message WAS NOT relayed to:
    <x at example.com>:
        554 5.7.0 Reject, id=03215-05 - BANNED: .pdf,Rechnung_2016_06_21716885000691.pdf

Wenn das so ist - woher kommt der Block? pdf kommt in der 
amavis-Konfiguration nicht vor:

    root at mail:/# grep -ril "pdf" /etc/amavis/conf.d/
    root at mail:/#

(Zur Kontrolle: [1])

Ferner: ich habe mir grad ein pdf gebaut, unter dem Namen 
Rechnung_2016_06_21716885000691.pdf gespeichert, und mir dann selbst 
zugeschickt. Diese Mail ging durch. Also greift der Block nicht immer, 
oder die Ursache liegt woanders.

In den Logs seh ich sowas:

    Jul  5 13:19:14 a04 amavis[3215]: (03215-05) Blocked BANNED
    (.pdf,Rechnung_2016_06_21716885000691.pdf) {*RejectedOpenRelay*},
    [IP...]:30245 [IP...] <Kundenservice.Rechnungonline at telekom.de> ->
    <x at example.com>, Message-ID:
    <7159234.1467716063374.JavaMail.ebppk at localhost>, mail_id:
    PWaILI5q-kO4, Hits: -, size: 774910, 11121 ms

Also ich werd da grad wenig schlau draus. Wär nett, wenn mir jemand auf 
die Sprünge helfen könnte...

Merci
Andre

[1]:
root at mail:/# grep -ri "zip" /etc/amavis/conf.d/
/etc/amavis/conf.d/01-debian:$gzip   = 'gzip';
/etc/amavis/conf.d/01-debian:$bzip2  = 'bzip2';
/etc/amavis/conf.d/01-debian:$uncompress = ['uncompress', 'gzip -d', 
'zcat'];
/etc/amavis/conf.d/20-debian_defaults:# Quota limits to avoid bombs 
(like 42.zip)
/etc/amavis/conf.d/20-debian_defaults:# qr'^Zip archive data',     # 
don't trust Archive::Zip
/etc/amavis/conf.d/20-debian_defaults:# [ 
qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],  # allow any within such archives
/etc/amavis/conf.d/20-debian_defaults:# [ 
qr'^application/x-zip-compressed$'i => 0],  # allow any within such archives
/etc/amavis/conf.d/20-debian_defaults:# 
qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i,  # banned extension - WinZip 
vulnerab.
/etc/amavis/conf.d/20-debian_defaults:  qr'.\.(zip|js)$'i,

-- 
Andre Tann