Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware

Martin Steigerwald martin at lichtvoll.de
Sa Apr 15 12:57:55 CEST 2017 

Hallo!

Da ich gerade eben von den täglichen ZIP-Archiven mit Javascript-Malware, die 
über vger.kernel.org reinkommen (die die Postmaster dort an sich auch mal 
blocken könnten), die Schnauze wohl hab, hab ich jetzt mal

# Anhänge blocken: ZIP noch dazu, weil das am häufigsten kommt.
# http://www.postfix.org/header_checks.5.html
/^Content-(Disposition|Type).*name\s*=\s*"?([^;]*(\.|=2E)(
        ade|adp|asp|bas|bat|chm|cmd|com|cpl|crt|dll|exe|
        hlp|ht[at]|
        inf|ins|isp|jse?|lnk|md[betw]|ms[cipt]|nws|
        \{[[:xdigit:]]{8}(?:-[[:xdigit:]]{4}){3}-[[:xdigit:]]{12}\}|
        ops|pcd|pif|prf|reg|sc[frt]|sh[bsm]|swf|
        vb[esx]?|vxd|ws[cfh]|zip))(\?=)?"?\s*(;|$)/x
                REJECT Attachment name "$2" may not end with ".$4"

in die via PCRE eingebundenen Header-Checks eingebaut.

Aus naheliegenden Gründen möchte ich jetzt keine dieser Mails weiterleiten. 
Lösch die eh gleich wieder. Soweit durch die Verwirrungstaktik in einem der 
Skripte durchblicke, greift das ohnehin mal wieder nur auf Windows-Systemen.

Diese Mails gehen seit eh und jeh bei mir sowohl an policyd-weight als auch an 
SpamAssassin mit Zusatzregeln spamassassin.heinlein-support.de, 
updates.spamassassin.org, sought.rules.yerp.org vorbei.

Ich bin bei der Recherche auch auf Postscreen gestoßen und sicherlich würde 
sich auch Amavis dazu eignen. Auch postgrey habe ich mir mal wieder überlegt, 
jedoch kam ich bislang auch ganz gut ohne aus und mag das an sich nicht so 
gerne, wenn legitime Mails um Minuten verzögert bei mir eintreffen.

Insgesamt möchte ich mein Mailserver-Setup auch nicht unnötig komplex machen. 
Ich hab ohnehin immer mehr Komplexität hinzugefügt als eine Art Wettrüsten mit 
den Spammern. Falls jemand mir ein Archiv schicken möchte, könnte sie es immer 
noch irgendwo hochladen oder… ein anderes Kompressionsformat verwenden.

Was verwendet ihr?

Also genau da würde mich eine aktualisierte Fassung des Postfix-Buches mit den 
aktuellen Best Practice-Empfehlungen für ein einfaches, jedoch auch äußerst 
wirksames Spamfilter-Setup interessieren. Natürlich dürfte das zu einem Teil 
auch zum Geschäftsgeheimnis von Mail-Konto-Anbietern gehören.

Mein Setup ist auch bereits recht wirksam, wenn ich sehe, dass pro Tag micht 
mehr als ca. 20 Mails durchkommen. Ich hab keine Stastistik, aber ich gehe 
davon aus, dass mein Server über 90% aller Mails auf SMTP-Ebene zurückweist.

(Manchmal möchte ich einfach alle Mails wegblocken oder einen Antibot 
schreiben, der sämtliche schlecht abgesicherten IoT-Müll-Teile und VMs 
unbrauchbar macht. Und ja, ich kann mich zurückhalten.).


Kandidaten, die meinen Dovecot knacken wollen, dabei jedoch dilletantisch 
vorgehen, gibt es auch mal wieder:

Apr 15 12:34:22 mondschein dovecot: pop3-login: Disconnected (tried to use 
disallowed plaintext auth): user=<>, rip=49.69.121.47, lip=194.150.191.11

(Okay, grad mal sshguard angepasst, damit er auch das mail.log pollt.)

Frohe Ostern,
-- 
Martin

Mehr Informationen über die Mailingliste Postfixbuch-users