[ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Di Dez 10 13:22:57 CET 2019 

* Carsten Rosenberg <cr at ncxs.de>:
> On 03.12.19 15:40, Ralf Hildebrandt wrote:

...

> Ich könnte mir diese Ansätze vorstellen:
> 
> Du könntest via Settings für bestimmte Absender, Empfänger oder IPs
> oletools bei symbols_disabled aufnehmen. Dann wird der Check für diese
> nicht mehr ausgeführt.

Ich bin wohl zu blöd:

In /etc/rspamd/local.d/settings.conf habe ich:

   whitelist_from_abw-verlag {
      # macrodurchsetzte Dateien
      from = "@abw-verlag.de";
      apply {
         symbols_disabled = ["OLETOOLS"];
      }
   }
   
   whitelist_to_abw-verlag {
      # macrodurchsetzte Dateien
      rcpt = "@abw-verlag.de";
      apply {
         symbols_disabled = ["OLETOOLS"];
      }
   }

Aber:

Dec  9 07:42:26 mail-cbf rspamd[28200]: <77594d>; task; rspamd_task_write_log: id: <BFECFAEDF999564DAFC039702F888868017408AAD7 at s-mx14-mb0103.charite.de>,
qid: <47WYXB1rp3z1Z3Jn>, ip: 10.32.37.106, from: <ABSENDER at charite.de>, (default: T (reject): [-1.50/14.00] [BAYES_HAM(-3.00){100.00%;},MIME_BAD_ATTACHMENT(1.60){docm;},MIME_GOOD(-0.10){multipart/mixed;multipart/alternative;text/plain;},ARC_NA(0.00){},DKIM_SIGNED(0.00){},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},HAS_ATTACHMENT(0.00){},HAS_XOIP(0.00){},MIME_TRACE(0.00){0:+;1:+;2:+;3:~;4:~;5:~;6:~;},OLETOOLS(0.00){AutoExec
+ Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},TO_DN_ALL(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]),
len: 1461339, time: 8028.338ms, dns req: 12, digest: <2ee88b0dafc3ab75f684d6dd8f006df3>, rcpts: <empfaenger1 at abw-verlag.de,empfaenger2 at abw-verlag.de,empfaenger3 at abw-verlag.de>,
mime_rcpts: <empfaenger1 at abw-verlag.de,empfaenger2 at abw-verlag.de,empfaenger3 at abw-verlag.de...>, forced: reject "oletools: Oletools threat message found: "AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObje

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de

Mehr Informationen über die Mailingliste Postfixbuch-users