[ext] SOPHOS_VIRUS_FAIL

Carsten Rosenberg cr at ncxs.de
Mi Nov 20 10:38:12 CET 2019



On 19.11.19 14:00, Frank Fiene wrote:
> Jetzt habe ich sogar
> 
>   savdi_report_encrypted= false;

Diese Schalter sind seit der 1.9.0 raus:
https://rspamd.com/doc/modules/antivirus.html#sophos-savdi-specific-details

> 
> Gesetzt, und es erscheint immer noch im Log:
> 
> 
> Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; *sophos*.lua:143:
> Message is encrypted (FAIL 0212): FAIL 0212 \0d\0a
> Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; common.lua:108:
> *sophos*: result - FAILED with error: "SAVDI: Message is encrypted (FAIL
> 0212) - score: 0"
> Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; lua; common.lua:108:
> *sophos*: result - Scan has returned that input was encrypted: "File is
> encrypted - score: 1"
> Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; proxy;
> rspamd_add_passthrough_result:
> <a4d0b34486cc4669b1cb50050f4957df at beermann-partner.de
> <mailto:a4d0b34486cc4669b1cb50050f4957df at beermann-partner.de>>: set
> pre-result to 'reject' (no score): 'VEKA *sophos*: virus found: "File is
> encrypted"' from *sophos*(1)
> Nov 19 13:56:17 smtp1 postfix/cleanup[6470]: 6157A8C1D: milter-reject:
> END-OF-MESSAGE from idvmailout01.datevnet.de
> <http://idvmailout01.datevnet.de>[193.27.50.76]: 5.7.1 VEKA *sophos*:
> virus found: "File is encrypted"; from=<Audit at beermann-partner.de
> <mailto:Audit at beermann-partner.de>> to=<csach at veka.com
> <mailto:csach at veka.com>> proto=ESMTP helo=<idvmailout01.datevnet.de
> <http://idvmailout01.datevnet.de>>
> 
> 
> 
> WTF
Da Gibts einen Fehler in dem Sophos Plugin. Bei der ersten Erkennung
gibts ein SOPHOS_VIRUS_FAIL und dann aus dem Cache ein
SOPHOS_VIRUS_ENCRYPTED

https://github.com/rspamd/rspamd/pull/3154

Du könntest das per Hand patchen oder via patterns auf "SAVDI: Message
is encrypted (FAIL 0212)" matchen. Dann umgehst du _ENCRYPTED, _FAIL etc

Viele Grüße

Carsten




Mehr Informationen über die Mailingliste Postfixbuch-users