Re: (OT) Anhänge abweisen mit rspamd

Katharina Knuth katharina.knuth at icloud.com
Di Apr 13 11:37:45 CEST 2021 

Am 12.04.21 um 14:57 schrieb Carsten Rosenberg:
> Hey,
> 
> Wenn die Meldung nicht angepasst wird, ist erstmal alles "Spam".
> 
> Ich würde das Blockieren von Extensions auch nicht (mehr) über mime
> types und Punkten machen. Denn wenn man die selbstlernenden Module vom
> Rspamd verwendet, lernt der dann auch die Mail mit dem Firefox Installer
> vom Kollegen. Das gibt dann schnell viele False Positives. Das mime_type
> Plugin würde ich einfach beim Default lassen
> 
> Mein Ansatz wäre Multimaps:
> 
> https://rspamd.com/doc/modules/multimap.html#examples
> 
> BANNED_EXTENSIONS {
>    type = "filename";
>    filter = "extension";
>    map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
>    message = "A restricted file type was found";
> }
> 
> In die Map kommt dann zeilenweise eine Extension
> 
> exe
> scr
> ...
> 
> Rspamd macht hier auch die Konvertierung in den Content-Type und prüft
> den. Außerdem Filenames in Zips.
> 
> Hier mache ich keinen REJECT!
> 
> Sondern dann in den Force Action, wo man das dann auch schon noch mit
> ner Whitelist verknüpfen und ne Custom Message setzen kann.
> 
>    BANNED_EXTENSIONS {
>      action = "reject";
>      expression = "BANNED_EXTENSIONS & !WL_BANNED_EXTENSIONS";
>      message = "REJECT - Attachment type is forbidden. (support-id:
> ${queueid})";
>    }
> 

das habe ich jetzt umgesetzt. Ist auch im WebUi sicht- u. editierbar.
Aber alle anderen, die vorher funktioniert haben, sind nicht mehr
sicht- u. editierbar. Das einzige, was ich verändert habe, is der
Pfad. Vorher bei allen Einträgen

map = "${LOCAL_CONFDIR}/local.d/x.map"; Jetzt

map = "${LOCAL_CONFDIR}/local.d/map.d/x.map";

Hier komplett

# local.d/multimap.conf

# whitelist the client by from
FROM_WHITELISTED {
   type = "from";
   map = "${LOCAL_CONFDIR}/local.d/map.d/whitelist_from.map";
   action = "accept"; # Prefilter mode
   description = "Whitelist map for FROM_WHITELISTED";
}

# blacklist the client by from
FROM_BLACKLISTED {
   type = "from";
   map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from.map";
   action = "reject"; # Prefilter mode
   description = "Blacklist map for FROM_BLACKLISTED";
}

# whitelist the client by ip address
WHITELIST_IP_ADDRESS {
       type = "ip";
       prefilter = true;
       map = "${LOCAL_CONFDIR}/local.d/map.d/ip_whitelist.map";
       score = 0.0;
       action = "accept";
}
BLACKLIST_IP_ADDRESS {
       type = "ip";
       prefilter = true;
       map = "${LOCAL_CONFDIR}/local.d/map.d/ip_blacklist.map";
       action = "reject";
}

FROM_BLACKLISTED_REGEX {
    type = "header";
    header = "From";
    map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from_regex.map";
    regexp = true;
    action = "reject"; # Prefilter mode
    description = "Blacklist map for FROM_BLACKLISTED_REGEX";
}

BANNED_EXTENSIONS {
   type = "filename";
   filter = "extension";
   map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
   message = "A restricted file type was found";
}

SUBJECT_BLACKLISTED {
	type = filename;
	filter = extension;
	map = "${LOCAL_CONFDIR}/local.d/map.d/subject_blacklisted.map";
	symbol = "SUBJECT_IS_BLACKLISTED";
	action = "reject";
	message = "Forbidden subject!";
}

Wie ist das zu erklären?

-- 
freundliche Grüße,
Sincerely yours,

Katharina Knuth

Mehr Informationen über die Mailingliste Postfixbuch-users