Re: (OT) Anhänge abweisen mit rspamd

Di Apr 13 11:50:03 CEST 2021

Am 13.04.21 um 11:37 schrieb Katharina Knuth:
> Am 12.04.21 um 14:57 schrieb Carsten Rosenberg:
>> Hey,
>>
>> Wenn die Meldung nicht angepasst wird, ist erstmal alles "Spam".
>>
>> Ich würde das Blockieren von Extensions auch nicht (mehr) über mime
>> types und Punkten machen. Denn wenn man die selbstlernenden Module vom
>> Rspamd verwendet, lernt der dann auch die Mail mit dem Firefox 
>> Installer
>> vom Kollegen. Das gibt dann schnell viele False Positives. Das 
>> mime_type
>> Plugin würde ich einfach beim Default lassen
>>
>> Mein Ansatz wäre Multimaps:
>>
>> https://rspamd.com/doc/modules/multimap.html#examples
>>
>> BANNED_EXTENSIONS {
>>    type = "filename";
>>    filter = "extension";
>>    map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
>>    message = "A restricted file type was found";
>> }
>>
>> In die Map kommt dann zeilenweise eine Extension
>>
>> exe
>> scr
>> ...
>>
>> Rspamd macht hier auch die Konvertierung in den Content-Type und prüft
>> den. Außerdem Filenames in Zips.
>>
>> Hier mache ich keinen REJECT!
>>
>> Sondern dann in den Force Action, wo man das dann auch schon noch mit
>> ner Whitelist verknüpfen und ne Custom Message setzen kann.
>>
>>    BANNED_EXTENSIONS {
>>      action = "reject";
>>      expression = "BANNED_EXTENSIONS & !WL_BANNED_EXTENSIONS";
>>      message = "REJECT - Attachment type is forbidden. (support-id:
>> ${queueid})";
>>    }
>>
> 
> das habe ich jetzt umgesetzt. Ist auch im WebUi sicht- u. editierbar.
> Aber alle anderen, die vorher funktioniert haben, sind nicht mehr
> sicht- u. editierbar. Das einzige, was ich verändert habe, is der
> Pfad. Vorher bei allen Einträgen
> 
> map = "${LOCAL_CONFDIR}/local.d/x.map"; Jetzt
> 
> map = "${LOCAL_CONFDIR}/local.d/map.d/x.map";
> 
> Hier komplett
> 
> # local.d/multimap.conf
> 
> # whitelist the client by from
> FROM_WHITELISTED {
>   type = "from";
>   map = "${LOCAL_CONFDIR}/local.d/map.d/whitelist_from.map";
>   action = "accept"; # Prefilter mode
>   description = "Whitelist map for FROM_WHITELISTED";
> }
> 
> # blacklist the client by from
> FROM_BLACKLISTED {
>   type = "from";
>   map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from.map";
>   action = "reject"; # Prefilter mode
>   description = "Blacklist map for FROM_BLACKLISTED";
> }
> 
> # whitelist the client by ip address
> WHITELIST_IP_ADDRESS {
>       type = "ip";
>       prefilter = true;
>       map = "${LOCAL_CONFDIR}/local.d/map.d/ip_whitelist.map";
>       score = 0.0;
>       action = "accept";
> }
> BLACKLIST_IP_ADDRESS {
>       type = "ip";
>       prefilter = true;
>       map = "${LOCAL_CONFDIR}/local.d/map.d/ip_blacklist.map";
>       action = "reject";
> }
> 
> FROM_BLACKLISTED_REGEX {
>    type = "header";
>    header = "From";
>    map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from_regex.map";
>    regexp = true;
>    action = "reject"; # Prefilter mode
>    description = "Blacklist map for FROM_BLACKLISTED_REGEX";
> }
> 
> BANNED_EXTENSIONS {
>   type = "filename";
>   filter = "extension";
>   map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
>   message = "A restricted file type was found";
> }
> 
> SUBJECT_BLACKLISTED {
>      type = filename;
>      filter = extension;
>      map = "${LOCAL_CONFDIR}/local.d/map.d/subject_blacklisted.map";
>      symbol = "SUBJECT_IS_BLACKLISTED";
>      action = "reject";
>      message = "Forbidden subject!";
> }
> 
> Wie ist das zu erklären?
> 
  das Log

Apr 13 11:44:08 server rspamd[24514]: <39g57x>; map; rspamd_map_add: 
added map /etc/rspamd/local.d/map.d/ip_whitelist.map
Apr 13 11:44:08 server rspamd[24514]: <qsgtkn>; map; rspamd_map_add: 
added map /etc/rspamd/local.d/map.d/ip_blacklist.map
Apr 13 11:44:08 server rspamd[24514]: <88km85>; map; rspamd_map_add: 
added map /etc/rspamd/local.d/map.d/blacklist_from_regex.map
Apr 13 11:44:08 server rspamd[24514]: <1ny31f>; map; rspamd_map_add: 
added map /etc/rspamd/local.d/maps.d/banned_extensions.map
Apr 13 11:44:08 server rspamd[24514]: <47yqjk>; map; rspamd_map_add: 
added map /etc/rspamd/local.d/map.d/blacklist_from.map
Apr 13 11:44:08 server rspamd[24514]: <euqup3>; map; rspamd_map_add: 
added map /etc/rspamd/local.d/map.d/subject_blacklisted.map
Apr 13 11:44:08 server rspamd[24514]: <huf8zj>; map; rspamd_map_add: 
added map /etc/rspamd/local.d/map.d/whitelist_from.map

-- 
freundliche Grüße,
Sincerely yours,

Katharina Knuth
Alexandrastr. 16
06844 Dessau-Roßlau
0172 46 12 665
0340 25 08 912