Re: (OT) Anhänge abweisen mit rspamd
Katharina Knuth
katharina.knuth at icloud.com
Di Apr 13 12:58:54 CEST 2021
Am 13.04.21 um 11:50 schrieb Katharina Knuth:
> Am 13.04.21 um 11:37 schrieb Katharina Knuth:
>> Am 12.04.21 um 14:57 schrieb Carsten Rosenberg:
>>> Hey,
>>>
>>> Wenn die Meldung nicht angepasst wird, ist erstmal alles "Spam".
>>>
>>> Ich würde das Blockieren von Extensions auch nicht (mehr) über mime
>>> types und Punkten machen. Denn wenn man die selbstlernenden Module vom
>>> Rspamd verwendet, lernt der dann auch die Mail mit dem Firefox
>>> Installer
>>> vom Kollegen. Das gibt dann schnell viele False Positives. Das
>>> mime_type
>>> Plugin würde ich einfach beim Default lassen
>>>
>>> Mein Ansatz wäre Multimaps:
>>>
>>> https://rspamd.com/doc/modules/multimap.html#examples
>>>
>>> BANNED_EXTENSIONS {
>>> type = "filename";
>>> filter = "extension";
>>> map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
>>> message = "A restricted file type was found";
>>> }
>>>
>>> In die Map kommt dann zeilenweise eine Extension
>>>
>>> exe
>>> scr
>>> ...
>>>
>>> Rspamd macht hier auch die Konvertierung in den Content-Type und prüft
>>> den. Außerdem Filenames in Zips.
>>>
>>> Hier mache ich keinen REJECT!
>>>
>>> Sondern dann in den Force Action, wo man das dann auch schon noch mit
>>> ner Whitelist verknüpfen und ne Custom Message setzen kann.
>>>
>>> BANNED_EXTENSIONS {
>>> action = "reject";
>>> expression = "BANNED_EXTENSIONS & !WL_BANNED_EXTENSIONS";
>>> message = "REJECT - Attachment type is forbidden. (support-id:
>>> ${queueid})";
>>> }
>>>
>>
>> das habe ich jetzt umgesetzt. Ist auch im WebUi sicht- u. editierbar.
>> Aber alle anderen, die vorher funktioniert haben, sind nicht mehr
>> sicht- u. editierbar. Das einzige, was ich verändert habe, is der
>> Pfad. Vorher bei allen Einträgen
>>
>> map = "${LOCAL_CONFDIR}/local.d/x.map"; Jetzt
>>
>> map = "${LOCAL_CONFDIR}/local.d/map.d/x.map";
>>
>> Hier komplett
>>
>> # local.d/multimap.conf
>>
>> # whitelist the client by from
>> FROM_WHITELISTED {
>> type = "from";
>> map = "${LOCAL_CONFDIR}/local.d/map.d/whitelist_from.map";
>> action = "accept"; # Prefilter mode
>> description = "Whitelist map for FROM_WHITELISTED";
>> }
>>
>> # blacklist the client by from
>> FROM_BLACKLISTED {
>> type = "from";
>> map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from.map";
>> action = "reject"; # Prefilter mode
>> description = "Blacklist map for FROM_BLACKLISTED";
>> }
>>
>> # whitelist the client by ip address
>> WHITELIST_IP_ADDRESS {
>> type = "ip";
>> prefilter = true;
>> map = "${LOCAL_CONFDIR}/local.d/map.d/ip_whitelist.map";
>> score = 0.0;
>> action = "accept";
>> }
>> BLACKLIST_IP_ADDRESS {
>> type = "ip";
>> prefilter = true;
>> map = "${LOCAL_CONFDIR}/local.d/map.d/ip_blacklist.map";
>> action = "reject";
>> }
>>
>> FROM_BLACKLISTED_REGEX {
>> type = "header";
>> header = "From";
>> map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from_regex.map";
>> regexp = true;
>> action = "reject"; # Prefilter mode
>> description = "Blacklist map for FROM_BLACKLISTED_REGEX";
>> }
>>
>> BANNED_EXTENSIONS {
>> type = "filename";
>> filter = "extension";
>> map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
>> message = "A restricted file type was found";
>> }
>>
>> SUBJECT_BLACKLISTED {
>> type = filename;
>> filter = extension;
>> map = "${LOCAL_CONFDIR}/local.d/map.d/subject_blacklisted.map";
>> symbol = "SUBJECT_IS_BLACKLISTED";
>> action = "reject";
>> message = "Forbidden subject!";
>> }
>>
>> Wie ist das zu erklären?
>>
> das Log
>
> Apr 13 11:44:08 server rspamd[24514]: <39g57x>; map; rspamd_map_add:
> added map /etc/rspamd/local.d/map.d/ip_whitelist.map
> Apr 13 11:44:08 server rspamd[24514]: <qsgtkn>; map; rspamd_map_add:
> added map /etc/rspamd/local.d/map.d/ip_blacklist.map
> Apr 13 11:44:08 server rspamd[24514]: <88km85>; map; rspamd_map_add:
> added map /etc/rspamd/local.d/map.d/blacklist_from_regex.map
> Apr 13 11:44:08 server rspamd[24514]: <1ny31f>; map; rspamd_map_add:
> added map /etc/rspamd/local.d/maps.d/banned_extensions.map
> Apr 13 11:44:08 server rspamd[24514]: <47yqjk>; map; rspamd_map_add:
> added map /etc/rspamd/local.d/map.d/blacklist_from.map
> Apr 13 11:44:08 server rspamd[24514]: <euqup3>; map; rspamd_map_add:
> added map /etc/rspamd/local.d/map.d/subject_blacklisted.map
> Apr 13 11:44:08 server rspamd[24514]: <huf8zj>; map; rspamd_map_add:
> added map /etc/rspamd/local.d/map.d/whitelist_from.map
>
und ausserdem ist ALLES im Configdump enthalten. Es ist mir ein
Rätsel ..
--
freundliche Grüße,
Sincerely yours,
Katharina Knuth
Mehr Informationen über die Mailingliste Postfixbuch-users