Spamassasin, Zips u.a.

Robert Schetterer rs at sys4.de
So Sep 25 18:59:50 CEST 2016


Am 25.09.2016 um 15:51 schrieb Markus Gonzalez:
> 
> 
> Am 25.09.2016 um 15:30 schrieb Matthias Schmidt:
>>
>>> Am 25.09.2016 um 22:15 schrieb Markus Gonzalez <ml at markus-gonzalez.de>:
>>>
>>> Hallo Matthias,
>>>
>>>
>>> Am 25.09.2016 um 11:04 schrieb Matthias Schmidt:
>>>> Hallo,
>>>>
>>>> erstmals herzlichen Dank für die vielen nützliche Tips :-)
>>>> So konnte ich das Spamaufkommen nochmal heftig runterdrücken :-)
>>>>
>>>> Noch 2 Fragen hätt ich:
>>>> ich hab den Eindruck, dass bei gültiger DKIM die Mails nicht mehr an Spamassassin geschickt werden. Oder bin ich da auf dem Holzweg (das sind jetzt 95% aller Spammails, wie nie bestellte Newsletter und dergleichen).
>>>
>>> Normalerweise kannst du beim Anzeigen des Headers / des Quelltextes
>>> sehen, ob Spamassassin durchlaufen wurde.
>>
>>
>> ist mir klar. Nur steht bei diesen Mails eben gar nix im Header ausser, dass sie Virus gescannt wurden.
>> Das Problem ist hier freilich, dass clamAV offensichtlich ein Problem mit zips hat.
> 
> Mit ClamAV kann ich dir nicht helfen,
> vlt. wäre aber eine Idee den Spamassassin Milter vor dem ClamAV Milter
> einzubinden, so das erst auf Spam gecheckt und dann auf Viren ....
> 
> Ist eine "Zipper" Software, die Zips entpacken kann auf dem System ?
> 
> 
> 
>>
>>>
>>>>
>>>> Wo find ich eigentlich eine Dokumentation für die Rules?
>>>> Es gibt zwar was bei Apache (https://wiki.apache.org/spamassassin/Rules), da scheint aber nicht alles drin zu sein, so kann ich z.Bsp. CK_HELO_GENERIC nicht finden.
>>>> Ich nehm an, dass ich mit spamassassin.heinlein-support.de ein nettes deutsches Ruleset laden könnte, würde mir sa-update nicht einen Fehler werfen (und ich hab’s noch nicht rausbekommen, wie ich der Systeminstallation von perl unter elCapitano etwas nachhelfen kann :(
>>>>
>>>> Noch eins:
>>>> Received: from abts-kk-dynamic-168.66.172.122.airtelbroadband.in (unknown [122.171.25.251])
> 
> reject_unknown_reverse_client_hostname (hast du ja in deiner config) ,
> erscheint mir als richtig.
> Vlt. auch mal die Reihenfolge nach vorne setzen, könnte ich mir vorstellen.
> 
>>>
>>> Das besagt die Einlieferung der Mail von einem MUA an einem
>>> Internetzugang mit Dynamischer IP, wie DSL-Anschluss zbsp.
> 
> 
>>>
>>> so steht  zum beispiel in dem Header deiner Mail:
>>>
>>> Received: from localhost (localhost [127.0.0.1])
>>> by mcgregor.admilon.net (Postfix) with ESMTP id 376F79F4D68
>>> for <postfix-users at de.postfix.org>; Sun, 25 Sep 2016 18:05:02 +0900 (JST)
>>>
>>> würdest du hier wirklich erzwingen wollen, das alle die einen MUA an
>>> einem dynalischen DSL Anschluss dir keine Mails senden dürfen ?
>>
>>
>> über dynamische IPs kommen bei mir ausschliesslich Spams an.
>> Und speziell dieses Mail hatte einen Virus im Anhang.
>>
>>>
>>> Es gibt in der tat Restriktionen in Postfix, die dieses unterbinden,
>>
>> Ist mir bekannt ;-)
>>
>>> muss ich aber nachschauen, welche das sind. Aber bitte dir nochmal
>>> Gedanken dazu machen, ob das wirklich gewunscht ist ….
>>
>>
>>
>> ich mach jetzt das hier:
>> smtpd_helo_restrictions = permit_mynetworks
>> 						check_helo_access hash:/Library/Server/Mail/Config/postfix/helo_access
>> 						reject_invalid_helo_hostname
>> 						reject_non_fqdn_helo_hostname
>> smtpd_sender_restrictions = permit_mynetworks
>> 							permit_sasl_authenticated
>> 							reject_unknown_sender_domain
>> 							reject_non_fqdn_sender
>> smtpd_recipient_restrictions = permit_sasl_authenticated
>> 		 permit_mynetworks
>> 		 permit_tls_clientcerts
>> 		 reject_non_fqdn_hostname
>> 		 reject_invalid_hostname
>> 		 reject_unknown_reverse_client_hostname
>> 		 reject_unauth_destination
>> 		 check_sender_access hash:/Library/Server/Mail/Config/postfix/whitelist
>> 		 check_sender_access regexp:/Library/Server/Mail/Config/postfix/tag_as_originating.re
>> 		 check_sender_access regexp:/Library/Server/Mail/Config/postfix/tag_as_foreign.re
>> 		 reject_rbl_client cbl.abuseat.org
>> 		 reject_rbl_client ix.dnsbl.manitu.net
>> 		 reject_rbl_client virbl.dnsbl.bit.nl
>> 		 reject_rbl_client blackholes.easynet.nl
>> 		 reject_rbl_client bl.spamcop.net
>>
>> und werd das mal weiter beobachten.
>>
>> Der Perl-Schei** macht mir momentan mehr Bauchweh ;-)
>>
>> Gruss
>> Matthias
>>
>>>
>>>
>>>> Da ist mir nicht wirklich klar, warum das nicht schon von Postfix durch eines dieser Regeln reject_non_fqdn_hostname, reject_invalid_hostname,  reject_unknown_reverse_client_hostname abgewiesen worden ist.
>>>>
>>>> Dank und Gruss
>>>> Matthias
>>>>
>>>>> Am 22.09.2016 um 16:27 schrieb Hoyer-Reuther, Christian <Christian.Hoyer-Reuther at cac-chem.de>:
>>>>>
>>>>> Hallo,
>>>>>
>>>>> wir haben, u.a. wegen der Ransomware-Problematik, seit längerem folgendes am laufen.
>>>>>
>>>>> Auf dem MX läuft Postfix+Amavis+SA+ClamAV+ESET. In Postfix reject_rbl_client zen.spamhaus.org (blockt viel ab) und ix.dnsbl.manitu.net. Mails mit Banned Files, Viren und Spam ab bestimmtem Wert werden rejected.
>>>>>
>>>>> Banned Files: 386|ace|bat|bin|chm|class|cmd|cnt|com|cpl|do|drv|exe|f|fxp|gadget|hlp|hpj|hta|inf|ins|isp|its|jar|js|jse|kix|lnk|mht|mhtm|mhtml|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|ocx|ole|pif|prf|ps1|ps1xml|ps2|ps2xml|psc1|psc2|reg|rm|scf|scr|sct|shb|shm|shs|swf|sys|vb|vbe|vbp|vbs|vbx|vsmacros|vxd|ws|wsc|wsf|wsh|xbap|xl|xnk|xsl
>>>>>
>>>>> SA-Channels updates.spamassassin.org und spamassassin.heinlein-support.de
>>>>>
>>>>> Auf dem MTA dahinter läuft auch nochmal Postfix+Amavis+SA+ClamAV+ESET. Banned Files sind hier alle MS Office Formate außer DOC und DOCX. Im ClamAV ist die Option OLE2BlockMacros auf true gesetzt, damit werden MS Office Dateien mit Makro von ClamAV als Virus eingestuft. Mails mit Banned Files und Viren werden discarded und per $banned_quarantine_to bzw. $virus_quarantine_to in ein Quarantäne-Postfach eingeliefert. Dort werden sie nach Einschätzung/Prüfung und ggf. Nachfrage beim Empfänger entweder in das Postfach des Empfängers verschoben oder gelöscht. Bei ca. 10-30 Mails pro Tag in der Quarantäne ist der Aufwand noch vertretbar, bei deutlich mehr wäre das natürlich irgendwann nicht mehr machbar.
>>>>>
>>>>> Zusätzlich sind natürlich per GPO auf den Clients die MS Office Makroeinstellungen entsprechend abgesichert, und die User werden von Zeit zu Zeit sensibilisiert.
>>>>>
>>>>> Ich habe hier noch mehrere Mails daliegen, bei denen ich den starken Verdacht habe, dass man sich mit den Anhängen (XLSX mit zufälligen Namen) einen Verschlüsselungstrojaner einfängt; bei diesen Mails hat allerdings ClamAV _keine_ Makros erkannt. Eventuell sind da ja Links drin.
>>>>>
>>>>> Wichtig ist noch das Thema 7z und verschlüsselte Archive, wenn man Amavis 2.10.0 oder älter im Einsatz hat (Debian Jessie hat z.B. 2.10.0). Amavis interpretiert hier nämlich die Ausgabe von 7z bei verschlüsselten Dateien falsch und bekommt daher nicht mit, dass es eine verschlüsselte Datei ist. Damit kommt dann $undecipherable_subject_tag nicht zur Anwendung, d.h. der Betreff der Mail wird nicht mit "UNCHECKED" markiert und der User bekommt nicht mit, dass der Anhang nicht geprüft werden konnte. In 2.11.0 ist das behoben, auf der Amavis-Mailingliste gibt es einen Thread dazu --> https://lists.amavis.org/pipermail/amavis-users/2016-September/004456.html
>>>>>
>>>>> Gruß
>>>>> Christian
>>>>>
>>>>>> -----Original Message-----
>>>>>> From: postfix-users [mailto:postfix-users-bounces+christian.hoyer-
>>>>>> reuther=cac-chem.de at de.postfix.org] On Behalf Of Matthias Schmidt
>>>>>> Sent: Thursday, September 22, 2016 7:14 AM
>>>>>> To: postfix-users at de.postfix.org
>>>>>> Subject: Spamassasin, Zips u.a.
>>>>>>
>>>>>> - das grössere Problem ist, dass nach wie vor Mails durchkommen mit:
>>>>>> Hallo + mehr oder weniger korrekte Anrede
>>>>>> In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder
>>>>>> dergleichen)
>>>>>> (…)
>>>>>> und dann hängt da ein zip oder ein Word doc dran freilich mit der
>>>>>> ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein.
>>>>>>
>>>>>> Jeder auf der Liste hier weiss, was da drin ist ;-)
>>>>>>
>>>>>> Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu
>>>>>> wollen Dokumente zu empfangen ;-)
>>>>>> oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer
>>>>>> Ramsoftware schaffen es ja immer wieder selbst den Spamassasin
>>>>>> auszutricksen.
>>>>
>>

Hi ,alle Compressionsformate sind ein Problem fuer alle Virenscanner (
designbedingt ) , ausserdem koennen diese ja zusaetzlich immer noch mit
Passwort geschuetzt werden. Natuerlich haben unterschiedliche Scanner
auch unterschiedliche Staerken ,ausserdem kommt es stark darauf an wie
diese eingebunden und configuriert sind. Wenn du clamav einsetzt
solltest du mal nachsehen ob du den scan von compressions formaten
ueberhaupt konfiguriert hast. Bei der Abwehr von Spam und Viren kommt es
am Ende
auch noch auf die Reihenfolge deiner Filter an, jede Mail die du wegen
anderer Parameter ablehnen kannst sind ein Gewinn, weil Viren und Spam
filter im Verhaeltnis dazu "teuer" sind.

Am Ende kann dir natuerlich immer trotzdem etwas durchschluepfen ,
ein guter Trick ist es dann spez. bei zips diese auf Grund ihrer Groesse
zu filtern, ein Mensch wird im allgem nur Grosse Dateien zippen,
waehrend die Viren haeufig sehr kleine zips im Anhang haben.
Eine entsprechende Sieve Regel kann da beim Filtern helfen.





Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein


Mehr Informationen über die Mailingliste postfix-users