[Postfixbuch-users] amavis mit Fehlern?

Di Aug 15 13:50:41 CEST 2006

Marc Samendinger schrieb:
> On Tue, Aug 15, 2006 at 11:28:51AM +0200, Kai Fürstenberg wrote:
>> Fred Ockert schrieb:
>>> Hallo,
>> Hallo Fred,
>>
>>> mein Amavis sortiert (eigentlich) alle Attachments mit *.exe, *.vbs ... 
>>> usw. aus und schickt sie zur Quarantäne.
>>> Soweit - so gut, aber ... nun fällt mir immer wieder auf, dass einige 
>>> Attachments durchrutschen.
>>> Frage - warum ??
>>> Postfix liefert alles auf Port 10024 an amavis(-new), der das auch 
>>> bearbeitet... jetzt kam wieder mal von einem User die Frage...
>>> " .. ich dachte, Du hats das auf´gefiltert, ist der Filter ausser 
>>> Betrieb, weil ich wieder EXE-Files bekomme ...."
>>>
>>> War ein SFX mit Bildern , aber es gibt mit zu denken ... wo sollte ich 
>>> das Problem suchen?
>>> Keine Ahnung... ist *.exe was anderes als *.EXE ??
>> Nein, Amavis unterscheidet nicht zwischen groß- und kleingeschriebenen 
>> Dateinamenserweiterungen (vielleicht macht er es doch, aber betrachtet 
>> beides als gleich).
> 
> Interessanter als blocken auf Dateierweiterung ist sowieso das hier:
> 
> # new-style of banned lookup table
> $banned_namepath_re = new_RE(
> *schnipp*
> #  qr'(?# BLOCK Microsoft EXECUTABLES )
> #     ^ (.*\t)? T=exe-ms (\t.*)? $'xm,              # banned file(1)
> #     type
> 
> # qr'(?# BLOCK ANY EXECUTABLE )
> #    ^ (.*\t)? T=exe (\t.*)? $'xm,                 # banned file(1) type
> 
> # qr'(?# BLOCK THESE TYPES )
> #    ^ (.*\t)? T=(exe|lha|tnef|cab) (\t.*)? $'xm,  # banned file(1)
> #    types
> *schnapp*
> 
> Damit wird die Datei mit file(1) überprüft und es ist völlig egal wie
> die Datei heisst.

Alles schon getan ... er filtert mir auch täglich 20..30 Dateien aus - 
aber nicht ALLE !!

Blocke auch auf *.wmf   und *.bmp ... da fallen täglich knapp 100 in der 
Quaranäne an .

Also solltes es eigentlich funktionieren -> wieso aber kommen einige 
(wenige ??) dann trotzdem durch ????   darüber mache ich mir mehr Sorgen.
Und genau diese AbsenderMailAdressen finde ich nirgendwo im Amavis-log.
Als ob die Postfix nicht an amavis weitergegeben hat... oder dort 
durchgereicht worden sind ... ich erfahre von 1..2. Mails auf 14 Tage..
Massive "Maulerei" wegen *nicht* durchgelassener *.EXE files - das 
täglich (incl. BLOCKED Meldung..)...und ab und an kommen sie trotzdem 
durch , wenn sie *.exe heissen ...

> Schau dir am besten mal die sample Konfigurationsdatei an. Da steht
> unter anderem auch:
> 
> # Checking for banned MIME types and names. If any mail part matches,
> # the whole mail is rejected. Object $banned_filename_re provides a list
> # of Perl regular expressions to be matched against each part's:
> #
> #  * Content-Type value (both declared and effective mime-type),
> #    such as the possible security-risk content types
> #    'message/partial' and 'message/external-body', as specified in
> #    rfc2046,
> #    or 'application/x-msdownload' and 'application/x-msdos-program';
> #
> #  * declared (recommended) file names as specified by MIME subfields
> #    Content-Disposition.filename and Content-Type.name, both in their
> #    raw (encoded) form and in rfc2047-decoded form if applicable
> #    as well as (recommended) file names specified in archives;
> #
> #  * file content type as guessed by 'file(1)' utility, mapped
> #    (by @map_full_type_to_short_type_maps) into short type names such
> #    as
> #    .asc, .txt, .html, .doc, .jpg, .pdf, .zip, .exe-ms, ..., which
> #    always
> #    starts with a dot. These short types are available unless
> #    $bypass_decode_parts is true.

getan - hoffentlich korrekt eingestellt  (mindestens 90% + X )...
Aber sie Ausreisser machen mir Sorgen...

Gruss Fred