Hallo, Teslacrypt ist unserer Ansicht nach eine Mail mit einem ZIP als Anlage, welche eine .JS Datei enthält. für Amavis haben wir foldenden Config-Schnipsel: unshift @$banned_namepath_re, qr'(?#BANNED:TESLACRYPT) ^ .* M=application/zip\tT=zip\tN=.+\.zip\n.* L=1/2/1 .* N=.+\.js $'xmi; 1; Kommentare willkommen ... -- A. Schulze DATEV eG