AW: BANNED CONTENTS ALERT Return message ändern

Mo Dez 12 11:03:35 CET 2016

Hallo,

wenn Du solche Notifications rausschickst, wirst Du zum Backscatter (Spammer fälschen eigentlich immer die Absenderadressen, dorthin gehen dann Deine Notifications). Das würde ich, wenn es irgendwie geht, vermeiden.

Besser ist es, die Mails direkt am MX zu rejecten. Die Reject-Meldung von Amavis kannst Du anpassen, hier ein Beispiel für die banned files (CC_BANNED):

%smtp_reason_by_ccat = (
  # currently only used for blocked messages only, status 5xx
  # a multiline message will produce a valid multiline SMTP response
  CC_VIRUS,       'id=%n - INFECTED: %V',
  # CC_BANNED,      'id=%n - BANNED: %F',
  CC_BANNED,      'id=%n - Unwanted attachment/Unerwuenschter Anhang (%F) - Please read/Bitte lesen Sie http://www.example.com/unwanted-files.htm',
  CC_UNCHECKED.',1', 'id=%n - UNCHECKED: encrypted',
  CC_UNCHECKED.',2', 'id=%n - UNCHECKED: over limits',
  CC_UNCHECKED,      'id=%n - UNCHECKED',
  CC_SPAM,        'id=%n - spam',
  CC_SPAMMY.',1', 'id=%n - spammy (tag3)',
  CC_SPAMMY,      'id=%n - spammy',
  CC_BADH.',1',   'id=%n - BAD HEADER: MIME error',
  CC_BADH.',2',   'id=%n - BAD HEADER: nonencoded 8-bit character',
  CC_BADH.',3',   'id=%n - BAD HEADER: contains invalid control character',
  CC_BADH.',4',   'id=%n - BAD HEADER: line made up entirely of whitespace',
  CC_BADH.',5',   'id=%n - BAD HEADER: line longer than RFC 5322 limit',
  CC_BADH.',6',   'id=%n - BAD HEADER: syntax error',
  CC_BADH.',7',   'id=%n - BAD HEADER: missing required header field',
  CC_BADH.',8',   'id=%n - BAD HEADER: duplicate header field',
  CC_BADH,        'id=%n - BAD HEADER',
  CC_OVERSIZED,   'id=%n - Message size exceeds recipient\'s size limit',
  CC_MTA.',1',    'id=%n - Temporary MTA failure on relaying',
  CC_MTA.',2',    'id=%n - Rejected by next-hop MTA on relaying',
  CC_MTA,         'id=%n - Unable to relay message back to MTA',
  CC_CLEAN,       'id=%n - CLEAN',
  CC_CATCHALL,    'id=%n - OTHER',  # should not happen
);

Der Block ist eine Kopie aus /usr/sbin/amavisd-new, eingebaut und entsprechend angepasst in der Amavis-Config. Unter der im Reject angegeben URL kannst Du die Gründe dann näher erläutern. Ich habe keine Möglichkeit gefunden, nur die eine abzuändernde Zeile in die Amavis-Config einzubauen, daher ist der ganze Block drin.

Der Reject sieht dann z.B. so aus: 554 5.7.0 Reject, id=31374-20 - Unwanted attachment/Unerwuenschter Anhang (.asc,~CU0Y958FI480O1QH88DQ4K.js) - Please read/Bitte lesen Sie http://www.example.com/unwanted-files.htm

Wenn Du MS Office Dateien mit Makro abweisen willst, reicht es nicht aus, nur auf die Dateiendung zu gehen. Man kann eine DOCM in eine DOC umbenennen und Word führt das Makro dann trotzdem aus, zumindestens bei Office 2007 ist das so.

Hier kann ClamAV mit der Option "OLE2BlockMacros true" helfen, der erkennt MS Office Makros, egal wie sie in den Dateien "eingebaut" sind; auch das alte 2003er Format.

Viele Grüße.

Christian

> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de]
> Im Auftrag von t.berthel at gmx.net
> Gesendet: Freitag, 9. Dezember 2016 16:52
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: BANNED CONTENTS ALERT Return message ändern
> 
> Ich hab hier einen Fall an dem ich mir im Moment die Zähne ausbeiße und
> nicht mehr weiter komme. Und zwar habe ich auch die in der amavisd
> Erweiterungen mit DOTM, DOCM, usw. in der amavisd.conf hinterlegt, damit er
> diese blockt. Was auch soweit funktioniert. Die bekannte Standardmeldung
> sieht wie folgt aus:
> 
> ############################################################################
> ###########################################################
> BANNED CONTENTS ALERT
> 
> Our content checker found
>      banned name: application/octet-stream,.dat,TEST-MACRO-FILE.dotm
> 
> in email presumably from you <my.privat at gmx.de> to the following recipient:
> -> my.work at my-domain.de
> 
> Our internal reference code for your message is 01041-03/7rt33SfwIfUO
> 
> First upstream SMTP client IP address: [212.227.15.18]:56148 mout.gmx.net
> 
> Received trace: ESMTPS://[212.227.15.18]:56148 < ESMTPSA://91.49.41.19
> 
> Return-Path: <my.privat at gmx.de>
> From: my privat <my.privat at gmx.de>
> Message-ID: <284ba871-1be6-0e19-b665-b3484b72a at gmx.net>
> Subject: TEST DOTM
> 
> Delivery of the email was stopped!
> 
> The message has been blocked because it contains a component (as a MIME part
> or nested within) with declared name or MIME type or contents type violating
> our access policy.
> 
> To transfer contents that may be considered risky or unwanted by site
> policies, or simply too large for mailing, please consider publishing your
> content on the web, and only sending a URL of the document to the recipient.
> 
> Depending on the recipient and sender site policies, with a little effort it
> might still be possible to send any contents (including
> viruses) using one of the following methods:
> 
> - encrypted using pgp, gpg or other encryption methods;
> 
> - wrapped in a password-protected or scrambled container or archive
>    (e.g.: zip -e, arj -g, arc g, rar -p, or other methods)
> 
> Note that if the contents is not intended to be secret, the encryption key
> or password may be included in the same message for recipient's convenience.
> 
> We are sorry for inconvenience if the contents was not malicious.
> ############################################################################
> ###########################################################
> 
> Ich würde gerne diese Text für mich hin optimieren wollen, jedoch finde ich
> einfach nicht die Config dazu um dies entsprechen abändern zu können.
> 
> Vielleicht hat jemand einen Rat oder Link dazu wie ich das am besten
> bewerkstelligen könnte.
> 
> Vielen Dank & einen schönen Abend noch....