Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware
Martin Steigerwald
martin at lichtvoll.de
Sa Apr 15 12:57:55 CEST 2017
Hallo!
Da ich gerade eben von den täglichen ZIP-Archiven mit Javascript-Malware, die
über vger.kernel.org reinkommen (die die Postmaster dort an sich auch mal
blocken könnten), die Schnauze wohl hab, hab ich jetzt mal
# Anhänge blocken: ZIP noch dazu, weil das am häufigsten kommt.
# http://www.postfix.org/header_checks.5.html
/^Content-(Disposition|Type).*name\s*=\s*"?([^;]*(\.|=2E)(
ade|adp|asp|bas|bat|chm|cmd|com|cpl|crt|dll|exe|
hlp|ht[at]|
inf|ins|isp|jse?|lnk|md[betw]|ms[cipt]|nws|
\{[[:xdigit:]]{8}(?:-[[:xdigit:]]{4}){3}-[[:xdigit:]]{12}\}|
ops|pcd|pif|prf|reg|sc[frt]|sh[bsm]|swf|
vb[esx]?|vxd|ws[cfh]|zip))(\?=)?"?\s*(;|$)/x
REJECT Attachment name "$2" may not end with ".$4"
in die via PCRE eingebundenen Header-Checks eingebaut.
Aus naheliegenden Gründen möchte ich jetzt keine dieser Mails weiterleiten.
Lösch die eh gleich wieder. Soweit durch die Verwirrungstaktik in einem der
Skripte durchblicke, greift das ohnehin mal wieder nur auf Windows-Systemen.
Diese Mails gehen seit eh und jeh bei mir sowohl an policyd-weight als auch an
SpamAssassin mit Zusatzregeln spamassassin.heinlein-support.de,
updates.spamassassin.org, sought.rules.yerp.org vorbei.
Ich bin bei der Recherche auch auf Postscreen gestoßen und sicherlich würde
sich auch Amavis dazu eignen. Auch postgrey habe ich mir mal wieder überlegt,
jedoch kam ich bislang auch ganz gut ohne aus und mag das an sich nicht so
gerne, wenn legitime Mails um Minuten verzögert bei mir eintreffen.
Insgesamt möchte ich mein Mailserver-Setup auch nicht unnötig komplex machen.
Ich hab ohnehin immer mehr Komplexität hinzugefügt als eine Art Wettrüsten mit
den Spammern. Falls jemand mir ein Archiv schicken möchte, könnte sie es immer
noch irgendwo hochladen oder… ein anderes Kompressionsformat verwenden.
Was verwendet ihr?
Also genau da würde mich eine aktualisierte Fassung des Postfix-Buches mit den
aktuellen Best Practice-Empfehlungen für ein einfaches, jedoch auch äußerst
wirksames Spamfilter-Setup interessieren. Natürlich dürfte das zu einem Teil
auch zum Geschäftsgeheimnis von Mail-Konto-Anbietern gehören.
Mein Setup ist auch bereits recht wirksam, wenn ich sehe, dass pro Tag micht
mehr als ca. 20 Mails durchkommen. Ich hab keine Stastistik, aber ich gehe
davon aus, dass mein Server über 90% aller Mails auf SMTP-Ebene zurückweist.
(Manchmal möchte ich einfach alle Mails wegblocken oder einen Antibot
schreiben, der sämtliche schlecht abgesicherten IoT-Müll-Teile und VMs
unbrauchbar macht. Und ja, ich kann mich zurückhalten.).
Kandidaten, die meinen Dovecot knacken wollen, dabei jedoch dilletantisch
vorgehen, gibt es auch mal wieder:
Apr 15 12:34:22 mondschein dovecot: pop3-login: Disconnected (tried to use
disallowed plaintext auth): user=<>, rip=49.69.121.47, lip=194.150.191.11
(Okay, grad mal sshguard angepasst, damit er auch das mail.log pollt.)
Frohe Ostern,
--
Martin
Mehr Informationen über die Mailingliste Postfixbuch-users