Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware

Dominik Kupschke dominik at kupschke.net
Sa Apr 15 13:35:15 CEST 2017


Hallo,

gegen ZIP Dateien mit Javascript oder Double-Extensions (invoice.pdf.exe) 
verwende ich ClamAV mit den Foxhole Signaturen von Sanesecurity:

http://sanesecurity.com/foxhole-databases/

VG
Dominik

Am Samstag, 15. April 2017, 12:57:55 CEST schrieb Martin Steigerwald:
> Hallo!
> 
> Da ich gerade eben von den täglichen ZIP-Archiven mit Javascript-Malware,
> die über vger.kernel.org reinkommen (die die Postmaster dort an sich auch
> mal blocken könnten), die Schnauze wohl hab, hab ich jetzt mal
> 
> # Anhänge blocken: ZIP noch dazu, weil das am häufigsten kommt.
> # http://www.postfix.org/header_checks.5.html
> /^Content-(Disposition|Type).*name\s*=\s*"?([^;]*(\.|=2E)(
>         ade|adp|asp|bas|bat|chm|cmd|com|cpl|crt|dll|exe|
>         hlp|ht[at]|
>         inf|ins|isp|jse?|lnk|md[betw]|ms[cipt]|nws|
>         \{[[:xdigit:]]{8}(?:-[[:xdigit:]]{4}){3}-[[:xdigit:]]{12}\}|
>         ops|pcd|pif|prf|reg|sc[frt]|sh[bsm]|swf|
>         vb[esx]?|vxd|ws[cfh]|zip))(\?=)?"?\s*(;|$)/x
>                 REJECT Attachment name "$2" may not end with ".$4"
> 
> in die via PCRE eingebundenen Header-Checks eingebaut.
> 
> Aus naheliegenden Gründen möchte ich jetzt keine dieser Mails weiterleiten.
> Lösch die eh gleich wieder. Soweit durch die Verwirrungstaktik in einem der
> Skripte durchblicke, greift das ohnehin mal wieder nur auf Windows-Systemen.
> 
> Diese Mails gehen seit eh und jeh bei mir sowohl an policyd-weight als auch
> an SpamAssassin mit Zusatzregeln spamassassin.heinlein-support.de,
> updates.spamassassin.org, sought.rules.yerp.org vorbei.
> 
> Ich bin bei der Recherche auch auf Postscreen gestoßen und sicherlich würde
> sich auch Amavis dazu eignen. Auch postgrey habe ich mir mal wieder
> überlegt, jedoch kam ich bislang auch ganz gut ohne aus und mag das an sich
> nicht so gerne, wenn legitime Mails um Minuten verzögert bei mir
> eintreffen.
> 
> Insgesamt möchte ich mein Mailserver-Setup auch nicht unnötig komplex
> machen. Ich hab ohnehin immer mehr Komplexität hinzugefügt als eine Art
> Wettrüsten mit den Spammern. Falls jemand mir ein Archiv schicken möchte,
> könnte sie es immer noch irgendwo hochladen oder… ein anderes
> Kompressionsformat verwenden.
> 
> Was verwendet ihr?
> 
> Also genau da würde mich eine aktualisierte Fassung des Postfix-Buches mit
> den aktuellen Best Practice-Empfehlungen für ein einfaches, jedoch auch
> äußerst wirksames Spamfilter-Setup interessieren. Natürlich dürfte das zu
> einem Teil auch zum Geschäftsgeheimnis von Mail-Konto-Anbietern gehören.
> 
> Mein Setup ist auch bereits recht wirksam, wenn ich sehe, dass pro Tag micht
> mehr als ca. 20 Mails durchkommen. Ich hab keine Stastistik, aber ich gehe
> davon aus, dass mein Server über 90% aller Mails auf SMTP-Ebene
> zurückweist.
> 
> (Manchmal möchte ich einfach alle Mails wegblocken oder einen Antibot
> schreiben, der sämtliche schlecht abgesicherten IoT-Müll-Teile und VMs
> unbrauchbar macht. Und ja, ich kann mich zurückhalten.).
> 
> 
> Kandidaten, die meinen Dovecot knacken wollen, dabei jedoch dilletantisch
> vorgehen, gibt es auch mal wieder:
> 
> Apr 15 12:34:22 mondschein dovecot: pop3-login: Disconnected (tried to use
> disallowed plaintext auth): user=<>, rip=49.69.121.47, lip=194.150.191.11
> 
> (Okay, grad mal sshguard angepasst, damit er auch das mail.log pollt.)
> 
> Frohe Ostern,
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: This is a digitally signed message part.
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20170415/0942e99f/attachment.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users