Postfix / SA ----Spam-Welle / Rechnungen/ Virus-Mails

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Do Okt 5 12:11:44 CEST 2017


* Postmaster <postmaster at uni-due.de>:
> Hallo liebe Liste,
> 
> Wir haben in Duisburg/Essen seit ca. 2 Wochen massiv Probleme mit gefakten
> Rechnungs-Mails von scheinbar validen oder
> 
> auch eigenen User-Adressen, hinter denen sich immer eine andere "Return to"
> Adresse verbirgt.
> 
> Diese scheinbar "guten" Mails beinhalten dann einen Download-Link zu einer
> Virus Datei.
> 
> 
> Wir setzen Postfix / Amavis ein und haben schon mit Custom-Rule Set´s
> versucht den Mist einzufangen...

Aktuell blocke ich das auf dem Proxy (!) mit einer YARA Regel:
https://github.com/Yara-Rules/rules/blob/master/Malicious_Documents/Maldoc_VBA_macro_code.yar

Ergebnis:

You tried to upload/download a file that contains the virus:
YARA.Contains_VBA_macro_code.UNOFFICIAL 
The Http location is: http://pointbdance.com/OIIDJ148-4542631626/



Mehr Informationen über die Mailingliste Postfixbuch-users