Postfix / SA ----Spam-Welle / Rechnungen/ Virus-Mails
Ralf Hildebrandt
Ralf.Hildebrandt at charite.de
Do Okt 5 12:11:44 CEST 2017
* Postmaster <postmaster at uni-due.de>:
> Hallo liebe Liste,
>
> Wir haben in Duisburg/Essen seit ca. 2 Wochen massiv Probleme mit gefakten
> Rechnungs-Mails von scheinbar validen oder
>
> auch eigenen User-Adressen, hinter denen sich immer eine andere "Return to"
> Adresse verbirgt.
>
> Diese scheinbar "guten" Mails beinhalten dann einen Download-Link zu einer
> Virus Datei.
>
>
> Wir setzen Postfix / Amavis ein und haben schon mit Custom-Rule Set´s
> versucht den Mist einzufangen...
Aktuell blocke ich das auf dem Proxy (!) mit einer YARA Regel:
https://github.com/Yara-Rules/rules/blob/master/Malicious_Documents/Maldoc_VBA_macro_code.yar
Ergebnis:
You tried to upload/download a file that contains the virus:
YARA.Contains_VBA_macro_code.UNOFFICIAL
The Http location is: http://pointbdance.com/OIIDJ148-4542631626/
Mehr Informationen über die Mailingliste Postfixbuch-users