AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Wiethoff, Helge helge.wiethoff at thga.de
Mo Dez 17 16:08:54 CET 2018


Hallo zusammen,

vielleicht etwas Off-Topic:

Wir hatten das Problem größtenteils mit doc-Dateien, die Schadsoftware
nachgeladen haben. Mit ClamAV lassen sich auch yara-Regeln einbinden und damit
können Office-Makros ganz okay erkannt werden:
/var/lib/clamav# cat yara_officemacros.yar
rule office_macro
{
    meta:
        description = "M$ Office document containing a macro"
        thread_level = 1
        in_the_wild = true
    strings:
        $a = {d0 cf 11 e0}
        $b = {00 41 74 74 72 69 62 75 74 00}
    condition:
        $a at 0 and $b
}

Jetzt haben wir rspamd so konfiguriert, dass Mails die auf das pattern matchen
einen positiven score nahe der Ablehnung erhalten (+15). Wenn keine "positiven
Eigenschaften" noch hinzukommen (IP-reputation, etc.) wird die Mail abgelehnt.

Das funktioniert bei uns jetzt seit einem guten Monat ganz ordentlich.


Viele Grüße
Helge


--
Helge Wiethoff
Rechenzentrum
+49 (234) 968 8717


> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im
> Auftrag von Carsten Rosenberg
> Gesendet: Montag, 17. Dezember 2018 12:39
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen
> 
> Hi,
> 
> wir haben das mit policy banks und dann als Content-Filter umgesetzt.
> 
> Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den
> entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder
> alle Mails nochmal durch einen Content-Filter schicken.
> 
> In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man
> kann ein Custom Template verwenden in dem man explizit auf das Verbot
> von Office Dokumenten eingeht.
> 
> Viele Grüße
> 
> Carsten
> 
> On 17.12.18 11:25, IT Newsletter wrote:
> > Hallo Ralf,
> >
> > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
> > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
> > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
> > Office Dokumenten und nicht generell bei allen Dateitypen.
> >
> > Grüße, Martin.
> >
> > Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt:
> >> * IT Newsletter <it-newsletter at bsi-data.de>:
> >>> Hallo Liste,
> >>>
> >>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
> >>> zu benachrichtigen?
> >>>
> >>> So soll der Absender z.B. informiert werden, wenn er uns Office
> >>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
> >>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
> >>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.
> >>
> >> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
> >> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
> >> einige Bildtypen sind.
> >>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 7735 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181217/89f079b0/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users