[ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg cr at ncxs.de
Di Dez 3 20:55:35 CET 2019


On 03.12.19 15:40, Ralf Hildebrandt wrote:
> * Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
>>> Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es
>>> aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus.
>>
>> Läuft 1A bisher.

Bei uns auch.

>>
>> Bonusfrage: Wie macht man Whitelisting? Also gewissen Absendern das
>> Versenden vom "problematischen" Attachments erlauben.
> 
> Anybody?
> Wir haben hier Spezialisten, die Ihre Buchkapitel offnbar mächtig
> anreichern:
> 
> OLETOOLS(0.00){AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);

Nicht schlecht soviel in ein Makro zu bekommen.

Ich könnte mir diese Ansätze vorstellen:

Du könntest via Settings für bestimmte Absender, Empfänger oder IPs
oletools bei symbols_disabled aufnehmen. Dann wird der Check für diese
nicht mehr ausgeführt.

Wenn du bei oletools action nicht auf reject hast, könntest du via
composites und in Verbindung mit anderen Symbolen den Score von oletools
neutralisieren. Die anderen Symbole könnten dann etwas Typisches für
diese Mails sein oder ein Symbol von einer Multimap sein.

Die Aufwendigste Variante wäre oletools im extended Mode zu betreiben
und direkt auf die erkannten Funktionen via Patterns und den daraus
entstehenden Symbolen zu matchen. Das wäre dann wieder via composites

Viele Grüße

Carsten







Mehr Informationen über die Mailingliste Postfixbuch-users