From postfix at linuxmaker.de Sat Nov 9 12:33:22 2019 From: postfix at linuxmaker.de (Andreas) Date: Sat, 09 Nov 2019 12:33:22 +0100 Subject: Permission denied =?UTF-8?B?ZsO8cg==?= Clamav bei zu versendenden Mails Message-ID: <17496055.7qJsr341hj@stuttgart> Hallo, ich habe gerade einen funktionierenden Mailserver auf eine andere Maschine umgezogen. Bei ausgehenden Mails dauert der Versandprozess noch zu lange wegen diesem Punkt hier: Nov 9 12:17:21 mx amavis[23892]: (23892-06) Checking: ZmB_xq_hvXfW [93.189.15.204] -> Nov 9 12:17:21 mx amavis[23892]: (23892-06) (!)run_av (ClamAV-clamd) FAILED - unexpected , output="/var/lib/amavis/tmp/amavis-20191109T120107-23892- chDodeVy/parts: lstat() failed: Permission denied. ERROR\n" Nov 9 12:17:21 mx amavis[23892]: (23892-06) (!)ClamAV-clamd av-scanner FAILED: CODE(0x55b981a9e6a8) unexpected , output="/var/lib/amavis/tmp/ amavis-20191109T120107-23892-chDodeVy/parts: lstat() failed: Permission denied. ERROR\n" at (eval 101) line 951. Der Clamav-User ist bereits in der Amavis-Gruppe: # id clamav uid=108(clamav) gid=116(clamav) Gruppen=116(clamav),123(amavis) Ich bin deshalb etwas ratlos, warum das Senden dieses Problem zeigt, während es beim Empfang nicht auftritt. Beste Grüße Andreas From wn at neessen.net Sat Nov 9 14:01:15 2019 From: wn at neessen.net (Winfried Neessen) Date: Sat, 09 Nov 2019 14:01:15 +0100 Subject: =?UTF-8?Q?Re=3A_Permission_denied_f=C3=BCr_Clamav_bei_zu_versend?= =?UTF-8?Q?enden_Mails?= In-Reply-To: <17496055.7qJsr341hj@stuttgart> References: <17496055.7qJsr341hj@stuttgart> Message-ID: <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> Hi, Am 2019-11-09 12:33, schrieb Andreas: > Der Clamav-User ist bereits in der Amavis-Gruppe: > # id clamav > uid=108(clamav) gid=116(clamav) Gruppen=116(clamav),123(amavis) > Hast Du clamd auch neu gestartet, nachdem Du ihn in die amavis-Gruppe gepackt hast? Ansonsten... wie sind die Owner/Permissions von /var/lib/amavis/tmp/? Winni From postfix at linuxmaker.de Sat Nov 9 15:10:28 2019 From: postfix at linuxmaker.de (Andreas) Date: Sat, 09 Nov 2019 15:10:28 +0100 Subject: Permission denied =?UTF-8?B?ZsO8cg==?= Clamav bei zu versendenden Mails In-Reply-To: <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> References: <17496055.7qJsr341hj@stuttgart> <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> Message-ID: <39335372.KjGWhbdLW7@stuttgart> Hallo Winfried, den kann ich so nicht starten. > Hast Du clamd auch neu gestartet, nachdem Du ihn in die amavis-Gruppe > gepackt hast? # systemctl status clamd Unit clamd.service could not be found. # systemctl enable clamd Failed to enable unit: Unit file clamd.service does not exist. Das Gleiche gilt für clamav. Aber auf dem alten Server sehen diese Meldungen genauso aus. Auf Beiden laufen diese Prozesse: mx:~# ps aux | grep clam clamav 444 0.0 0.1 50792 8652 ? Ss Nov06 0:15 /usr/bin/ freshclam -d --foreground=true clamav 489 0.1 13.7 1107692 819516 ? Ssl Nov06 7:27 /usr/sbin/ clamd --foreground=true bzw. der Alte: mx1:~# ps aux | grep clam root 5400 0.0 0.0 6088 880 pts/0 R+ 15:05 0:00 grep clam clamav 7844 0.0 20.4 1108784 828192 ? Ssl Okt08 43:07 /usr/sbin/ clamd --foreground=true clamav 14662 0.0 0.4 58684 16296 ? Ss Okt05 3:06 /usr/bin/ freshclam -d --foreground=true > Ansonsten... wie sind die Owner/Permissions von /var/lib/amavis/tmp/? Hatte ich auch schon geprüft mx:~ # ll -d /var/lib/amavis/tmp/ drwxrwx--- 4 amavis amavis 4096 Nov 9 14:09 /var/lib/amavis/tmp/ mx1:~ # ll -d /var/lib/amavis/tmp/ drwxrwx--- 3 amavis amavis 4096 Nov 9 10:03 /var/lib/amavis/tmp/ Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Sat Nov 9 15:24:07 2019 From: wn at neessen.net (Winfried Neessen) Date: Sat, 9 Nov 2019 15:24:07 +0100 Subject: =?utf-8?Q?Re=3A_Permission_denied_f=C3=BCr_Clamav_bei_zu_versende?= =?utf-8?Q?nden_Mails?= In-Reply-To: <39335372.KjGWhbdLW7@stuttgart> References: <17496055.7qJsr341hj@stuttgart> <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> <39335372.KjGWhbdLW7@stuttgart> Message-ID: Hi, On 9. Nov 2019, at 15:10, Andreas wrote: > # systemctl status clamd > Unit clamd.service could not be found. > # systemctl enable clamd > Failed to enable unit: Unit file clamd.service does not exist. > Das Gleiche gilt für clamav. Aber auf dem alten Server sehen diese Meldungen genauso aus. Dann heisst der Dienst auf Deinem System anders. Irgendwie muss er ja vom OS gestartet werden. Probier mal: systemctl | grep clam > Auf Beiden laufen diese Prozesse: > mx:~# ps aux | grep clam > clamav 444 0.0 0.1 50792 8652 ? Ss Nov06 0:15 /usr/bin/freshclam -d --foreground=true > clamav 489 0.1 13.7 1107692 819516 ? Ssl Nov06 7:27 /usr/sbin/clamd --foreground=true > Jo, die wurden am 6. November gestartet. Also evtl. nicht mehr seit Du den clamav-User in die Amavis-Gruppe gepackt hast - was das Permission-Problem erklaert. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From postfix at linuxmaker.de Sat Nov 9 15:37:39 2019 From: postfix at linuxmaker.de (Andreas) Date: Sat, 09 Nov 2019 15:37:39 +0100 Subject: Permission denied =?UTF-8?B?ZsO8cg==?= Clamav bei zu versendenden Mails In-Reply-To: References: <17496055.7qJsr341hj@stuttgart> <39335372.KjGWhbdLW7@stuttgart> Message-ID: <2869635.xPnsSv51BY@stuttgart> Am Samstag, 9. November 2019, 15:24:07 CET schrieb Winfried Neessen: > Hi, > > On 9. Nov 2019, at 15:10, Andreas wrote: > > # systemctl status clamd > > Unit clamd.service could not be found. > > # systemctl enable clamd > > Failed to enable unit: Unit file clamd.service does not exist. > > Das Gleiche gilt für clamav. Aber auf dem alten Server sehen diese > > Meldungen genauso aus. > Dann heisst der Dienst auf Deinem System anders. Irgendwie muss er ja vom OS > gestartet werden. Probier mal: systemctl | grep clam > > > Auf Beiden laufen diese Prozesse: > > mx:~# ps aux | grep clam > > clamav 444 0.0 0.1 50792 8652 ? Ss Nov06 0:15 > > /usr/bin/freshclam -d --foreground=true clamav 489 0.1 13.7 1107692 > > 819516 ? Ssl Nov06 7:27 /usr/sbin/clamd --foreground=true > Jo, die wurden am 6. November gestartet. Also evtl. nicht mehr seit Du den > clamav-User in die Amavis-Gruppe gepackt hast - was das Permission-Problem > erklaert. > > > Winni Stimmt, habe ich jetzt total übersehen. Jetzt läuft wieder alles. Besten Dank Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From pw at wk-serv.de Mon Nov 11 10:56:38 2019 From: pw at wk-serv.de (Patrick Westenberg) Date: Mon, 11 Nov 2019 10:56:38 +0100 Subject: private/dnsblog service: Resource temporarily unavailable Message-ID: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> Hallo zusammen, seit ein paar Tagen habe ich mehrmals am Tag das Problem, dass meine Mailserver durch sehr hohen Load nicht mehr reagieren. Im Log tauchen zu dem Zeitpunkt immer folgende Meldungen auf: Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nennenswert mehr Verbindungsversuche als zu anderen Zeitpunkten gibt es nicht wenn das auftritt, aber es scheint dnsblog dennoch auszulasten. Auf den Systemen läuft jeweils unbound als lokaler Caching-Nameserver. Kann man dnsblog irgendwie tunen? Gruß Patrick # Postfix master process configuration file. For details on the format # of the file, see the master(5) manual page (command: "man 5 master"). # # Do not forget to execute "postfix reload" after editing this file. # # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - - - 1 postscreen smtpd pass - - - - - smtpd -o receive_override_options=no_address_mappings -o smtpd_proxy_filter=127.0.0.1:10024 dnsblog unix - - - - 0 dnsblog tlsproxy unix - - - - 0 tlsproxy #submission inet n - - - - smtpd # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #smtps inet n - - - - smtpd # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #628 inet n - - - - qmqpd pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - - 300 1 oqmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp # When relaying mail as backup MX, disable fallback_relay to avoid MX loops relay unix - - - - - smtp -o smtp_fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache # # ==================================================================== # Interfaces to non-Postfix software. Be sure to examine the manual # pages of the non-Postfix software to find out what options it wants. # # Many of the following services use the Postfix pipe(8) delivery # agent. See the pipe(8) man page for information about ${recipient} # and other message envelope options. # ==================================================================== # # maildrop. See the Postfix MAILDROP_README file for details. # Also specify in main.cf: maildrop_destination_recipient_limit=1 # maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # # See the Postfix UUCP_README file for configuration details. # uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # # Other external delivery methods. # ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= lmtps unix - - - - - lmtp -o lmtp_use_tls=yes -o lmtp_enforce_tls=yes -o lmtp_tls_mandatory_protocols=!SSLv2,!SSLv3 -o lmtp_tls_protocols=!SSLv2,!SSLv3 -o lmtp_tls_mandatory_ciphers=high -o lmtp_tls_ciphers=high -o lmtp_send_xforward_command=yes -o lmtp_tls_security_level=encrypt -o lmtp_tls_note_starttls_offer=yes -o lmtp_address_preference=ipv4 # -o lmtp_tls_mandatory_exclude_ciphers=aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_queue_lifetime = 1d broken_sasl_auth_clients = yes default_privs = vmail inet_interfaces = 83.149.67.233,[2001:1af8:3100:b010:20:2:2:1] inet_protocols = all lmtp_bind_address = 172.17.1.52 mailbox_size_limit = 0 maximal_queue_lifetime = 3d message_size_limit = 104857600 milter_default_action = tempfail mydestination = mx02.wk-serv.net, localhost myhostname = mx02.wk-serv.net mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname non_smtpd_milters = inet:127.0.0.1:22500 postscreen_access_list = permit_mynetworks postscreen_cache_cleanup_interval = 0 postscreen_cache_map = memcache:/etc/postfix/postscreen_cache postscreen_dnsbl_action = drop postscreen_dnsbl_sites = zen.spamhaus.org, bl.spamcop.net, ix.dnsbl.manitu.net, b.barracudacentral.org, bl.blocklist.de, bl.mailspike.net, dnsbl.sorbs.net postscreen_dnsbl_threshold = 3 postscreen_greet_action = drop postscreen_greet_banner = $smtpd_banner postscreen_greet_wait = 6s proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache readme_directory = no recipient_bcc_maps = hash:/etc/postfix/bcc_maps recipient_delimiter = + relay_domains = proxy:pgsql:/etc/postfix/transport_maps.pgsql sender_bcc_maps = hash:/etc/postfix/bcc_maps smtp_dns_support_level = dnssec smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA smtp_tls_loglevel = 1 smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2,!SSLv3 smtp_tls_security_level = dane smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_milters = inet:127.0.0.1:22500 smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unverified_recipient, reject_unauth_destination, check_policy_service inet:dovecot-backends.wk-serv.net:12340, permit smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_tls_CAfile = /etc/ssl/certs/intermediate.pem smtpd_tls_CApath = /etc/ssl/certs smtpd_tls_cert_file = /etc/ssl/certs/mx02_wk-serv_net.crt smtpd_tls_dh1024_param_file = /etc/postfix/dh1024.pem smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem smtpd_tls_key_file = /etc/ssl/private/mx02_wk-serv_net.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes tls_preempt_cipherlist = yes transport_maps = proxy:pgsql:/etc/postfix/transport_maps.pgsql virtual_alias_maps = proxy:pgsql:/etc/postfix/virtual_mailbox_forwardings.pgsql -- Westenberg + Kueppers GbR Spanische Schanzen 37 ---- Buero Koeln ---- 47495 Rheinberg pwestenberg at wk-serv.de Tel.: +49 (0)2843 90369-06 http://www.wk-serv.de Fax : +49 (0)2843 90369-07 Gesellschafter: Sebastian Kueppers & Patrick Westenberg From Ralf.Hildebrandt at charite.de Mon Nov 11 16:14:36 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 11 Nov 2019 16:14:36 +0100 Subject: [ext] private/dnsblog service: Resource temporarily unavailable In-Reply-To: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> References: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> Message-ID: <20191111151434.qw7q2dwwfnywijc4@charite.de> * Patrick Westenberg : > Hallo zusammen, > > seit ein paar Tagen habe ich mehrmals am Tag das Problem, dass meine > Mailserver durch sehr hohen Load nicht mehr reagieren. > Im Log tauchen zu dem Zeitpunkt immer folgende Meldungen auf: Echte Hardware oder VM? Habe das auf keinem meiner drei (bare metal) Server. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From pw at wk-serv.de Mon Nov 11 16:32:16 2019 From: pw at wk-serv.de (Patrick Westenberg) Date: Mon, 11 Nov 2019 16:32:16 +0100 Subject: [ext] private/dnsblog service: Resource temporarily unavailable In-Reply-To: <20191111151434.qw7q2dwwfnywijc4@charite.de> References: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> <20191111151434.qw7q2dwwfnywijc4@charite.de> Message-ID: Am 11.11.19 um 16:14 schrieb Ralf Hildebrandt: > * Patrick Westenberg : >> seit ein paar Tagen habe ich mehrmals am Tag das Problem, dass meine >> Mailserver durch sehr hohen Load nicht mehr reagieren. >> Im Log tauchen zu dem Zeitpunkt immer folgende Meldungen auf: > > Echte Hardware oder VM? > Habe das auf keinem meiner drei (bare metal) Server. Das sind LXC. Überlast schließe ich aus. Zum einen haben die Hosts generell keine große Last (heute morgen war es z.B. < 1) und zum anderen hatte ich einen Container auch schon alleine auf einem Host. From BrotherJ at gmx.de Wed Nov 13 11:20:19 2019 From: BrotherJ at gmx.de (Uwe Maisa) Date: Wed, 13 Nov 2019 11:20:19 +0100 Subject: fatal: mail system startup failed Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Wed Nov 13 11:27:35 2019 From: wn at neessen.net (Winfried Neessen) Date: Wed, 13 Nov 2019 11:27:35 +0100 Subject: fatal: mail system startup failed In-Reply-To: References: Message-ID: Hi, On 13. Nov 2019, at 11:20, Uwe Maisa wrote: > > Wie bekomme ich heraus, warum Postfix plötzlich nicht mehr starten will? Das Logfile waere da der erste Ansatz. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From BrotherJ at gmx.de Wed Nov 13 14:55:00 2019 From: BrotherJ at gmx.de (Uwe Maisa) Date: Wed, 13 Nov 2019 14:55:00 +0100 Subject: Aw: Re: fatal: mail system startup failed In-Reply-To: References: Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From bbu at mailbox.org Wed Nov 13 20:27:45 2019 From: bbu at mailbox.org (Bjoern Buerger) Date: Wed, 13 Nov 2019 20:27:45 +0100 Subject: Aw: Re: fatal: mail system startup failed In-Reply-To: References: Message-ID: <39a11130-ef37-4591-7cbe-13be4a2a486e@mailbox.org> On 13.11.19 14:55, Uwe Maisa wrote: > Es stand zwar nichts Besonders im Logfile, aber lsof -i hat einen > laufenden Fuglu bemerkt. Wo kann man den denn deaktivieren? systemctl disable fuglu.service wäre die naheliegende Antwort :-) LG, Bjørn From ffiene at veka.com Wed Nov 13 21:41:09 2019 From: ffiene at veka.com (Frank fiene) Date: Wed, 13 Nov 2019 21:41:09 +0100 Subject: Rspamd and URIBL Message-ID: N?Abend, Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. Was könnte das sein? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From andre.peters at debinux.de Wed Nov 13 21:49:05 2019 From: andre.peters at debinux.de (=?utf-8?q?Andr=c3=a9=20Peters?=) Date: Wed, 13 Nov 2019 20:49:05 +0000 Subject: Rspamd and URIBL In-Reply-To: References: Message-ID: Frag am besten auch mal im Telegram Channel oder mach eine Issue im Git auf. :) Solltest eventuell debug_modules = ["rbl"] (denke, dass es das rbl Modul ist) vorher aktivieren und einmal testen, damit du Logs in der Hand hast. ------ Originalnachricht ------ Von: "Frank fiene" An: postfixbuch-users at listen.jpberlin.de Gesendet: 13.11.2019 21:41:09 Betreff: Rspamd and URIBL >N?Abend, > >Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. > >Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. >Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. > >Was könnte das sein? > >Viele Grüße! Frank >-- >Frank Fiene >IT-Security Manager VEKA Group > >Fon: +49 2526 29-6200 >Fax: +49 2526 29-16-6200 >mailto: ffiene at veka.com >http://www.veka.com >PGP-ID: 20419C64 >PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 > >VEKA AG >Dieselstr. 8 >48324 Sendenhorst >Deutschland/Germany > >Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >HRB 8282 AG Münster/District Court of Münster From tw at b-a-l-u.de Wed Nov 13 22:06:36 2019 From: tw at b-a-l-u.de (Thomas Walter) Date: Wed, 13 Nov 2019 22:06:36 +0100 Subject: Rspamd and URIBL In-Reply-To: References: Message-ID: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> Hi, On 13.11.19 21:41, Frank fiene wrote: > Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. > > Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. > Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. das hier vielleicht? https://github.com/rspamd/rspamd/issues/3137 Balu From ffiene at veka.com Thu Nov 14 07:33:09 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 07:33:09 +0100 Subject: Rspamd and URIBL In-Reply-To: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> References: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> Message-ID: <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> Ja, sieht so aus. Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. Viele Grüße! Frank > Am 13.11.2019 um 22:06 schrieb Thomas Walter : > > Hi, > > On 13.11.19 21:41, Frank fiene wrote: >> Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. >> >> Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. >> Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. > > das hier vielleicht? > > https://github.com/rspamd/rspamd/issues/3137 > > Balu -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Thu Nov 14 07:35:16 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 07:35:16 +0100 Subject: [ext] Re: Rspamd and URIBL In-Reply-To: <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> References: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> Message-ID: <20191114063514.gz5yxvplgwaodzic@charite.de> * Frank Fiene : > Ja, sieht so aus. > > Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die von rspamd bereitgestellten Pakete. Die originalen Ubuntu/Debian Pakete sind Müll und veraltet Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Thu Nov 14 08:26:20 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 08:26:20 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: <20191114063514.gz5yxvplgwaodzic@charite.de> References: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> <20191114063514.gz5yxvplgwaodzic@charite.de> Message-ID: Hmmm, Gibt es ein Repository? Ich mag automatische Updates. > Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Ja, sieht so aus. >> >> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. > > Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die > von rspamd bereitgestellten Pakete. > > Die originalen Ubuntu/Debian Pakete sind Müll und veraltet > > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From andre.peters at debinux.de Thu Nov 14 08:52:39 2019 From: andre.peters at debinux.de (=?utf-8?q?Andr=C3=A9?= Peters) Date: Thu, 14 Nov 2019 08:52:39 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: References: Message-ID: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> Ja, direkt auf Rspamd.com zu finden. Mit besten Grüßen André Peters > Am 14.11.2019 um 08:26 schrieb Frank Fiene : > > ?Hmmm, > > Gibt es ein Repository? > > Ich mag automatische Updates. > > > >>> Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt : >>> >>> * Frank Fiene : >>> Ja, sieht so aus. >>> >>> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. >> >> Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die >> von rspamd bereitgestellten Pakete. >> >> Die originalen Ubuntu/Debian Pakete sind Müll und veraltet >> >> Ralf Hildebrandt >> Geschäftsbereich IT | Abteilung Netzwerk >> Charité - Universitätsmedizin Berlin >> Campus Benjamin Franklin >> Hindenburgdamm 30 | D-12203 Berlin >> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >> ralf.hildebrandt at charite.de | https://www.charite.de >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Thu Nov 14 08:55:34 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 08:55:34 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> References: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> Message-ID: <10912C9A-0850-4842-8A0D-65F2260FB9C1@veka.com> Ich habe erstmal das rbl.lua per Hand gepatcht. Läuft erstmal. Das Original Repository schaue ich mir dann mal an. Danke an alle! > Am 14.11.2019 um 08:52 schrieb André Peters : > > Ja, direkt auf Rspamd.com zu finden. > > Mit besten Grüßen > André Peters > >> Am 14.11.2019 um 08:26 schrieb Frank Fiene : >> >> ?Hmmm, >> >> Gibt es ein Repository? >> >> Ich mag automatische Updates. >> >> >> >>> Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt >: >>> >>> * Frank Fiene >: >>>> Ja, sieht so aus. >>>> >>>> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. >>> >>> Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die >>> von rspamd bereitgestellten Pakete. >>> >>> Die originalen Ubuntu/Debian Pakete sind Müll und veraltet >>> >>> Ralf Hildebrandt >>> Geschäftsbereich IT | Abteilung Netzwerk >>> Charité - Universitätsmedizin Berlin >>> Campus Benjamin Franklin >>> Hindenburgdamm 30 | D-12203 Berlin >>> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >>> ralf.hildebrandt at charite.de | https://www.charite.de >>> >> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster >> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Thu Nov 14 09:03:21 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 09:03:21 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: <10912C9A-0850-4842-8A0D-65F2260FB9C1@veka.com> References: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> <10912C9A-0850-4842-8A0D-65F2260FB9C1@veka.com> Message-ID: Oh Mann, Was man nicht im Kopf hat. Also ich hatte natürlich das Original-Repository schon genutzt. Der Patch ist aber wohl noch nicht ausreichend getestet um es auszurollen. ;-) Viele Grüße! Frank > Am 14.11.2019 um 08:55 schrieb Frank Fiene : > > Ich habe erstmal das rbl.lua per Hand gepatcht. Läuft erstmal. > > Das Original Repository schaue ich mir dann mal an. > > > Danke an alle! > > > > >> Am 14.11.2019 um 08:52 schrieb André Peters >: >> >> Ja, direkt auf Rspamd.com zu finden. >> >> Mit besten Grüßen >> André Peters >> >>> Am 14.11.2019 um 08:26 schrieb Frank Fiene >: >>> >>> ?Hmmm, >>> >>> Gibt es ein Repository? >>> >>> Ich mag automatische Updates. >>> >>> >>> >>>> Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt >: >>>> >>>> * Frank Fiene >: >>>>> Ja, sieht so aus. >>>>> >>>>> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. >>>> >>>> Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die >>>> von rspamd bereitgestellten Pakete. >>>> >>>> Die originalen Ubuntu/Debian Pakete sind Müll und veraltet >>>> >>>> Ralf Hildebrandt >>>> Geschäftsbereich IT | Abteilung Netzwerk >>>> Charité - Universitätsmedizin Berlin >>>> Campus Benjamin Franklin >>>> Hindenburgdamm 30 | D-12203 Berlin >>>> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >>>> ralf.hildebrandt at charite.de | https://www.charite.de >>>> >>> >>> Viele Grüße! >>> i.A. Frank Fiene >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AG >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >>> HRB 8282 AG Münster/District Court of Münster >>> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From gjn at gjn.priv.at Thu Nov 14 12:18:29 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 14 Nov 2019 12:18:29 +0100 Subject: Postfix auf Fehler testen Message-ID: <41417834.j3LgHpVl1T@techz> Hallo, habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu Zeit mal, weil irgend ein Milter abgeraucht ist? Ein Neustart des Milters oder reboot behebt das Problem, wie könnte man am besten feststellen / Überprüfen ob das Teil läuft oder wieder mal einen Schluckauf hat. Das ganze sollte Zeitnah funktionieren und am einfachsten mit einer Mail an mich? Ich weiß, mit rspamd könnte man das ganze auf ein Programm eingrenzen, aber im Moment traue ich mir das noch nicht zu ;-). Danke für eine Antwort, -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From Ralf.Hildebrandt at charite.de Thu Nov 14 12:49:00 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 12:49:00 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <41417834.j3LgHpVl1T@techz> References: <41417834.j3LgHpVl1T@techz> Message-ID: <20191114114858.ytw6xjevezjih3fv@charite.de> * Günther J. Niederwimmer : > habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu > Zeit mal, weil irgend ein Milter abgeraucht ist? Ist der Milter dann weg oder stellt er sich nur tot? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Thu Nov 14 12:49:00 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 12:49:00 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <41417834.j3LgHpVl1T@techz> References: <41417834.j3LgHpVl1T@techz> Message-ID: <20191114114858.ytw6xjevezjih3fv@charite.de> * Günther J. Niederwimmer : > habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu > Zeit mal, weil irgend ein Milter abgeraucht ist? Ist der Milter dann weg oder stellt er sich nur tot? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From gjn at gjn.priv.at Thu Nov 14 13:59:33 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 14 Nov 2019 13:59:33 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <20191114114858.ytw6xjevezjih3fv@charite.de> References: <41417834.j3LgHpVl1T@techz> <20191114114858.ytw6xjevezjih3fv@charite.de> Message-ID: <1800381.A0pnd5DnzH@techz> Am Donnerstag, 14. November 2019, 12:49:00 CET schrieb Ralf Hildebrandt: > * Günther J. Niederwimmer : > > habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu > > Zeit mal, weil irgend ein Milter abgeraucht ist? > > Ist der Milter dann weg oder stellt er sich nur tot? Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei systemctl status smf-spf dead so aus. ich finde aber nichts darüber in den logfiles diesmal war es der spf milter der sich abgeschossen hat? Ich habe das in main.cf milter_default_action = tempfail dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. Wie gesagt es kommt nur alle XX Monate vor, aber ich würde gerne benachrichtigt werden wenn es passiert, aber wie? Ist ein Centos 7 system -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From thomas at plant.systems Thu Nov 14 15:08:02 2019 From: thomas at plant.systems (Thomas Plant) Date: Thu, 14 Nov 2019 15:08:02 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <1800381.A0pnd5DnzH@techz> References: <41417834.j3LgHpVl1T@techz> <20191114114858.ytw6xjevezjih3fv@charite.de> <1800381.A0pnd5DnzH@techz> Message-ID: Am 14.11.2019 um 13:59 schrieb Günther J. Niederwimmer: > Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei > systemctl status smf-spf > dead > so aus. > > ich finde aber nichts darüber in den logfiles > > diesmal war es der spf milter der sich abgeschossen hat? > > Ich habe das in main.cf > milter_default_action = tempfail > > dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. > > Wie gesagt es kommt nur alle XX Monate vor, aber ich würde gerne > benachrichtigt werden wenn es passiert, aber wie? > > Ist ein Centos 7 system Wie man per Postfix generell prüfen kann ob ein Milter noch da ist weiß ich nicht, aber SystemD kann 'abgerauchte' Dienste neu starten. Suche hier https://www.freedesktop.org/software/systemd/man/systemd.service.html nach "Restart=" und "RestartSec=". Am besten den/die betroffenen Dienst(e) mit 'systemctl edit --full DIENSTNAME.service' editieren, dann wird der SystemD Daemon auch nach dem Speichern der Änderungen 'reloaded'. LG, Thomas From Ralf.Hildebrandt at charite.de Thu Nov 14 15:25:48 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 15:25:48 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <1800381.A0pnd5DnzH@techz> References: <41417834.j3LgHpVl1T@techz> <20191114114858.ytw6xjevezjih3fv@charite.de> <1800381.A0pnd5DnzH@techz> Message-ID: <20191114142546.veti6fwygo6k52i7@charite.de> * Günther J. Niederwimmer : > Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei > systemctl status smf-spf > dead > so aus. Schwer zu sagen. Würde aber sagen: Läuft nicht mehr. Also müsste man mit einem Monitoring prüfen ob der läuft ODER den Service so abändern, daß er im "Beendigungsfalle" neu gestartet wird. > Ich habe das in main.cf > milter_default_action = tempfail > > dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. Man könnte es durch Loganaylse finden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 195 bytes Beschreibung: nicht verfügbar URL : From gjn at gjn.priv.at Thu Nov 14 16:20:10 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 14 Nov 2019 16:20:10 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <20191114142546.veti6fwygo6k52i7@charite.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> Message-ID: <2377551.6rBGtH76OZ@techz> Am Donnerstag, 14. November 2019, 15:25:48 CET schrieb Ralf Hildebrandt: > * Günther J. Niederwimmer : > > Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei > > systemctl status smf-spf > > dead > > so aus. > > Schwer zu sagen. Würde aber sagen: Läuft nicht mehr. Also müsste man > mit einem Monitoring prüfen ob der läuft ODER den Service so abändern, > daß er im "Beendigungsfalle" neu gestartet wird. ;-) Ja, Thomas hat mich schon auf systemd hingewiesen, da das Programm aber kein PID File schreibt, muss ich erst mal nachlesen wie so was funktionieren könnte? ist auf alle Fälle lästig wenn so was vorkommt... > > Ich habe das in main.cf > > milter_default_action = tempfail > > > > dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. > > Man könnte es durch Loganaylse finden. Das ist etwas zu "Hoch" für mich alten Mann ;-) -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From karol at babioch.de Thu Nov 14 23:47:18 2019 From: karol at babioch.de (Karol Babioch) Date: Thu, 14 Nov 2019 23:47:18 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <2377551.6rBGtH76OZ@techz> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> Message-ID: <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> Hallo, Am 14.11.19 um 16:20 schrieb Günther J. Niederwimmer: > Ja, Thomas hat mich schon auf systemd hingewiesen, da das Programm aber kein > PID File schreibt, muss ich erst mal nachlesen wie so was funktionieren > könnte? > > ist auf alle Fälle lästig wenn so was vorkommt... Wie zuvor gesagt: Wenn systemd die tote "Unit" erkennt, dann brauchst du dich um die Details (PIDFile, usw.) gar nicht mehr kümmern. Ein Restart löst systemd dann ganz von alleine aus, wenn die Unit entsprechend konfiguriert ist. Entgegen dem Hinweis ein "systemdctl edit --full" zu machen, würde ich vom "full" aber absehen und nur ein Drop In erstellen. So bleiben andere Parameter unangetastet und Änderungen durch Upgrades sind noch immer möglich. Mit freundlichen Grüßen, Karol Babioch -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From andreas.schulze at datev.de Fri Nov 15 09:33:42 2019 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 15 Nov 2019 09:33:42 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> Message-ID: <5330ef07-0f43-96b2-465e-91c7975bdac9@datev.de> Am 14.11.19 um 23:47 schrieb Karol Babioch: > Ein Restart löst systemd dann ganz von alleine aus, wenn die Unit entsprechend > konfiguriert ist. wo liest man denn Doku zum Thema am besten? so richtig formale Doku finde ich auf https://www.freedesktop.org/wiki/Software/systemd/ nicht. Welche Files sind involviert? Welche Parameter gibt's, was machen die? systemd halt ... :-/ Irgendwie bin ich von http://www.postfix.org/postconf.5.html zu verwöhnt schönes Wochenende! Andreas -- A. Schulze DATEV eG From wn at neessen.net Fri Nov 15 09:41:13 2019 From: wn at neessen.net (Winfried Neessen) Date: Fri, 15 Nov 2019 09:41:13 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <5330ef07-0f43-96b2-465e-91c7975bdac9@datev.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> <5330ef07-0f43-96b2-465e-91c7975bdac9@datev.de> Message-ID: <0E4615C7-2F36-4126-B761-0927B4E9F3BD@neessen.net> Hi Andreas, On 15. Nov 2019, at 09:33, Andreas Schulze wrote: > wo liest man denn Doku zum Thema am besten? > so richtig formale Doku finde ich auf https://www.freedesktop.org/wiki/Software/systemd/ nicht. > Welche Files sind involviert? Welche Parameter gibt's, was machen die? > systemd halt ... :-/ > Hier solltest Du alles dazu finden, was Du brauchst: https://www.freedesktop.org/software/systemd/man/systemd.service.html Vor allem die Optionen: Type, Restart, GuessMainPID, PIDFile, und RemainAfterExit sind hier von Interesse. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From r.sander at heinlein-support.de Fri Nov 15 09:58:07 2019 From: r.sander at heinlein-support.de (Robert Sander) Date: Fri, 15 Nov 2019 09:58:07 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> Message-ID: <5f7eeed5-e6d7-d8af-ad54-86f088408fb5@heinlein-support.de> Hallo, On 14.11.19 23:47, Karol Babioch wrote: > > Am 14.11.19 um 16:20 schrieb Günther J. Niederwimmer: >> Ja, Thomas hat mich schon auf systemd hingewiesen, da das Programm aber kein >> PID File schreibt, muss ich erst mal nachlesen wie so was funktionieren >> könnte? >> >> ist auf alle Fälle lästig wenn so was vorkommt... > > Wie zuvor gesagt: Wenn systemd die tote "Unit" erkennt, dann brauchst du > dich um die Details (PIDFile, usw.) gar nicht mehr kümmern. Ein Restart > löst systemd dann ganz von alleine aus, wenn die Unit entsprechend > konfiguriert ist. BTW: CheckMK in Version 1.6 kann jetzt auch systemd Units überwachen. Viele Grüße -- Robert Sander Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin https://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Amtsgericht Berlin-Charlottenburg - HRB 93818 B Geschäftsführer: Peer Heinlein - Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From Peer-Joachim.Koch at hki-jena.de Mon Nov 18 11:43:32 2019 From: Peer-Joachim.Koch at hki-jena.de (Peer-Joachim Koch) Date: Mon, 18 Nov 2019 11:43:32 +0100 Subject: Offtopic: Frage zu saslauthd Message-ID: <131cc42e-782b-48d7-8f6e-e03402bca3f7@hki-jena.de> Hallo, kurze Frage die sich nicht direkt um postfix freht. Auf unserem Mailgate läuft saslauthd für die Einlieferung von Mails. Seit wir das System von SLES11 auf SLES12SP4 gehoben haben, passiert es regelmäßig, dass der Daemon hängt. Last ist bei 100% aber es gibt keine Antwort, nach einem Neustart des Daemon geht wieder alles. Allerdings keine LOG-Einträge. Hat jemand eine Idee ? -- Mit freundlichen Grüßen Peer-Joachim Koch ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5380 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ffiene at veka.com Tue Nov 19 12:13:18 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 12:13:18 +0100 Subject: SOPHOS_VIRUS_FAIL Message-ID: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> Moin! Mal wieder etwas neues: Ich bekomme seit dem Update auf 2.1 tausende dieser Fehlermeldungen (Faktor 20 zu vorher): Nov 19 11:36:51 smtp1 rspamd[9849]: ; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Woran kann das liegen? Wie funktioniert das Multithreading im savdi? Wird der Scanner blockiert, wenn eine Datei untersucht wird? Dann wäre der Scanner aber ziemlich unbrauchbar. Da meine Ausnahme ALLOW_ENCR_ATT { id = "allow_encr_att"; priority = high; ip = "2a00:e50:f155:800::76"; # Behrmann und Partner ip = "193.27.50.76"; # Behrmann und Partner apply { symbols_disabled = [ "SAVDI_FILE_ENCRYPTED", ]; } # Always add these symbols when settings rule has matched symbols [ "ALLOW_ENCR_ATT" ] } Auch gerade nicht funktioniert und Mails von diesen IPs mit SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] abgewiesen werden, sieht es für mich so aus, als wenn der Rspamd mit dem savdi ein Problem hätte. Hilfe! Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Tue Nov 19 12:31:55 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 19 Nov 2019 12:31:55 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> Message-ID: <20191119113153.oksgvws3d24invlf@charite.de> * Frank Fiene : > Ich bekomme seit dem Update auf 2.1 tausende dieser Fehlermeldungen (Faktor 20 zu vorher): > > Nov 19 11:36:51 smtp1 rspamd[9849]: ; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Ich sehe die auch, aber selten (2.1 schon lange im Einsatz): # xzegrep -c "SOPHOS_VIRUS.*failed to scan, maximum retransmits exceed" /var/log/mail.log* /var/log/mail.log-20191112.xz:0 /var/log/mail.log-20191113.xz:10 /var/log/mail.log-20191114.xz:6 /var/log/mail.log-20191115.xz:2 /var/log/mail.log-20191116.xz:1 /var/log/mail.log-20191117.xz:0 /var/log/mail.log-20191118:0 /var/log/mail.log:4 Heute: Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0" Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0" Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0" und Nov 19 10:24:23 mail-cbf rspamd[1891]: ; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Blick ins Log: *** sagt mir nix, weil der Scans nicht protokolliert :( **** -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Tue Nov 19 12:36:39 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 12:36:39 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <20191119113153.oksgvws3d24invlf@charite.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> Message-ID: Seit etwas mehr als zwei Wochen: /var/log/mail.log:835 /var/log/mail.log.1:2347 /var/log/mail.log.2:1792 /var/log/mail.log.3:22 /var/log/mail.log.4:27 Das ganze mal drei wegen dreier Gateways. :-( > Am 19.11.2019 um 12:31 schrieb Ralf Hildebrandt : > > xzegrep -c "SOPHOS_VIRUS.*failed to scan, maximum retransmits exceed" /var/log/mail.log* Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Tue Nov 19 12:39:30 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 19 Nov 2019 12:39:30 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> Message-ID: <20191119113930.4deqrwhyeaq6nid2@charite.de> * Frank Fiene : > Seit etwas mehr als zwei Wochen: > > /var/log/mail.log:835 > /var/log/mail.log.1:2347 > /var/log/mail.log.2:1792 > /var/log/mail.log.3:22 > /var/log/mail.log.4:27 Mein Setup: action = "reject"; scan_mime_parts = true; scan_text_mime = true; scan_image_mime = true; symbol = "SOPHOS_VIRUS"; type = "sophos"; log_clean = false; timeout = 30.0; retransmits = 4; servers = "127.0.0.1:4010"; -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Tue Nov 19 12:50:39 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 12:50:39 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <20191119113930.4deqrwhyeaq6nid2@charite.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> Message-ID: <73C8084F-090E-4375-964A-C4A5FAED76E1@veka.com> Komplett: action = "reject"; message = 'VEKA ${SCANNER}: virus found: "${VIRUS}"'; savdi_report_oversize = true; savdi_report_encrypted = true; scan_mime_parts = true; scan_text_mime = true; scan_image_mime = true; #max_size = 8192000; symbol = "SOPHOS_VIRUS"; type = "sophos"; servers = "/var/run/savdid/savdid.sock"; patterns { # symbol_name = "pattern"; SOPHOS_FILE_ENCRYPTED = "^SAVDI_FILE_ENCRYPTED$"; SOPHOS_FILE_OVERSIZED = "^SAVDI_FILE_OVERSIZED$"; } ALLOW_ENCR_ATT { id = "allow_encr_att"; priority = high; ip = "2a00:e50:f155:800::76"; # Behrmann und Partner ip = "193.27.50.76"; # Behrmann und Partner apply { symbols_disabled = [ "SAVDI_FILE_ENCRYPTED", "SOPHOS_FILE_ENCRYPTED", "SOPHOS_VIRUS_ENCRYPTED", ]; } # Always add these symbols when settings rule has matched symbols [ "ALLOW_ENCR_ATT" ] } whitelist = "/etc/rspamd/antivirus.wl"; > Am 19.11.2019 um 12:39 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Seit etwas mehr als zwei Wochen: >> >> /var/log/mail.log:835 >> /var/log/mail.log.1:2347 >> /var/log/mail.log.2:1792 >> /var/log/mail.log.3:22 >> /var/log/mail.log.4:27 > > Mein Setup: > > action = "reject"; > > scan_mime_parts = true; > scan_text_mime = true; > scan_image_mime = true; > symbol = "SOPHOS_VIRUS"; > > type = "sophos"; > > log_clean = false; > timeout = 30.0; > retransmits = 4; > > servers = "127.0.0.1:4010"; > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From cr at ncxs.de Tue Nov 19 12:46:32 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Tue, 19 Nov 2019 12:46:32 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <20191119113930.4deqrwhyeaq6nid2@charite.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> Message-ID: <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Hey, es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob das im 2.1 Release schon drin war. Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und schau mal ins savdi log. Wegen der max Connections: https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 Vielleicht muss du da noch was drehen. > scan_mime_parts = true; > scan_text_mime = true; > scan_image_mime = true; > symbol = "SOPHOS_VIRUS"; Das erzeugt natürlich auch viele Requests. > > SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] Das ist das neue generische Symbol für verschlüsselte Files. Da musst du deine Settings anpassen. Viele Grüße Carsten On 19.11.19 12:39, Ralf Hildebrandt wrote: > * Frank Fiene : >> Seit etwas mehr als zwei Wochen: >> >> /var/log/mail.log:835 >> /var/log/mail.log.1:2347 >> /var/log/mail.log.2:1792 >> /var/log/mail.log.3:22 >> /var/log/mail.log.4:27 > > Mein Setup: > > action = "reject"; > > scan_mime_parts = true; > scan_text_mime = true; > scan_image_mime = true; > symbol = "SOPHOS_VIRUS"; > > type = "sophos"; > > log_clean = false; > timeout = 30.0; > retransmits = 4; > > servers = "127.0.0.1:4010"; > From ffiene at veka.com Tue Nov 19 13:23:14 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 13:23:14 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: <0ADD88E9-98C1-41AC-AE3F-F143B04B54B4@veka.com> Du meinst hier? Seitdem du mir das gezeigt hattest, lief es nur mit ?SAVDI_FILE_ENCRYPTED? korrekt ALLOW_ENCR_ATT { id = "allow_encr_att"; priority = high; ip = "2a00:e50:f155:800::76"; # Behrmann und Partner ip = "193.27.50.76"; # Behrmann und Partner apply { symbols_disabled = [ "SAVDI_FILE_ENCRYPTED", "SOPHOS_FILE_ENCRYPTED", "SOPHOS_VIRUS_ENCRYPTED", ]; } # Always add these symbols when settings rule has matched symbols [ "ALLOW_ENCR_ATT" ] } Viele Grüße! > Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg : > > Hey, > > es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob > das im 2.1 Release schon drin war. > > Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und > schau mal ins savdi log. > Wegen der max Connections: > https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 > Vielleicht muss du da noch was drehen. > >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; > > Das erzeugt natürlich auch viele Requests. > >> >> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] > > Das ist das neue generische Symbol für verschlüsselte Files. Da musst du > deine Settings anpassen. > > Viele Grüße > > Carsten > > > On 19.11.19 12:39, Ralf Hildebrandt wrote: >> * Frank Fiene : >>> Seit etwas mehr als zwei Wochen: >>> >>> /var/log/mail.log:835 >>> /var/log/mail.log.1:2347 >>> /var/log/mail.log.2:1792 >>> /var/log/mail.log.3:22 >>> /var/log/mail.log.4:27 >> >> Mein Setup: >> >> action = "reject"; >> >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; >> >> type = "sophos"; >> >> log_clean = false; >> timeout = 30.0; >> retransmits = 4; >> >> servers = "127.0.0.1:4010"; >> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Tue Nov 19 13:33:12 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 13:33:12 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: > Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg : > > Hey, > > es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob > das im 2.1 Release schon drin war. > > Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und > schau mal ins savdi log. Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren. Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung ?early? beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder? > Wegen der max Connections: > https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 > Vielleicht muss du da noch was drehen. Da stand vorher threadcount = 30 maxquedsessions=20 Ich habe den Wert der maxquedsessions auf 2 gesetzt. Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt? >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; > > Das erzeugt natürlich auch viele Requests. Was ist deine Empfehlung? >> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] > > Das ist das neue generische Symbol für verschlüsselte Files. Da musst du > deine Settings anpassen. > > Viele Grüße > > Carsten > > > On 19.11.19 12:39, Ralf Hildebrandt wrote: >> * Frank Fiene : >>> Seit etwas mehr als zwei Wochen: >>> >>> /var/log/mail.log:835 >>> /var/log/mail.log.1:2347 >>> /var/log/mail.log.2:1792 >>> /var/log/mail.log.3:22 >>> /var/log/mail.log.4:27 >> >> Mein Setup: >> >> action = "reject"; >> >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; >> >> type = "sophos"; >> >> log_clean = false; >> timeout = 30.0; >> retransmits = 4; >> >> servers = "127.0.0.1:4010"; >> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From buettnerp at web.de Tue Nov 19 13:55:19 2019 From: buettnerp at web.de (Peter Buettner) Date: Tue, 19 Nov 2019 13:55:19 +0100 Subject: Zertifikate und web.de Message-ID: <4024b432-4158-a44c-cc61-a66704c1e5ed@web.de> Hallo Liste, nach einem Update meiner Let's Encrypt Zertifikate geschehen wundersame Dinge, die ich mir nicht erklären kann. Das ssl-tools und cryptcheck nicht mehr auf Zertifikate von Let's Encrypt ansprechen, sei erst einmal dahin gestellt. Das Update war auf EC-384. Von meinem web.de Account zu meinem Postfix Server kommt eine Verbindung mit ECDHE-ECDSA-AES256-GCM-SHA384 zustande. Das ist OK und so von meinem Server gewollt. In umgekehrter Richtung, von meinem Server zu web.de, ist die Verbindung mit ECDHE-RSA-AES256-GCM-SHA384. Web.de kann nicht höher. Wie kann das sein? Ich habe gar kein RSA Zertfikat. Hat jemand eine Idee, was ich da falsch mache? Gruß Peter Büttner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From ffiene at veka.com Tue Nov 19 14:00:16 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 14:00:16 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: Jetzt habe ich sogar savdi_report_encrypted = false; Gesetzt, und es erscheint immer noch im Log: Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; sophos.lua:143: Message is encrypted (FAIL 0212): FAIL 0212 \0d\0a Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; common.lua:108: sophos: result - FAILED with error: "SAVDI: Message is encrypted (FAIL 0212) - score: 0" Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; lua; common.lua:108: sophos: result - Scan has returned that input was encrypted: "File is encrypted - score: 1" Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; proxy; rspamd_add_passthrough_result: : set pre-result to 'reject' (no score): 'VEKA sophos: virus found: "File is encrypted"' from sophos(1) Nov 19 13:56:17 smtp1 postfix/cleanup[6470]: 6157A8C1D: milter-reject: END-OF-MESSAGE from idvmailout01.datevnet.de[193.27.50.76]: 5.7.1 VEKA sophos: virus found: "File is encrypted"; from= to= proto=ESMTP helo= WTF? > Am 19.11.2019 um 13:33 schrieb Frank Fiene : > > > >> Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg >: >> >> Hey, >> >> es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob >> das im 2.1 Release schon drin war. >> >> Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und >> schau mal ins savdi log. > > Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren. > > Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung ?early? beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder? > > >> Wegen der max Connections: >> https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 >> Vielleicht muss du da noch was drehen. > > Da stand vorher > > threadcount = 30 > maxquedsessions=20 > > Ich habe den Wert der maxquedsessions auf 2 gesetzt. > > > Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt? > > >>> scan_mime_parts = true; >>> scan_text_mime = true; >>> scan_image_mime = true; >>> symbol = "SOPHOS_VIRUS"; >> >> Das erzeugt natürlich auch viele Requests. > > Was ist deine Empfehlung? > > >>> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] >> >> Das ist das neue generische Symbol für verschlüsselte Files. Da musst du >> deine Settings anpassen. >> >> Viele Grüße >> >> Carsten >> >> >> On 19.11.19 12:39, Ralf Hildebrandt wrote: >>> * Frank Fiene >: >>>> Seit etwas mehr als zwei Wochen: >>>> >>>> /var/log/mail.log:835 >>>> /var/log/mail.log.1:2347 >>>> /var/log/mail.log.2:1792 >>>> /var/log/mail.log.3:22 >>>> /var/log/mail.log.4:27 >>> >>> Mein Setup: >>> >>> action = "reject"; >>> >>> scan_mime_parts = true; >>> scan_text_mime = true; >>> scan_image_mime = true; >>> symbol = "SOPHOS_VIRUS"; >>> >>> type = "sophos"; >>> >>> log_clean = false; >>> timeout = 30.0; >>> retransmits = 4; >>> >>> servers = "127.0.0.1:4010"; >>> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From stse+postfixbuch at fsing.rootsland.net Tue Nov 19 14:32:42 2019 From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz) Date: Tue, 19 Nov 2019 14:32:42 +0100 Subject: Zertifikate und web.de In-Reply-To: <4024b432-4158-a44c-cc61-a66704c1e5ed@web.de> References: <4024b432-4158-a44c-cc61-a66704c1e5ed@web.de> Message-ID: <20191119T142750.GA.025e3.stse@fsing.rootsland.net> On Di, Nov 19, 2019 at 01:55:19 +0100, Peter Buettner wrote: >nach einem Update meiner Let's Encrypt Zertifikate geschehen wundersame >Dinge, die ich mir nicht erklären kann. >Das ssl-tools und cryptcheck nicht mehr auf Zertifikate von Let's >Encrypt ansprechen, sei erst einmal dahin gestellt. > >Das Update war auf EC-384. Du hast für deinen Postfix-Server nur ein ECDSA-Zertifikat? Das ist eher schlecht, wie ich festgestellt habe. Es gibt Gegenstellen, die können nur RSA-Ciphers (z.B. die Fritzbox oder auch die Postfix-ML). >Von meinem web.de Account zu meinem Postfix Server kommt eine Verbindung >mit ECDHE-ECDSA-AES256-GCM-SHA384 zustande. Das ist OK und so von meinem > Server gewollt. >In umgekehrter Richtung, von meinem Server zu web.de, ist die Verbindung >mit ECDHE-RSA-AES256-GCM-SHA384. Web.de kann nicht höher. Was hat dein Postfix-Server-Zertifikat damit zu tun, was dein Postfix-Server als Client macht? In diesem Fall ist der Server der von Web.de, und der kann natürlich noch RSA-Zertifikate haben. Shade and sweet water! Stephan -- | If your life was a horse, you'd have to shoot it. | From cr at ncxs.de Wed Nov 20 10:28:39 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 20 Nov 2019 10:28:39 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: <337dec76-c4a7-c0ca-3d97-e2e5858cd9da@ncxs.de> On 19.11.19 13:33, Frank Fiene wrote: > > >> Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg > >: >> >> Hey, >> >> es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob >> das im 2.1 Release schon drin war. >> https://rspamd.com/blog/ War erst in der gestern releasten 2.2 ;) > > >> Wegen der max Connections: >> https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 >> Vielleicht muss du da noch was drehen. > > Da stand vorher  > > threadcount = 30 > maxquedsessions=20 > > Ich habe den Wert der maxquedsessions auf 2 gesetzt. > > > Kann ich den ersten Wert hochstehen, wenn das System das > Ressourcentechnisch erlaubt? Klar das sollte kein Problem sein. > > >>>  scan_mime_parts = true; >>>  scan_text_mime = true; >>>  scan_image_mime = true; >>>  symbol = "SOPHOS_VIRUS"; >> >> Das erzeugt natürlich auch viele Requests. > > Was ist deine Empfehlung? Ich würde scan_image_mime weg lassen. > > >>> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] Viele Grüße Carsten From cr at ncxs.de Wed Nov 20 10:38:12 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 20 Nov 2019 10:38:12 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: <34bb9271-574f-eb47-3f52-f60a22dd143a@ncxs.de> On 19.11.19 14:00, Frank Fiene wrote: > Jetzt habe ich sogar > >   savdi_report_encrypted= false; Diese Schalter sind seit der 1.9.0 raus: https://rspamd.com/doc/modules/antivirus.html#sophos-savdi-specific-details > > Gesetzt, und es erscheint immer noch im Log: > > > Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; *sophos*.lua:143: > Message is encrypted (FAIL 0212): FAIL 0212 \0d\0a > Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; common.lua:108: > *sophos*: result - FAILED with error: "SAVDI: Message is encrypted (FAIL > 0212) - score: 0" > Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; lua; common.lua:108: > *sophos*: result - Scan has returned that input was encrypted: "File is > encrypted - score: 1" > Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; proxy; > rspamd_add_passthrough_result: > >: set > pre-result to 'reject' (no score): 'VEKA *sophos*: virus found: "File is > encrypted"' from *sophos*(1) > Nov 19 13:56:17 smtp1 postfix/cleanup[6470]: 6157A8C1D: milter-reject: > END-OF-MESSAGE from idvmailout01.datevnet.de > [193.27.50.76]: 5.7.1 VEKA *sophos*: > virus found: "File is encrypted"; from= > to= > proto=ESMTP helo= > > > > > WTF Da Gibts einen Fehler in dem Sophos Plugin. Bei der ersten Erkennung gibts ein SOPHOS_VIRUS_FAIL und dann aus dem Cache ein SOPHOS_VIRUS_ENCRYPTED https://github.com/rspamd/rspamd/pull/3154 Du könntest das per Hand patchen oder via patterns auf "SAVDI: Message is encrypted (FAIL 0212)" matchen. Dann umgehst du _ENCRYPTED, _FAIL etc Viele Grüße Carsten From ffiene at veka.com Wed Nov 20 13:56:47 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 20 Nov 2019 13:56:47 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <34bb9271-574f-eb47-3f52-f60a22dd143a@ncxs.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> <34bb9271-574f-eb47-3f52-f60a22dd143a@ncxs.de> Message-ID: >> Jetzt habe ich sogar >> >> savdi_report_encrypted= false; > > Diese Schalter sind seit der 1.9.0 raus: > https://rspamd.com/doc/modules/antivirus.html#sophos-savdi-specific-details OK, werde ich dann mal löschen. > Da Gibts einen Fehler in dem Sophos Plugin. Bei der ersten Erkennung > gibts ein SOPHOS_VIRUS_FAIL und dann aus dem Cache ein > SOPHOS_VIRUS_ENCRYPTED > > https://github.com/rspamd/rspamd/pull/3154 Haha, das erklärt, warum die erste Mail immer durchkommt und dieselbe später nochmal verschickt, als Encrypted erkannt wird, obwohl da gar nichts verschlüsselt ist. > Du könntest das per Hand patchen oder via patterns auf "SAVDI: Message > is encrypted (FAIL 0212)" matchen. Dann umgehst du _ENCRYPTED, _FAIL etc Danke für den Bugfix! Ich habe es erstmal per Hand gepatcht. Funktioniert denn die Ausnahme ALLOW_ENCR_ATT immer noch wie in der Doku? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Wed Nov 20 13:57:53 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 20 Nov 2019 13:57:53 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: References: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> <10912C9A-0850-4842-8A0D-65F2260FB9C1@veka.com> Message-ID: Moin, Status: der Patch für rbl.lua ist schon in 2.2 drin. Viele Grüße! Frank > Am 14.11.2019 um 09:03 schrieb Frank Fiene : > > Oh Mann, > > Was man nicht im Kopf hat. > > Also ich hatte natürlich das Original-Repository schon genutzt. > Der Patch ist aber wohl noch nicht ausreichend getestet um es auszurollen. ;-) > > > Viele Grüße! Frank > >> Am 14.11.2019 um 08:55 schrieb Frank Fiene >: >> >> Ich habe erstmal das rbl.lua per Hand gepatcht. Läuft erstmal. >> >> Das Original Repository schaue ich mir dann mal an. >> >> >> Danke an alle! >> >> >> >> >>> Am 14.11.2019 um 08:52 schrieb André Peters >: >>> >>> Ja, direkt auf Rspamd.com zu finden. >>> >>> Mit besten Grüßen >>> André Peters >>> >>>> Am 14.11.2019 um 08:26 schrieb Frank Fiene >: >>>> >>>> ?Hmmm, >>>> >>>> Gibt es ein Repository? >>>> >>>> Ich mag automatische Updates. >>>> >>>> >>>> >>>>> Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt >: >>>>> >>>>> * Frank Fiene >: >>>>>> Ja, sieht so aus. >>>>>> >>>>>> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. >>>>> >>>>> Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die >>>>> von rspamd bereitgestellten Pakete. >>>>> >>>>> Die originalen Ubuntu/Debian Pakete sind Müll und veraltet >>>>> >>>>> Ralf Hildebrandt >>>>> Geschäftsbereich IT | Abteilung Netzwerk >>>>> Charité - Universitätsmedizin Berlin >>>>> Campus Benjamin Franklin >>>>> Hindenburgdamm 30 | D-12203 Berlin >>>>> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >>>>> ralf.hildebrandt at charite.de | https://www.charite.de >>>>> >>>> >>>> Viele Grüße! >>>> i.A. Frank Fiene >>>> -- >>>> Frank Fiene >>>> IT-Security Manager VEKA Group >>>> >>>> Fon: +49 2526 29-6200 >>>> Fax: +49 2526 29-16-6200 >>>> mailto: ffiene at veka.com >>>> http://www.veka.com >>>> >>>> PGP-ID: 62112A51 >>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>> Threema: VZK5NDWW >>>> >>>> VEKA AG >>>> Dieselstr. 8 >>>> 48324 Sendenhorst >>>> Deutschland/Germany >>>> >>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >>>> HRB 8282 AG Münster/District Court of Münster >>>> >> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From cr at ncxs.de Wed Nov 20 16:49:06 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 20 Nov 2019 16:49:06 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> <34bb9271-574f-eb47-3f52-f60a22dd143a@ncxs.de> Message-ID: On 20.11.19 13:56, Frank Fiene wrote: > > Haha, das erklärt, warum die erste Mail immer durchkommt und dieselbe > später nochmal verschickt, als Encrypted erkannt wird, obwohl da gar > nichts verschlüsselt ist. Sophos meint halt zu den Dateien, dass sie verschlüsselt währen Fehler FAIL 212. Muss ja nicht stimmen ;) > > >> Du könntest das per Hand patchen oder via patterns auf "SAVDI: Message >> is encrypted (FAIL 0212)" matchen. Dann umgehst du _ENCRYPTED, _FAIL etc > > Danke für den Bugfix! Ich habe es erstmal per Hand gepatcht. > > Funktioniert denn die Ausnahme ALLOW_ENCR_ATT immer noch wie in der Doku? Das musst du mal ausprobieren. Würdest du SOPHOS_VIRUS disablen, würde ja das ganze Plugin nicht mehr laufen. Das läuft aber und du hast reject aktiviert und nur wenn SOPHOS_VIRUS_ENCRYPTED vom Plugin gesetzt wird, soll es nun nicht ausgeführt werden. Da SOPHOS_VIRUS_ENCRYPTED ein virtuelles Symbol (ohne angehängte Funktion) ist, könnte das schief gehen. Beim Reject über Force Actions klappt die Deaktivierung über die Settings aber auf jeden Fall. -- Carsten From ffiene at veka.com Tue Nov 26 15:46:31 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 26 Nov 2019 15:46:31 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert Message-ID: Ich habe mal wieder ein Problem. Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren. Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint: +------------+--------------+-----------------------------------------+ | Type | Keyword | Description | +------------+--------------+-----------------------------------------+ | Suspicious | Open | May open a file | | Suspicious | Output | May write to a file (if combined with | | | | Open) | | Suspicious | Print # | May write to a file (if combined with | | | | Open) | | Suspicious | MkDir | May create a directory | | Suspicious | CreateObject | May create an OLE object | | Suspicious | CallByName | May attempt to obfuscate malicious | | | | function calls | | Suspicious | Chr | May attempt to obfuscate specific | | | | strings (use option --deobf to | | | | deobfuscate) | +------------+--------------+-----------------------------------------+ Das sollte also eigentlich blockiert werden, korrekt? Virustotal sagt mir dasselbe. Wo fange ich mit dem Debuggen an? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From ffiene at veka.com Tue Nov 26 15:55:10 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 26 Nov 2019 15:55:10 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: References: Message-ID: <46A4C9BB-3EC1-474C-9587-67291C970419@veka.com> Da wird uns der Carsten bestimmt helfen! :-) /etc/olefy.conf: # olefy socket Configuration file OLEFY_BINDADDRESS=127.0.0.1 OLEFY_BINDPORT=10050 # systemd PrivateTmp is used. The path will be /tmp/systemd....olefy.../tmp OLEFY_TMPDIR=/tmp # no command line options allowed here OLEFY_PYTHON_PATH=/usr/bin/python3 # no command line options allowed here OLEFY_OLEVBA_PATH=/usr/local/bin/olevba3 # 10:DEBUG, 20:INFO, 30:WARNING, 40:ERROR, 50:CRITICAL OLEFY_LOGLVL=30 # olefy will do nothing with files under MINLENGTH characters OLEFY_MINLENGTH=500 # 0 - do not delete tmp files, 1 - delete tmp files # regardless this setting systemd will restart the service all 4h # and creates a new PrivateTmp OLEFY_DEL_TMP=1 /etc/rspamd/local.d/external_services.conf: oletools { servers = "127.0.0.1:10050" action = "reject"; max_size = 20000000; log_clean = true; cache_expire = 86400; scan_mime_parts = true; extended = false; } Der Dienst läuft und olevba3 funktioniert wie im Eingangsposting zu sehen: 7138 ? Ss 0:00 /usr/bin/python3 /usr/local/bin/olefy.py Viele Grüße! Frank > Am 26.11.2019 um 15:46 schrieb Frank Fiene : > > Ich habe mal wieder ein Problem. > > Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren. > > Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint: > > +------------+--------------+-----------------------------------------+ > | Type | Keyword | Description | > +------------+--------------+-----------------------------------------+ > | Suspicious | Open | May open a file | > | Suspicious | Output | May write to a file (if combined with | > | | | Open) | > | Suspicious | Print # | May write to a file (if combined with | > | | | Open) | > | Suspicious | MkDir | May create a directory | > | Suspicious | CreateObject | May create an OLE object | > | Suspicious | CallByName | May attempt to obfuscate malicious | > | | | function calls | > | Suspicious | Chr | May attempt to obfuscate specific | > | | | strings (use option --deobf to | > | | | deobfuscate) | > +------------+--------------+-----------------------------------------+ > > > Das sollte also eigentlich blockiert werden, korrekt? > Virustotal sagt mir dasselbe. > > Wo fange ich mit dem Debuggen an? > > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Tue Nov 26 16:10:00 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 26 Nov 2019 16:10:00 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <46A4C9BB-3EC1-474C-9587-67291C970419@veka.com> References: <46A4C9BB-3EC1-474C-9587-67291C970419@veka.com> Message-ID: <67A31D6D-352A-46C7-840E-C9AF5B4B1F8C@veka.com> Oh, und wenn diese Warnung manchmal erscheint, scheint alles technisch zu funktionieren, oder? smtp1 rspamd[29096]: ; lua; oletools.lua:186: oletools: olefy could not open the file - error: Failed to open file /tmp/1574777463.4640603.42676 is RTF, need to run rtfobj.py and find VBA Macros in its output. > ... Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Wed Nov 27 11:31:10 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 27 Nov 2019 11:31:10 +0100 Subject: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: References: Message-ID: <20191127103108.6stdeacwrvzjaasc@charite.de> * Frank Fiene : > Ich habe mal wieder ein Problem. > > Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren. Ich sehe konkret sowas: ...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},... ...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},... Auch interessant: ================= Nov 27 11:19:52 mail-cbf python3[61695]: olefy DEBUG eof_received <3142b7> /tmp/1574849992.6205263.58698 choosen as tmp filename Nov 27 11:19:52 mail-cbf python3[61695]: olefy INFO oletools <3142b7> application/pdf (libmagic output) Warum will er einen PDF Anhang untersuchen? Ich habe explizit gesetzt: mime_parts_filter_regex { # UNKNOWN = "application\/octet-stream"; DOC2 = "application\/msword"; DOC3 = "application\/vnd\.ms-word.*"; XLS = "application\/vnd\.ms-excel.*"; PPT = "application\/vnd\.ms-powerpoint.*"; GENERIC = "application\/vnd\.openxmlformats-officedocument.*"; } mime_parts_filter_ext { doc = "doc"; dot = "dot"; docx = "docx"; dotx = "dotx"; docm = "docm"; dotm = "dotm"; xls = "xls"; xlt = "xlt"; xla = "xla"; xlsx = "xlsx"; xltx = "xltx"; xlsm = "xlsm"; xltm = "xltm"; xlam = "xlam"; xlsb = "xlsb"; ppt = "ppt"; pot = "pot"; pps = "pps"; ppa = "ppa"; pptx = "pptx"; potx = "potx"; ppsx = "ppsx"; ppam = "ppam"; pptm = "pptm"; potm = "potm"; ppsm = "ppsm"; } gesetzt. Ah, deswegen: Nov 27 11:19:52 mail-cbf amavis[45803]: (45803-14) p003 1/2 Content-Type: application/pdf, base64, size: 38240, SHA1 digest: 9fed25f7d140b5d00f77654180b8e6089742bccf, name: Ablaufplan_Musterzimmer_BHH.xls.pdf Der Name ist irgendwas.xls.pdf -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 195 bytes Beschreibung: nicht verfügbar URL : From cr at ncxs.de Wed Nov 27 11:40:27 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 27 Nov 2019 11:40:27 +0100 Subject: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <20191127103108.6stdeacwrvzjaasc@charite.de> References: <20191127103108.6stdeacwrvzjaasc@charite.de> Message-ID: On 27.11.19 11:31, Ralf Hildebrandt wrote: > * Frank Fiene : >> Ich habe mal wieder ein Problem. >> >> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren. > > Ich sehe konkret sowas: > > ...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},... > ...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},... Ist das Rspamd 2.2 mit aktuellem olefy? Sieht mir nach einem kaputten json Report aus. > > Auch interessant: > ================= > > Nov 27 11:19:52 mail-cbf python3[61695]: olefy DEBUG eof_received <3142b7> /tmp/1574849992.6205263.58698 choosen as tmp filename > Nov 27 11:19:52 mail-cbf python3[61695]: olefy INFO oletools <3142b7> application/pdf (libmagic output) > > Warum will er einen PDF Anhang untersuchen? Ich habe explizit gesetzt: > > gesetzt. > > Ah, deswegen: > Nov 27 11:19:52 mail-cbf amavis[45803]: (45803-14) p003 1/2 Content-Type: application/pdf, base64, size: 38240, SHA1 digest: 9fed25f7d140b5d00f77654180b8e6089742bccf, name: Ablaufplan_Musterzimmer_BHH.xls.pdf > > Der Name ist irgendwas.xls.pdf Ja der match derzeit einfach dumm auf beide Extensions. Ich weiß leider nicht mehr warum ich das beabsichtigt habe. Was meint Ihr, ist das generell sinnvoll für Filescanner? Windows sollte Ablaufplan_Musterzimmer_BHH.xls.pdf nicht als Excel ausführen. VG Carsten From cr at ncxs.de Wed Nov 27 11:45:11 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 27 Nov 2019 11:45:11 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: References: Message-ID: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> Hey, oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die Funktion kann aber auch nur nicht erkannt worden sein. Hier grad mehr dazu: https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/ https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/ Kannst du mir die Datei zur Verfügung stellen? Welche Version der oletools hast du installiert? Viele Grüße Carsten On 26.11.19 15:46, Frank Fiene wrote: > Ich habe mal wieder ein Problem. > > Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren. > > Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint: > > +------------+--------------+-----------------------------------------+ > | Type | Keyword | Description | > +------------+--------------+-----------------------------------------+ > | Suspicious | Open | May open a file | > | Suspicious | Output | May write to a file (if combined with | > | | | Open) | > | Suspicious | Print # | May write to a file (if combined with | > | | | Open) | > | Suspicious | MkDir | May create a directory | > | Suspicious | CreateObject | May create an OLE object | > | Suspicious | CallByName | May attempt to obfuscate malicious | > | | | function calls | > | Suspicious | Chr | May attempt to obfuscate specific | > | | | strings (use option --deobf to | > | | | deobfuscate) | > +------------+--------------+-----------------------------------------+ > > > Das sollte also eigentlich blockiert werden, korrekt? > Virustotal sagt mir dasselbe. > > Wo fange ich mit dem Debuggen an? > > > > Viele Grüße! > Frank > From Ralf.Hildebrandt at charite.de Wed Nov 27 11:48:34 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 27 Nov 2019 11:48:34 +0100 Subject: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: References: <20191127103108.6stdeacwrvzjaasc@charite.de> Message-ID: <20191127104832.xaw4aqu25zt4e6sx@charite.de> > > Ich sehe konkret sowas: > > > > ...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},... > > ...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},... > > Ist das Rspamd 2.2 mit aktuellem olefy? Sieht mir nach einem kaputten > json Report aus. Ja, ist es. Es stellte sich heraus, daß olevba gekotzt hat: Nov 27 11:30:46 mail-cbf python3[48534]: olefy ERROR oletools <6b3d68> olevba exited with code 8; err: 'ERROR Unhandled exception in main: must be str, not bytes\nTraceback (most recent call last):\n File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 3999, in main\n curr_return_code = process_file(filename, data, container, options)\n File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 3818, in process_file\n relaxed=options.relaxed)\n File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 3434, in __init__\n super(VBA_Parser_CLI, self).__init__(*args, **kwargs)\n File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 2603, in __init__\n self.open_ppt()\n File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 2902, in open_ppt\n for vba_data in ppt.iter_vba_data():\n File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1147, in wrapped\n for result in func(self, self._open_main_stream, *args, **kwargs):\n File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1604, in iter_vba_data\n yield self.decompress_vba_storage(storage)\n File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1114, in wrapped\n return func(self, self._open_main_stream, *args, **kwargs)\n File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1555, in decompress_vba_storage\n iterative_decompress(stream, storage.data_size)\n File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1624, in iterative_decompress\n decomp += decompressor.decompress(stream.read(n_new))\nTypeError: must be str, not bytes\n' > > Der Name ist irgendwas.xls.pdf > > Ja der match derzeit einfach dumm auf beide Extensions. Ich weiß leider > nicht mehr warum ich das beabsichtigt habe. Was meint Ihr, ist das > generell sinnvoll für Filescanner? Windows sollte > Ablaufplan_Musterzimmer_BHH.xls.pdf nicht als Excel ausführen. Korrekt, daher meine ich, der Match sollte auf die "hinterste" Extension gehen, also nur "\.xls$" (in regexp - was es ja nicht ist) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Wed Nov 27 11:53:23 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 27 Nov 2019 11:53:23 +0100 Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> Message-ID: <20191127105321.7a5sqnd7cecxx44u@charite.de> > https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/ Wundervoll geschrieben, aber: "Dafür gibt es im Rspamd eine Option dynamic_scan." Wo eintragen? Ich sehe, daß das der default ist für oletools (https://github.com/rspamd/rspamd/blob/master/lualib/lua_scanners/oletools.lua) Kann das auch für andere external services aktiviert werden? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Wed Nov 27 12:03:13 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 27 Nov 2019 12:03:13 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> Message-ID: Wo soll ich sie dir hinlegen? Aktuelle Virenpattern erkennen die Datei schon als Virus. Viele Grüße! > Am 27.11.2019 um 11:45 schrieb Carsten Rosenberg : > > Hey, > > oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die > Funktion kann aber auch nur nicht erkannt worden sein. > > > Hier grad mehr dazu: > https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/ > https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/ > > Kannst du mir die Datei zur Verfügung stellen? > Welche Version der oletools hast du installiert? > > > Viele Grüße > > Carsten > > On 26.11.19 15:46, Frank Fiene wrote: >> Ich habe mal wieder ein Problem. >> >> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren. >> >> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint: >> >> +------------+--------------+-----------------------------------------+ >> | Type | Keyword | Description | >> +------------+--------------+-----------------------------------------+ >> | Suspicious | Open | May open a file | >> | Suspicious | Output | May write to a file (if combined with | >> | | | Open) | >> | Suspicious | Print # | May write to a file (if combined with | >> | | | Open) | >> | Suspicious | MkDir | May create a directory | >> | Suspicious | CreateObject | May create an OLE object | >> | Suspicious | CallByName | May attempt to obfuscate malicious | >> | | | function calls | >> | Suspicious | Chr | May attempt to obfuscate specific | >> | | | strings (use option --deobf to | >> | | | deobfuscate) | >> +------------+--------------+-----------------------------------------+ >> >> >> Das sollte also eigentlich blockiert werden, korrekt? >> Virustotal sagt mir dasselbe. >> >> Wo fange ich mit dem Debuggen an? >> >> >> >> Viele Grüße! >> Frank >> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From cr at ncxs.de Wed Nov 27 15:51:37 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 27 Nov 2019 15:51:37 +0100 Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <20191127105321.7a5sqnd7cecxx44u@charite.de> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> <20191127105321.7a5sqnd7cecxx44u@charite.de> Message-ID: <2d502e01-ceb4-392b-d835-cf68cf696fb5@ncxs.de> On 27.11.19 11:53, Ralf Hildebrandt wrote: >> https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/ > > Wundervoll geschrieben, aber: > > "Dafür gibt es im Rspamd eine Option dynamic_scan." > > Wo eintragen? > Ich sehe, daß das der default ist für oletools (https://github.com/rspamd/rspamd/blob/master/lualib/lua_scanners/oletools.lua) > Kann das auch für andere external services aktiviert werden? Das funktioniert für Antivirus und External Services wenn action=reject nicht gesetzt ist. clamav { ... # erst in der postfilter stage laufen, sonst machts keinen Sinn symbol_type = 'postfilter', # dynmamisch prüfen ob der Scan noch notwendig ist dynamic_scan = true, } From cr at ncxs.de Thu Nov 28 11:08:03 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 28 Nov 2019 11:08:03 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> Message-ID: <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> Hallo Frank, danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec drin. die aktuelle Git Version von oletools hat das schon integriert: +----------+----------------+-----------------------------------------+ |Type |Keyword |Description | +----------+----------------+-----------------------------------------+ |AutoExec |Image1_Click |Runs when the file is opened and ActiveX | | | |objects trigger events | |AutoExec |Image1_MouseMove|Runs when the file is opened and ActiveX | | | |objects trigger events | |Suspicious|Open |May open a file | |Suspicious|Output |May write to a file (if combined with Open) | |Suspicious|Print # |May write to a file (if combined with Open) | |Suspicious|MkDir |May create a directory | |Suspicious|CreateObject |May create an OLE object | |Suspicious|CallByName |May attempt to obfuscate malicious function | | | |calls | |Suspicious|Chr |May attempt to obfuscate specific strings| | | |(use option --deobf to deobfuscate) | |Suspicious|VBA obfuscated |VBA string expressions were detected, may be | | |Strings |used to obfuscate strings (option --decode to| | | |see all) +----------+--------------------+-------------------------------------+ Die git Version kannst du so benutzen: git clone --recurse-submodules https://github.com/decalage2/oletools.git /opt/oletools und in /etc/olefy.conf: OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py VG Carsten On 27.11.19 12:03, Frank Fiene wrote: > Wo soll ich sie dir hinlegen? > > Aktuelle Virenpattern erkennen die Datei schon als Virus. > > > Viele Grüße! From Ralf.Hildebrandt at charite.de Thu Nov 28 11:12:22 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 28 Nov 2019 11:12:22 +0100 Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> Message-ID: <20191128101220.6qd52cjmnhmuksn7@charite.de> * Carsten Rosenberg : > Hallo Frank, > > danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec > drin. die aktuelle Git Version von oletools hat das schon integriert: Würdest Du die empfehlen? Wahrscheinlich schon :) > Die git Version kannst du so benutzen: > > git clone --recurse-submodules https://github.com/decalage2/oletools.git /opt/oletools > > und in /etc/olefy.conf: > > OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From philipp.faeustlin at uni-hohenheim.de Thu Nov 28 13:17:51 2019 From: philipp.faeustlin at uni-hohenheim.de (Philipp Faeustlin) Date: Thu, 28 Nov 2019 13:17:51 +0100 Subject: rspamd Test/Lern Modus Message-ID: <6404fc6d-09d8-d9e5-b770-2c2aeed510a6@uni-hohenheim.de> Hallo Liste, ich habe rspamd als milter vor mein Amavis setup gesetzt, damit rspamd lernen und ich die Ergebnisse vergleichen kann. Problem ist jetzt, wenn rspamd eine Nachricht als Spam einstuft, wird sie nicht mehr an Amavis übergegeben, sondern direkt rejected. Wie konfiguriere ich rspamd am sinnvollsten, damit es prinzipiell immer "no action" macht aber trotzdem prüft und lernt. Ich dachte an eine Regel in force_actions, aber ich kann ja schlecht alle Symbole in der expression auflisten, die es gibt. Mein Gedanke ist LERN_MODE { action = "no action"; expression = "*"; honor_action = ["add header"]; } Geht so etwas oder gibt es einen besseren Weg? VG Philipp -- Philipp Fäustlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5359 bytes Beschreibung: S/MIME Cryptographic Signature URL : From list+postfixbuch at gcore.biz Thu Nov 28 14:56:39 2019 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Thu, 28 Nov 2019 14:56:39 +0100 Subject: rspamd Test/Lern Modus In-Reply-To: <6404fc6d-09d8-d9e5-b770-2c2aeed510a6@uni-hohenheim.de> References: <6404fc6d-09d8-d9e5-b770-2c2aeed510a6@uni-hohenheim.de> Message-ID: <0F86717B-0DA5-4F9D-9A11-DFFFD0D3614A@gcore.biz> > ich habe rspamd als milter vor mein Amavis setup gesetzt, damit rspamd lernen und ich die Ergebnisse vergleichen kann. > > Problem ist jetzt, wenn rspamd eine Nachricht als Spam einstuft, wird sie nicht mehr an Amavis übergegeben, sondern direkt rejected. > > Wie konfiguriere ich rspamd am sinnvollsten, damit es prinzipiell immer "no action" macht aber trotzdem prüft und lernt. > > Ich dachte an eine Regel in force_actions, aber ich kann ja schlecht alle Symbole in der expression auflisten, die es gibt. > > Mein Gedanke ist > > LERN_MODE { > action = "no action"; > expression = "*"; > honor_action = ["add header"]; > } > > Geht so etwas oder gibt es einen besseren Weg? Du könntest es andersrum versuchen: erst amavis, danach rspamd. Dann kann der rspamd das X-Spam-Flag oder die Punktzahl von spamassassin auswerten und automatisch lernen. Bei rspamd gibt es das Symbol SPAM_FLAG mit einem score von 5. Wenn amavis gut funktioniert kannst Du das erhöhen, dann lernt rspamd und lehnt die Mail ab. Oder differenzierter: https://www.heinlein-support.de/sites/default/files/Rspamd_und_Mailinfrastruktur_Heinlein-Support_2018.pdf (Folie mit Rspamd Detail - Multimaps / Beispiel Pru?fung eines speziellen Headers) Viele Grüße Gerald From ffiene at veka.com Thu Nov 28 16:00:27 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 28 Nov 2019 16:00:27 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> Message-ID: <046B9752-C6BA-40B0-8F1F-C2632BB33390@veka.com> Sehr schön. Mit git ging das nicht, unter thirdparty fehlt so einiges. Ich habe das jetzt mit pip3 install -U https://github.com/decalage2/oletools/archive/master.zip Wie auf der Homepage dokumentiert installiert und dann wird AutoExec erkannt. Muss ich eigentlich olefy durchstarten oder werden die oletools zur Laufzeit gezogen? Danke! > Am 28.11.2019 um 11:08 schrieb Carsten Rosenberg : > > Hallo Frank, > > danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec > drin. die aktuelle Git Version von oletools hat das schon integriert: > > +----------+----------------+-----------------------------------------+ > |Type |Keyword |Description | > +----------+----------------+-----------------------------------------+ > |AutoExec |Image1_Click |Runs when the file is opened and ActiveX | > | | |objects trigger events | > |AutoExec |Image1_MouseMove|Runs when the file is opened and ActiveX | > | | |objects trigger events | > |Suspicious|Open |May open a file | > |Suspicious|Output |May write to a file (if combined with Open) | > |Suspicious|Print # |May write to a file (if combined with Open) | > |Suspicious|MkDir |May create a directory | > |Suspicious|CreateObject |May create an OLE object | > |Suspicious|CallByName |May attempt to obfuscate malicious function | > | | |calls | > |Suspicious|Chr |May attempt to obfuscate specific strings| > | | |(use option --deobf to deobfuscate) | > |Suspicious|VBA obfuscated |VBA string expressions were detected, may be | > | |Strings |used to obfuscate strings (option --decode to| > | | |see all) > +----------+--------------------+-------------------------------------+ > > Die git Version kannst du so benutzen: > > git clone --recurse-submodules https://github.com/decalage2/oletools.git > /opt/oletools > > und in /etc/olefy.conf: > > OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py > > VG Carsten > > On 27.11.19 12:03, Frank Fiene wrote: >> Wo soll ich sie dir hinlegen? >> >> Aktuelle Virenpattern erkennen die Datei schon als Virus. >> >> >> Viele Grüße! Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From philipp.faeustlin at uni-hohenheim.de Thu Nov 28 17:36:21 2019 From: philipp.faeustlin at uni-hohenheim.de (Philipp Faeustlin) Date: Thu, 28 Nov 2019 17:36:21 +0100 Subject: rspamd Test/Lern Modus In-Reply-To: <0F86717B-0DA5-4F9D-9A11-DFFFD0D3614A@gcore.biz> References: <6404fc6d-09d8-d9e5-b770-2c2aeed510a6@uni-hohenheim.de> <0F86717B-0DA5-4F9D-9A11-DFFFD0D3614A@gcore.biz> Message-ID: Am 28.11.19 um 14:56 schrieb Gerald Galster: >> ich habe rspamd als milter vor mein Amavis setup gesetzt, damit rspamd lernen und ich die Ergebnisse vergleichen kann. >> >> Problem ist jetzt, wenn rspamd eine Nachricht als Spam einstuft, wird sie nicht mehr an Amavis übergegeben, sondern direkt rejected. >> >> Wie konfiguriere ich rspamd am sinnvollsten, damit es prinzipiell immer "no action" macht aber trotzdem prüft und lernt. >> >> Ich dachte an eine Regel in force_actions, aber ich kann ja schlecht alle Symbole in der expression auflisten, die es gibt. >> >> Mein Gedanke ist >> >> LERN_MODE { >> action = "no action"; >> expression = "*"; >> honor_action = ["add header"]; >> } >> >> Geht so etwas oder gibt es einen besseren Weg? > > Du könntest es andersrum versuchen: erst amavis, danach rspamd. Dann kann der rspamd das X-Spam-Flag oder die Punktzahl von spamassassin auswerten und automatisch lernen. > Bei rspamd gibt es das Symbol SPAM_FLAG mit einem score von 5. Wenn amavis gut funktioniert kannst Du das erhöhen, dann lernt rspamd und lehnt die Mail ab. > > Oder differenzierter: https://www.heinlein-support.de/sites/default/files/Rspamd_und_Mailinfrastruktur_Heinlein-Support_2018.pdf > (Folie mit Rspamd Detail - Multimaps / Beispiel Pru?fung eines speziellen Headers) > > Viele Grüße > Gerald > Dass der Weg mit zuerst Amavis und dann Rspamd möglich ist, ist mir klar, aber ich halte ihn für den Beginn einer Migration für nicht sinnvoll. Da ich dann mein "gut" funktionierendes Amavis Setup umbauen müsste und die finale Entscheidung über meine Mails das für mich neue rspamd treffen muss, welches ich noch nicht so gut kenne. Das ist mir zu riskant und Carsten schlägt für die Migration auch zuerst rspamd,amavis vor (Folie 42). Ich muss jetzt nur herausfinden wie ich "Milter1 sollte nur scannen und Header einfügen" in rspamd umsetze. Gruß Philipp -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5359 bytes Beschreibung: S/MIME Cryptographic Signature URL : From cr at ncxs.de Thu Nov 28 20:20:15 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 28 Nov 2019 20:20:15 +0100 Subject: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <046B9752-C6BA-40B0-8F1F-C2632BB33390@veka.com> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> <046B9752-C6BA-40B0-8F1F-C2632BB33390@veka.com> Message-ID: On 28.11.19 16:00, Frank Fiene wrote: > Sehr schön. > > Mit git ging das nicht, unter thirdparty fehlt so einiges. > Ich habs leieder nur auf einem System getestet auf dem oletools auch schon via pip installiert war, danke! > > Ich habe das jetzt mit  > > pip3 install -U https://github.com/decalage2/oletools/archive/master.zip > > Wie auf der Homepage dokumentiert installiert und dann wird AutoExec > erkannt. > Muss ich eigentlich olefy durchstarten oder werden die oletools zur > Laufzeit gezogen? > > > Danke! Du muss olefy nicht neu starten. Leider haben wir es noch nicht geschafft oletools direkt zu nutzen, sondern rufen noch olevba direkt auf. VG c From cr at ncxs.de Thu Nov 28 20:22:02 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 28 Nov 2019 20:22:02 +0100 Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <20191128101220.6qd52cjmnhmuksn7@charite.de> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> <20191128101220.6qd52cjmnhmuksn7@charite.de> Message-ID: <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de> On 28.11.19 11:12, Ralf Hildebrandt wrote: > * Carsten Rosenberg : >> Hallo Frank, >> >> danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec >> drin. die aktuelle Git Version von oletools hat das schon integriert: > > Würdest Du die empfehlen? Wahrscheinlich schon :) Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus. > >> Die git Version kannst du so benutzen: >> >> git clone --recurse-submodules https://github.com/decalage2/oletools.git /opt/oletools >> >> und in /etc/olefy.conf: >> >> OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py > From cr at ncxs.de Thu Nov 28 21:05:13 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 28 Nov 2019 21:05:13 +0100 Subject: rspamd Test/Lern Modus In-Reply-To: References: <6404fc6d-09d8-d9e5-b770-2c2aeed510a6@uni-hohenheim.de> <0F86717B-0DA5-4F9D-9A11-DFFFD0D3614A@gcore.biz> Message-ID: <8abcd54a-a0cc-6eb2-c528-83a5f5484d9c@ncxs.de> Hey, On 28.11.19 17:36, Philipp Faeustlin wrote: > Am 28.11.19 um 14:56 schrieb Gerald Galster: >>> ich habe rspamd als milter vor mein Amavis setup gesetzt, damit >>> rspamd lernen und ich die Ergebnisse vergleichen kann. >>> >>> Problem ist jetzt, wenn rspamd eine Nachricht als Spam einstuft, wird >>> sie nicht mehr an Amavis übergegeben, sondern direkt rejected. >>> >>> Wie konfiguriere ich rspamd am sinnvollsten, damit es prinzipiell >>> immer "no action" macht aber trotzdem prüft und lernt. >>> >>> Ich dachte an eine Regel in force_actions, aber ich kann ja schlecht >>> alle Symbole in der expression auflisten, die es gibt. >>> >>> Mein Gedanke ist >>> >>> LERN_MODE { >>>    action = "no action"; >>>    expression = "*"; >>>    honor_action = ["add header"]; >>> } >>> >>> Geht so etwas oder gibt es einen besseren Weg? Du kannst die action reject deaktivieren: # /etc/rspamd/local.d/actions.conf reject = null; Oder einfach 999. Wenn du sinnvoll sehen möchtest welche E-Mails der Rspamd rejecten würde, könntest du add_header = 15; setzen. add_header ordnet Rspamd der Spam-Seite zu und stellt es im Webinterface entsprechend dar. >> >> Du könntest es andersrum versuchen: erst amavis, danach rspamd. Dann >> kann der rspamd das X-Spam-Flag oder die Punktzahl von spamassassin >> auswerten und automatisch lernen. >> Bei rspamd gibt es das Symbol SPAM_FLAG mit einem score von 5. Wenn >> amavis gut funktioniert kannst Du das erhöhen, dann lernt rspamd und >> lehnt die Mail ab. >> >> Oder differenzierter: >> https://www.heinlein-support.de/sites/default/files/Rspamd_und_Mailinfrastruktur_Heinlein-Support_2018.pdf >> >> (Folie mit Rspamd Detail - Multimaps / Beispiel Pru?fung eines >> speziellen Headers) >> >> Viele Grüße >> Gerald >> > > Dass der Weg mit zuerst Amavis und dann Rspamd möglich ist, ist mir > klar, aber ich halte ihn für den Beginn einer Migration für nicht > sinnvoll. Da ich dann mein "gut" funktionierendes Amavis Setup umbauen > müsste und die finale Entscheidung über meine Mails das für mich neue > rspamd treffen muss, welches ich noch nicht so gut kenne. > Das ist mir zu riskant und Carsten schlägt für die Migration auch zuerst > rspamd,amavis vor (Folie 42). > > Ich muss jetzt nur herausfinden wie ich "Milter1 sollte nur scannen und > Header einfügen" in rspamd umsetze. Zum gucken und damit Rspamd schon mal E-Mails sieht zuerst der Rspamd, wenn Rspamd dann von der Erfahrung des Amavis profitieren soll, dann später zuerst der Amavis. > > Gruß Philipp > From list+postfixbuch at gcore.biz Fri Nov 29 11:25:41 2019 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 29 Nov 2019 11:25:41 +0100 Subject: rspamd Test/Lern Modus In-Reply-To: <8abcd54a-a0cc-6eb2-c528-83a5f5484d9c@ncxs.de> References: <6404fc6d-09d8-d9e5-b770-2c2aeed510a6@uni-hohenheim.de> <0F86717B-0DA5-4F9D-9A11-DFFFD0D3614A@gcore.biz> <8abcd54a-a0cc-6eb2-c528-83a5f5484d9c@ncxs.de> Message-ID: <72BBDBB7-CAB8-432B-9142-F8A5687967C1@gcore.biz> > On 28.11.19 17:36, Philipp Faeustlin wrote: >> Am 28.11.19 um 14:56 schrieb Gerald Galster: >>>> ich habe rspamd als milter vor mein Amavis setup gesetzt, damit >>>> rspamd lernen und ich die Ergebnisse vergleichen kann. >>>> >>>> Problem ist jetzt, wenn rspamd eine Nachricht als Spam einstuft, wird >>>> sie nicht mehr an Amavis übergegeben, sondern direkt rejected. >>>> >>>> Wie konfiguriere ich rspamd am sinnvollsten, damit es prinzipiell >>>> immer "no action" macht aber trotzdem prüft und lernt. >>>> >>>> Ich dachte an eine Regel in force_actions, aber ich kann ja schlecht >>>> alle Symbole in der expression auflisten, die es gibt. >>>> >>>> Mein Gedanke ist >>>> >>>> LERN_MODE { >>>> action = "no action"; >>>> expression = "*"; >>>> honor_action = ["add header"]; >>>> } >>>> >>>> Geht so etwas oder gibt es einen besseren Weg? > > Du kannst die action reject deaktivieren: > > # /etc/rspamd/local.d/actions.conf > reject = null; > > Oder einfach 999. Wenn du sinnvoll sehen möchtest welche E-Mails der > Rspamd rejecten würde, könntest du > > add_header = 15; > > setzen. add_header ordnet Rspamd der Spam-Seite zu und stellt es im > Webinterface entsprechend dar. Laut Doku lernt rspamd eine Mail als Spam wenn sie abgelehnt wird (reject). Alternativ kann man einen score dafür setzen, z.B. autolearn = [-5, 5] https://rspamd.com/doc/configuration/statistic.html Abschnitt Autolearning (ganz unten) Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Fri Nov 29 11:50:24 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 29 Nov 2019 11:50:24 +0100 Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert In-Reply-To: <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de> References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de> <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de> <20191128101220.6qd52cjmnhmuksn7@charite.de> <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de> Message-ID: <20191129105022.qifgthbh2bg2ooia@charite.de> > Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es > aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus. Läuft 1A bisher. Bonusfrage: Wie macht man Whitelisting? Also gewissen Absendern das Versenden vom "problematischen" Attachments erlauben. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de