Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene ffiene at veka.com
Di Nov 26 15:55:10 CET 2019


Da wird uns der Carsten bestimmt helfen! :-)

/etc/olefy.conf:

# olefy socket Configuration file                                                                                                                     

OLEFY_BINDADDRESS=127.0.0.1
OLEFY_BINDPORT=10050

# systemd PrivateTmp is used. The path will be /tmp/systemd....olefy.../tmp                                                                           
OLEFY_TMPDIR=/tmp

# no command line options allowed here                                                                                                                
OLEFY_PYTHON_PATH=/usr/bin/python3
# no command line options allowed here                                                                                                                
OLEFY_OLEVBA_PATH=/usr/local/bin/olevba3

# 10:DEBUG, 20:INFO, 30:WARNING, 40:ERROR, 50:CRITICAL                                                                                                
OLEFY_LOGLVL=30

# olefy will do nothing with files under MINLENGTH characters                                                                                         
OLEFY_MINLENGTH=500

# 0 - do not delete tmp files, 1 - delete tmp files                                                                                                   
#  regardless this setting systemd will restart the service all 4h                                                                                    
#  and creates a new PrivateTmp                                                                                                                       
OLEFY_DEL_TMP=1



/etc/rspamd/local.d/external_services.conf:

oletools {
  servers = "127.0.0.1:10050"
  action = "reject";
  max_size = 20000000;
  log_clean = true;
  cache_expire = 86400;
  scan_mime_parts = true;
  extended = false;
}


Der Dienst läuft und olevba3 funktioniert wie im Eingangsposting zu sehen:

 7138 ?        Ss     0:00 /usr/bin/python3 /usr/local/bin/olefy.py




Viele Grüße! Frank



> Am 26.11.2019 um 15:46 schrieb Frank Fiene <ffiene at veka.com>:
> 
> Ich habe mal wieder ein Problem.
> 
> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
> 
> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:
> 
> +------------+--------------+-----------------------------------------+
> | Type       | Keyword      | Description                             |
> +------------+--------------+-----------------------------------------+
> | Suspicious | Open         | May open a file                         |
> | Suspicious | Output       | May write to a file (if combined with   |
> |            |              | Open)                                   |
> | Suspicious | Print #      | May write to a file (if combined with   |
> |            |              | Open)                                   |
> | Suspicious | MkDir        | May create a directory                  |
> | Suspicious | CreateObject | May create an OLE object                |
> | Suspicious | CallByName   | May attempt to obfuscate malicious      |
> |            |              | function calls                          |
> | Suspicious | Chr          | May attempt to obfuscate specific       |
> |            |              | strings (use option --deobf to          |
> |            |              | deobfuscate)                            |
> +------------+--------------+-----------------------------------------+
> 
> 
> Das sollte also eigentlich blockiert werden, korrekt?
> Virustotal sagt mir dasselbe.
> 
> Wo fange ich mit dem Debuggen an?
> 
> 
> 
> Viele Grüße!
> Frank
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com
> http://www.veka.com
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
> 

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191126/8ceae5fc/attachment-0001.html>


Mehr Informationen über die Mailingliste Postfixbuch-users