Wie teste ich, ob rspamd mit den OLEtools funktioniert
Frank Fiene
ffiene at veka.com
Di Nov 26 15:55:10 CET 2019
Da wird uns der Carsten bestimmt helfen! :-)
/etc/olefy.conf:
# olefy socket Configuration file
OLEFY_BINDADDRESS=127.0.0.1
OLEFY_BINDPORT=10050
# systemd PrivateTmp is used. The path will be /tmp/systemd....olefy.../tmp
OLEFY_TMPDIR=/tmp
# no command line options allowed here
OLEFY_PYTHON_PATH=/usr/bin/python3
# no command line options allowed here
OLEFY_OLEVBA_PATH=/usr/local/bin/olevba3
# 10:DEBUG, 20:INFO, 30:WARNING, 40:ERROR, 50:CRITICAL
OLEFY_LOGLVL=30
# olefy will do nothing with files under MINLENGTH characters
OLEFY_MINLENGTH=500
# 0 - do not delete tmp files, 1 - delete tmp files
# regardless this setting systemd will restart the service all 4h
# and creates a new PrivateTmp
OLEFY_DEL_TMP=1
/etc/rspamd/local.d/external_services.conf:
oletools {
servers = "127.0.0.1:10050"
action = "reject";
max_size = 20000000;
log_clean = true;
cache_expire = 86400;
scan_mime_parts = true;
extended = false;
}
Der Dienst läuft und olevba3 funktioniert wie im Eingangsposting zu sehen:
7138 ? Ss 0:00 /usr/bin/python3 /usr/local/bin/olefy.py
Viele Grüße! Frank
> Am 26.11.2019 um 15:46 schrieb Frank Fiene <ffiene at veka.com>:
>
> Ich habe mal wieder ein Problem.
>
> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
>
> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:
>
> +------------+--------------+-----------------------------------------+
> | Type | Keyword | Description |
> +------------+--------------+-----------------------------------------+
> | Suspicious | Open | May open a file |
> | Suspicious | Output | May write to a file (if combined with |
> | | | Open) |
> | Suspicious | Print # | May write to a file (if combined with |
> | | | Open) |
> | Suspicious | MkDir | May create a directory |
> | Suspicious | CreateObject | May create an OLE object |
> | Suspicious | CallByName | May attempt to obfuscate malicious |
> | | | function calls |
> | Suspicious | Chr | May attempt to obfuscate specific |
> | | | strings (use option --deobf to |
> | | | deobfuscate) |
> +------------+--------------+-----------------------------------------+
>
>
> Das sollte also eigentlich blockiert werden, korrekt?
> Virustotal sagt mir dasselbe.
>
> Wo fange ich mit dem Debuggen an?
>
>
>
> Viele Grüße!
> Frank
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
>
Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW
VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191126/8ceae5fc/attachment-0001.html>
Mehr Informationen über die Mailingliste Postfixbuch-users