[ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Mi Nov 27 11:31:10 CET 2019 

* Frank Fiene <ffiene at veka.com>:
> Ich habe mal wieder ein Problem.
> 
> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.

Ich sehe konkret sowas:

...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},...
...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},...

Auch interessant:
=================

Nov 27 11:19:52 mail-cbf python3[61695]: olefy DEBUG eof_received <3142b7> /tmp/1574849992.6205263.58698 choosen as tmp filename
Nov 27 11:19:52 mail-cbf python3[61695]: olefy INFO oletools <3142b7> application/pdf (libmagic output)

Warum will er einen PDF Anhang untersuchen? Ich habe explizit gesetzt:

   mime_parts_filter_regex {
   # UNKNOWN = "application\/octet-stream";
   DOC2 = "application\/msword";
   DOC3 = "application\/vnd\.ms-word.*";
   XLS = "application\/vnd\.ms-excel.*";
   PPT = "application\/vnd\.ms-powerpoint.*";
   GENERIC = "application\/vnd\.openxmlformats-officedocument.*";
   }

   mime_parts_filter_ext {
        doc = "doc";
	dot = "dot";
	docx = "docx";
	dotx = "dotx";
	docm = "docm";
	dotm = "dotm";
	xls = "xls";
	xlt = "xlt";
	xla = "xla";
	xlsx = "xlsx";
	xltx = "xltx";
	xlsm = "xlsm";
	xltm = "xltm";
	xlam = "xlam";
	xlsb = "xlsb";
	ppt = "ppt";
	pot = "pot";
	pps = "pps";
	ppa = "ppa";
	pptx = "pptx";
	potx = "potx";
	ppsx = "ppsx";
	ppam = "ppam";
	pptm = "pptm";
	potm = "potm";
	ppsm = "ppsm";
   }
								    
gesetzt.

Ah, deswegen:
Nov 27 11:19:52 mail-cbf amavis[45803]: (45803-14) p003 1/2 Content-Type: application/pdf, base64, size: 38240, SHA1 digest: 9fed25f7d140b5d00f77654180b8e6089742bccf, name: Ablaufplan_Musterzimmer_BHH.xls.pdf

Der Name ist irgendwas.xls.pdf

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191127/931fb5ca/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users