Re: (OT) Anhänge abweisen mit rspamd

Carsten Rosenberg cr at ncxs.de
Mo Apr 12 14:57:43 CEST 2021


Hey,

Wenn die Meldung nicht angepasst wird, ist erstmal alles "Spam".

Ich würde das Blockieren von Extensions auch nicht (mehr) über mime
types und Punkten machen. Denn wenn man die selbstlernenden Module vom
Rspamd verwendet, lernt der dann auch die Mail mit dem Firefox Installer
vom Kollegen. Das gibt dann schnell viele False Positives. Das mime_type
Plugin würde ich einfach beim Default lassen

Mein Ansatz wäre Multimaps:

https://rspamd.com/doc/modules/multimap.html#examples

BANNED_EXTENSIONS {
  type = "filename";
  filter = "extension";
  map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
  message = "A restricted file type was found";
}

In die Map kommt dann zeilenweise eine Extension

exe
scr
...

Rspamd macht hier auch die Konvertierung in den Content-Type und prüft
den. Außerdem Filenames in Zips.

Hier mache ich keinen REJECT!

Sondern dann in den Force Action, wo man das dann auch schon noch mit
ner Whitelist verknüpfen und ne Custom Message setzen kann.

  BANNED_EXTENSIONS {
    action = "reject";
    expression = "BANNED_EXTENSIONS & !WL_BANNED_EXTENSIONS";
    message = "REJECT - Attachment type is forbidden. (support-id:
${queueid})";
  }

Wenn man mit den Selectors ein wenig spielt, bekäme man auch noch die
blockierte Erweiterung da mit rein.


@Katharina: Deine Charsets könnte man sicher auch mit den Selectors
zusammen bekommen oder es müsste eine Lua Funktion werden.
Die Frage ist warum du Charsets ablehnst? Das Land oder die Sprache
eines Text-Parts läßt sich recht einfach matchen.

Viele Grüße

Carsten



On 12.04.21 14:31, Christian Schmidt wrote:
> Moin,
> 
> André Peters, 10.04.21:
>>          bad_extensions = {
>>            exe = 100500,
>>          },
>>          bad_archive_extensions = {
>>            js = 100500,
>>          },
>>
>> So wäre Ende. :)
> 
> Nur so aus Interesse: Wie wird das dann dem Absender quittiert?
> Sprich: Erhält er/sie dann die sinngemäße Antwort, dass die Nachricht
> als *Spam* abgewiesen wurde? Das fände ich nicht so elegant...
> 
> Mit freundlichen Grüßen
> Christian Schmidt
> 


Mehr Informationen über die Mailingliste Postfixbuch-users