Am 14.09.2015 um 08:06 schrieb Django [BOfH]:
Griasde Robert,
Am 10.09.2015 um 17:44 schrieb Robert Schetterer:
Hi Django , was verstehst du unter Schadcode
In den besagten ZIP-Archiven war jeweils ein Bankingtrojaner.
"Virus signaturen" sollten vom antivir gekillt werden ,
Der besagte backscatter wurde eben nicht von AMaViS/ClamAV/Spamassassin beanstandet, sondern durchgewunken. Wenn ich hingegen die Nachricht via telnet MX:25 von einem fremden Host aus als "normale eMail" versuche einzukippen, wird die Nachricht rejected. Und genau dieses Verhalten macht mich ein wenig stutzig.
ansonsten ist "backscatter" immer schlecht zu erwischen...
Auch nicht von Marc's killer feature im AMaViS?
ich denke die ueblichen Verfahren dazu kennst du schon
Wen Du mir verrätst, was "die ueblichen Verfahren" sind, dann kann ich Dir sagen, was ich kenne.
nun ein bounce oder backscatter ich am Ende auch "nur" eine Mail, wenn Schadsoftware enthalten ist, ist es primaer die Aufgabe des Antivir das rauszufischen. Also wuerde ich in "diesem Fall" dort ansetzen, aber auch auf diesem Gebiet gilt ,100 % gibt es nicht. Sollte es eine anhaltende Welle von aehnlichen Virenmails sein, gilt es Aehnlichkeiten zu finden und dort die Empfindlichkeit von Filtern zu erhoehen. Das kann nun innerhalb von Amavis geschehen oder du brauchst zusaetzliche Filter oder eine andere Verkettung. Mit milter-manager kannst du z.b eine Art Weiche einfuehren die an Hand von div Parametern bestimmte Mails in eine andere ( evtl strengere ) Filterkette leitet.
fuer backscatter gibt es zb
bzw eben auch den bounce Killer von Amavis
Mit welcher Methode du im konkreten Fall am besten zu Rande kommst kannst du nur durch Analyse rausfinden, und dann belibt noch die Frage ob du eine Kurzeitloesung brauchst und/oder eine langfristige Loesung willst.
Servus Django
Best Regards MfG Robert Schetterer