Hey Carsten,
vielen Dank für die Anleitung, wobei ich Walter absolut Recht gebe
(und meine eigene Einstellung teilt), wenn er schreibt:
Zitat:
"auch wenn es gehen sollte, eine Gegenfrage: kannst
garantieren, dass Mails dieser speziellen Kunden nicht das
Ergebnis ein Infiltration und damit dann sicher Schadsoftware
sind?
soll heißen, derartiges auf keinen Fall zu tun;
Zitat - Ende
Ich als Admin möchte diese strikte Linie natürlich auch in Zukunft
unbedingt beibehalten, und hoffe, dass ich das nie umsetzen muss.
Aber für den Fall, dass alle noch so überzeugenden Argumente eines
Admins und die vielen Medienberichte über die Auswirkungen solcher
Makros von höherer Stelle ungehört blieben, möchte ich vorbereitet
sein.
Danke für eure Anleitungen und Meinungen,
VG, Andi
Am 29.11.2021 um 10:26 schrieb Carsten
Rosenberg:
Hey,
du kannst im Rspamd Virenmeldungen via Pattern Regex ein eigenes
Symbol zuweisen:
clamav {
...
patterns {
CLAM_HEUR_OLE2_VBA_MACRO =
"^(Heuristics\.OLE2\.ContainsMacros.*|File contains macros)";
}
}
Das nutzen wir sehr intensiv um auch die Unofficial Signaturen zu
kategorisieren.
Wenn du jetzt den Reject nicht im Plugin sondern via force_actions
machst, kannst du in einem Settings-Profil darauf Einfluss nehmen.
force_actions.conf:
rules {
VIRUS_REJECT {
action = "reject";
expression = "CLAMAV_VIRUS | CLAM_HEUR_OLE2_VBA_MACRO";
message = "REJECT - virus found";
}
}
Und deaktivieren via settings.conf
internal_systems {
id = "internal_systems";
priority = high;
# remote client ip
ip = "172.16.0.1/32";
apply {
symbols_disabled = [
"CLAM_HEUR_OLE2_VBA_MACRO",
];
groups_disabled = [
];
}
}
Viele Grüße
Carsten
On 29.11.21 09:06, Andreas Wass - Glas Gasperlmair wrote:
Hallo zusammen,
wir verwenden Postfix in Kombination mit ClamAV (über rspamd
eingebunden) mit der Einstellung "OLE2BlockMacros true"
(/etc/clamav/clamd.conf).
Ist es möglich, diese Einstellung für spezielle Kunden
IP-Adressen zu umgehen und deren E-Mails mit Macros in
Dokumenten zuzulassen?
vg, Andi