Am 25.09.2016 um 22:15 schrieb Markus Gonzalez ml@markus-gonzalez.de:
Hallo Matthias,
Am 25.09.2016 um 11:04 schrieb Matthias Schmidt:
Hallo,
erstmals herzlichen Dank für die vielen nützliche Tips :-) So konnte ich das Spamaufkommen nochmal heftig runterdrücken :-)
Noch 2 Fragen hätt ich: ich hab den Eindruck, dass bei gültiger DKIM die Mails nicht mehr an Spamassassin geschickt werden. Oder bin ich da auf dem Holzweg (das sind jetzt 95% aller Spammails, wie nie bestellte Newsletter und dergleichen).
Normalerweise kannst du beim Anzeigen des Headers / des Quelltextes sehen, ob Spamassassin durchlaufen wurde.
ist mir klar. Nur steht bei diesen Mails eben gar nix im Header ausser, dass sie Virus gescannt wurden. Das Problem ist hier freilich, dass clamAV offensichtlich ein Problem mit zips hat.
Wo find ich eigentlich eine Dokumentation für die Rules? Es gibt zwar was bei Apache (https://wiki.apache.org/spamassassin/Rules), da scheint aber nicht alles drin zu sein, so kann ich z.Bsp. CK_HELO_GENERIC nicht finden. Ich nehm an, dass ich mit spamassassin.heinlein-support.de ein nettes deutsches Ruleset laden könnte, würde mir sa-update nicht einen Fehler werfen (und ich hab’s noch nicht rausbekommen, wie ich der Systeminstallation von perl unter elCapitano etwas nachhelfen kann :(
Noch eins: Received: from abts-kk-dynamic-168.66.172.122.airtelbroadband.in (unknown [122.171.25.251])
Das besagt die Einlieferung der Mail von einem MUA an einem Internetzugang mit Dynamischer IP, wie DSL-Anschluss zbsp.
so steht zum beispiel in dem Header deiner Mail:
Received: from localhost (localhost [127.0.0.1]) by mcgregor.admilon.net (Postfix) with ESMTP id 376F79F4D68 for postfix-users@de.postfix.org; Sun, 25 Sep 2016 18:05:02 +0900 (JST)
würdest du hier wirklich erzwingen wollen, das alle die einen MUA an einem dynalischen DSL Anschluss dir keine Mails senden dürfen ?
über dynamische IPs kommen bei mir ausschliesslich Spams an. Und speziell dieses Mail hatte einen Virus im Anhang.
Es gibt in der tat Restriktionen in Postfix, die dieses unterbinden,
Ist mir bekannt ;-)
muss ich aber nachschauen, welche das sind. Aber bitte dir nochmal Gedanken dazu machen, ob das wirklich gewunscht ist ….
ich mach jetzt das hier: smtpd_helo_restrictions = permit_mynetworks check_helo_access hash:/Library/Server/Mail/Config/postfix/helo_access reject_invalid_helo_hostname reject_non_fqdn_helo_hostname smtpd_sender_restrictions = permit_mynetworks permit_sasl_authenticated reject_unknown_sender_domain reject_non_fqdn_sender smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks permit_tls_clientcerts reject_non_fqdn_hostname reject_invalid_hostname reject_unknown_reverse_client_hostname reject_unauth_destination check_sender_access hash:/Library/Server/Mail/Config/postfix/whitelist check_sender_access regexp:/Library/Server/Mail/Config/postfix/tag_as_originating.re check_sender_access regexp:/Library/Server/Mail/Config/postfix/tag_as_foreign.re reject_rbl_client cbl.abuseat.org reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client virbl.dnsbl.bit.nl reject_rbl_client blackholes.easynet.nl reject_rbl_client bl.spamcop.net
und werd das mal weiter beobachten.
Der Perl-Schei** macht mir momentan mehr Bauchweh ;-)
Gruss Matthias
Da ist mir nicht wirklich klar, warum das nicht schon von Postfix durch eines dieser Regeln reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_reverse_client_hostname abgewiesen worden ist.
Dank und Gruss Matthias
Am 22.09.2016 um 16:27 schrieb Hoyer-Reuther, Christian Christian.Hoyer-Reuther@cac-chem.de:
Hallo,
wir haben, u.a. wegen der Ransomware-Problematik, seit längerem folgendes am laufen.
Auf dem MX läuft Postfix+Amavis+SA+ClamAV+ESET. In Postfix reject_rbl_client zen.spamhaus.org (blockt viel ab) und ix.dnsbl.manitu.net. Mails mit Banned Files, Viren und Spam ab bestimmtem Wert werden rejected.
Banned Files: 386|ace|bat|bin|chm|class|cmd|cnt|com|cpl|do|drv|exe|f|fxp|gadget|hlp|hpj|hta|inf|ins|isp|its|jar|js|jse|kix|lnk|mht|mhtm|mhtml|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|ocx|ole|pif|prf|ps1|ps1xml|ps2|ps2xml|psc1|psc2|reg|rm|scf|scr|sct|shb|shm|shs|swf|sys|vb|vbe|vbp|vbs|vbx|vsmacros|vxd|ws|wsc|wsf|wsh|xbap|xl|xnk|xsl
SA-Channels updates.spamassassin.org und spamassassin.heinlein-support.de
Auf dem MTA dahinter läuft auch nochmal Postfix+Amavis+SA+ClamAV+ESET. Banned Files sind hier alle MS Office Formate außer DOC und DOCX. Im ClamAV ist die Option OLE2BlockMacros auf true gesetzt, damit werden MS Office Dateien mit Makro von ClamAV als Virus eingestuft. Mails mit Banned Files und Viren werden discarded und per $banned_quarantine_to bzw. $virus_quarantine_to in ein Quarantäne-Postfach eingeliefert. Dort werden sie nach Einschätzung/Prüfung und ggf. Nachfrage beim Empfänger entweder in das Postfach des Empfängers verschoben oder gelöscht. Bei ca. 10-30 Mails pro Tag in der Quarantäne ist der Aufwand noch vertretbar, bei deutlich mehr wäre das natürlich irgendwann nicht mehr machbar.
Zusätzlich sind natürlich per GPO auf den Clients die MS Office Makroeinstellungen entsprechend abgesichert, und die User werden von Zeit zu Zeit sensibilisiert.
Ich habe hier noch mehrere Mails daliegen, bei denen ich den starken Verdacht habe, dass man sich mit den Anhängen (XLSX mit zufälligen Namen) einen Verschlüsselungstrojaner einfängt; bei diesen Mails hat allerdings ClamAV _keine_ Makros erkannt. Eventuell sind da ja Links drin.
Wichtig ist noch das Thema 7z und verschlüsselte Archive, wenn man Amavis 2.10.0 oder älter im Einsatz hat (Debian Jessie hat z.B. 2.10.0). Amavis interpretiert hier nämlich die Ausgabe von 7z bei verschlüsselten Dateien falsch und bekommt daher nicht mit, dass es eine verschlüsselte Datei ist. Damit kommt dann $undecipherable_subject_tag nicht zur Anwendung, d.h. der Betreff der Mail wird nicht mit "UNCHECKED" markiert und der User bekommt nicht mit, dass der Anhang nicht geprüft werden konnte. In 2.11.0 ist das behoben, auf der Amavis-Mailingliste gibt es einen Thread dazu --> https://lists.amavis.org/pipermail/amavis-users/2016-September/004456.html
Gruß Christian
-----Original Message----- From: postfix-users [mailto:postfix-users-bounces+christian.hoyer- reuther=cac-chem.de@de.postfix.org] On Behalf Of Matthias Schmidt Sent: Thursday, September 22, 2016 7:14 AM To: postfix-users@de.postfix.org Subject: Spamassasin, Zips u.a.
- das grössere Problem ist, dass nach wie vor Mails durchkommen mit:
Hallo + mehr oder weniger korrekte Anrede In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder dergleichen) (…) und dann hängt da ein zip oder ein Word doc dran freilich mit der ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein.
Jeder auf der Liste hier weiss, was da drin ist ;-)
Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu wollen Dokumente zu empfangen ;-) oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer Ramsoftware schaffen es ja immer wieder selbst den Spamassasin auszutricksen.