Re: [leicht OT] SPAM als Bounces der eigenen Domain mit Schadcode im Gepäck

Robert Schetterer rs at sys4.de
Mo Sep 14 09:21:23 CEST 2015


Am 14.09.2015 um 08:06 schrieb Django [BOfH]:
> Griasde Robert,
> 
> Am 10.09.2015 um 17:44 schrieb Robert Schetterer:
> 
>> Hi Django , was verstehst du unter Schadcode
> 
> In den besagten ZIP-Archiven war jeweils ein Bankingtrojaner.
> 
>> "Virus signaturen" sollten vom antivir gekillt werden ,
> 
> Der besagte backscatter wurde eben nicht von AMaViS/ClamAV/Spamassassin
> beanstandet, sondern durchgewunken. Wenn ich hingegen die Nachricht via
> telnet MX:25 von einem fremden Host aus als "normale eMail" versuche
> einzukippen, wird die Nachricht rejected. Und genau dieses Verhalten
> macht mich ein wenig stutzig.
> 
>> ansonsten ist "backscatter" immer schlecht zu  erwischen...
> 
> Auch nicht von Marc's killer feature im AMaViS?
> 
>> ich denke die ueblichen Verfahren dazu kennst du schon
> 
> Wen Du mir verrätst, was "die ueblichen Verfahren" sind, dann kann ich
> Dir sagen, was ich kenne.
> 

nun ein bounce oder backscatter ich am Ende auch "nur" eine Mail, wenn
Schadsoftware enthalten ist, ist es primaer die Aufgabe des Antivir das
rauszufischen. Also wuerde ich in "diesem Fall" dort ansetzen, aber auch
auf diesem Gebiet gilt ,100 % gibt es nicht. Sollte es eine anhaltende
Welle von aehnlichen Virenmails sein, gilt es Aehnlichkeiten zu finden
und dort die Empfindlichkeit von Filtern zu erhoehen. Das kann nun
innerhalb von Amavis geschehen oder du brauchst zusaetzliche Filter oder
eine andere Verkettung. Mit milter-manager kannst du z.b eine Art Weiche
einfuehren die an Hand von div Parametern bestimmte Mails in eine andere
( evtl strengere ) Filterkette leitet.

fuer backscatter gibt es zb

http://babel.de/batv.html

bzw eben auch den bounce Killer von Amavis

Mit welcher Methode du im konkreten Fall am besten zu Rande kommst
kannst du nur durch Analyse rausfinden, und dann belibt noch die Frage
ob du eine Kurzeitloesung brauchst und/oder eine langfristige Loesung
willst.


> 
> Servus
> Django
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein


Mehr Informationen über die Mailingliste postfix-users