Spamassasin, Zips u.a.

Hoyer-Reuther, Christian Christian.Hoyer-Reuther at cac-chem.de
Do Sep 22 09:27:35 CEST 2016


Hallo,

wir haben, u.a. wegen der Ransomware-Problematik, seit längerem folgendes am laufen.

Auf dem MX läuft Postfix+Amavis+SA+ClamAV+ESET. In Postfix reject_rbl_client zen.spamhaus.org (blockt viel ab) und ix.dnsbl.manitu.net. Mails mit Banned Files, Viren und Spam ab bestimmtem Wert werden rejected.

Banned Files: 386|ace|bat|bin|chm|class|cmd|cnt|com|cpl|do|drv|exe|f|fxp|gadget|hlp|hpj|hta|inf|ins|isp|its|jar|js|jse|kix|lnk|mht|mhtm|mhtml|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|ocx|ole|pif|prf|ps1|ps1xml|ps2|ps2xml|psc1|psc2|reg|rm|scf|scr|sct|shb|shm|shs|swf|sys|vb|vbe|vbp|vbs|vbx|vsmacros|vxd|ws|wsc|wsf|wsh|xbap|xl|xnk|xsl

SA-Channels updates.spamassassin.org und spamassassin.heinlein-support.de

Auf dem MTA dahinter läuft auch nochmal Postfix+Amavis+SA+ClamAV+ESET. Banned Files sind hier alle MS Office Formate außer DOC und DOCX. Im ClamAV ist die Option OLE2BlockMacros auf true gesetzt, damit werden MS Office Dateien mit Makro von ClamAV als Virus eingestuft. Mails mit Banned Files und Viren werden discarded und per $banned_quarantine_to bzw. $virus_quarantine_to in ein Quarantäne-Postfach eingeliefert. Dort werden sie nach Einschätzung/Prüfung und ggf. Nachfrage beim Empfänger entweder in das Postfach des Empfängers verschoben oder gelöscht. Bei ca. 10-30 Mails pro Tag in der Quarantäne ist der Aufwand noch vertretbar, bei deutlich mehr wäre das natürlich irgendwann nicht mehr machbar.

Zusätzlich sind natürlich per GPO auf den Clients die MS Office Makroeinstellungen entsprechend abgesichert, und die User werden von Zeit zu Zeit sensibilisiert.

Ich habe hier noch mehrere Mails daliegen, bei denen ich den starken Verdacht habe, dass man sich mit den Anhängen (XLSX mit zufälligen Namen) einen Verschlüsselungstrojaner einfängt; bei diesen Mails hat allerdings ClamAV _keine_ Makros erkannt. Eventuell sind da ja Links drin.

Wichtig ist noch das Thema 7z und verschlüsselte Archive, wenn man Amavis 2.10.0 oder älter im Einsatz hat (Debian Jessie hat z.B. 2.10.0). Amavis interpretiert hier nämlich die Ausgabe von 7z bei verschlüsselten Dateien falsch und bekommt daher nicht mit, dass es eine verschlüsselte Datei ist. Damit kommt dann $undecipherable_subject_tag nicht zur Anwendung, d.h. der Betreff der Mail wird nicht mit "UNCHECKED" markiert und der User bekommt nicht mit, dass der Anhang nicht geprüft werden konnte. In 2.11.0 ist das behoben, auf der Amavis-Mailingliste gibt es einen Thread dazu --> https://lists.amavis.org/pipermail/amavis-users/2016-September/004456.html

Gruß
Christian

> -----Original Message-----
> From: postfix-users [mailto:postfix-users-bounces+christian.hoyer-
> reuther=cac-chem.de at de.postfix.org] On Behalf Of Matthias Schmidt
> Sent: Thursday, September 22, 2016 7:14 AM
> To: postfix-users at de.postfix.org
> Subject: Spamassasin, Zips u.a.
> 
> - das grössere Problem ist, dass nach wie vor Mails durchkommen mit:
> Hallo + mehr oder weniger korrekte Anrede
> In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder
> dergleichen)
> (…)
> und dann hängt da ein zip oder ein Word doc dran freilich mit der
> ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein.
> 
> Jeder auf der Liste hier weiss, was da drin ist ;-)
> 
> Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu
> wollen Dokumente zu empfangen ;-)
> oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer
> Ramsoftware schaffen es ja immer wieder selbst den Spamassasin
> auszutricksen.


Mehr Informationen über die Mailingliste postfix-users