Re: Postfix - clamav - Ausnahmen für OLE2BlockMacros möglich?

Carsten Rosenberg cr at ncxs.de
Mo Nov 29 10:26:17 CET 2021


Hey,

du kannst im Rspamd Virenmeldungen via Pattern Regex ein eigenes Symbol 
zuweisen:

clamav {
   ...

   patterns {
     CLAM_HEUR_OLE2_VBA_MACRO = 
"^(Heuristics\.OLE2\.ContainsMacros.*|File contains macros)";
   }
}

Das nutzen wir sehr intensiv um auch die Unofficial Signaturen zu 
kategorisieren.

Wenn du jetzt den Reject nicht im Plugin sondern via force_actions 
machst, kannst du in einem Settings-Profil darauf Einfluss nehmen.

force_actions.conf:

rules {

   VIRUS_REJECT {
     action = "reject";
     expression = "CLAMAV_VIRUS | CLAM_HEUR_OLE2_VBA_MACRO";
     message = "REJECT - virus found";
   }

}

Und deaktivieren via settings.conf

internal_systems {
   id = "internal_systems";
   priority = high;

   # remote client ip
   ip = "172.16.0.1/32";

   apply {
     symbols_disabled = [
       "CLAM_HEUR_OLE2_VBA_MACRO",
     ];
     groups_disabled = [
     ];
   }
}

Viele Grüße

Carsten

On 29.11.21 09:06, Andreas Wass - Glas Gasperlmair wrote:
> Hallo zusammen,
> 
> wir verwenden Postfix in Kombination mit ClamAV (über rspamd 
> eingebunden) mit der Einstellung "OLE2BlockMacros true" 
> (/etc/clamav/clamd.conf).
> 
> Ist es möglich, diese Einstellung für spezielle Kunden IP-Adressen zu 
> umgehen und deren E-Mails mit Macros in Dokumenten zuzulassen?
> 
> vg, Andi


Mehr Informationen über die Mailingliste postfix-users