<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
Hey Carsten, <br>
<br>
vielen Dank für die Anleitung, wobei ich Walter absolut Recht gebe
(und meine eigene Einstellung teilt), wenn er schreibt:<br>
Zitat: <br>
<blockquote>"auch wenn es gehen sollte, eine Gegenfrage: kannst
garantieren, dass Mails dieser speziellen Kunden nicht das
Ergebnis ein Infiltration und damit dann sicher Schadsoftware
sind? <br>
</blockquote>
<blockquote>soll heißen, derartiges auf keinen Fall zu tun;
<br>
</blockquote>
Zitat - Ende<br>
<br>
Ich als Admin möchte diese strikte Linie natürlich auch in Zukunft
unbedingt beibehalten, und hoffe, dass ich das nie umsetzen muss.<br>
Aber für den Fall, dass alle noch so überzeugenden Argumente eines
Admins und die vielen Medienberichte über die Auswirkungen solcher
Makros von höherer Stelle ungehört blieben, möchte ich vorbereitet
sein.<br>
<br>
Danke für eure Anleitungen und Meinungen,<br>
<br>
VG, Andi<br>
<div class="moz-signature"><br>
</div>
<div class="moz-cite-prefix">Am 29.11.2021 um 10:26 schrieb Carsten
Rosenberg:<br>
</div>
<blockquote type="cite"
cite="mid:6b71830e-e977-d0e0-11e2-2320841db9f3@ncxs.de">Hey,
<br>
<br>
du kannst im Rspamd Virenmeldungen via Pattern Regex ein eigenes
Symbol zuweisen:
<br>
<br>
clamav {
<br>
...
<br>
<br>
patterns {
<br>
CLAM_HEUR_OLE2_VBA_MACRO =
"^(Heuristics\.OLE2\.ContainsMacros.*|File contains macros)";
<br>
}
<br>
}
<br>
<br>
Das nutzen wir sehr intensiv um auch die Unofficial Signaturen zu
kategorisieren.
<br>
<br>
Wenn du jetzt den Reject nicht im Plugin sondern via force_actions
machst, kannst du in einem Settings-Profil darauf Einfluss nehmen.
<br>
<br>
force_actions.conf:
<br>
<br>
rules {
<br>
<br>
VIRUS_REJECT {
<br>
action = "reject";
<br>
expression = "CLAMAV_VIRUS | CLAM_HEUR_OLE2_VBA_MACRO";
<br>
message = "REJECT - virus found";
<br>
}
<br>
<br>
}
<br>
<br>
Und deaktivieren via settings.conf
<br>
<br>
internal_systems {
<br>
id = "internal_systems";
<br>
priority = high;
<br>
<br>
# remote client ip
<br>
ip = "172.16.0.1/32";
<br>
<br>
apply {
<br>
symbols_disabled = [
<br>
"CLAM_HEUR_OLE2_VBA_MACRO",
<br>
];
<br>
groups_disabled = [
<br>
];
<br>
}
<br>
}
<br>
<br>
Viele Grüße
<br>
<br>
Carsten
<br>
<br>
On 29.11.21 09:06, Andreas Wass - Glas Gasperlmair wrote:
<br>
<blockquote type="cite">Hallo zusammen,
<br>
<br>
wir verwenden Postfix in Kombination mit ClamAV (über rspamd
eingebunden) mit der Einstellung "OLE2BlockMacros true"
(/etc/clamav/clamd.conf).
<br>
<br>
Ist es möglich, diese Einstellung für spezielle Kunden
IP-Adressen zu umgehen und deren E-Mails mit Macros in
Dokumenten zuzulassen?
<br>
<br>
vg, Andi
<br>
</blockquote>
</blockquote>
<br>
</body>
</html>