<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    Hey Carsten, <br>
    <br>
    vielen Dank für die Anleitung, wobei ich Walter absolut Recht gebe
    (und meine eigene Einstellung teilt), wenn er schreibt:<br>
    Zitat: <br>
    <blockquote>"auch wenn es gehen sollte, eine Gegenfrage:  kannst
      garantieren, dass Mails dieser speziellen Kunden nicht das
      Ergebnis ein Infiltration und damit dann   sicher Schadsoftware
      sind? <br>
    </blockquote>
    <blockquote>soll heißen, derartiges auf keinen Fall zu tun;
      <br>
    </blockquote>
    Zitat - Ende<br>
    <br>
    Ich als Admin möchte diese strikte Linie natürlich auch in Zukunft
    unbedingt beibehalten, und hoffe, dass ich das nie umsetzen muss.<br>
    Aber für den Fall, dass alle noch so überzeugenden Argumente eines
    Admins und die vielen Medienberichte über die Auswirkungen solcher
    Makros von höherer Stelle ungehört blieben, möchte ich vorbereitet
    sein.<br>
    <br>
    Danke für eure Anleitungen und Meinungen,<br>
    <br>
    VG, Andi<br>
    <div class="moz-signature"><br>
    </div>
    <div class="moz-cite-prefix">Am 29.11.2021 um 10:26 schrieb Carsten
      Rosenberg:<br>
    </div>
    <blockquote type="cite"
      cite="mid:6b71830e-e977-d0e0-11e2-2320841db9f3@ncxs.de">Hey,
      <br>
      <br>
      du kannst im Rspamd Virenmeldungen via Pattern Regex ein eigenes
      Symbol zuweisen:
      <br>
      <br>
      clamav {
      <br>
        ...
      <br>
      <br>
        patterns {
      <br>
          CLAM_HEUR_OLE2_VBA_MACRO =
      "^(Heuristics\.OLE2\.ContainsMacros.*|File contains macros)";
      <br>
        }
      <br>
      }
      <br>
      <br>
      Das nutzen wir sehr intensiv um auch die Unofficial Signaturen zu
      kategorisieren.
      <br>
      <br>
      Wenn du jetzt den Reject nicht im Plugin sondern via force_actions
      machst, kannst du in einem Settings-Profil darauf Einfluss nehmen.
      <br>
      <br>
      force_actions.conf:
      <br>
      <br>
      rules {
      <br>
      <br>
        VIRUS_REJECT {
      <br>
          action = "reject";
      <br>
          expression = "CLAMAV_VIRUS | CLAM_HEUR_OLE2_VBA_MACRO";
      <br>
          message = "REJECT - virus found";
      <br>
        }
      <br>
      <br>
      }
      <br>
      <br>
      Und deaktivieren via settings.conf
      <br>
      <br>
      internal_systems {
      <br>
        id = "internal_systems";
      <br>
        priority = high;
      <br>
      <br>
        # remote client ip
      <br>
        ip = "172.16.0.1/32";
      <br>
      <br>
        apply {
      <br>
          symbols_disabled = [
      <br>
            "CLAM_HEUR_OLE2_VBA_MACRO",
      <br>
          ];
      <br>
          groups_disabled = [
      <br>
          ];
      <br>
        }
      <br>
      }
      <br>
      <br>
      Viele Grüße
      <br>
      <br>
      Carsten
      <br>
      <br>
      On 29.11.21 09:06, Andreas Wass - Glas Gasperlmair wrote:
      <br>
      <blockquote type="cite">Hallo zusammen,
        <br>
        <br>
        wir verwenden Postfix in Kombination mit ClamAV (über rspamd
        eingebunden) mit der Einstellung "OLE2BlockMacros true"
        (/etc/clamav/clamd.conf).
        <br>
        <br>
        Ist es möglich, diese Einstellung für spezielle Kunden
        IP-Adressen zu umgehen und deren E-Mails mit Macros in
        Dokumenten zuzulassen?
        <br>
        <br>
        vg, Andi
        <br>
      </blockquote>
    </blockquote>
    <br>
  </body>
</html>