PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : amavisd-new und verbotene Anhänge....



balduin222
21.03.06, 12:47
Hallo zusammen,

ich habe Postfix zusammen mit Procmail und amavisd-new laufen (ClamAV und Spamassassin). Das rennt alles wie Sau. Mir ist nur letztens aufgefallen, dass wenn ich eine E-Mail bekomme in der z.B. eine .exe Datei und eine .pdf Datei im Anhang sind, wobei exe verboten ist und pdf erlaubt, die GESAMTE E-mail nicht ankommt. Ich hätte es gerne so, dass ich die PDF bekomme und die exe blockiert wird. Ist das irgendwie machbar?

Gruß
balduin222

Fly
21.03.06, 13:06
Schau mal in den Logs wie /var/log/mail.info nach wer tatsächlich die Mails mit Anlagen blockiert. Ich wüsste keine Einstellung im amavisd-new wo man die Anhänge blockieren kann (hab auch noch nie nachgesehen) jedoch könntest du in der amavisd.conf Datei nach pdf oder exe suchen. ;)

balduin222
21.03.06, 15:21
Hallo fly,

die Anlagen werden definitiv von amavisd-new geblockt. In der /etc/amavis/amavisd.conf steht dazu das hier:

$banned_filename_re = new_RE(
# qr'^UNDECIPHERABLE$', # is or contains any undecipherable components
qr'\.[^.]*\.(exe|vbs|pif|scr|bat|cmd|com|dll)$'i, # some double extensions
qr'[{}]', # curly braces in names (serve as Class ID extensions - CLSID)
qr'.\.(exe|vbs|pif|scr|bat|cmd|com)$'i, # banned extension - basic
qr'.\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp |hta|inf|ins|isp|js|
jse|lnk|mdb|mde|msc|msi|msp|mst|pcd|pif|reg|scr|sc t|shs|shb|vb|
vbe|vbs|wsc|wsf|wsh|dll)$'ix, # banned extension - long
Nur sobald der halt eine exe entdeckt, ist Schluss mit lustig, da wird danach nur noch überprüft, ob da ein Virus drin ist und dann gehts ab in den "Müll". Is ja ansich so wie es sein soll, ist nur eben blöde, wenn da noch ne pdf oder was anderes nützliches dranhänt.

Gruß
balduin222

Fly
21.03.06, 16:46
Hast du schon einen Hinweis wer die Mails mit pdf Anhängen blockt?

Schick mal eine Testmail mit einem PDF in der Anlage und poste dann die /var/log/mail.info den Abschnitt, wo die Mail überprüft wird.

balduin222
22.03.06, 09:45
Sooo, jetzt mal ein paar Infos....

..habe nun eine Mail geschickt mit einer exe im Anhang UND einer PDF. Die /var/log/mail.info sagt das hier:


...Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - mime-type: application/pdf
Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - declared names: Mailserver-postfix-amavisd-new.pdf
Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="application/pdf", no match
Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="Mailserver-postfix-amavisd-new.pdf", no match
Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - mime-type: application/x-msdos-program
Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - declared names: SMAC12_Eval.exe
Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="application/x-msdos-program", no match
Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="SMAC12_Eval.exe" matches "(?i-xsm:.\\.(exe|vbs|pif|scr|bat|cmd|com)$)", result=1
Mar 22 09:33:40 mail amavis[9066]: (09066-01) Banned declared file name: SMAC12_Eval.exe (patt: (?i-xsm:.\\.(exe|vbs|pif|scr|bat|cmd|com)$))...
und

...Mar 22 09:33:43 mail amavis[9066]: (09066-01) header: X-Amavis-Alert: BANNED FILENAME, message contains part named: SMAC12_Eval.exe\n
Mar 22 09:33:43 mail amavis[9066]: (09066-01) lookup: (scalar) matches, result="virus-quarantine"...
und

...ar 22 09:33:43 mail amavis[9066]: (09066-01) DO_QUARANTINE done
Mar 22 09:33:43 mail amavis[9066]: (09066-01) DO_VIRUS - NOTIFICATIONS, sender: balduin223@gmx.net
Mar 22 09:33:43 mail amavis[9066]: (09066-01) lookup: (scalar) matches, result="virusalert@disynet.local"
Mar 22 09:33:43 mail amavis[9066]: (09066-01) lookup_acl: key="balduin223@gmx.net", no match
Mar 22 09:33:43 mail amavis[9066]: (09066-01) first_received_from: p5083784F.dip.t-dialin.net (EHLO [192.168.1.28]) [80.131.120.79]
Mar 22 09:33:43 mail amavis[9066]: (09066-01) first_received_from: p5083784F.dip.t-dialin.net (EHLO [192.168.1.28]) [80.131.120.79]
Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity Date: Wed, 22 Mar 2006 09:33:43 +0100 (CET)
Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity From: virusalert@disynet.de
Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity Subject: VERBOTENER DATEINAME (SMAC12_Eval.exe) VON <balduin223@gmx.net>
Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity To: <virusalert@disynet.local>
Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity Message-ID: <VA09066-01@deb-mailserver>
Mar 22 09:33:44 mail amavis[9066]: (09066-01) SEND via SMTP: [127.0.0.1]:10025 <virusalert@disynet.de> -> <virusalert@disynet.local>...

so, das schaut so aus, als ob amavis die Mail sofort "wegschmeißt", sobalt auch nur ein Kriterium zutrifft. Das muss doch irgendwie änderbar sein. Ich hoffe du kannst damit was anfangen.

Viele Grüße
balduin222

Fly
22.03.06, 17:56
Dass exe Dateien nicht durchgelassen werden ist eh klar! Und pdf wird laut LOG durchgelassen (no matches) oder? Ich weiss jetzt nicht wo dein Problem liegt?

balduin222
22.03.06, 20:25
mein Problem liegt hier
so, das schaut so aus, als ob amavis die Mail sofort "wegschmeißt", sobalt auch nur ein Kriterium zutrifft

Mail kommt also GARNICHT an. Keine Ahnung warum??

Gruß
balduin222

Fly
23.03.06, 16:48
mein Problem liegt hier

Mail kommt also GARNICHT an. Keine Ahnung warum??

Gruß
balduin222

kannst du bitte klarer ausdrücken, ich weiss wieder nicht welche Mails bei dir gar nicht ankommen. die mit exe Datei in der anlage oder mit PDF Datei?

RoCMe
24.03.06, 00:06
Soweit ich das verstanden habe, geht es um die mails,die 2 anhänge haben - also eine "verbotene" Exe PLUS ein "akzeptiertes" PDF-Dokument.
Bei solchen Mails gehen grundsätzlich beide Anhänge (Frage: auch die Mail selbst???) verloren, gewünscht wird aber, dass das PDF-File ankommt...

Ich hoffe, ich habs jetzt richtig verstanden...

balduin222
24.03.06, 00:44
Soweit ich das verstanden habe, geht es um die mails,die 2 anhänge haben - also eine "verbotene" Exe PLUS ein "akzeptiertes" PDF-Dokument.
Bei solchen Mails gehen grundsätzlich beide Anhänge (Frage: auch die Mail selbst???) verloren, gewünscht wird aber, dass das PDF-File ankommt...

Ich hoffe, ich habs jetzt richtig verstanden...

Exakt so ist es richtig. Und: Ja, auch die Mail selbst geht "verloren". Ist natürlich nicht weg, sondert wird im Konto viren abgelegt. Nur dort kann man natürlich nicht so leicht den Anhang rausholen, der eigentlich erlaubt war. Ich hoffe jetzt kann mir jemand helfen :ugly:

Viele Grüße
balduin222