Hallo allerseits,

ich Suche bereits eine Woche nach ner Möglichkeit Amavis beizubringen das er infizierte Anhänge mit einer Standard Nachricht ersetzten soll um dann die Mail an den Empfänger zu senden. Letzteres klappt bereits aber leider mit der Einschränkung das der verseuchte Anhang mitgesendet wird.

Fällt jemanden ne Lösung dafür ein?

Danke
Matze

Achso: System ist Debian 3.0, MTA ist Postfix 1.1.11 und Amavisd-new-20030616-p3 aus Debian Sarge.

hi,

was ich nicht verstehe: per default speichert amavis verseuchte/gefilterte anhänge in glaub ich /usr/lib/amavis/virusmails. macht er das bei dir auch so, oder erkennt dein antivirenprogramm deinen anhang nicht richtig ? bei mir werden selbstverständlich NICHT die viren in der benachrichtigung angehangen.

gruß,
matze

Das macht er bei mir auch. Habe aber eingestellt das Virenverseuchte Mails an eine Quarantäne Postfach gesendet werden. Auf dieses Postfach haben nur Admins Zugriff.

Zudem wird die Original Mail nicht verworfen/abgelehnt sondern an den User gesendet ($final_virus_destiny = D_PASS;). Und an dieser Stelle soll er den Anhang mit ner Textdatei (z.B.: mit Hinweis das Anhang beim Admin gelandet ist) ersetzten.

Die Benachrichtigungs Mail kommt bei uns natürlich auch. Würde dem User aber lieber die Freiheit lassen zu entscheiden ob er die EDV wegen der Mail bemüht. Dazu kann er anhand des E-Mail Textes ja entscheiden ob die Mail nen Virus war (=schrott) oder ein Geschaftspartner sich nen Virus eingefangen hat (=wichtig) und wir uns um die Säuberung der Mail kümmern sollen.

Zugriff der User auf das Quarantäne Postfach ist aus gründen des Datenschutzes keine Option.

Bei mir ist das so das nur der Absender informiert wird, daß seine Mail verseucht war und nicht weitergeleitet wurde. So finde ich das auch ganz gut, z.B. haben jetzt gerade einige User in 4 Stunden über 100 Mails von Sobig.F erhalten (oder eben zum Glück nicht erhalten) ... .

Gruß Swen

Original geschrieben von swen1
Bei mir ist das so das nur der Absender informiert wird, daß seine Mail verseucht war und nicht weitergeleitet wurde. So finde ich das auch ganz gut, z.B. haben jetzt gerade einige User in 4 Stunden über 100 Mails von Sobig.F erhalten (oder eben zum Glück nicht erhalten) ... .
Das halte ich für die schlechteste Lösung, da die meisten aktuellen Viren die Absendeadresse fälschen. Du erzeugst damit unnötigen Traffik und belästigst (unschuldige) User.

Du hast schon nicht ganz unrecht. Allerdings existieren die meisten gefälschten Adressen nicht wirklich. Wie würdest Du das lösen? Den Empfänger benachrichtigen? Da kann ich mir aber was anhören. Außerdem geht das hier nicht, weil der Filter auf dem Mailrelay ist. Wenn sich da ein Mitarbeiter einen Virus "mitbringt", erfahren das alle anderen nur er nicht. Letzte Möglichkeit die mir einfällt, ich komme jeden Morgen eine Stunde eher und prüfe / sortiere die Mails ... .

Wie sonst ?? Vorschläge willkommen !

Gruß Swen

Original geschrieben von swen1
Du hast schon nicht ganz unrecht. Allerdings existieren die meisten gefälschten Adressen nicht wirklich. Wie würdest Du das lösen? Der Virenscanner den ich einsetze erlaubt die Einstelung "Benachrichtige nur Lokale Mailadressen", zudem bekommt der Admin immer eine Benachrichtigung über eine Virenmail.

Amavis bietet auch die Möglichkeit nur lokale Empfänger zu benachrichtigen.

Den Empfänger benachrichtigen? Da kann ich mir aber was anhören.Warum? Erläutere das doch mal näher.

Außerdem geht das hier nicht, weil der Filter auf dem Mailrelay ist. Wenn sich da ein Mitarbeiter einen Virus "mitbringt", erfahren das alle anderen nur er nicht. Mitbringt? Wie will er einen Virus mitbringen?

Zudem sollte der Admin schon die Benachrichtigungen über Virenmails mal durchschauen (evtl. mit filterregeln aufbereitet), alleine schon um lokal infizierte Computer (die es hoffentlich nicht gibt) zu identifizieren.

Original geschrieben von Jinto
Der Virenscanner den ich einsetze erlaubt die Einstelung "Benachrichtige nur Lokale Mailadressen", zudem bekommt der Admin immer eine Benachrichtigung über eine Virenmail.
Amavis bietet auch die Möglichkeit nur lokale Empfänger zu benachrichtigen.
Eine Benachrichtigung erhalte ich auch, müßte dann immer zum Serverraum seppeln und mir die Mail durchlesen. Bei amavis-new habe ich die Einstellung "Benachrichtige nur Lokale Mailadressen" noch nicht entdeckt.


Original geschrieben von Jinto
Warum? Erläutere das doch mal näher.
Naja aktuelles Beispiel Sobig.F, da hätten trotzdem einige Mitarbeiter hunderte Mails erhalten, zwar ohne Virus aber trotzdem hätten alle (auch ich durch viele Anrufe und Nachfragen) viel Arbeit gehabt.


Original geschrieben von Jinto
Mitbringt? Wie will er einen Virus mitbringen?
Diskette, CD, Laptop, ...


Original geschrieben von Jinto
Zudem sollte der Admin schon die Benachrichtigungen über Virenmails mal durchschauen (evtl. mit filterregeln aufbereitet), alleine schon um lokal infizierte Computer (die es hoffentlich nicht gibt) zu identifizieren.
Ja klar, daß mach man ja schon aus Neugier.


Ich weiß nicht was am Besten wäre. Auf jeden Fall spar ich mir so viel Arbeit und die Antwortmails stören mich eigentlich nicht. Man muß immer davon ausgehen, daß auch jemand versehentlich einen Virus mitschickt.

Schönen Abend noch.
Gruß Swen

Original geschrieben von swen1
Eine Benachrichtigung erhalte ich auch, müßte dann immer zum Serverraum seppeln und mir die Mail durchlesen. Bei amavis-new habe ich die Einstellung "Benachrichtige nur Lokale Mailadressen" noch nicht entdeckt. Du läufst zum (*nix)-Server?

Das muss mit 2 Parametern gelöst werden:
1. inform recipients
2. inform only local
Anhand der Header die an den Admin gehen, kann man danach noch nach lokal oder extern unterscheiden.



Naja aktuelles Beispiel Sobig.F, da hätten trotzdem einige Mitarbeiter hunderte Mails erhalten, zwar ohne Virus aber trotzdem hätten alle (auch ich durch viele Anrufe und Nachfragen) viel Arbeit gehabt. Das die Arbeit nun bei (unschuldigen) unbekannten Personen, Kunden oder Lieferanten liegt spielt keine Rolle?


Ich weiß nicht was am Besten wäre. Auf jeden Fall spar ich mir so viel Arbeit und die Antwortmails stören mich eigentlich nicht. Man muß immer davon ausgehen, daß auch jemand versehentlich einen Virus mitschickt. Klar, dass sie dich nicht stören, aber schau mal in folgenden Thread: http://www.linuxforen.de/forums/showthread.php?s=&threadid=95855. Mich würde interessieren wie deine Einstellung ist, wenn du der Empfänger wärst.

Du solltest auch folgendes bedenken: Wenn der Wurm anfängt Absender zu fälschen, wie willst du dann herausfinden, dass einer eurer PCs verseucht ist? Im allerschlimmsten Fall verschickst du also wieder Virenwarnungen an Leute die es nicht betrifft und erkennst nicht einmal das der Wurm in eurem internen Netz sitzt.

Auf der Postfix Mailingliste gab es vor kurzem auch eine Diskussion (http://groups.google.com/groups?hl=en&lr=&ie=UTF-8&th=539bd74d1eb4d1f5&seekm=bhm31m%241j9g%241%40FreeBSD.csie.NCTU.edu.tw&frame=off) dazu. Ist zwar nicht der ganze Thread, aber immerhin ein paar Ansichten dazu.

Den (lokalen) Empfänger zu benachrichtigen ist zwar auch nicht unbedingt das wahre, weil man zuerst einmal die Leute darüber informieren muss und erklären was sie mit diesen Nachrichten zu tun haben (zur Kenntnis nehmen und löschen). Aber damit stehen sie dann nicht völlig unwissend im Regen, bei der Frage "haben sie meine Mail denn nicht bekommen?".

HTH

Hi Jinto,

ich versteh dich ja, aber Du muß auch meine Situation berücksichtigen. Meine Aufgabe ist dafür zu sorgen, daß alle Mitarbeiter vernünftig arbeiten können. Damit hab ich reichlich zu tun. Das andere durch meine Benachrichtigung mehr Arbeit haben tut mit leid, aber das ist nicht immer so, weil (natürlich außer bei Sobig.f) die meisten Absenderadressen nicht existieren. Wenn der Virus von uns kommt, seh ich das spätestens daran, daß weder Empfänger noch Absender von unserer Domain sind.
Wenn es eine Möglichkeit gibt, immer lokale Beteiligte (also egal ob Sender oder Empfänger) zu informieren, wäre das aber auch eine Möglichkeit. Bist Du sicher das es die Parameter auch bei amavisd-new gibt? Hab grad kurz gesucht und nichts gefunden. Ich werds bei Gelegenheit mal durcharbeiten und an einem Testrechner probieren.

Gruß Swen

PS: Ja, zu meinen DMZ-Rechnern muß ich laufen - sicher ist sicher ... ;)

Original geschrieben von swen1

Wenn es eine Möglichkeit gibt, immer lokale Beteiligte (also egal ob Sender oder Empfänger) zu informieren, wäre das aber auch eine Möglichkeit. Bist Du sicher das es die Parameter auch bei amavisd-new gibt? kann ich dir leider nicht sagen, in der mavais Version die bei Debian mitgeliefert wird (ich glaube nicht, dass es sich dabei um amavis-new handel) gibt es diesen Parameter in der config Datei (da habe ich es her):

# Notify admin/sender/recipient?
$warnadmin = "yes";
$warnsender = "no";
$warnrecip = "no";

# Notify off-site recipients?
$warn_offsite = "no";

# List of local domains
# e.g. @local_domains = qw( dom.ain other.dom.ain );
@local_domains = qw(<gelöscht>);

ich denke wenn man warnsender und warnrecip auf yes setzt und warn_offsite auf no, dass man dann nur lokale Personen warnt (ungetest).


HTH

PS: Ich habe gerade eine Mail (so eine automatische warnmeldung) weitergeleitet bekommen, in der ich gefragt wurde "was es mit dieser Meldung eines unbekannten Absenders auf sich hat". Gemäß der Meldung ist der Admin der Ansicht man informiert lieber zu viele als keinen. Er informiert Sender und Empfänger ungeachtet dessen, dass beide nicht im eigenen Netz liegen. :ugly:

Die angesprochenen Aspekte der Informationsnachrichten waren zwar auch sehr interessanten, hatten allerdings nicht viel mir meinem Problem zu tun. Nach reichlich rumgooglen habe ich in der Amavis Mailingliste folgendes gefunden:


| I wonder only if there is any logical reason for not adding this? I think
| that would be a pretty nice feature, and it can be configurable.
|
| I'm not much of a perl coder, but this seems pretty simple to me -
| anti-virus program lets amavis know which attachment was infected and it can
| only drop that attachment and let the others go, and also add another
| attachment explaining what happened. Let me know if I'm wrong.

Maybe some day, but it is tricky job to do it right.

One has to reassemble the MIME structure from edited pieces.
MIMEdefang does it - see its code, there are plenty of details
that need to be taken into account, including workarounds for
buggy mail readers.

Amavis* (any) plays it safe and does not alter the mail body.

Quelle: http://marc.theaimsgroup.com/?l=amavis-user&m=105551019413907&w=2

Habe zwischendurch die README.customize von Amavis entdeckt aber leider keine Möglichkeit gefunden den Mailbody in der Warnmail unterzubringen.

Nebenbei bin ich auf Mailfilter gestossen das alle Funktionen bereitstellt die ich suche _aber_ leider mit zwei Instanzen von Postfix arbeiten (eingehend/ausgehend). Auch nicht das was ich brauche/will.

Werde jetzt mal probiere ein bestimmten Tag im Header zu setzten und hoffen das ich über die Filteregeln von Postfix das Attachement killen kann.

So long
Matze

Hallo!

Seit ihr damit weitergekommen? Ich stehe gerade genau vor dem gleichen Problem - ich möchte auch nur den Virus aus der Mail entfernen und die Mail selbst weiterleiten ...

Würd mich über eine positive Antwort sehr freuen!! :cool:

Auch ich stehe gerade vor dem selben Problem... Wäre es eventuell möglich die Mail einfach weiter zu leiten und dann anhand eines X-Virus-Found: yes/no Feldes im Header procmail diese Aufgabe zu übergeben? Mittels procmail stellt es ja kein Problem dar Mails bzw. deren Inhalte durch Weiterleitung an andere Scripte zu bearbeiten.

ich habe mittlerweile einen Weg gefunden. Ich übergebe die Mails nach dem scannen wieder an procmail - und procmail schaut dann nach ob ein virus gefunden wurde und entfernt (falls das der fall ist) den Anhang mit Hilfe des Tools renattach[1].


RENAT="/usr/local/bin/renattach -a -d -c /usr/local/etc/renattach.conf"

## viren filtern
:0fw
* ^X-Amavis-Alert.*
| $RENAT


klappt wunderbar ...

[1] http://www.pc-tools.net/unix/renattach/

Vielen dank Kip, das ist genau wonach ich gesucht habe! :-)