Hallo zusammen,
ich habe Postfix zusammen mit Procmail und amavisd-new laufen (ClamAV und Spamassassin). Das rennt alles wie Sau. Mir ist nur letztens aufgefallen, dass wenn ich eine E-Mail bekomme in der z.B. eine .exe Datei und eine .pdf Datei im Anhang sind, wobei exe verboten ist und pdf erlaubt, die GESAMTE E-mail nicht ankommt. Ich hätte es gerne so, dass ich die PDF bekomme und die exe blockiert wird. Ist das irgendwie machbar?
Gruß
balduin222
Schau mal in den Logs wie /var/log/mail.info nach wer tatsächlich die Mails mit Anlagen blockiert. Ich wüsste keine Einstellung im amavisd-new wo man die Anhänge blockieren kann (hab auch noch nie nachgesehen) jedoch könntest du in der amavisd.conf Datei nach pdf oder exe suchen.
Hallo fly,
die Anlagen werden definitiv von amavisd-new geblockt. In der /etc/amavis/amavisd.conf steht dazu das hier:
Nur sobald der halt eine exe entdeckt, ist Schluss mit lustig, da wird danach nur noch überprüft, ob da ein Virus drin ist und dann gehts ab in den "Müll". Is ja ansich so wie es sein soll, ist nur eben blöde, wenn da noch ne pdf oder was anderes nützliches dranhänt.Code:$banned_filename_re = new_RE( # qr'^UNDECIPHERABLE$', # is or contains any undecipherable components qr'\.[^.]*\.(exe|vbs|pif|scr|bat|cmd|com|dll)$'i, # some double extensions qr'[{}]', # curly braces in names (serve as Class ID extensions - CLSID) qr'.\.(exe|vbs|pif|scr|bat|cmd|com)$'i, # banned extension - basic qr'.\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|js| jse|lnk|mdb|mde|msc|msi|msp|mst|pcd|pif|reg|scr|sct|shs|shb|vb| vbe|vbs|wsc|wsf|wsh|dll)$'ix, # banned extension - long
Gruß
balduin222
Hast du schon einen Hinweis wer die Mails mit pdf Anhängen blockt?
Schick mal eine Testmail mit einem PDF in der Anlage und poste dann die /var/log/mail.info den Abschnitt, wo die Mail überprüft wird.
Sooo, jetzt mal ein paar Infos....
..habe nun eine Mail geschickt mit einer exe im Anhang UND einer PDF. Die /var/log/mail.info sagt das hier:
undCode:...Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - mime-type: application/pdf Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - declared names: Mailserver-postfix-amavisd-new.pdf Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="application/pdf", no match Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="Mailserver-postfix-amavisd-new.pdf", no match Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - mime-type: application/x-msdos-program Mar 22 09:33:40 mail amavis[9066]: (09066-01) check_for_banned - declared names: SMAC12_Eval.exe Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="application/x-msdos-program", no match Mar 22 09:33:40 mail amavis[9066]: (09066-01) lookup_RE: key="SMAC12_Eval.exe" matches "(?i-xsm:.\\.(exe|vbs|pif|scr|bat|cmd|com)$)", result=1 Mar 22 09:33:40 mail amavis[9066]: (09066-01) Banned declared file name: SMAC12_Eval.exe (patt: (?i-xsm:.\\.(exe|vbs|pif|scr|bat|cmd|com)$))...
undCode:...Mar 22 09:33:43 mail amavis[9066]: (09066-01) header: X-Amavis-Alert: BANNED FILENAME, message contains part named: SMAC12_Eval.exe\n Mar 22 09:33:43 mail amavis[9066]: (09066-01) lookup: (scalar) matches, result="virus-quarantine"...
so, das schaut so aus, als ob amavis die Mail sofort "wegschmeißt", sobalt auch nur ein Kriterium zutrifft. Das muss doch irgendwie änderbar sein. Ich hoffe du kannst damit was anfangen.Code:...ar 22 09:33:43 mail amavis[9066]: (09066-01) DO_QUARANTINE done Mar 22 09:33:43 mail amavis[9066]: (09066-01) DO_VIRUS - NOTIFICATIONS, sender: balduin223@gmx.net Mar 22 09:33:43 mail amavis[9066]: (09066-01) lookup: (scalar) matches, result="virusalert@disynet.local" Mar 22 09:33:43 mail amavis[9066]: (09066-01) lookup_acl: key="balduin223@gmx.net", no match Mar 22 09:33:43 mail amavis[9066]: (09066-01) first_received_from: p5083784F.dip.t-dialin.net (EHLO [192.168.1.28]) [80.131.120.79] Mar 22 09:33:43 mail amavis[9066]: (09066-01) first_received_from: p5083784F.dip.t-dialin.net (EHLO [192.168.1.28]) [80.131.120.79] Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity Date: Wed, 22 Mar 2006 09:33:43 +0100 (CET) Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity From: virusalert@disynet.de Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity Subject: VERBOTENER DATEINAME (SMAC12_Eval.exe) VON <balduin223@gmx.net> Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity To: <virusalert@disynet.local> Mar 22 09:33:44 mail amavis[9066]: (09066-01) string_to_mime_entity Message-ID: <VA09066-01@deb-mailserver> Mar 22 09:33:44 mail amavis[9066]: (09066-01) SEND via SMTP: [127.0.0.1]:10025 <virusalert@disynet.de> -> <virusalert@disynet.local>...
Viele Grüße
balduin222
Dass exe Dateien nicht durchgelassen werden ist eh klar! Und pdf wird laut LOG durchgelassen (no matches) oder? Ich weiss jetzt nicht wo dein Problem liegt?
mein Problem liegt hierMail kommt also GARNICHT an. Keine Ahnung warum??so, das schaut so aus, als ob amavis die Mail sofort "wegschmeißt", sobalt auch nur ein Kriterium zutrifft
Gruß
balduin222
kannst du bitte klarer ausdrücken, ich weiss wieder nicht welche Mails bei dir gar nicht ankommen. die mit exe Datei in der anlage oder mit PDF Datei?Zitat von balduin222
Soweit ich das verstanden habe, geht es um die mails,die 2 anhänge haben - also eine "verbotene" Exe PLUS ein "akzeptiertes" PDF-Dokument.
Bei solchen Mails gehen grundsätzlich beide Anhänge (Frage: auch die Mail selbst???) verloren, gewünscht wird aber, dass das PDF-File ankommt...
Ich hoffe, ich habs jetzt richtig verstanden...
Exakt so ist es richtig. Und: Ja, auch die Mail selbst geht "verloren". Ist natürlich nicht weg, sondert wird im Konto viren abgelegt. Nur dort kann man natürlich nicht so leicht den Anhang rausholen, der eigentlich erlaubt war. Ich hoffe jetzt kann mir jemand helfen
Viele Grüße
balduin222
Berechtigungen
Zitieren
Lesezeichen