Iinfizierte Emails werden angenommen [GELÖST]

[Ralph]

Deabian12
KH 23.2.1

Habe vorhin einige Spam & Viren Tests durchgeführt, bei Rspamd funktioniert alles wie es soll, beim infected Test mit EICAR Anti-Virus Test File wird die infizierte Email allerdings angenommen, in den Settings für Email ist Clamav aktiviert.
Ich habe sicherheitshalber mit der gleichen Email über ein Gmail Konto getestet, hier nimmt gmail die Mail bereits beim Transport nicht an, also der Eicar content funktioniert.
Habe ich etwas übersehen (nicht aktiviert) oder handelt es sich hierbei um einen Fehler?

EICAR Anti-Virus Test File:
https://www.eicar.org/download-anti-malware-testfile/

[Florian]

Hallo,

das war auf Servern mit Amavis auch so. Die Mail wird standardmäßig nur markiert. Das muss wenn in der Konfiguration der Dienste geändert werden.

[Ralph]

Hallo,
das war auf Servern mit Amavis auch so. Die Mail wird standardmäßig nur markiert. Das muss wenn in der Konfiguration der Dienste geändert werden.

Hallo Florian; Danke für die schnelle Rückantwort!

1. Also was ich festgestellt habe ist wenn der Schadcode direkt im Email Content ist wird dieser nicht erkannt, die Mail also auch nicht mal markiert (nur mit Schadcode als Anhang).

2. Das markieren als Virus oder Infiziert reicht mitlerweile nicht mehr aus, ich erinnere mal an das letzte Roundcube Problem, diese Art von Attacken werden derzeit auf alle bekannten Email Clients durchgeführt (Thunderbird, Outlook, Apple Mail ...) dabei können Daten abgeriffen werden z.b. über manipulierte Grafiken oder sonstige Scripte im Content nachgeladen werden.
Also wenn so eine Email in einen anfälligen Client gelangt, wird bereits Schaden verursacht ohne dass der User einen Anhang geöffnet hat.

Könntest Du uns eine gute Lösung empfehlen wie am besten hier ein reject erzielt werden kann oder zumindest ein Discard?
Am beste wäre wie gesagt ein reject bei erkannter Malware, also gar nicht erst annehmen.

L.G.

[Tobi]

Wenn du auf Amavis / ClamAV vertraust bist du ohnehin verloren.

[Florian]

https://rspamd.com/doc/modules/antivirus.html

Tob dich aus, teste aus.

[Ralph]

https://rspamd.com/doc/modules/antivirus.html
Tob dich aus, teste aus.

Danke, sehr gut! Ich dachte zwar ich bin jetzt endlich mit rspamd durch ... nun denn
OK, ich nehme an das wäre dann via rspamd ein direkter milter-reject und das Clamav unter Panel > Email könnte dann quasi deaktiviert werden?

[Florian]

Nein, Keyhelp nutzt genau diese Konfiguration für den Virenscanner. (/etc/rspamd/local.d/antivirus.conf) Es sind nur noch nicht alle Optionen darin. Theoretisch kannst du die Datei nutzen und weitere Optionen anfügen für Tests, nur Keyhelp bearbeitet diese Datei natürlich auch selbst.

[Ralph]

Nein, Keyhelp nutzt genau diese Konfiguration für den Virenscanner. (/etc/rspamd/local.d/antivirus.conf) Es sind nur noch nicht alle Optionen darin. Theoretisch kannst du die Datei nutzen und weitere Optionen anfügen für Tests, nur Keyhelp bearbeitet diese Datei natürlich auch selbst.

Super, diese Info ist sehr hilfreich!
L.G.

[Jolinar]

Das markieren als Virus oder Infiziert reicht mitlerweile nicht mehr aus

Ich wiederhole es gerne und immer wieder:

Mailfilterung ist Sache des Clients und nicht des Servers!

Der Mailserver darf verdächtige Mails gerne taggen, meinetwegen auch bunt anmalen. Aber ich alleine will die Hoheit über meine Daten haben und diese auch nicht an irgendeine Maschine abtreten.
Ich allein treffe die Entscheidung (im Client), ob ich eine Mail annehme oder nicht und nicht irgendein Computerprogramm.

[Ralph]

Der Mailserver darf verdächtige Mails gerne taggen, meinetwegen auch bunt anmalen. Aber ich alleine will die Hoheit über meine Daten haben und diese auch nicht an irgendeine Maschine abtreten.
Ich allein treffe die Entscheidung (im Client), ob ich eine Mail annehme oder nicht und nicht irgendein Computerprogramm.

Mailfilterung ja, aber hier geht es darum gefährliche Malware vom Mailserver und somit auch vom Kunden fernzuhalten.
Das ist nicht mehr wie früher wo nur der Anhang die Schadsoftware enthält, sobald eine der aktuellen präparierten Emails eingeht die Schadcode über den Content ausführt oder nachädt ist schon alles gelaufen, dabei geht es nicht mehr um harmlose Spam oder Phishing Mails zum filtern, das ist ein anderes Kaliber ....

[Jolinar]

aber hier geht es darum gefährliche Malware vom Mailserver und somit auch vom Kunden fernzuhalten

Dem Mailserver ist es völlig wumpe, ob da Schadcode durch sein System läuft. Die Verantwortung liegt beim Postfachinhaber.

Nochmal zu einer anderen Aussage:

Also wenn so eine Email in einen anfälligen Client gelangt, wird bereits Schaden verursacht ohne dass der User einen Anhang geöffnet hat.

Dann sollen die Leute gefälligst ihre Clienten auf den aktuellen Stand bringen. Wenn die dann auch noch auf rein textbasierte Anzeige umstellen, dann ist alles im grünen Bereich.


Ein (hypothetisches) Szenario, warum Filterung am Server kontraproduktiv ist:
Stell dir einfach mal vor, daß du gerade irgendwelche juristischen Streitigkeiten austrägst. Dafür hast du natürlich einen supertollen Anwalt...Und dieser schickt dir eine Rechnung über die Vorauszahlung zu, die er von dir braucht, um tätig zu werden.
Jetzt kommt die Mail auf deinem Server an, durchläuft die Prüfungen und wird von deinem Mailserver wegen einer False Positive Erkennung nicht angenommen.
Fazit des Ganzen: Dein Anwalt bekommt kein Geld von dir, wird deswegen auch nicht tätig, du verlierst deinen Fall vor Gericht und mußt im schlimmsten Fall deine Firma verkaufen, um irgendwelche Schäden zu bezahlen.

Sicherlich ein überspitztes Szenario...Aber doch garnicht so weit von der Realität entfernt...

[Ralph]

Du tust dir selbst und deinen Usern keinen Gefallen damit wenn du bewusst infizierte Mails annimmst.
Mittlerweile könnte dieses Verhalten einem Anbieter vermutlich schon als Fahrlässig angehängt werden ...

Ich hatte unter den Neukunden innerhalb einer Woche 3 von denen ich kontaktiert wurde, einem wurde die Disk verschlüsselt und den anderen Passwörter abgefischt, worauf hin diese Leute von den Angreifern erpresst wurden ... die waren vorher bei einem Anbieter der infizierte Mails "nur" als Infiziert markiert hat.

[Jolinar]

wenn du bewusst infizierte Mails annimmst

Bei der False Positive Rate, die ClamAV hat?

[Ralph]

wenn du bewusst infizierte Mails annimmst

Bei der False Positive Rate, die ClamAV hat?

Es kommt darauf an ob du es wissentlich zulässt infizierte Email anzunehmen und dem Kunden bereit zu stellen.
Clamav kann von Haus aus nichts besonderes, das Verhalten und Erkennungsrate kann aber zumindest verbessert werden, auch bezgl false/positives

[24unix]

Es kommt darauf an ob du es wissentlich zulässt infizierte Email anzunehmen und dem Kunden bereit zu stellen.

Du meinst die Kunden, die wissentlich ein System verwenden, dass überhaupt erst gegen Viren anfällig ist?

Ansonsten sehe ich das wie Jolinar, das ist Clientsache.
Der Server darf maximal Header setzen oder das Subjekt bearbeiten, aber Mails verwerfen oder gar löschen darf niemals automatisch passieren.