Iinfizierte Emails werden angenommen [GELÖST]
Iinfizierte Emails werden angenommen
Deabian12
KH 23.2.1
Habe vorhin einige Spam & Viren Tests durchgeführt, bei Rspamd funktioniert alles wie es soll, beim infected Test mit EICAR Anti-Virus Test File wird die infizierte Email allerdings angenommen, in den Settings für Email ist Clamav aktiviert.
Ich habe sicherheitshalber mit der gleichen Email über ein Gmail Konto getestet, hier nimmt gmail die Mail bereits beim Transport nicht an, also der Eicar content funktioniert.
Habe ich etwas übersehen (nicht aktiviert) oder handelt es sich hierbei um einen Fehler?
EICAR Anti-Virus Test File:
https://www.eicar.org/download-anti-malware-testfile/
KH 23.2.1
Habe vorhin einige Spam & Viren Tests durchgeführt, bei Rspamd funktioniert alles wie es soll, beim infected Test mit EICAR Anti-Virus Test File wird die infizierte Email allerdings angenommen, in den Settings für Email ist Clamav aktiviert.
Ich habe sicherheitshalber mit der gleichen Email über ein Gmail Konto getestet, hier nimmt gmail die Mail bereits beim Transport nicht an, also der Eicar content funktioniert.
Habe ich etwas übersehen (nicht aktiviert) oder handelt es sich hierbei um einen Fehler?
EICAR Anti-Virus Test File:
https://www.eicar.org/download-anti-malware-testfile/
Re: Iinfizierte Emails werden angenommen
Hallo,
das war auf Servern mit Amavis auch so. Die Mail wird standardmäßig nur markiert. Das muss wenn in der Konfiguration der Dienste geändert werden.
das war auf Servern mit Amavis auch so. Die Mail wird standardmäßig nur markiert. Das muss wenn in der Konfiguration der Dienste geändert werden.
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Iinfizierte Emails werden angenommen
Hallo Florian; Danke für die schnelle Rückantwort!
1. Also was ich festgestellt habe ist wenn der Schadcode direkt im Email Content ist wird dieser nicht erkannt, die Mail also auch nicht mal markiert (nur mit Schadcode als Anhang).
2. Das markieren als Virus oder Infiziert reicht mitlerweile nicht mehr aus, ich erinnere mal an das letzte Roundcube Problem, diese Art von Attacken werden derzeit auf alle bekannten Email Clients durchgeführt (Thunderbird, Outlook, Apple Mail ...) dabei können Daten abgeriffen werden z.b. über manipulierte Grafiken oder sonstige Scripte im Content nachgeladen werden.
Also wenn so eine Email in einen anfälligen Client gelangt, wird bereits Schaden verursacht ohne dass der User einen Anhang geöffnet hat.
Könntest Du uns eine gute Lösung empfehlen wie am besten hier ein reject erzielt werden kann oder zumindest ein Discard?
Am beste wäre wie gesagt ein reject bei erkannter Malware, also gar nicht erst annehmen.
L.G.
Re: Iinfizierte Emails werden angenommen
Wenn du auf Amavis / ClamAV vertraust bist du ohnehin verloren.
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: Iinfizierte Emails werden angenommen
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Iinfizierte Emails werden angenommen
Danke, sehr gut! Ich dachte zwar ich bin jetzt endlich mit rspamd durch ... nun dennFlorian wrote: ↑Tue 21. Nov 2023, 15:10 https://rspamd.com/doc/modules/antivirus.html
Tob dich aus, teste aus.
OK, ich nehme an das wäre dann via rspamd ein direkter milter-reject und das Clamav unter Panel > Email könnte dann quasi deaktiviert werden?
Re: Iinfizierte Emails werden angenommen [GELÖST]
Nein, Keyhelp nutzt genau diese Konfiguration für den Virenscanner. (/etc/rspamd/local.d/antivirus.conf) Es sind nur noch nicht alle Optionen darin. Theoretisch kannst du die Datei nutzen und weitere Optionen anfügen für Tests, nur Keyhelp bearbeitet diese Datei natürlich auch selbst.
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Iinfizierte Emails werden angenommen
Super, diese Info ist sehr hilfreich!Florian wrote: ↑Tue 21. Nov 2023, 15:26 Nein, Keyhelp nutzt genau diese Konfiguration für den Virenscanner. (/etc/rspamd/local.d/antivirus.conf) Es sind nur noch nicht alle Optionen darin. Theoretisch kannst du die Datei nutzen und weitere Optionen anfügen für Tests, nur Keyhelp bearbeitet diese Datei natürlich auch selbst.
L.G.
- Jolinar
- Community Moderator
- Posts: 3612
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Iinfizierte Emails werden angenommen
Ich wiederhole es gerne und immer wieder:
Mailfilterung ist Sache des Clients und nicht des Servers!
Der Mailserver darf verdächtige Mails gerne taggen, meinetwegen auch bunt anmalen. Aber ich alleine will die Hoheit über meine Daten haben und diese auch nicht an irgendeine Maschine abtreten.
Ich allein treffe die Entscheidung (im Client), ob ich eine Mail annehme oder nicht und nicht irgendein Computerprogramm.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Iinfizierte Emails werden angenommen
Mailfilterung ja, aber hier geht es darum gefährliche Malware vom Mailserver und somit auch vom Kunden fernzuhalten.Jolinar wrote: ↑Tue 21. Nov 2023, 16:02 Der Mailserver darf verdächtige Mails gerne taggen, meinetwegen auch bunt anmalen. Aber ich alleine will die Hoheit über meine Daten haben und diese auch nicht an irgendeine Maschine abtreten.
Ich allein treffe die Entscheidung (im Client), ob ich eine Mail annehme oder nicht und nicht irgendein Computerprogramm.
Das ist nicht mehr wie früher wo nur der Anhang die Schadsoftware enthält, sobald eine der aktuellen präparierten Emails eingeht die Schadcode über den Content ausführt oder nachädt ist schon alles gelaufen, dabei geht es nicht mehr um harmlose Spam oder Phishing Mails zum filtern, das ist ein anderes Kaliber ....
- Jolinar
- Community Moderator
- Posts: 3612
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Infizierte Emails werden angenommen
Dem Mailserver ist es völlig wumpe, ob da Schadcode durch sein System läuft. Die Verantwortung liegt beim Postfachinhaber.
Nochmal zu einer anderen Aussage:
Dann sollen die Leute gefälligst ihre Clienten auf den aktuellen Stand bringen. Wenn die dann auch noch auf rein textbasierte Anzeige umstellen, dann ist alles im grünen Bereich.
Ein (hypothetisches) Szenario, warum Filterung am Server kontraproduktiv ist:
Stell dir einfach mal vor, daß du gerade irgendwelche juristischen Streitigkeiten austrägst. Dafür hast du natürlich einen supertollen Anwalt...Und dieser schickt dir eine Rechnung über die Vorauszahlung zu, die er von dir braucht, um tätig zu werden.
Jetzt kommt die Mail auf deinem Server an, durchläuft die Prüfungen und wird von deinem Mailserver wegen einer False Positive Erkennung nicht angenommen.
Fazit des Ganzen: Dein Anwalt bekommt kein Geld von dir, wird deswegen auch nicht tätig, du verlierst deinen Fall vor Gericht und mußt im schlimmsten Fall deine Firma verkaufen, um irgendwelche Schäden zu bezahlen.
Sicherlich ein überspitztes Szenario...Aber doch garnicht so weit von der Realität entfernt...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Iinfizierte Emails werden angenommen
Du tust dir selbst und deinen Usern keinen Gefallen damit wenn du bewusst infizierte Mails annimmst.
Mittlerweile könnte dieses Verhalten einem Anbieter vermutlich schon als Fahrlässig angehängt werden ...
Ich hatte unter den Neukunden innerhalb einer Woche 3 von denen ich kontaktiert wurde, einem wurde die Disk verschlüsselt und den anderen Passwörter abgefischt, worauf hin diese Leute von den Angreifern erpresst wurden ... die waren vorher bei einem Anbieter der infizierte Mails "nur" als Infiziert markiert hat.
Mittlerweile könnte dieses Verhalten einem Anbieter vermutlich schon als Fahrlässig angehängt werden ...
Ich hatte unter den Neukunden innerhalb einer Woche 3 von denen ich kontaktiert wurde, einem wurde die Disk verschlüsselt und den anderen Passwörter abgefischt, worauf hin diese Leute von den Angreifern erpresst wurden ... die waren vorher bei einem Anbieter der infizierte Mails "nur" als Infiziert markiert hat.
Last edited by Ralph on Tue 21. Nov 2023, 17:42, edited 1 time in total.
- Jolinar
- Community Moderator
- Posts: 3612
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Iinfizierte Emails werden angenommen
Bei der False Positive Rate, die ClamAV hat?
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Iinfizierte Emails werden angenommen
Es kommt darauf an ob du es wissentlich zulässt infizierte Email anzunehmen und dem Kunden bereit zu stellen.
Clamav kann von Haus aus nichts besonderes, das Verhalten und Erkennungsrate kann aber zumindest verbessert werden, auch bezgl false/positives
Re: Iinfizierte Emails werden angenommen
Du meinst die Kunden, die wissentlich ein System verwenden, dass überhaupt erst gegen Viren anfällig ist?
Ansonsten sehe ich das wie Jolinar, das ist Clientsache.
Der Server darf maximal Header setzen oder das Subjekt bearbeiten, aber Mails verwerfen oder gar löschen darf niemals automatisch passieren.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.