Iinfizierte Emails werden angenommen [GELÖST]

[Ralph]

Ihr könnt das ja machen wie ihr wollt, ich schreibe ja hier niemenadem etwas vor und gebe damit auch keine Empfehlung ab!
Von meiner Seite aus verschwende ich jedoch keine Zeit damit, um den heißen Brei herum zu quatschen, ich versuche das Problem zumindest einzudämmen, ignorieren ist mir halt zu wenig Action.

[Ralph]

aber Mails verwerfen oder gar löschen darf niemals automatisch passieren.

Genau das ist vorher aber noch mit Amavis und den header_checks der Standard gewesen,
Discard würde ich dabei nicht anwenden sondern ein reject mit entsprechendem reject code oder Hinweis an den Absender.

siehe (und weiter zu den header_checks)
viewtopic.php?p=44227#p44227

[Alexander]

Hmm, die Frage nach automatischem Reject (+ Meldung an den Sender) oder nur Markierung als Spam könnte ich jetzt auch stellen, wenn ich dieses Feature für Debian 12 wieder aktiviere:

viewtopic.php?p=45818#p45818

Ich mein, wenn man bislang DNS Blacklists verwendete, wird die Email auch direkt abgewiesen.

[Ralph]

Hmm, die Frage nach automatischem Reject (+ Meldung an den Sender) oder nur Markierung als Spam könnte ich jetzt auch stellen, wenn ich dieses Feature für Debian 12 wieder aktiviere:
viewtopic.php?p=45818#p45818
Ich mein, wenn man bislang DNS Blacklists verwendete, wird die Email auch direkt abgewiesen.

Genau, wobei es bei Spam ja noch eher harmlos wäre ...
Also mir ist bisher kein Anbieter bekannt der Viren Mails annimmt.
In der Regel werden als infiziert erkannte Emails "rejected" als Bonus gibt es dann meist noch ein IP Blocking und Listings in Major Blacklists obendrauf.

Davon abgesehen, sollte man auch bedenken das Virenmails an andere Anbieter weitergeleitet werden wenn User die Emailadresse z.b. nach Gmail, Hotmail etc. weiterleiten.
Im besten Fall sind die Anti Abuse Teams noch nachsichtig wenn es eine einmalige Sache ist, aber die werden sich dann auch fragen "warum leiten die erkannte infizierte Emails an uns weiter - auch noch als infiziert markiert" im schlimmsten Fall könnten die denken das ist Absicht oder sehr Dreist und dann gibts auch als Belohnung ein IP Blocking und man findet seine IP Adressen auf Blacklists wieder.

Es ist also ein normaler Vorgang wenn eine erkannte Virenmail rejected wird, der Absender bekommt diese mit entsprechender Fehler Meldung zurück und kann ggf. darauf reagieren.

[Ralph]

https://rspamd.com/doc/modules/antivirus.html

Top, mit Rspamd ist das eine ganz andere Sache als mit den starren clamav oder clamav-milter Aktionen, u.a. auch Gewichtung mit mehreren Config Files möglich, scheint auch weniger CPU lastig zu sein.

So, if you want to be able to use Rspamd's Naive Bayes Classifier and be able to identify an image or attachment in e-mails that have different text's, images and attachements, you need to do separate scans for each part, instead of the whole e-mail. This is why scan_mime_parts, scan_text_mime and scan_image_mime are all set to true.

Habe hier noch einige Infos dazu gefunden (allerdings Stand 2020)
https://www.benhup.com/freebsd/clamav-a ... am-install

Auch Filter Erweiterungen und direkte Filter ID Whitelistings via Clamav sind möglich, die eXtremeSHOK scheinen veraltet damit hatte ich bisher auch keine guten Erfahrungen gemacht.
https://blog.frehi.be/2021/01/25/using- ... th-clamav/

Wer es überhaupt nicht verwenden oder testen möchte, bitte einfach ignorieren

[Bloodgirl]

Ansonsten sehe ich das wie Jolinar, das ist Clientsache.
Der Server darf maximal Header setzen oder das Subjekt bearbeiten, aber Mails verwerfen oder gar löschen darf niemals automatisch passieren.

Hallo, ich schließe mich dem auch an.

[Ralph]

Ansonsten sehe ich das wie Jolinar, das ist Clientsache.
Der Server darf maximal Header setzen oder das Subjekt bearbeiten, aber Mails verwerfen oder gar löschen darf niemals automatisch passieren.

Hallo, ich schließe mich dem auch an.

Es geht um REJECT nicht um DISCARD, ein reject ist für eine als infiziert erkannte Email das Standard Vorgehen.

[l_fish]

Ich wiederhole es gerne und immer wieder:

Mailfilterung ist Sache des Clients und nicht des Servers!

Der Mailserver darf verdächtige Mails gerne taggen, meinetwegen auch bunt anmalen. Aber ich alleine will die Hoheit über meine Daten haben und diese auch nicht an irgendeine Maschine abtreten.
Ich allein treffe die Entscheidung (im Client), ob ich eine Mail annehme oder nicht und nicht irgendein Computerprogramm.

Dann wiederhole ich es ebenfalls gerne und immer wieder:

Das ist nicht immer der Fall!

Wir betreiben Mailserver für Businesskunden und mit denen ist vertraglich geregelt, dass wir Spam und Viren wegfiltern. Weil unsere Kunden das explizit so wollen.

=> Ich verstehe deine Meinung und akzeptiere sie. Für dich (und viele andere) mag das zutreffen, aber bitte sei nicht so kategorisch ja/nein, es kann immer auch Anwendungsfälle geben, bei denen etwas nicht so sein muss/soll/darf.

SCNR

Es geht um REJECT nicht um DISCARD, ein reject ist für eine als infiziert erkannte Email das Standard Vorgehen.

+1

Mit einem REJECT ist das auch sauber verarbeitet, weil der Absender eines false positive das dann mitbekommen sollte und reagieren kann.

[Ralph]

Mit einem REJECT ist das auch sauber verarbeitet, weil der Absender eines false positive das dann mitbekommen sollte und reagieren kann.

Ganz genau!

Das markieren von infizierten Mails reicht vieleicht gerade noch bei infizierten Anhängen aus, bei content basierenden Attacken ist es dann bereits zu spät und die "infiziert Kennzeichnung" würde in dem Moment auch leicht perfide wirken
Ich hatte vor 10 Jahren auch viele Probleme mit clamav false/positives und habe es erst einmal deaktiviert, momentan liegen die false/positives bei etwa 2-3% und werden meist durch ungepackte Microsoft Office Dateien im Anhang verursacht.

Ich spreche hier über moderene automatisierte Attacken, dabei werden die Mailserver erst auf Schwachstellen getestet, ausgewertet und dann attackiert, damit meine ich keine Script kiddie Attacken.
Wenn ein Mailserver nun infizierte Mails nicht rejected, wird das registriert und man wird zur Zielscheibe solange bis rejects erfolgen, bei einem shared Host mit vielen Mailkunden sind die Erfolgschancen einen Treffer zu landen sehr hoch.

Dann wäre noch das Problem mit erkannten markierten Emails die weitergeleitet werden und dadurch Blacklistings und IP blockings verursachen.
Von daher ist ein REJECT von erkannten infizierten Mails die richtige Aktion.

Clamav selbst erlaubt das whitelisten von einzelnen Rule IDs, auch müssen nicht zwingend alle Filter verwendet werden.
Die Erkennungsrate kann bei Bedarf ebenfalls weiter optimiert werden z.b.
https://www.unixe.de/erweiterte-clamav- ... angfrisch/

[Ralph]

Falls es mal jemand mit dem reject einer infizietren mail auf die schnelle testen möchte ...

Code: Select all

cp /etc/rspamd/local.d/antivirus.conf /etc/rspamd/local.d/antivirus.bak
nano /etc/rspamd/local.d/antivirus.conf
# anpassen wie folgt
enabled = true

clamav {
    type = "clamav";
    servers = "127.0.0.1:3310";
    action = "reject";
    symbol = "CLAM_VIRUS";
    message = '${SCANNER}: virus found: "${VIRUS}"';
    scan_mime_parts = true;
    scan_text_mime = true;
    scan_image_mime = true;
    log_clean = true;

  patterns {
#    JUST_EICAR = "^Eicar-Test-Signature$";
  JUST_EICAR = "Test.EICAR";
  }
  whitelist = "/etc/rspamd/local.d/allowip.map";
}

Code: Select all

touch /etc/rspamd/local.d/allowip.map

Code: Select all

service rspamd restart

Eine email senden mit fogendem Test Inhalt:

Code: Select all

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

dann sollte die email an den Absender rejected werden:

Action: failed
Status: 5.7.1
Remote-MTA: dns; xxxx
Diagnostic-Code: smtp; 554 5.7.1 Gtube pattern

[Fezzi]

Es geht um REJECT nicht um DISCARD, ein reject ist für eine als infiziert erkannte Email das Standard Vorgehen.

Dann wäre noch das Problem mit erkannten markierten Emails die weitergeleitet werden und dadurch Blacklistings und IP blockings verursachen.
Von daher ist ein REJECT von erkannten infizierten Mails die richtige Aktion.

+1

Sehe ich genauso... solange der Absender ueber das "Problem" informiert wird ist ja alles gut... ein kategorisches "es ist Sache des Empfaengers" lehne ich auch ab, denn es gibt Ausnahmen.

[@ITS]

Hab die Diskussion ein wenig überflogen, bin da auch eher auf Ralph & co Seite.
+1

Die Virenfilterung einfach auf den Client bzw. unbedarften User abwälzen ist nicht immer die beste Wahl. Spam / Malware sind zwei paar Schuhe.
Aber ich merke in dem Forum hier öfters, dass manche andere Meinungen bzw. individuelle Umsetzungen/Regelungen/Vereinbarungen etc. nicht gut heißen oder nicht wahrhaben wollen

Es gibt auch hier kein einziges Richtig oder Falsch, kein Schwarz oder Weiß für alle Einsatzgebiete.