Iinfizierte Emails werden angenommen [GELÖST]
Re: Iinfizierte Emails werden angenommen
Ihr könnt das ja machen wie ihr wollt, ich schreibe ja hier niemenadem etwas vor und gebe damit auch keine Empfehlung ab!
Von meiner Seite aus verschwende ich jedoch keine Zeit damit, um den heißen Brei herum zu quatschen, ich versuche das Problem zumindest einzudämmen, ignorieren ist mir halt zu wenig Action.
Von meiner Seite aus verschwende ich jedoch keine Zeit damit, um den heißen Brei herum zu quatschen, ich versuche das Problem zumindest einzudämmen, ignorieren ist mir halt zu wenig Action.
Re: Iinfizierte Emails werden angenommen
Genau das ist vorher aber noch mit Amavis und den header_checks der Standard gewesen,
Discard würde ich dabei nicht anwenden sondern ein reject mit entsprechendem reject code oder Hinweis an den Absender.
siehe (und weiter zu den header_checks)
viewtopic.php?p=44227#p44227
Re: Iinfizierte Emails werden angenommen
Hmm, die Frage nach automatischem Reject (+ Meldung an den Sender) oder nur Markierung als Spam könnte ich jetzt auch stellen, wenn ich dieses Feature für Debian 12 wieder aktiviere:
viewtopic.php?p=45818#p45818
Ich mein, wenn man bislang DNS Blacklists verwendete, wird die Email auch direkt abgewiesen.
viewtopic.php?p=45818#p45818
Ich mein, wenn man bislang DNS Blacklists verwendete, wird die Email auch direkt abgewiesen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Iinfizierte Emails werden angenommen
Genau, wobei es bei Spam ja noch eher harmlos wäre ...Alexander wrote: ↑Wed 22. Nov 2023, 09:34 Hmm, die Frage nach automatischem Reject (+ Meldung an den Sender) oder nur Markierung als Spam könnte ich jetzt auch stellen, wenn ich dieses Feature für Debian 12 wieder aktiviere:
viewtopic.php?p=45818#p45818
Ich mein, wenn man bislang DNS Blacklists verwendete, wird die Email auch direkt abgewiesen.
Also mir ist bisher kein Anbieter bekannt der Viren Mails annimmt.
In der Regel werden als infiziert erkannte Emails "rejected" als Bonus gibt es dann meist noch ein IP Blocking und Listings in Major Blacklists obendrauf.
Davon abgesehen, sollte man auch bedenken das Virenmails an andere Anbieter weitergeleitet werden wenn User die Emailadresse z.b. nach Gmail, Hotmail etc. weiterleiten.
Im besten Fall sind die Anti Abuse Teams noch nachsichtig wenn es eine einmalige Sache ist, aber die werden sich dann auch fragen "warum leiten die erkannte infizierte Emails an uns weiter - auch noch als infiziert markiert" im schlimmsten Fall könnten die denken das ist Absicht oder sehr Dreist und dann gibts auch als Belohnung ein IP Blocking und man findet seine IP Adressen auf Blacklists wieder.
Es ist also ein normaler Vorgang wenn eine erkannte Virenmail rejected wird, der Absender bekommt diese mit entsprechender Fehler Meldung zurück und kann ggf. darauf reagieren.
Re: Iinfizierte Emails werden angenommen
Top, mit Rspamd ist das eine ganz andere Sache als mit den starren clamav oder clamav-milter Aktionen, u.a. auch Gewichtung mit mehreren Config Files möglich, scheint auch weniger CPU lastig zu sein.
Habe hier noch einige Infos dazu gefunden (allerdings Stand 2020)So, if you want to be able to use Rspamd's Naive Bayes Classifier and be able to identify an image or attachment in e-mails that have different text's, images and attachements, you need to do separate scans for each part, instead of the whole e-mail. This is why scan_mime_parts, scan_text_mime and scan_image_mime are all set to true.
https://www.benhup.com/freebsd/clamav-a ... am-install
Auch Filter Erweiterungen und direkte Filter ID Whitelistings via Clamav sind möglich, die eXtremeSHOK scheinen veraltet damit hatte ich bisher auch keine guten Erfahrungen gemacht.
https://blog.frehi.be/2021/01/25/using- ... th-clamav/
Wer es überhaupt nicht verwenden oder testen möchte, bitte einfach ignorieren
Re: Iinfizierte Emails werden angenommen
Hallo, ich schließe mich dem auch an.
Last edited by Bloodgirl on Wed 22. Nov 2023, 17:36, edited 2 times in total.
Re: Iinfizierte Emails werden angenommen
Re: Iinfizierte Emails werden angenommen
Dann wiederhole ich es ebenfalls gerne und immer wieder:Jolinar wrote: ↑Tue 21. Nov 2023, 16:02 Ich wiederhole es gerne und immer wieder:
Mailfilterung ist Sache des Clients und nicht des Servers!
Der Mailserver darf verdächtige Mails gerne taggen, meinetwegen auch bunt anmalen. Aber ich alleine will die Hoheit über meine Daten haben und diese auch nicht an irgendeine Maschine abtreten.
Ich allein treffe die Entscheidung (im Client), ob ich eine Mail annehme oder nicht und nicht irgendein Computerprogramm.
Das ist nicht immer der Fall!
Wir betreiben Mailserver für Businesskunden und mit denen ist vertraglich geregelt, dass wir Spam und Viren wegfiltern. Weil unsere Kunden das explizit so wollen.
=> Ich verstehe deine Meinung und akzeptiere sie. Für dich (und viele andere) mag das zutreffen, aber bitte sei nicht so kategorisch ja/nein, es kann immer auch Anwendungsfälle geben, bei denen etwas nicht so sein muss/soll/darf.
SCNR
+1
Mit einem REJECT ist das auch sauber verarbeitet, weil der Absender eines false positive das dann mitbekommen sollte und reagieren kann.
Re: Iinfizierte Emails werden angenommen
Ganz genau!
Das markieren von infizierten Mails reicht vieleicht gerade noch bei infizierten Anhängen aus, bei content basierenden Attacken ist es dann bereits zu spät und die "infiziert Kennzeichnung" würde in dem Moment auch leicht perfide wirken
Ich hatte vor 10 Jahren auch viele Probleme mit clamav false/positives und habe es erst einmal deaktiviert, momentan liegen die false/positives bei etwa 2-3% und werden meist durch ungepackte Microsoft Office Dateien im Anhang verursacht.
Ich spreche hier über moderene automatisierte Attacken, dabei werden die Mailserver erst auf Schwachstellen getestet, ausgewertet und dann attackiert, damit meine ich keine Script kiddie Attacken.
Wenn ein Mailserver nun infizierte Mails nicht rejected, wird das registriert und man wird zur Zielscheibe solange bis rejects erfolgen, bei einem shared Host mit vielen Mailkunden sind die Erfolgschancen einen Treffer zu landen sehr hoch.
Dann wäre noch das Problem mit erkannten markierten Emails die weitergeleitet werden und dadurch Blacklistings und IP blockings verursachen.
Von daher ist ein REJECT von erkannten infizierten Mails die richtige Aktion.
Clamav selbst erlaubt das whitelisten von einzelnen Rule IDs, auch müssen nicht zwingend alle Filter verwendet werden.
Die Erkennungsrate kann bei Bedarf ebenfalls weiter optimiert werden z.b.
https://www.unixe.de/erweiterte-clamav- ... angfrisch/
Re: Iinfizierte Emails werden angenommen
Falls es mal jemand mit dem reject einer infizietren mail auf die schnelle testen möchte ...
Eine email senden mit fogendem Test Inhalt:
dann sollte die email an den Absender rejected werden:
Code: Select all
cp /etc/rspamd/local.d/antivirus.conf /etc/rspamd/local.d/antivirus.bak
nano /etc/rspamd/local.d/antivirus.conf
# anpassen wie folgt
enabled = true
clamav {
type = "clamav";
servers = "127.0.0.1:3310";
action = "reject";
symbol = "CLAM_VIRUS";
message = '${SCANNER}: virus found: "${VIRUS}"';
scan_mime_parts = true;
scan_text_mime = true;
scan_image_mime = true;
log_clean = true;
patterns {
# JUST_EICAR = "^Eicar-Test-Signature$";
JUST_EICAR = "Test.EICAR";
}
whitelist = "/etc/rspamd/local.d/allowip.map";
}
Code: Select all
touch /etc/rspamd/local.d/allowip.map
Code: Select all
service rspamd restart
Code: Select all
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Action: failed
Status: 5.7.1
Remote-MTA: dns; xxxx
Diagnostic-Code: smtp; 554 5.7.1 Gtube pattern
Re: Iinfizierte Emails werden angenommen
+1
Sehe ich genauso... solange der Absender ueber das "Problem" informiert wird ist ja alles gut... ein kategorisches "es ist Sache des Empfaengers" lehne ich auch ab, denn es gibt Ausnahmen.
Gruss
Fezzi
Everyone can do something, no one can do everything.
Fezzi
Everyone can do something, no one can do everything.
Re: Iinfizierte Emails werden angenommen
Hab die Diskussion ein wenig überflogen, bin da auch eher auf Ralph & co Seite.
+1
Die Virenfilterung einfach auf den Client bzw. unbedarften User abwälzen ist nicht immer die beste Wahl. Spam / Malware sind zwei paar Schuhe.
Aber ich merke in dem Forum hier öfters, dass manche andere Meinungen bzw. individuelle Umsetzungen/Regelungen/Vereinbarungen etc. nicht gut heißen oder nicht wahrhaben wollen
Es gibt auch hier kein einziges Richtig oder Falsch, kein Schwarz oder Weiß für alle Einsatzgebiete.
+1
Die Virenfilterung einfach auf den Client bzw. unbedarften User abwälzen ist nicht immer die beste Wahl. Spam / Malware sind zwei paar Schuhe.
Aber ich merke in dem Forum hier öfters, dass manche andere Meinungen bzw. individuelle Umsetzungen/Regelungen/Vereinbarungen etc. nicht gut heißen oder nicht wahrhaben wollen
Es gibt auch hier kein einziges Richtig oder Falsch, kein Schwarz oder Weiß für alle Einsatzgebiete.