Amavis lässt BANNED Messages durch

[Toorms]

Guten Morgen,

verstehe ich das gerade falsch oder werden hier "BANNED" Messages zum Benutzer ins Postfach durchgestellt? Wenn ja, wieso? Ich meine, wenn amavis das schon als BANNED erkennt, wieso "Passed" er es dann noch?

Code: Select all

Jul 25 04:52:59 marge policyd-spf[1383517]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=xxx.xxx.xxx.xxx; helo=linux1807.grserver.gr; envelope-from=admin@hote1metropol.com; receiver=<UNKNOWN> 
Jul 25 04:53:00 marge postfix/cleanup[1383518]: 5A1F6120496: message-id=<3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>
Jul 25 04:53:00 marge postfix/qmgr[1203511]: 5A1F6120496: from=<admin@hote1metropol.com>, size=605855, nrcpt=1 (queue active)
Jul 25 04:53:01 marge postfix/cleanup[1383518]: CDB971206EC: message-id=<3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>
Jul 25 04:53:01 marge postfix/qmgr[1203511]: CDB971206EC: from=<admin@hote1metropol.com>, size=606387, nrcpt=1 (queue active)
Jul 25 04:53:01 marge amavis[1108874]: (1108874-18) Passed BANNED (.exe,.exe-ms,Zahlung.exe) {RelayedTaggedInbound}, [xxx.xxx.xxx.xxx]:39162 [xxx.xxx.xxx.xxx] <admin@hote1metropol.com> -> <user@user.de>, Queue-ID: 5A1F6120496, Message-ID: <3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>, mail_id: K-zzOAdmoj7C, Hits: -4.805, size: 605820, queued_as: CDB971206EC, 1198 ms
Jul 25 04:53:01 marge dovecot: lmtp(user@user.de)<1383583><LwPWM40F3mKfHBUAUQAX8Q>: sieve: msgid=<3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>: stored mail into mailbox 'INBOX'

Cheers
Toorms

[Viktor]

Hallo,

gerade eine Mail bekommen von meinem Server:

Banned name: .exe,.exe-ms,Zahlung.exe
Content type: Banned
Internal reference code for the message is 3891888-18/fSyQu02SwOZP

First upstream SMTP client IP address: [185.138.42.137] linux1807.grserver.gr According to a 'Received:' trace, the message apparently originated at:
[185.138.42.137], linux1807.grserver.gr linux1807.grserver.gr
[185.138.42.137]

Return-Path: <info@hote1metropol.com>
From: Marco Guthardt GmbH <info@hote1metropol.com>
Message-ID: <665b3d26077b37f1d042a0c01161e716@hote1metropol.com>
Subject: Zahlung
Not quarantined.

Die Mail wurde auch in das Postfach von dem User gelegt.

Der Anhang ist eine ZIP-Datei in der die EXE-Datei ist.

Wird der Anhang gelöscht?

Gruß
Viktor

[tab-kh]

Gerade ausprobiert, die Testmail hatte ein gezipptes exe-File als Anhang. Der "User", in dem Fall ich, bekam die Nachricht ganz normal inklusive Anhang ohne irgendeinen Hinweis.

Der Admin bekam ein Mail mit Betreff "BANNED contents (.exe,.exe-ms,rustdesk-1.1.9-putes.exe) in mail FROM ..."

Code: Select all

No viruses were found.

Banned name: .exe,.exe-ms,rustdesk-1.1.9-putes.exe
Content type: Banned
Internal reference code for the message is 710840-08/0FQB9-XTt5dp

Danach folgt Info zur Herkunft der Mail, am Ende dann

Code: Select all

Subject: Rustdesk
Not quarantined.

The message WILL BE relayed to:
<Empfängeradresse>

Kommt mir im Zusammenhang mit "banned" komisch vor, wenngleich ich eigentlich schon exe-Dateien gezippt empfangen können möchte. Im vorliegenden Fall eine Fernwartungssoftware, das Executable muss auf beiden Rechnern gestartet werden.

[Florian]

Hallo,

zum Ändern dieses Verhaltens in /etc/amavis/conf.d/50-user den Wert von $final_banned_destiny auf D_DISCARD setzen.

EDIT: Die Änderung sollten nicht in 50-user geschrieben werden sondern am besten in einer eigenen Datei z.B. /etc/amavis/conf.d/99-custom-config

[Viktor]

Hallo,

zum Ändern dieses Verhaltens in /etc/amavis/conf.d/50-user den Wert von $final_banned_destiny auf D_DISCARD setzen.

Hallo,

Danke ich habe es gleich geändert.

Wird die Datei /etc/amavis/conf.d/50-user nicht bei einem Keyhelp update überschrieben.

Gruß
Viktor

[Florian]

Hallo,

zur Not eine eigene Konfigdatei erstellen, die über eine höhere Ordnungszahl entsprechend später eingebunden wird

[tab-kh]

Ich überlege noch, wie ich damit umgehen soll. Vielleicht so ähnlich wie bei SPAM, ein Zusatz im Subject, Möglichkeiten dazu gibt es jedenfalls, auch wenn keine Variable dafür zu existieren scheint. D_DISCARD erscheint mir persönlich eine Nummer zu heftig für ein geziptes Executable, das nicht als Virus erkannt wurde.

[Toorms]

Hallo,

zur Not eine eigene Konfigdatei erstellen, die über eine höhere Ordnungszahl entsprechend später eingebunden wird

Kann das vielleicht in die GUI mit aufgenommen werden, solange rspamd noch nicht kh-released ist?

[Toorms]

Ich überlege noch, wie ich damit umgehen soll. Vielleicht so ähnlich wie bei SPAM, ein Zusatz im Subject, Möglichkeiten dazu gibt es jedenfalls, auch wenn keine Variable dafür zu existieren scheint. D_DISCARD erscheint mir persönlich eine Nummer zu heftig für ein geziptes Executable, das nicht als Virus erkannt wurde.

Das muss jeder für sich selbst Entscheiden. Ich für meinen Geschmack will keine Executables per Mail haben. Dafür ist der Käse einfach nicht vorgesehen. Irgendwo muss irgendwer einfach mal ein Amen setzen.

[Toorms]

Vorallem - da kann KH nichts für - finde ich die Tatsache ziemlich amüsant "No Viruses found" bei einem offensichtlichem Virus / Bad File. Bin froh und mach drei Kreuze, wenn rspamd drin ist.

[Jolinar]

Moderativer Hinweis:
Die hier eingesetzte Forensoftware bietet die Möglichkeit, bereits veröffentlichte Beiträge zu editieren, um zB. Korrekturen vorzunehmen oder Ergänzungen hinzuzufügen.
Es ist also nicht nötig, mehrere Beiträge direkt hintereinander zu verfassen. Außerdem bläht dieses Vorgehen den Thread nur unnötig auf.

[tab-kh]

Vorallem - da kann KH nichts für - finde ich die Tatsache ziemlich amüsant "No Viruses found" bei einem offensichtlichem Virus / Bad File. Bin froh und mach drei Kreuze, wenn rspamd drin ist.

Also bei mir ist "No Viruses found" korrekt, denn es ist kein Virus. Außer du definierst jedes Executable automatisch als Virus. Da würdest du allerdings mit jedem OS viel Spass haben, da es dann zu einem Großteil aus Viren bestehen würde.

Ob ich einem Kunden das zur Fernwartung notwendige "Virus" gezippt per Mail schicke oder ihm einen Link zum Download schicke, schenkt sich eigentlich nicht viel. Eins von beiden muss ich eben tun. Oder ihm freundlich mitteilen, er möge sein Problem doch bitte selbst lösen.