Page 1 of 1
Amavis lässt BANNED Messages durch
Posted: Mon 25. Jul 2022, 10:24
by Toorms
Guten Morgen,
verstehe ich das gerade falsch oder werden hier "BANNED" Messages zum Benutzer ins Postfach durchgestellt? Wenn ja, wieso? Ich meine, wenn amavis das schon als BANNED erkennt, wieso "Passed" er es dann noch?
Code: Select all
Jul 25 04:52:59 marge policyd-spf[1383517]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=xxx.xxx.xxx.xxx; helo=linux1807.grserver.gr; envelope-from=admin@hote1metropol.com; receiver=<UNKNOWN>
Jul 25 04:53:00 marge postfix/cleanup[1383518]: 5A1F6120496: message-id=<3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>
Jul 25 04:53:00 marge postfix/qmgr[1203511]: 5A1F6120496: from=<admin@hote1metropol.com>, size=605855, nrcpt=1 (queue active)
Jul 25 04:53:01 marge postfix/cleanup[1383518]: CDB971206EC: message-id=<3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>
Jul 25 04:53:01 marge postfix/qmgr[1203511]: CDB971206EC: from=<admin@hote1metropol.com>, size=606387, nrcpt=1 (queue active)
Jul 25 04:53:01 marge amavis[1108874]: (1108874-18) Passed BANNED (.exe,.exe-ms,Zahlung.exe) {RelayedTaggedInbound}, [xxx.xxx.xxx.xxx]:39162 [xxx.xxx.xxx.xxx] <admin@hote1metropol.com> -> <user@user.de>, Queue-ID: 5A1F6120496, Message-ID: <3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>, mail_id: K-zzOAdmoj7C, Hits: -4.805, size: 605820, queued_as: CDB971206EC, 1198 ms
Jul 25 04:53:01 marge dovecot: lmtp(user@user.de)<1383583><LwPWM40F3mKfHBUAUQAX8Q>: sieve: msgid=<3f899f34336ed1979c201a2d761d07cf@hote1metropol.com>: stored mail into mailbox 'INBOX'
Cheers
Toorms
Re: Amavis lässt BANNED Messages durch
Posted: Mon 25. Jul 2022, 20:04
by Viktor
Hallo,
gerade eine Mail bekommen von meinem Server:
Banned name: .exe,.exe-ms,Zahlung.exe
Content type: Banned
Internal reference code for the message is 3891888-18/fSyQu02SwOZP
First upstream SMTP client IP address: [185.138.42.137] linux1807.grserver.gr According to a 'Received:' trace, the message apparently originated at:
[185.138.42.137], linux1807.grserver.gr linux1807.grserver.gr
[185.138.42.137]
Return-Path: <
info@hote1metropol.com>
From: Marco Guthardt GmbH <
info@hote1metropol.com>
Message-ID: <
665b3d26077b37f1d042a0c01161e716@hote1metropol.com>
Subject: Zahlung
Not quarantined.
Die Mail wurde auch in das Postfach von dem User gelegt.
Der Anhang ist eine ZIP-Datei in der die EXE-Datei ist.
Wird der Anhang gelöscht?
Gruß
Viktor
Re: Amavis lässt BANNED Messages durch
Posted: Mon 25. Jul 2022, 21:09
by tab-kh
Gerade ausprobiert, die Testmail hatte ein gezipptes exe-File als Anhang. Der "User", in dem Fall ich, bekam die Nachricht ganz normal inklusive Anhang ohne irgendeinen Hinweis.
Der Admin bekam ein Mail mit Betreff "BANNED contents (.exe,.exe-ms,rustdesk-1.1.9-putes.exe) in mail FROM ..."
Code: Select all
No viruses were found.
Banned name: .exe,.exe-ms,rustdesk-1.1.9-putes.exe
Content type: Banned
Internal reference code for the message is 710840-08/0FQB9-XTt5dp
Danach folgt Info zur Herkunft der Mail, am Ende dann
Code: Select all
Subject: Rustdesk
Not quarantined.
The message WILL BE relayed to:
<Empfängeradresse>
Kommt mir im Zusammenhang mit "banned" komisch vor, wenngleich ich eigentlich schon exe-Dateien gezippt empfangen können möchte. Im vorliegenden Fall eine Fernwartungssoftware, das Executable muss auf beiden Rechnern gestartet werden.
Re: Amavis lässt BANNED Messages durch
Posted: Mon 25. Jul 2022, 21:39
by Florian
Hallo,
zum Ändern dieses Verhaltens in /etc/amavis/conf.d/50-user den Wert von $final_banned_destiny auf D_DISCARD setzen.
EDIT: Die Änderung sollten nicht in 50-user geschrieben werden sondern am besten in einer eigenen Datei z.B. /etc/amavis/conf.d/99-custom-config
Re: Amavis lässt BANNED Messages durch
Posted: Mon 25. Jul 2022, 22:36
by Viktor
Florian wrote: ↑Mon 25. Jul 2022, 21:39
Hallo,
zum Ändern dieses Verhaltens in /etc/amavis/conf.d/50-user den Wert von $final_banned_destiny auf D_DISCARD setzen.
Hallo,
Danke ich habe es gleich geändert.
Wird die Datei /etc/amavis/conf.d/50-user nicht bei einem Keyhelp update überschrieben.
Gruß
Viktor
Re: Amavis lässt BANNED Messages durch
Posted: Mon 25. Jul 2022, 22:55
by Florian
Hallo,
zur Not eine eigene Konfigdatei erstellen, die über eine höhere Ordnungszahl entsprechend später eingebunden wird
Re: Amavis lässt BANNED Messages durch
Posted: Mon 25. Jul 2022, 23:26
by tab-kh
Ich überlege noch, wie ich damit umgehen soll. Vielleicht so ähnlich wie bei SPAM, ein Zusatz im Subject, Möglichkeiten dazu gibt es jedenfalls, auch wenn keine Variable dafür zu existieren scheint. D_DISCARD erscheint mir persönlich eine Nummer zu heftig für ein geziptes Executable, das nicht als Virus erkannt wurde.
Re: Amavis lässt BANNED Messages durch
Posted: Tue 26. Jul 2022, 08:12
by Toorms
Florian wrote: ↑Mon 25. Jul 2022, 22:55
Hallo,
zur Not eine eigene Konfigdatei erstellen, die über eine höhere Ordnungszahl entsprechend später eingebunden wird
Kann das vielleicht in die GUI mit aufgenommen werden, solange rspamd noch nicht kh-released ist?
Re: Amavis lässt BANNED Messages durch
Posted: Tue 26. Jul 2022, 08:14
by Toorms
tab-kh wrote: ↑Mon 25. Jul 2022, 23:26
Ich überlege noch, wie ich damit umgehen soll. Vielleicht so ähnlich wie bei SPAM, ein Zusatz im Subject, Möglichkeiten dazu gibt es jedenfalls, auch wenn keine Variable dafür zu existieren scheint. D_DISCARD erscheint mir persönlich eine Nummer zu heftig für ein geziptes Executable, das nicht als Virus erkannt wurde.
Das muss jeder für sich selbst Entscheiden. Ich für meinen Geschmack will keine Executables per Mail haben. Dafür ist der Käse einfach nicht vorgesehen. Irgendwo muss irgendwer einfach mal ein Amen setzen.
Re: Amavis lässt BANNED Messages durch
Posted: Tue 26. Jul 2022, 08:18
by Toorms
Vorallem - da kann KH nichts für - finde ich die Tatsache ziemlich amüsant "No Viruses found" bei einem offensichtlichem Virus / Bad File. Bin froh und mach drei Kreuze, wenn rspamd drin ist.
Re: Amavis lässt BANNED Messages durch
Posted: Tue 26. Jul 2022, 08:40
by Jolinar
Moderativer Hinweis:
Die hier eingesetzte Forensoftware bietet die Möglichkeit, bereits veröffentlichte Beiträge zu editieren, um zB. Korrekturen vorzunehmen oder Ergänzungen hinzuzufügen.
Es ist also nicht nötig, mehrere Beiträge direkt hintereinander zu verfassen. Außerdem bläht dieses Vorgehen den Thread nur unnötig auf.
Re: Amavis lässt BANNED Messages durch
Posted: Tue 26. Jul 2022, 11:50
by tab-kh
Toorms wrote: ↑Tue 26. Jul 2022, 08:18
Vorallem - da kann KH nichts für - finde ich die Tatsache ziemlich amüsant "No Viruses found" bei einem offensichtlichem Virus / Bad File. Bin froh und mach drei Kreuze, wenn rspamd drin ist.
Also bei mir ist "No Viruses found" korrekt, denn es ist kein Virus. Außer du definierst jedes Executable automatisch als Virus. Da würdest du allerdings mit jedem OS viel Spass haben, da es dann zu einem Großteil aus Viren bestehen würde.
Ob ich einem Kunden das zur Fernwartung notwendige "Virus" gezippt per Mail schicke oder ihm einen Link zum Download schicke, schenkt sich eigentlich nicht viel. Eins von beiden muss ich eben tun. Oder ihm freundlich mitteilen, er möge sein Problem doch bitte selbst lösen.