Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Lena 
Этот (возможно новый) вариант трояна ловится изменением в
одной строчке первого абзаца (а не второго где decode),
после изменения:
{match{$mime_filename}{\N(?i)\.(WINBIN)(\.(COMPREXT))?$\N}}\
Решение полностью:

P7ZIP = /usr/local/bin/7z
# port archivers/p7zip in case of FreeBSD
BINFORBIDDEN = Windows-executable attachments forbidden
WINBIN = exe|com|js|pif|scr|bat|jse|cpl|vbe|vbs|ace
# more cautious: 
exe|com|js|pif|scr|bat|flv|reg|btm|chm|cmd|cpl|dat|dll|hta|jse|jsp|lnk|msi|prf|sys|vb|vbe|vbs|ace
# WinRAR can uncompress .ace, so trojans are sometimes compressed .ace
COMPREXT = zip|rar|7z|arj|bz2|gz|uue|xz|z
check_rfc2047_length = false
acl_smtp_mime = acl_check_mime
begin acl
acl_check_mime:
  deny message = BINFORBIDDEN
   log_message = forbidden attachment: filename=$mime_filename, \
 content-type=$mime_content_type, recipients=$recipients
   condition = ${if or{\
{match{$mime_content_type}\
  {(?i)executable|application/x-ace-compressed}}\
{match{$mime_filename}{\N(?i)\.(WINBIN)(\.(COMPREXT))?$\N}}\
  }}

  deny message = Compressed BINFORBIDDEN
   condition = ${if or{\
   {match{$mime_content_type}{(?i)application/\
 (octet-stream|x(-zip)?-compressed|zip)}}\
   {match{$mime_filename}{\N(?i)\.(COMPREXT)$\N}}\
  }}
   condition = ${if <{$message_size}{1500K}}
   decode = default
   log_message = forbidden binary in attachment: filename=$mime_filename, \
 recipients=$recipients
   condition = ${if match{${run{P7ZIP l -y $mime_decoded_filename}}}\
 {\N(?i)\n[12].+\.(COMPREXT|WINBIN)\n\N}}

  accept


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Mikhail Golub 

21.12.2016 17:42, l...@lena.kiev.ua пишет:

From: Mikhail Golub



# 7z l Новый.scr.uue



Path = Новый.scr.uue
Type = bzip2

   Date  TimeAttr Size   Compressed  Name
--- -  

.Новый.scr



Но если этот же файл проверить как
/var/spool/exim/scan/1cJhIo-000D1o-SQ-2/1cJhIo-000D1o-SQ-2 -
здесь проблема.

# 7z l 1cJhIo-000D1o-SQ-2



Path = 1cJhIo-000D1o-SQ-2
Type = bzip2

   Date  TimeAttr Size   Compressed  Name
--- -  

.
1cJhIo-000D1o-SQ-2~


"uue" - враньё вируса, на самом деле файл упакован не uue, а bzip2.
Внутри файла bzip2 нет имени исходного файла.
Увидеть ".scr" можно только в $mime_filename .


Получается, что таким образом просматривая архивы, этот вирус не отсеять.
Если файлу из спула сделать расширение "scr.uue", то все 7z там видит. И 
не имя файла с кириллицей или нет.



Интересно, что в $mime_filename -
=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==
или
Новый.scr.uue


mime_filename: Новый.scr.uue
mime_decoded_filename: 
/var/spool/exim/scan/1cJhhK-000DmE-A2/1cJhhK-000DmE-A2-2



В начале конфига Exim нужно
check_rfc2047_length = false


Это есть.


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Victor Cheburkin 
Hi!

> 21 дек. 2016 г., в 17:42, l...@lena.kiev.ua написал(а):
> 
>> From: Mikhail Golub
> 
>> # 7z l Новый.scr.uue
> 
>> Path = Новый.scr.uue
>> Type = bzip2
>> 
>>   Date  TimeAttr Size   Compressed  Name
>> --- -   
>> 
>>.Новый.scr
> 
>> Но если этот же файл проверить как 
>> /var/spool/exim/scan/1cJhIo-000D1o-SQ-2/1cJhIo-000D1o-SQ-2 - 
>> здесь проблема.
>> 
>> # 7z l 1cJhIo-000D1o-SQ-2
> 
>> Path = 1cJhIo-000D1o-SQ-2
>> Type = bzip2
>> 
>>   Date  TimeAttr Size   Compressed  Name
>> --- -   
>> 
>>. 
>> 1cJhIo-000D1o-SQ-2~
> 
> "uue" - враньё вируса, на самом деле файл упакован не uue, а bzip2.
> Внутри файла bzip2 нет имени исходного файла.

видимо, в этом конкретном случае таки нет, хотя оно там бывает ;-)
видимо, исходя из этого, стоит сразу смотреть и на второе расширение.
в случае uue, наверное, уже стоит сразу его реджектить или дропать.

> Увидеть ".scr" можно только в $mime_filename .
> Интересно, что в $mime_filename -
> =?windows-1251?B?ze7i++kuc2NyLnV1ZQ==
> или
> Новый.scr.uue
> 
> В начале конфига Exim нужно
> check_rfc2047_length = false
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Mikhail Golub 

21.12.2016 17:06, Victor Cheburkin пишет:

Да, с вложением, сохраненным из почтового клиента, проблем нет.

# 7z l Новый.scr.uue

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 
CPUs x64)


Scanning the drive for archives:
1 file, 215412 bytes (211 KiB)

Listing archive: Новый.scr.uue

--
Path = Новый.scr.uue
Type = bzip2

   Date  TimeAttr Size   Compressed  Name
--- -   


.Новый.scr
--- -   


 215412  1 files


Но если этот же файл проверить как 
/var/spool/exim/scan/1cJhIo-000D1o-SQ-2/1cJhIo-000D1o-SQ-2 - 
здесь проблема.


# 7z l 1cJhIo-000D1o-SQ-2

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 
CPUs x64)


Scanning the drive for archives:
1 file, 215412 bytes (211 KiB)

Listing archive: 1cJhIo-000D1o-SQ-2

--
Path = 1cJhIo-000D1o-SQ-2
Type = bzip2

   Date  TimeAttr Size   Compressed  Name
--- -   

. 
1cJhIo-000D1o-SQ-2~
--- -   


 215412  1 files




--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Victor Cheburkin 
Hi!

> 21 дек. 2016 г., в 16:56, Mikhail Golub  написал(а):
> 
> 21.12.2016 16:50, Victor Cheburkin пишет:
>> Как вариант -- проблемы с локалью: если при запуске 7z локаль установлена 
>> неправильно...
> 
> LANG=ru_RU.UTF-8
> LC_CTYPE="ru_RU.UTF-8"
> LC_COLLATE="ru_RU.UTF-8"
> LC_TIME="ru_RU.UTF-8"
> LC_NUMERIC="ru_RU.UTF-8"
> LC_MONETARY="ru_RU.UTF-8"
> LC_MESSAGES="ru_RU.UTF-8"
> LC_ALL=
> 
> Запускаю от юзера.
> 215412 21 дек. 15:51 1cJhIo-000D1o-SQ-2
> 215412 21 дек. 15:12 Новый.scr.uue
> 
> 7z l первый_файл
> 7z l второй_файл
> 
> Результаты приводил выше. Дело не в локали.
> Если в имени файла нет кириллицы - проблем нет, все срабатывает.

Гм. Видимо еще смотря какая кодировка внутри архива.. с utf-8 на utf-8 работает 
нормально:

$ 7z l новый.7z 

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=utf8,Utf16=on,HugeFiles=on,64 bits,4 CPUs x64)

Scanning the drive for archives:
1 file, 521194 bytes (509 KiB)

Listing archive: новый.7z

--
Path = новый.7z
Type = 7z
Physical Size = 521194
Headers Size = 272
Method = LZMA2:768k
Solid = +
Blocks = 1

   Date  TimeAttr Size   Compressed  Name
--- -    
2015-06-11 18:53:59 A   213344   520922  Декартовы Координаты.pdf
2016-05-23 12:38:36 A   158746   Свидетельство о 
регистрации.pdf
2016-05-23 12:37:54 A   188383   Свидетельство плательщика 
НДС.pdf
--- -    
2016-05-23 12:38:36 560473   520922  3 files


> -- 
> Mikhail Golub
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Victor Cheburkin 
Hi!

> 21 дек. 2016 г., в 16:47, Mikhail Golub  написал(а):
> 
> 21.12.2016 16:24, Mikhail Golub пишет:
>> Мне же надо получить листинг архива из
>> /var/spool/exim/scan/1cJhhK-000DmE-A2/1cJhhK-000DmE-A2-2
>> Дело, все же, в 7z, получается.
>> 
>> Файлы идентичные по содержимому.
>> 215412 21 дек.  15:51 1cJhIo-000D1o-SQ-2
>> 215412 21 дек.  15:12 Новый.scr.uue
>> 
>> Но 7z во втором файле "видит" имя файла в содержимом архива.
>> А в первом - нет.
> 
> Да, получается, что у 7z проблемы с именами файлов кириллицей.
> Создал файл test.src, запаковал его в test.scr.gz - сработало правило.
> 
> 2016-12-21 16:43:16 1cJi6u-000DoK-8E TEST-mime_filename: test.scr.gz
> 2016-12-21 16:43:16 1cJi6u-000DoK-8E TEST-mime_decoded_filename: 
> /var/spool/exim/scan/1cJi6u-000DoK-8E/1cJi6u-000DoK-8E-2
> 2016-12-21 16:43:16 1cJi6u-000DoK-8E  rejected during MIME ACL checks: 
> REJECTED: dangerous file in ZIP attachment
> 
> Вирусописатели читают рассылки и учли такую недоработку при рассылке вируса :)

Как вариант -- проблемы с локалью: если при запуске 7z локаль установлена 
неправильно...

> -- 
> Mikhail Golub
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Mikhail Golub 

21.12.2016 16:24, Mikhail Golub пишет:

Мне же надо получить листинг архива из
/var/spool/exim/scan/1cJhhK-000DmE-A2/1cJhhK-000DmE-A2-2
Дело, все же, в 7z, получается.

Файлы идентичные по содержимому.
215412 21 дек.  15:51 1cJhIo-000D1o-SQ-2
215412 21 дек.  15:12 Новый.scr.uue

Но 7z во втором файле "видит" имя файла в содержимом архива.
А в первом - нет.


Да, получается, что у 7z проблемы с именами файлов кириллицей.
Создал файл test.src, запаковал его в test.scr.gz - сработало правило.

2016-12-21 16:43:16 1cJi6u-000DoK-8E TEST-mime_filename: test.scr.gz
2016-12-21 16:43:16 1cJi6u-000DoK-8E TEST-mime_decoded_filename: 
/var/spool/exim/scan/1cJi6u-000DoK-8E/1cJi6u-000DoK-8E-2
2016-12-21 16:43:16 1cJi6u-000DoK-8E  rejected during MIME ACL 
checks: REJECTED: dangerous file in ZIP attachment


Вирусописатели читают рассылки и учли такую недоработку при рассылке 
вируса :)


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность George L. Yermulnik 
Hello!

On Wed, 21 Dec 2016 at 16:32:50 (+0200), Max Kostikov wrote:

> А зачем отдельным?
> Он же при первом decode = default всё делает. Дальше можно пользоваться 
> плодами.

Согласен. Но в Вашем случае его нужно строкой выше перенести.
Но, как я уже понял из предыдущего письма в триде, проблема не в том,
что файл проехал мимо match'а по имени, а что 7z видит не то и не так.

> George L. Yermulnik писал 2016-12-21 16:25:
> > Или decode отдельным acl'ем (через warn) и match имени аттача по
> > $mime_decoded_filename

> BBM: 24CA5DF8 | W: https://kostikov.co

-- 
George L. Yermulnik
[YZ-RIPE]

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Max Kostikov 

А зачем отдельным?
Он же при первом decode = default всё делает. Дальше можно пользоваться 
плодами.


George L. Yermulnik писал 2016-12-21 16:25:

Или decode отдельным acl'ем (через warn) и match имени аттача по
$mime_decoded_filename


--
With best regards,
Max Kostikov

BBM: 24CA5DF8 | W: https://kostikov.co

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность George L. Yermulnik 
Hello!

On Wed, 21 Dec 2016 at 16:11:21 (+0200), Victor Cheburkin wrote:

> > Было правило и вроде работало (когда добавлял).

> > deny message = This message contains dangerous file(s) in 
> > ${uc:${extract{-1}{.}{$mime_filename}}} attachment.
> > condition = ${if <{$message_size}{2500K}{1}{0}}
> > condition = ${if 
> > match{$mime_filename}{\N(?i)\.(7z|arj|bz2|gz|rar|uue|z|zip|xz)$\N}}
> > decode = default
> > condition = ${if match{${run{/usr/local/bin/7z l 
> > $mime_decoded_filename}}} 
> > {\N(?i)\.(com|pif|scr|lnk|exe|js|zip|jar|bat|cmd)\n\N} }
> > log_message = REJECTED: dangerous file in 
> > ${uc:${extract{-1}{.}{$mime_filename}}} attachment

> > Но сегодня пришел "злобный" вирус в письме с вложением "Новый.scr.uue"

> > --=_NextPart_000_0A96_01D25B89.ECC77EF0
> > Content-Type: application/octet-stream;
> > name="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="
> > Content-Transfer-Encoding: base64
> > Content-Disposition: attachment;
> > filename="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="

> > И правило не сработало :(

> А если
> ${if match {${rfc2047d:$mime_filename}}
> ?

Или decode отдельным acl'ем (через warn) и match имени аттача по 
$mime_decoded_filename

-- 
George L. Yermulnik
[YZ-RIPE]

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Mikhail Golub 

21.12.2016 16:11, Victor Cheburkin пишет:

Hi!
А если
${if match {${rfc2047d:$mime_filename}}


Нет, не то.

2016-12-21 16:16:50 1cJhhK-000DmE-A2 TEST-mime_filename: Новый.scr.uue
2016-12-21 16:16:50 1cJhhK-000DmE-A2 TEST-mime_decoded_filename: 
/var/spool/exim/scan/1cJhhK-000DmE-A2/1cJhhK-000DmE-A2-2


Мне же надо получить листинг архива из 
/var/spool/exim/scan/1cJhhK-000DmE-A2/1cJhhK-000DmE-A2-2

Дело, все же, в 7z, получается.

Файлы идентичные по содержимому.
215412 21 дек.  15:51 1cJhIo-000D1o-SQ-2
215412 21 дек.  15:12 Новый.scr.uue

Но 7z во втором файле "видит" имя файла в содержимом архива.
А в первом - нет.

Если кто-то хочет проверить свои настройки - вот файл.
https://cloud.mail.ru/public/3iyG/jSZGwr3tD


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] tls_require_ciphers

2016-12-21 Пенетрантность Max Kostikov 

У меня сейчас так. Всё со всеми ок.

tls_advertise_hosts = *
tls_require_ciphers = 
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

tls_dhparam = /etc/ssl/dhparams.pem

Mikhail Golub писал 2016-12-21 14:26:

Всем доброго дня.

Прошу подсказать, как правильно указать данный параметр?

Прописаны:
tls_certificate ...
tls_privatekey ...
tls_advertise_hosts = *
tls_dhparam ...
openssl_options = +dont_insert_empty_fragments +no_sslv2 +no_sslv3

При указании
tls_require_ciphers = TLSv1+HIGH : !SSLv2 : RC4+MEDIUM : !aNULL :
!eNULL : !3DES : !MD5 : !AES : !CAMELLIA : !PSK : !KRB5 : @STRENGTH
все тесты проходит на https://sslanalyzer.comodoca.com/

Но письма с gmail.com, например, не проходят:
2016-12-21 14:15:30 TLS error on connection from
mail-io0-f179.google.com [209.85.223.179] (SSL_accept):
error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

FreeBSD 11.0-RELEASE-p2
OpenSSL 1.0.2j-freebsd


--
With best regards,
Max Kostikov

BBM: 24CA5DF8 | W: https://kostikov.co

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Victor Cheburkin 
Hi!

> 21 дек. 2016 г., в 16:04, Mikhail Golub  написал(а):
> 
> И снова здравствуйте.
> 
> Было правило и вроде работало (когда добавлял).
> 
> deny message = This message contains dangerous file(s) in 
> ${uc:${extract{-1}{.}{$mime_filename}}} attachment.
> condition = ${if <{$message_size}{2500K}{1}{0}}
> condition = ${if 
> match{$mime_filename}{\N(?i)\.(7z|arj|bz2|gz|rar|uue|z|zip|xz)$\N}}
> decode = default
> condition = ${if match{${run{/usr/local/bin/7z l 
> $mime_decoded_filename}}} 
> {\N(?i)\.(com|pif|scr|lnk|exe|js|zip|jar|bat|cmd)\n\N} }
> log_message = REJECTED: dangerous file in 
> ${uc:${extract{-1}{.}{$mime_filename}}} attachment
> 
> Но сегодня пришел "злобный" вирус в письме с вложением "Новый.scr.uue"
> 
> --=_NextPart_000_0A96_01D25B89.ECC77EF0
> Content-Type: application/octet-stream;
>   name="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="
> Content-Transfer-Encoding: base64
> Content-Disposition: attachment;
>   filename="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="
> 
> И правило не сработало :(

А если
${if match {${rfc2047d:$mime_filename}}
?

> Если выполнить скан по $mime_decoded_filename
> # 7z l /var/spool/exim/scan/1cJhIo-000D1o-SQ/1cJhIo-000D1o-SQ-2
> получу
> Path = /var/spool/exim/scan/1cJhIo-000D1o-SQ/1cJhIo-000D1o-SQ-2
> Type = bzip2
> 
>   Date  TimeAttr Size   Compressed  Name
> --- -   
>. 1cJhIo-000D1o-SQ-2~
> --- -   
> 215412  1 files
> 
> 
> 
> А если
> # 7z l /home/user/Новый.scr.uue
> то
> Path = /home/user/Новый.scr.uue
> Type = bzip2
>   Date  TimeAttr Size   Compressed  Name
> --- -   
>.Новый.scr
> --- -   
> 215412  1 files
> 
> В Exim что-то не донастроено?
> 
> 
> 
> -- 
> Mikhail Golub
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] mime_decoded_filename

2016-12-21 Пенетрантность Mikhail Golub 

И снова здравствуйте.

Было правило и вроде работало (когда добавлял).

deny message = This message contains dangerous file(s) in 
${uc:${extract{-1}{.}{$mime_filename}}} attachment.

 condition = ${if <{$message_size}{2500K}{1}{0}}
 condition = ${if 
match{$mime_filename}{\N(?i)\.(7z|arj|bz2|gz|rar|uue|z|zip|xz)$\N}}

 decode = default
 condition = ${if match{${run{/usr/local/bin/7z l 
$mime_decoded_filename}}} 
{\N(?i)\.(com|pif|scr|lnk|exe|js|zip|jar|bat|cmd)\n\N} }
 log_message = REJECTED: dangerous file in 
${uc:${extract{-1}{.}{$mime_filename}}} attachment


Но сегодня пришел "злобный" вирус в письме с вложением "Новый.scr.uue"

--=_NextPart_000_0A96_01D25B89.ECC77EF0
Content-Type: application/octet-stream;
name="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="

И правило не сработало :(

Если выполнить скан по $mime_decoded_filename
# 7z l /var/spool/exim/scan/1cJhIo-000D1o-SQ/1cJhIo-000D1o-SQ-2
получу
Path = /var/spool/exim/scan/1cJhIo-000D1o-SQ/1cJhIo-000D1o-SQ-2
Type = bzip2

   Date  TimeAttr Size   Compressed  Name
--- -   

. 
1cJhIo-000D1o-SQ-2~
--- -   


 215412  1 files



А если
# 7z l /home/user/Новый.scr.uue
то
Path = /home/user/Новый.scr.uue
Type = bzip2
   Date  TimeAttr Size   Compressed  Name
--- -   


.Новый.scr
--- -   


 215412  1 files

В Exim что-то не донастроено?



--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] tls_require_ciphers

2016-12-21 Пенетрантность Mikhail Golub 

Всем доброго дня.

Прошу подсказать, как правильно указать данный параметр?

Прописаны:
tls_certificate ...
tls_privatekey ...
tls_advertise_hosts = *
tls_dhparam ...
openssl_options = +dont_insert_empty_fragments +no_sslv2 +no_sslv3

При указании
tls_require_ciphers = TLSv1+HIGH : !SSLv2 : RC4+MEDIUM : !aNULL : !eNULL 
: !3DES : !MD5 : !AES : !CAMELLIA : !PSK : !KRB5 : @STRENGTH

все тесты проходит на https://sslanalyzer.comodoca.com/

Но письма с gmail.com, например, не проходят:
2016-12-21 14:15:30 TLS error on connection from 
mail-io0-f179.google.com [209.85.223.179] (SSL_accept): 
error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher


FreeBSD 11.0-RELEASE-p2
OpenSSL 1.0.2j-freebsd

--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users