Hallo,

wir haben, u.a. wegen der Ransomware-Problematik, seit längerem folgendes am 
laufen.

Auf dem MX läuft Postfix+Amavis+SA+ClamAV+ESET. In Postfix reject_rbl_client 
zen.spamhaus.org (blockt viel ab) und ix.dnsbl.manitu.net. Mails mit Banned 
Files, Viren und Spam ab bestimmtem Wert werden rejected.

Banned Files: 
386|ace|bat|bin|chm|class|cmd|cnt|com|cpl|do|drv|exe|f|fxp|gadget|hlp|hpj|hta|inf|ins|isp|its|jar|js|jse|kix|lnk|mht|mhtm|mhtml|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|ocx|ole|pif|prf|ps1|ps1xml|ps2|ps2xml|psc1|psc2|reg|rm|scf|scr|sct|shb|shm|shs|swf|sys|vb|vbe|vbp|vbs|vbx|vsmacros|vxd|ws|wsc|wsf|wsh|xbap|xl|xnk|xsl

SA-Channels updates.spamassassin.org und spamassassin.heinlein-support.de

Auf dem MTA dahinter läuft auch nochmal Postfix+Amavis+SA+ClamAV+ESET. Banned 
Files sind hier alle MS Office Formate außer DOC und DOCX. Im ClamAV ist die 
Option OLE2BlockMacros auf true gesetzt, damit werden MS Office Dateien mit 
Makro von ClamAV als Virus eingestuft. Mails mit Banned Files und Viren werden 
discarded und per $banned_quarantine_to bzw. $virus_quarantine_to in ein 
Quarantäne-Postfach eingeliefert. Dort werden sie nach Einschätzung/Prüfung und 
ggf. Nachfrage beim Empfänger entweder in das Postfach des Empfängers 
verschoben oder gelöscht. Bei ca. 10-30 Mails pro Tag in der Quarantäne ist der 
Aufwand noch vertretbar, bei deutlich mehr wäre das natürlich irgendwann nicht 
mehr machbar.

Zusätzlich sind natürlich per GPO auf den Clients die MS Office 
Makroeinstellungen entsprechend abgesichert, und die User werden von Zeit zu 
Zeit sensibilisiert.

Ich habe hier noch mehrere Mails daliegen, bei denen ich den starken Verdacht 
habe, dass man sich mit den Anhängen (XLSX mit zufälligen Namen) einen 
Verschlüsselungstrojaner einfängt; bei diesen Mails hat allerdings ClamAV 
_keine_ Makros erkannt. Eventuell sind da ja Links drin.

Wichtig ist noch das Thema 7z und verschlüsselte Archive, wenn man Amavis 
2.10.0 oder älter im Einsatz hat (Debian Jessie hat z.B. 2.10.0). Amavis 
interpretiert hier nämlich die Ausgabe von 7z bei verschlüsselten Dateien 
falsch und bekommt daher nicht mit, dass es eine verschlüsselte Datei ist. 
Damit kommt dann $undecipherable_subject_tag nicht zur Anwendung, d.h. der 
Betreff der Mail wird nicht mit "UNCHECKED" markiert und der User bekommt nicht 
mit, dass der Anhang nicht geprüft werden konnte. In 2.11.0 ist das behoben, 
auf der Amavis-Mailingliste gibt es einen Thread dazu --> 
https://lists.amavis.org/pipermail/amavis-users/2016-September/004456.html

Gruß
Christian

> -----Original Message-----
> From: postfix-users [mailto:postfix-users-bounces+christian.hoyer-
> reuther=cac-chem...@de.postfix.org] On Behalf Of Matthias Schmidt
> Sent: Thursday, September 22, 2016 7:14 AM
> To: postfix-users@de.postfix.org
> Subject: Spamassasin, Zips u.a.
> 
> - das grössere Problem ist, dass nach wie vor Mails durchkommen mit:
> Hallo + mehr oder weniger korrekte Anrede
> In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder
> dergleichen)
> (…)
> und dann hängt da ein zip oder ein Word doc dran freilich mit der
> ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein.
> 
> Jeder auf der Liste hier weiss, was da drin ist ;-)
> 
> Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu
> wollen Dokumente zu empfangen ;-)
> oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer
> Ramsoftware schaffen es ja immer wieder selbst den Spamassasin
> auszutricksen.

Antwort per Email an