Re: Postfix - clamav - Ausnahmen für OLE2BlockMacros möglich?

2021-11-29 Diskussionsfäden Andreas Wass - Glas Gasperlmair 

Hey Carsten,

vielen Dank für die Anleitung, wobei ich Walter absolut Recht gebe (und 
meine eigene Einstellung teilt), wenn er schreibt:

Zitat:

   "auch wenn es gehen sollte, eine Gegenfrage:  kannst garantieren,
   dass Mails dieser speziellen Kunden nicht das Ergebnis ein
   Infiltration und damit dann   sicher Schadsoftware sind?

   soll heißen, derartiges auf keinen Fall zu tun;

Zitat - Ende

Ich als Admin möchte diese strikte Linie natürlich auch in Zukunft 
unbedingt beibehalten, und hoffe, dass ich das nie umsetzen muss.
Aber für den Fall, dass alle noch so überzeugenden Argumente eines 
Admins und die vielen Medienberichte über die Auswirkungen solcher 
Makros von höherer Stelle ungehört blieben, möchte ich vorbereitet sein.


Danke für eure Anleitungen und Meinungen,

VG, Andi

Am 29.11.2021 um 10:26 schrieb Carsten Rosenberg:

Hey,

du kannst im Rspamd Virenmeldungen via Pattern Regex ein eigenes 
Symbol zuweisen:


clamav {
  ...

  patterns {
    CLAM_HEUR_OLE2_VBA_MACRO = 
"^(Heuristics\.OLE2\.ContainsMacros.*|File contains macros)";

  }
}

Das nutzen wir sehr intensiv um auch die Unofficial Signaturen zu 
kategorisieren.


Wenn du jetzt den Reject nicht im Plugin sondern via force_actions 
machst, kannst du in einem Settings-Profil darauf Einfluss nehmen.


force_actions.conf:

rules {

  VIRUS_REJECT {
    action = "reject";
    expression = "CLAMAV_VIRUS | CLAM_HEUR_OLE2_VBA_MACRO";
    message = "REJECT - virus found";
  }

}

Und deaktivieren via settings.conf

internal_systems {
  id = "internal_systems";
  priority = high;

  # remote client ip
  ip = "172.16.0.1/32";

  apply {
    symbols_disabled = [
  "CLAM_HEUR_OLE2_VBA_MACRO",
    ];
    groups_disabled = [
    ];
  }
}

Viele Grüße

Carsten

On 29.11.21 09:06, Andreas Wass - Glas Gasperlmair wrote:

Hallo zusammen,

wir verwenden Postfix in Kombination mit ClamAV (über rspamd 
eingebunden) mit der Einstellung "OLE2BlockMacros true" 
(/etc/clamav/clamd.conf).


Ist es möglich, diese Einstellung für spezielle Kunden IP-Adressen zu 
umgehen und deren E-Mails mit Macros in Dokumenten zuzulassen?


vg, Andi

Re: Postfix - clamav - Ausnahmen für OLE2BlockMacros möglich?

2021-11-29 Diskussionsfäden Carsten Rosenberg 

Hey,

du kannst im Rspamd Virenmeldungen via Pattern Regex ein eigenes Symbol 
zuweisen:


clamav {
  ...

  patterns {
CLAM_HEUR_OLE2_VBA_MACRO = 
"^(Heuristics\.OLE2\.ContainsMacros.*|File contains macros)";

  }
}

Das nutzen wir sehr intensiv um auch die Unofficial Signaturen zu 
kategorisieren.


Wenn du jetzt den Reject nicht im Plugin sondern via force_actions 
machst, kannst du in einem Settings-Profil darauf Einfluss nehmen.


force_actions.conf:

rules {

  VIRUS_REJECT {
action = "reject";
expression = "CLAMAV_VIRUS | CLAM_HEUR_OLE2_VBA_MACRO";
message = "REJECT - virus found";
  }

}

Und deaktivieren via settings.conf

internal_systems {
  id = "internal_systems";
  priority = high;

  # remote client ip
  ip = "172.16.0.1/32";

  apply {
symbols_disabled = [
  "CLAM_HEUR_OLE2_VBA_MACRO",
];
groups_disabled = [
];
  }
}

Viele Grüße

Carsten

On 29.11.21 09:06, Andreas Wass - Glas Gasperlmair wrote:

Hallo zusammen,

wir verwenden Postfix in Kombination mit ClamAV (über rspamd 
eingebunden) mit der Einstellung "OLE2BlockMacros true" 
(/etc/clamav/clamd.conf).


Ist es möglich, diese Einstellung für spezielle Kunden IP-Adressen zu 
umgehen und deren E-Mails mit Macros in Dokumenten zuzulassen?


vg, Andi

Re: Postfix - clamav - Ausnahmen für OLE2BlockMacros möglich?

2021-11-29 Diskussionsfäden Patrick Ben Koetter 
Andreas,

* Andreas Wass - Glas Gasperlmair :
> Hallo zusammen,
> 
> wir verwenden Postfix in Kombination mit ClamAV (über rspamd eingebunden)
> mit der Einstellung "OLE2BlockMacros true" (/etc/clamav/clamd.conf).
> 
> Ist es möglich, diese Einstellung für spezielle Kunden IP-Adressen zu
> umgehen und deren E-Mails mit Macros in Dokumenten zuzulassen?

Postfix und ClamAV können das mit ihren Bordmitteln nicht. Du kannst amavis
dazwischen schalten und dann per recipient domain den "normalen" oder den
clamAV-Socket "mit OLE2BlockMacros" ansteuern.

p@rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

Postfix - clamav - Ausnahmen für OLE2BlockMacros möglich?

2021-11-29 Diskussionsfäden Andreas Wass - Glas Gasperlmair 

Hallo zusammen,

wir verwenden Postfix in Kombination mit ClamAV (über rspamd 
eingebunden) mit der Einstellung "OLE2BlockMacros true" 
(/etc/clamav/clamd.conf).


Ist es möglich, diese Einstellung für spezielle Kunden IP-Adressen zu 
umgehen und deren E-Mails mit Macros in Dokumenten zuzulassen?


vg, Andi