Absender bei bestimmten Dateitypen benachrichtigen

classic Classic list List threaded Threaded
13 messages Options
Reply | Threaded
Open this post in threaded view
|

Absender bei bestimmten Dateitypen benachrichtigen

IT Newsletter
Hallo Liste,

gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
zu benachrichtigen?

So soll der Absender z.B. informiert werden, wenn er uns Office
Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
gesendet werden wenn z.B. eine .exe Datei im Anhang ist.

Gibt es eine Möglichkeit dies mit Amavis, Postfix, Postfix Addons oder
RSpamD zu konfigurieren?

Grüße, Martin.
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Ralf Hildebrandt
* IT Newsletter <[hidden email]>:
> Hallo Liste,
>
> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
> zu benachrichtigen?
>
> So soll der Absender z.B. informiert werden, wenn er uns Office
> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.

Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
einige Bildtypen sind.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

IT Newsletter
Hallo Ralf,

derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
Office Dokumenten und nicht generell bei allen Dateitypen.

Grüße, Martin.

Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt:

> * IT Newsletter <[hidden email]>:
>> Hallo Liste,
>>
>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
>> zu benachrichtigen?
>>
>> So soll der Absender z.B. informiert werden, wenn er uns Office
>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.
>
> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
> einige Bildtypen sind.
>
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Winfried Neessen
Hi,

Am 17.12.2018 um 11:25 schrieb IT Newsletter <[hidden email]>:

> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
> Office Dokumenten und nicht generell bei allen Dateitypen.

Das geht ebenfalls mit AMaViSd


Winni

smime.p7s (1K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Ralf Hildebrandt
In reply to this post by IT Newsletter
* IT Newsletter <[hidden email]>:
> Hallo Ralf,
>
> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
> Office Dokumenten und nicht generell bei allen Dateitypen.

Hm, in dem Fall würde ich vielleicht einen Logparser schreiben, der
dann die Absender informiert. Wäre bei uns auch besser, weil die oft
gar nicht wissen, was sie falsch machen.
--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

IT Newsletter
In reply to this post by Winfried Neessen
Hallo Winni,

kannst du mir auch sagen wie das funktioniert oder zumindest einen
Hinweis geben wonach ich suchen kann?

Danke, Martin.

Am 17.12.2018 um 11:27 schrieb Winfried Neessen:

> Hi,
>
> Am 17.12.2018 um 11:25 schrieb IT Newsletter <[hidden email]>:
>
>> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
>> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
>> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
>> Office Dokumenten und nicht generell bei allen Dateitypen.
>
> Das geht ebenfalls mit AMaViSd
>
>
> Winni
>
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Winfried Neessen
Hi,

Am 17.12.2018 um 11:52 schrieb IT Newsletter <[hidden email]>:

> kannst du mir auch sagen wie das funktioniert oder zumindest einen
> Hinweis geben wonach ich suchen kann?

$warnvirussender und $warnbannedsender koennen Dir da helfen. Wenn Du explizit nur auf einen bestmmten
Virus btw. ein bestimmtes Gebanntes File eingehen willst, dann ist die Logparser Loesung von Ralf
vermutlich besser.


Winni

smime.p7s (1K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Michael Schwingen
In reply to this post by Ralf Hildebrandt
On 12/17/18 11:44 AM, Ralf Hildebrandt wrote:

> * IT Newsletter <[hidden email]>:
>> Hallo Ralf,
>>
>> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
>> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
>> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
>> Office Dokumenten und nicht generell bei allen Dateitypen.
>
> Hm, in dem Fall würde ich vielleicht einen Logparser schreiben, der
> dann die Absender informiert. Wäre bei uns auch besser, weil die oft
> gar nicht wissen, was sie falsch machen.

Woher bekommst Du zu dem Zeitpunkt den echten Absender?
Wenn Du nicht schon beim Annehmen der Mail rejectest, klingt das nach
reichlich backscatter an unbeteiligte Absender bei der nächsten Welle
mit infizierten Office-Dokumenten ...

cu
Michael


Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Carsten Rosenberg
In reply to this post by IT Newsletter
Hi,

wir haben das mit policy banks und dann als Content-Filter umgesetzt.

Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den
entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder
alle Mails nochmal durch einen Content-Filter schicken.

In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man
kann ein Custom Template verwenden in dem man explizit auf das Verbot
von Office Dokumenten eingeht.

Viele Grüße

Carsten

On 17.12.18 11:25, IT Newsletter wrote:

> Hallo Ralf,
>
> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
> Office Dokumenten und nicht generell bei allen Dateitypen.
>
> Grüße, Martin.
>
> Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt:
>> * IT Newsletter <[hidden email]>:
>>> Hallo Liste,
>>>
>>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
>>> zu benachrichtigen?
>>>
>>> So soll der Absender z.B. informiert werden, wenn er uns Office
>>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
>>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
>>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.
>>
>> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
>> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
>> einige Bildtypen sind.
>>
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen

IT Newsletter
Hi Carsten,

danke für deine Antwort.

Ich habe jetzt ein bischen damit herumgespielt. Sieht soweit alles gut
aus und funktioniert wie gewünscht.

Damit wir aber nicht Gott und die Welt benachrichtigen, wollen wir die
Absender Adresse/Domain mit unserer Kundendatenbank abgleichen. Dazu
senden wir die Banned Benachrichtigung in ein gesondertes Konto, lesen
dort die X-Envelope-From Adresse per Skript aus, vergleichen die Adresse
mit der Kundendatenbank und informieren dann per sendmail.

Grüße, Martin


Am 17.12.2018 um 12:38 schrieb Carsten Rosenberg:

> Hi,
>
> wir haben das mit policy banks und dann als Content-Filter umgesetzt.
>
> Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den
> entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder
> alle Mails nochmal durch einen Content-Filter schicken.
>
> In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man
> kann ein Custom Template verwenden in dem man explizit auf das Verbot
> von Office Dokumenten eingeht.
>
> Viele Grüße
>
> Carsten
>
> On 17.12.18 11:25, IT Newsletter wrote:
>> Hallo Ralf,
>>
>> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
>> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
>> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
>> Office Dokumenten und nicht generell bei allen Dateitypen.
>>
>> Grüße, Martin.
>>
>> Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt:
>>> * IT Newsletter <[hidden email]>:
>>>> Hallo Liste,
>>>>
>>>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
>>>> zu benachrichtigen?
>>>>
>>>> So soll der Absender z.B. informiert werden, wenn er uns Office
>>>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
>>>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
>>>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.
>>>
>>> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
>>> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
>>> einige Bildtypen sind.
>>>
Reply | Threaded
Open this post in threaded view
|

AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Wiethoff, Helge-2
In reply to this post by Carsten Rosenberg
Hallo zusammen,

vielleicht etwas Off-Topic:

Wir hatten das Problem größtenteils mit doc-Dateien, die Schadsoftware
nachgeladen haben. Mit ClamAV lassen sich auch yara-Regeln einbinden und damit
können Office-Makros ganz okay erkannt werden:
/var/lib/clamav# cat yara_officemacros.yar
rule office_macro
{
    meta:
        description = "M$ Office document containing a macro"
        thread_level = 1
        in_the_wild = true
    strings:
        $a = {d0 cf 11 e0}
        $b = {00 41 74 74 72 69 62 75 74 00}
    condition:
        $a at 0 and $b
}

Jetzt haben wir rspamd so konfiguriert, dass Mails die auf das pattern matchen
einen positiven score nahe der Ablehnung erhalten (+15). Wenn keine "positiven
Eigenschaften" noch hinzukommen (IP-reputation, etc.) wird die Mail abgelehnt.

Das funktioniert bei uns jetzt seit einem guten Monat ganz ordentlich.


Viele Grüße
Helge


--
Helge Wiethoff
Rechenzentrum
+49 (234) 968 8717


> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users <[hidden email]> Im
> Auftrag von Carsten Rosenberg
> Gesendet: Montag, 17. Dezember 2018 12:39
> An: [hidden email]
> Betreff: Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen
>
> Hi,
>
> wir haben das mit policy banks und dann als Content-Filter umgesetzt.
>
> Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den
> entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder
> alle Mails nochmal durch einen Content-Filter schicken.
>
> In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man
> kann ein Custom Template verwenden in dem man explizit auf das Verbot
> von Office Dokumenten eingeht.
>
> Viele Grüße
>
> Carsten
>
> On 17.12.18 11:25, IT Newsletter wrote:
> > Hallo Ralf,
> >
> > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
> > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
> > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
> > Office Dokumenten und nicht generell bei allen Dateitypen.
> >
> > Grüße, Martin.
> >
> > Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt:
> >> * IT Newsletter <[hidden email]>:
> >>> Hallo Liste,
> >>>
> >>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
> >>> zu benachrichtigen?
> >>>
> >>> So soll der Absender z.B. informiert werden, wenn er uns Office
> >>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
> >>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
> >>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.
> >>
> >> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
> >> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
> >> einige Bildtypen sind.
> >>

smime.p7s (10K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Uwe Drießen
In reply to this post by Ralf Hildebrandt
Im Auftrag von Ralf Hildebrandt

>
> * IT Newsletter <[hidden email]>:
> > Hallo Ralf,
> >
> > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
> > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
> > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
> > Office Dokumenten und nicht generell bei allen Dateitypen.
>
> Hm, in dem Fall würde ich vielleicht einen Logparser schreiben, der
> dann die Absender informiert. Wäre bei uns auch besser, weil die oft
> gar nicht wissen, was sie falsch machen.
> --

Bei reject wird er Absender doch informiert :-)


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: Office Macros / AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Carsten Rosenberg
In reply to this post by Wiethoff, Helge-2
Die OLE Erkennung im ClamAV selbst arbeitet auch sehr ordentlich.

# /etc/clamd.conf
ScanOLE2 true
OLE2BlockMacros true

Dann gibt der ClamAV Heuristics.OLE2.ContainsMacros als Virusnamen aus,
was man dann entsprechend im Amavis und Rspamd abfangen kann.

Das Problem ist ja meistens, dass man Macros nicht per se blocken möchte.

Beim Spamassassin kann man OLEMacro empfehlen, dass ein einfaches
matching auf autoexec Funktionen macht.

Für den Rspamd haben wir gerade einen Prototypen mit oletools gebaut und
bei uns und ersten Kunden schon im Einsatz. Also ähnlich dem Macromilter
nur direkt im Rspamd.
Damit lassen sich ziemlich granular böse Funktionsgruppen (automatische
Ausführung, Schreiben ins Dateisystem, Shellaufrufe) oder einzelne
Funktionen mit Aktionen belegen. Das Plugin muss nur noch n bisl
aufgeräumt werden.

VG Carsten





On 17.12.18 16:08, Wiethoff, Helge wrote:

> Hallo zusammen,
>
> vielleicht etwas Off-Topic:
>
> Wir hatten das Problem größtenteils mit doc-Dateien, die Schadsoftware
> nachgeladen haben. Mit ClamAV lassen sich auch yara-Regeln einbinden und damit
> können Office-Makros ganz okay erkannt werden:
> /var/lib/clamav# cat yara_officemacros.yar
> rule office_macro
> {
>     meta:
>         description = "M$ Office document containing a macro"
>         thread_level = 1
>         in_the_wild = true
>     strings:
>         $a = {d0 cf 11 e0}
>         $b = {00 41 74 74 72 69 62 75 74 00}
>     condition:
>         $a at 0 and $b
> }
>
> Jetzt haben wir rspamd so konfiguriert, dass Mails die auf das pattern matchen
> einen positiven score nahe der Ablehnung erhalten (+15). Wenn keine "positiven
> Eigenschaften" noch hinzukommen (IP-reputation, etc.) wird die Mail abgelehnt.
>
> Das funktioniert bei uns jetzt seit einem guten Monat ganz ordentlich.
>
>
> Viele Grüße
> Helge
>
>
> --
> Helge Wiethoff
> Rechenzentrum
> +49 (234) 968 8717
>
>
>> -----Ursprüngliche Nachricht-----
>> Von: Postfixbuch-users <[hidden email]> Im
>> Auftrag von Carsten Rosenberg
>> Gesendet: Montag, 17. Dezember 2018 12:39
>> An: [hidden email]
>> Betreff: Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen
>>
>> Hi,
>>
>> wir haben das mit policy banks und dann als Content-Filter umgesetzt.
>>
>> Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den
>> entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder
>> alle Mails nochmal durch einen Content-Filter schicken.
>>
>> In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man
>> kann ein Custom Template verwenden in dem man explizit auf das Verbot
>> von Office Dokumenten eingeht.
>>
>> Viele Grüße
>>
>> Carsten
>>
>> On 17.12.18 11:25, IT Newsletter wrote:
>>> Hallo Ralf,
>>>
>>> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
>>> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
>>> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
>>> Office Dokumenten und nicht generell bei allen Dateitypen.
>>>
>>> Grüße, Martin.
>>>
>>> Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt:
>>>> * IT Newsletter <[hidden email]>:
>>>>> Hallo Liste,
>>>>>
>>>>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
>>>>> zu benachrichtigen?
>>>>>
>>>>> So soll der Absender z.B. informiert werden, wenn er uns Office
>>>>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
>>>>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
>>>>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.
>>>>
>>>> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
>>>> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
>>>> einige Bildtypen sind.
>>>>