Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware

Martin Steigerwald
Hallo!

Da ich gerade eben von den täglichen ZIP-Archiven mit Javascript-Malware, die
über vger.kernel.org reinkommen (die die Postmaster dort an sich auch mal
blocken könnten), die Schnauze wohl hab, hab ich jetzt mal

# Anhänge blocken: ZIP noch dazu, weil das am häufigsten kommt.
# http://www.postfix.org/header_checks.5.html
/^Content-(Disposition|Type).*name\s*=\s*"?([^;]*(\.|=2E)(
        ade|adp|asp|bas|bat|chm|cmd|com|cpl|crt|dll|exe|
        hlp|ht[at]|
        inf|ins|isp|jse?|lnk|md[betw]|ms[cipt]|nws|
        \{[[:xdigit:]]{8}(?:-[[:xdigit:]]{4}){3}-[[:xdigit:]]{12}\}|
        ops|pcd|pif|prf|reg|sc[frt]|sh[bsm]|swf|
        vb[esx]?|vxd|ws[cfh]|zip))(\?=)?"?\s*(;|$)/x
                REJECT Attachment name "$2" may not end with ".$4"

in die via PCRE eingebundenen Header-Checks eingebaut.

Aus naheliegenden Gründen möchte ich jetzt keine dieser Mails weiterleiten.
Lösch die eh gleich wieder. Soweit durch die Verwirrungstaktik in einem der
Skripte durchblicke, greift das ohnehin mal wieder nur auf Windows-Systemen.

Diese Mails gehen seit eh und jeh bei mir sowohl an policyd-weight als auch an
SpamAssassin mit Zusatzregeln spamassassin.heinlein-support.de,
updates.spamassassin.org, sought.rules.yerp.org vorbei.

Ich bin bei der Recherche auch auf Postscreen gestoßen und sicherlich würde
sich auch Amavis dazu eignen. Auch postgrey habe ich mir mal wieder überlegt,
jedoch kam ich bislang auch ganz gut ohne aus und mag das an sich nicht so
gerne, wenn legitime Mails um Minuten verzögert bei mir eintreffen.

Insgesamt möchte ich mein Mailserver-Setup auch nicht unnötig komplex machen.
Ich hab ohnehin immer mehr Komplexität hinzugefügt als eine Art Wettrüsten mit
den Spammern. Falls jemand mir ein Archiv schicken möchte, könnte sie es immer
noch irgendwo hochladen oder… ein anderes Kompressionsformat verwenden.

Was verwendet ihr?

Also genau da würde mich eine aktualisierte Fassung des Postfix-Buches mit den
aktuellen Best Practice-Empfehlungen für ein einfaches, jedoch auch äußerst
wirksames Spamfilter-Setup interessieren. Natürlich dürfte das zu einem Teil
auch zum Geschäftsgeheimnis von Mail-Konto-Anbietern gehören.

Mein Setup ist auch bereits recht wirksam, wenn ich sehe, dass pro Tag micht
mehr als ca. 20 Mails durchkommen. Ich hab keine Stastistik, aber ich gehe
davon aus, dass mein Server über 90% aller Mails auf SMTP-Ebene zurückweist.

(Manchmal möchte ich einfach alle Mails wegblocken oder einen Antibot
schreiben, der sämtliche schlecht abgesicherten IoT-Müll-Teile und VMs
unbrauchbar macht. Und ja, ich kann mich zurückhalten.).


Kandidaten, die meinen Dovecot knacken wollen, dabei jedoch dilletantisch
vorgehen, gibt es auch mal wieder:

Apr 15 12:34:22 mondschein dovecot: pop3-login: Disconnected (tried to use
disallowed plaintext auth): user=<>, rip=49.69.121.47, lip=194.150.191.11

(Okay, grad mal sshguard angepasst, damit er auch das mail.log pollt.)

Frohe Ostern,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware

Dominik Kupschke
Hallo,

gegen ZIP Dateien mit Javascript oder Double-Extensions (invoice.pdf.exe)
verwende ich ClamAV mit den Foxhole Signaturen von Sanesecurity:

http://sanesecurity.com/foxhole-databases/

VG
Dominik

Am Samstag, 15. April 2017, 12:57:55 CEST schrieb Martin Steigerwald:

> Hallo!
>
> Da ich gerade eben von den täglichen ZIP-Archiven mit Javascript-Malware,
> die über vger.kernel.org reinkommen (die die Postmaster dort an sich auch
> mal blocken könnten), die Schnauze wohl hab, hab ich jetzt mal
>
> # Anhänge blocken: ZIP noch dazu, weil das am häufigsten kommt.
> # http://www.postfix.org/header_checks.5.html
> /^Content-(Disposition|Type).*name\s*=\s*"?([^;]*(\.|=2E)(
>         ade|adp|asp|bas|bat|chm|cmd|com|cpl|crt|dll|exe|
>         hlp|ht[at]|
>         inf|ins|isp|jse?|lnk|md[betw]|ms[cipt]|nws|
>         \{[[:xdigit:]]{8}(?:-[[:xdigit:]]{4}){3}-[[:xdigit:]]{12}\}|
>         ops|pcd|pif|prf|reg|sc[frt]|sh[bsm]|swf|
>         vb[esx]?|vxd|ws[cfh]|zip))(\?=)?"?\s*(;|$)/x
>                 REJECT Attachment name "$2" may not end with ".$4"
>
> in die via PCRE eingebundenen Header-Checks eingebaut.
>
> Aus naheliegenden Gründen möchte ich jetzt keine dieser Mails weiterleiten.
> Lösch die eh gleich wieder. Soweit durch die Verwirrungstaktik in einem der
> Skripte durchblicke, greift das ohnehin mal wieder nur auf Windows-Systemen.
>
> Diese Mails gehen seit eh und jeh bei mir sowohl an policyd-weight als auch
> an SpamAssassin mit Zusatzregeln spamassassin.heinlein-support.de,
> updates.spamassassin.org, sought.rules.yerp.org vorbei.
>
> Ich bin bei der Recherche auch auf Postscreen gestoßen und sicherlich würde
> sich auch Amavis dazu eignen. Auch postgrey habe ich mir mal wieder
> überlegt, jedoch kam ich bislang auch ganz gut ohne aus und mag das an sich
> nicht so gerne, wenn legitime Mails um Minuten verzögert bei mir
> eintreffen.
>
> Insgesamt möchte ich mein Mailserver-Setup auch nicht unnötig komplex
> machen. Ich hab ohnehin immer mehr Komplexität hinzugefügt als eine Art
> Wettrüsten mit den Spammern. Falls jemand mir ein Archiv schicken möchte,
> könnte sie es immer noch irgendwo hochladen oder… ein anderes
> Kompressionsformat verwenden.
>
> Was verwendet ihr?
>
> Also genau da würde mich eine aktualisierte Fassung des Postfix-Buches mit
> den aktuellen Best Practice-Empfehlungen für ein einfaches, jedoch auch
> äußerst wirksames Spamfilter-Setup interessieren. Natürlich dürfte das zu
> einem Teil auch zum Geschäftsgeheimnis von Mail-Konto-Anbietern gehören.
>
> Mein Setup ist auch bereits recht wirksam, wenn ich sehe, dass pro Tag micht
> mehr als ca. 20 Mails durchkommen. Ich hab keine Stastistik, aber ich gehe
> davon aus, dass mein Server über 90% aller Mails auf SMTP-Ebene
> zurückweist.
>
> (Manchmal möchte ich einfach alle Mails wegblocken oder einen Antibot
> schreiben, der sämtliche schlecht abgesicherten IoT-Müll-Teile und VMs
> unbrauchbar macht. Und ja, ich kann mich zurückhalten.).
>
>
> Kandidaten, die meinen Dovecot knacken wollen, dabei jedoch dilletantisch
> vorgehen, gibt es auch mal wieder:
>
> Apr 15 12:34:22 mondschein dovecot: pop3-login: Disconnected (tried to use
> disallowed plaintext auth): user=<>, rip=49.69.121.47, lip=194.150.191.11
>
> (Okay, grad mal sshguard angepasst, damit er auch das mail.log pollt.)
>
> Frohe Ostern,

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware

Martin Steigerwald
Hallo Dominik.

Danke für Deine Antwort.

Dominik Kupschke - 15.04.17, 13:35:
> gegen ZIP Dateien mit Javascript oder Double-Extensions (invoice.pdf.exe)
> verwende ich ClamAV mit den Foxhole Signaturen von Sanesecurity:
>
> http://sanesecurity.com/foxhole-databases/

Wie hängst Du den in Postfix ein? Direkt, via Amavis oder noch irgendwie
anders?

Von meiner früheren Erinnerung am Amavis-Konfiguration auf Kunden-Servern,
würde ich mir dieses Teil doch lieber ersparen.

SpamAssassin habe ich via spamc und header_checks eingehängt, plane dies
jedoch irgendwann auf spampd umzustellen.

Danke,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: Anhänge blocken, z.B. ZIP-Archive mit Javascript-Malware

Dominik Kupschke
Hallo Martin,

ich verwende hierzu den clamav-milter:
https://packages.debian.org/de/jessie/clamav-milter

VG
Dominik

Am Samstag, 15. April 2017, 14:06:01 CEST schrieb Martin Steigerwald:

> Hallo Dominik.
>
> Danke für Deine Antwort.
>
> Dominik Kupschke - 15.04.17, 13:35:
> > gegen ZIP Dateien mit Javascript oder Double-Extensions (invoice.pdf.exe)
> > verwende ich ClamAV mit den Foxhole Signaturen von Sanesecurity:
> >
> > http://sanesecurity.com/foxhole-databases/
>
> Wie hängst Du den in Postfix ein? Direkt, via Amavis oder noch irgendwie
> anders?
>
> Von meiner früheren Erinnerung am Amavis-Konfiguration auf Kunden-Servern,
> würde ich mir dieses Teil doch lieber ersparen.
>
> SpamAssassin habe ich via spamc und header_checks eingehängt, plane dies
> jedoch irgendwann auf spampd umzustellen.
>
> Danke,

signature.asc (849 bytes) Download Attachment