BANNED CONTENTS ALERT Return message ändern

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

BANNED CONTENTS ALERT Return message ändern

arne110
Ich hab hier einen Fall an dem ich mir im Moment die Zähne ausbeiße und nicht mehr weiter komme. Und zwar habe ich auch die in der amavisd Erweiterungen mit DOTM, DOCM, usw. in der amavisd.conf hinterlegt, damit er diese blockt. Was auch soweit funktioniert. Die bekannte Standardmeldung sieht wie folgt aus:

#######################################################################################################################################
BANNED CONTENTS ALERT

Our content checker found
     banned name: application/octet-stream,.dat,TEST-MACRO-FILE.dotm

in email presumably from you <[hidden email]> to the following recipient:
-> [hidden email]

Our internal reference code for your message is 01041-03/7rt33SfwIfUO

First upstream SMTP client IP address: [212.227.15.18]:56148 mout.gmx.net

Received trace: ESMTPS://[212.227.15.18]:56148 < ESMTPSA://91.49.41.19

Return-Path: <[hidden email]>
From: my privat <[hidden email]>
Message-ID: <[hidden email]>
Subject: TEST DOTM

Delivery of the email was stopped!

The message has been blocked because it contains a component (as a MIME part or nested within) with declared name or MIME type or contents type violating our access policy.

To transfer contents that may be considered risky or unwanted by site policies, or simply too large for mailing, please consider publishing your content on the web, and only sending a URL of the document to the recipient.

Depending on the recipient and sender site policies, with a little effort it might still be possible to send any contents (including
viruses) using one of the following methods:

- encrypted using pgp, gpg or other encryption methods;

- wrapped in a password-protected or scrambled container or archive
   (e.g.: zip -e, arj -g, arc g, rar -p, or other methods)

Note that if the contents is not intended to be secret, the encryption key or password may be included in the same message for recipient's convenience.

We are sorry for inconvenience if the contents was not malicious.
#######################################################################################################################################

Ich würde gerne diese Text für mich hin optimieren wollen, jedoch finde ich einfach nicht die Config dazu um dies entsprechen abändern zu können.

Vielleicht hat jemand einen Rat oder Link dazu wie ich das am besten bewerkstelligen könnte.

Vielen Dank & einen schönen Abend noch....
Reply | Threaded
Open this post in threaded view
|

Re: BANNED CONTENTS ALERT Return message ändern

Winfried Neessen
Am 2016-12-09 16:51, schrieb [hidden email]:

> Ich würde gerne diese Text für mich hin optimieren wollen, jedoch finde
> ich einfach
> nicht die Config dazu um dies entsprechen abändern zu können.
>
> Vielleicht hat jemand einen Rat oder Link dazu wie ich das am besten
> bewerkstelligen könnte.
>
Aus amavisd:
==== 8< ====
# This is a template for VIRUS/BANNED SENDER NOTIFICATIONS.
# For syntax and customization instructions see README.customize.
# The From, To and Date header fields will be provided automatically.
# Long header fields will be automatically wrapped by the program.
==== >8 ====

https://amavis.org/README.customize.txt



Winni
Reply | Threaded
Open this post in threaded view
|

AW: BANNED CONTENTS ALERT Return message ändern

Hoyer-Reuther, Christian
In reply to this post by arne110
Hallo,

wenn Du solche Notifications rausschickst, wirst Du zum Backscatter (Spammer fälschen eigentlich immer die Absenderadressen, dorthin gehen dann Deine Notifications). Das würde ich, wenn es irgendwie geht, vermeiden.

Besser ist es, die Mails direkt am MX zu rejecten. Die Reject-Meldung von Amavis kannst Du anpassen, hier ein Beispiel für die banned files (CC_BANNED):

%smtp_reason_by_ccat = (
  # currently only used for blocked messages only, status 5xx
  # a multiline message will produce a valid multiline SMTP response
  CC_VIRUS,       'id=%n - INFECTED: %V',
  # CC_BANNED,      'id=%n - BANNED: %F',
  CC_BANNED,      'id=%n - Unwanted attachment/Unerwuenschter Anhang (%F) - Please read/Bitte lesen Sie http://www.example.com/unwanted-files.htm',
  CC_UNCHECKED.',1', 'id=%n - UNCHECKED: encrypted',
  CC_UNCHECKED.',2', 'id=%n - UNCHECKED: over limits',
  CC_UNCHECKED,      'id=%n - UNCHECKED',
  CC_SPAM,        'id=%n - spam',
  CC_SPAMMY.',1', 'id=%n - spammy (tag3)',
  CC_SPAMMY,      'id=%n - spammy',
  CC_BADH.',1',   'id=%n - BAD HEADER: MIME error',
  CC_BADH.',2',   'id=%n - BAD HEADER: nonencoded 8-bit character',
  CC_BADH.',3',   'id=%n - BAD HEADER: contains invalid control character',
  CC_BADH.',4',   'id=%n - BAD HEADER: line made up entirely of whitespace',
  CC_BADH.',5',   'id=%n - BAD HEADER: line longer than RFC 5322 limit',
  CC_BADH.',6',   'id=%n - BAD HEADER: syntax error',
  CC_BADH.',7',   'id=%n - BAD HEADER: missing required header field',
  CC_BADH.',8',   'id=%n - BAD HEADER: duplicate header field',
  CC_BADH,        'id=%n - BAD HEADER',
  CC_OVERSIZED,   'id=%n - Message size exceeds recipient\'s size limit',
  CC_MTA.',1',    'id=%n - Temporary MTA failure on relaying',
  CC_MTA.',2',    'id=%n - Rejected by next-hop MTA on relaying',
  CC_MTA,         'id=%n - Unable to relay message back to MTA',
  CC_CLEAN,       'id=%n - CLEAN',
  CC_CATCHALL,    'id=%n - OTHER',  # should not happen
);

Der Block ist eine Kopie aus /usr/sbin/amavisd-new, eingebaut und entsprechend angepasst in der Amavis-Config. Unter der im Reject angegeben URL kannst Du die Gründe dann näher erläutern. Ich habe keine Möglichkeit gefunden, nur die eine abzuändernde Zeile in die Amavis-Config einzubauen, daher ist der ganze Block drin.

Der Reject sieht dann z.B. so aus: 554 5.7.0 Reject, id=31374-20 - Unwanted attachment/Unerwuenschter Anhang (.asc,~CU0Y958FI480O1QH88DQ4K.js) - Please read/Bitte lesen Sie http://www.example.com/unwanted-files.htm

Wenn Du MS Office Dateien mit Makro abweisen willst, reicht es nicht aus, nur auf die Dateiendung zu gehen. Man kann eine DOCM in eine DOC umbenennen und Word führt das Makro dann trotzdem aus, zumindestens bei Office 2007 ist das so.

Hier kann ClamAV mit der Option "OLE2BlockMacros true" helfen, der erkennt MS Office Makros, egal wie sie in den Dateien "eingebaut" sind; auch das alte 2003er Format.

Viele Grüße.

Christian

> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:[hidden email]]
> Im Auftrag von [hidden email]
> Gesendet: Freitag, 9. Dezember 2016 16:52
> An: [hidden email]
> Betreff: BANNED CONTENTS ALERT Return message ändern
>
> Ich hab hier einen Fall an dem ich mir im Moment die Zähne ausbeiße und
> nicht mehr weiter komme. Und zwar habe ich auch die in der amavisd
> Erweiterungen mit DOTM, DOCM, usw. in der amavisd.conf hinterlegt, damit er
> diese blockt. Was auch soweit funktioniert. Die bekannte Standardmeldung
> sieht wie folgt aus:
>
> ############################################################################
> ###########################################################
> BANNED CONTENTS ALERT
>
> Our content checker found
>      banned name: application/octet-stream,.dat,TEST-MACRO-FILE.dotm
>
> in email presumably from you <[hidden email]> to the following recipient:
> -> [hidden email]
>
> Our internal reference code for your message is 01041-03/7rt33SfwIfUO
>
> First upstream SMTP client IP address: [212.227.15.18]:56148 mout.gmx.net
>
> Received trace: ESMTPS://[212.227.15.18]:56148 < ESMTPSA://91.49.41.19
>
> Return-Path: <[hidden email]>
> From: my privat <[hidden email]>
> Message-ID: <[hidden email]>
> Subject: TEST DOTM
>
> Delivery of the email was stopped!
>
> The message has been blocked because it contains a component (as a MIME part
> or nested within) with declared name or MIME type or contents type violating
> our access policy.
>
> To transfer contents that may be considered risky or unwanted by site
> policies, or simply too large for mailing, please consider publishing your
> content on the web, and only sending a URL of the document to the recipient.
>
> Depending on the recipient and sender site policies, with a little effort it
> might still be possible to send any contents (including
> viruses) using one of the following methods:
>
> - encrypted using pgp, gpg or other encryption methods;
>
> - wrapped in a password-protected or scrambled container or archive
>    (e.g.: zip -e, arj -g, arc g, rar -p, or other methods)
>
> Note that if the contents is not intended to be secret, the encryption key
> or password may be included in the same message for recipient's convenience.
>
> We are sorry for inconvenience if the contents was not malicious.
> ############################################################################
> ###########################################################
>
> Ich würde gerne diese Text für mich hin optimieren wollen, jedoch finde ich
> einfach nicht die Config dazu um dies entsprechen abändern zu können.
>
> Vielleicht hat jemand einen Rat oder Link dazu wie ich das am besten
> bewerkstelligen könnte.
>
> Vielen Dank & einen schönen Abend noch....
Reply | Threaded
Open this post in threaded view
|

Re: BANNED CONTENTS ALERT Return message ändern

Paul-2
Am 12.12.2016 um 11:03 schrieb Hoyer-Reuther, Christian:
> Hallo,
>
> wenn Du solche Notifications rausschickst, wirst Du zum Backscatter (Spammer fälschen eigentlich immer die Absenderadressen, dorthin gehen dann Deine Notifications). Das würde ich, wenn es irgendwie geht, vermeiden.

Da stimme ich dir zu, aber macht es vielleicht Sinn, die Notifications
an die eigenen authentifizierten Benutzer zu schicken?
Hat jemand "best practice" Vorschläge?

Gruß,
Paul