Was macht ihr mit den quarantine-Files von Amavis?

[ivo]

Hi.

postfix mit amavis-ng, spamassassin und imap läuft. Nun möchte ich euch mal nach ein paar Empfehlungen fragen.

Was macht ihr mit den E-Mails, die amavis aussortiert? Klar, die Mails, die nur Müll enthalten, die können weg. Aber was mit den Files, die durchaus wichtigen Inhalt haben können, aber trotzdem eine vervirte Word-Datei enthalten?

Benachrichtigt ihr den Sender der Mail automatisch? Nein! Ja?

Eigentlich suche ich nach einer Möglichkeit, die MIME-Attachements aus den infizierten Mails zu löschen und die reinen Text-Mails doch noch zuzustellen.

Hints?

*iv

[feltel]

Bei mir hier in der Firma handle ich das so, das ich bei VIrenverseuchten eMails den Absender benachrichtigen lasse. Es sei denn es ist ein Wurm (Einstellung $viruses_that_fake_sender_re) , dann sende ich keine Nachrichten, da diese mitunter auch der Sinn und Zweck eines Wurmes sein kann, Mailverkehr zu erzeugen.

Da der Absender bei Virenverseuchten Mails informiert wird (und damit hoffentlich Aktionen unternimmt, um die Mail virenfrei zu versenden) sehe ich im Moment keinen Grund, die verseuchten Mails händisch oder scriptgesteuert nach verwertbarem Inhalt zu durchsuchen. Zumal ich auch zweifle, das man es dem DAU-User vermitteln kann, das er eine Mail erhält, aus der aus irgendwelchen Gründen das Attachment entnommen wurde. Das führt denke ich nur zu Irritationen, wenn das in der Mail steht "schau auf meine Anlage" und es ist garkeine dran.

Noch n kleiner Nachtrag:

Code: Alles auswählen

feltel@skywalker:/var/lib/amavis/virusmails$ ls -Alh|wc -l
   1541

... der Scanner läuft jetzt ca. ein Jahr und da sind die Würmer noch nicht mal dabei.

[ivo]

Hi.

Die Einstellung $viruses_that_fake_sender_re habe ich noch gar nicht gefunden. Welches amavis und welche Version nimmst du? Ich habe die amavis-ng von http://www.backports.org.

Ich habe -- ehrlich gesagt -- einige Vorbehalte, dem Sender eine Mail ohne vorherige Überprüfung zu schicken. Aber scheinbar hast du damit keine schlechten Erfahrungen gemacht.

Auch dem Empfänger der potentiellen Virenmail schickst du keine Mail? Hmmm.

feltel@skywalker:/var/lib/amavis/virusmails$ ls -Alh|wc -l
1541

Deswegen habe ich mich auch durchgerungen, amavis zu installieren :-)

Ganz schön schlimm, in letzter Zeit. Und die DAUs klicken auf alles, was bunt ist :-(

*iv

[feltel]

Welches amavis und welche Version nimmst du? Ich habe die amavis-ng von http://www.backports.org.

Ich hab amavisd-new-20030615-p5 aus Sarge zusammen mit AntiVir für Linux von H+BEDV im Einsatz.

Ich habe -- ehrlich gesagt -- einige Vorbehalte, dem Sender eine Mail ohne vorherige Überprüfung zu schicken. Aber scheinbar hast du damit keine schlechten Erfahrungen gemacht.

In der Mail steht dann ja nur drin, das derjenige/diejenige eine virenverseuchte Mail an den User xyz versucht hat zu schicken, und die Mail aufgrund des Virus nicht zugestellt wurde. Mehr nicht. So wird er evtl sogar erst darauf aufmerksam, das auf seinem Rechner ein Virus aktiv ist. Ich halte es sorum für besser, als wenn er durch dem Empfänger erfährt, das seine Mail nicht angekommen sei.

Auch dem Empfänger der potentiellen Virenmail schickst du keine Mail? Hmmm.

Ja, ich seh darin nix schlimmes

[ivo]

Ich hab amavisd-new-20030615-p5 aus Sarge zusammen mit AntiVir für Linux von H+BEDV im Einsatz.

Schade. Ich habe hier ein stabiles woody. Ich habe mir gerade mal die für woody verfügbaren amavis-Spielarten angeschaut. Die von dir benutzte Konfigurationsoption scheint es nur in amavis-new zu geben :-(

Benutzt du sarge auf deinem Mail-Server?

*iv

[feltel]

Benutzt du sarge auf deinem Mail-Server?

Nein, ich hab dort auch Woody installiert. amavis ist sogut wie die einzige Ausname, bei der ich das Paket von Sarge installiert hab.

[Bert]

Gibts da Probleme mit Abhängigkeiten? Ich werd sowas in den nächsten Tagen auch machen müssen...

[feltel]

Das Amavis zieht ein paar Perl-Module mit sich, aber alles in allem nix tragisches oder was, was das System großartig updatet:

Depends: adduser (>= 3.34), file, libmime-perl (>= 5.313), libconvert-tnef-perl (>= 0.06), libconve
rt-uulib-perl, libcompress-zlib-perl (>= 1.14), libarchive-tar-perl, libarchive-zip-perl, libmailto
ols-perl, libunix-syslog-perl, libnet-perl (>= 1:1.12), libnet-server-perl, libtime-hires-perl, lib
digest-md5-perl, libmime-base64-perl, perl

[ivo]

Gibts da Probleme mit Abhängigkeiten? Ich werd sowas in den nächsten Tagen auch machen müssen...

Es gibt aber auch Backports, deren Qualität ich wohl am WE testen werde :-)

http://tinyurl.com/wlt9

*iv

[Bert]

Es gibt aber auch Backports, deren Qualität ich wohl am WE testen werde

Dann warte ich ganz ungeduldig auf Deinen Erfolgsbericht

[ivo]

Es gibt aber auch Backports, deren Qualität ich wohl am WE testen werde :-)

Dann warte ich ganz ungeduldig auf Deinen Erfolgsbericht :-)

Hmmm. p.d.o ist aber noch down, wie es scheint.

Ich habe in den letzten Tagen amavis-postfix (aus woody) und amavis-ng (von backports.org) versucht. Beides hat ohne Probleme geklappt. Nur würde mir das Feature, welches Sebastian beschrieben hat, sehr gefallen. Ich werde auf einer anderen Kiste amavisd-new probieren...

*iv

[rolo]

wenn du backports installieren willst, ich habe amavisd-new für woody von hier:
deb http://debian.jones.dk woody misc

und keine probleme damit

[ivo]

ich weiß nicht ob du backports installieren willst. ich habe amavisd-new für woody von hier:
deb http://debian.jones.dk woody misc

und keine probleme damit

Naja, backports nur, wenn es sein muß. Und bei debian.jones.dk sehe ich nicht richtig durch und kann nicht so richtig nachvollziehen, in welchem Verzeichnis, welches Paket liegt. Das war mir irgendwie unsympatisch :-)

Ich warte, bis p.d.o wieder da ist und schaue mich dort um...

*iv