[SOLVED] PMG Version 7.2 - Heuristics.OLE2.ContainsMacros funktionsunfähig?

R

retep

New Member
Proxmox Subscriber
Dec 23, 2022
6
1
3
Hallo gemeinsam,

ich habe die aktuelle PMG-Version installiert und PMG so konfiguriert, dass die E-Mails über Fetchmail abgerufen werden. Laut dem Thread "Block macros document in proxmos email gateway" werden Makro-Dokumente ohne spezielle Regeln über die ClamAV-Heuristics blockiert. Vor dem Livebetrieb musste ich bei einem Test leider feststellen, dass Makro-Dokumente den Empfänger ungefiltert erreichen.

/etc/clamav/clamd.conf - ScanOLE2 ist auf true gesetzt
Heuristic Score ist auf 50
Entsprechende Rule zum Verschieben in die Quarantäne ist auch vorhanden

Code: 
Dec 23 12:43:24 pmg postfix/smtpd[39624]: connect from ##################[##################]
Dec 23 12:43:24 pmg postfix/smtpd[39624]: 302F46C1127: client=##################[##################]
Dec 23 12:43:24 pmg postfix/cleanup[39627]: 302F46C1127: message-id=<##################>
Dec 23 12:43:24 pmg postfix/qmgr[822]: 302F46C1127: from=<##################>, size=11958, nrcpt=1 (queue active)
Dec 23 12:43:24 pmg postfix/smtpd[39624]: disconnect from ##################[##################] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Dec 23 12:43:24 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: new mail message-id=<##################>#012
Dec 23 12:43:26 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: SA score=0/5 time=2.476 bayes=undefined autolearn=disabled hits=AWL(-0.249),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_MESSAGE(0.001),RCVD_IN_DNSWL_LOW(-0.7),RCVD_IN_MSPIKE_H2(-0.001),RDNS_NONE(1.274),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001),SUBJ_ALL_CAPS(0.5)
Dec 23 12:43:26 pmg postfix/smtpd[39632]: connect from localhost.localdomain[127.0.0.1]
Dec 23 12:43:26 pmg postfix/smtpd[39632]: D14676C1129: client=localhost.localdomain[127.0.0.1], orig_client=##################[##################]
Dec 23 12:43:26 pmg postfix/cleanup[39627]: D14676C1129: message-id=<##################>
Dec 23 12:43:26 pmg postfix/qmgr[822]: D14676C1129: from=<##################>, size=13134, nrcpt=1 (queue active)
Dec 23 12:43:26 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: accept mail to <##################> (D14676C1129) (rule: default-accept)
Dec 23 12:43:26 pmg postfix/smtpd[39632]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Dec 23 12:43:26 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: processing time: 2.592 seconds (2.476, 0.027, 0)
Dec 23 12:43:26 pmg postfix/lmtp[39628]: 302F46C1127: to=<##################>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.7, delays=0.06/0.02/0.04/2.6, dsn=2.5.0, status=sent (250 2.5.0 OK (6C112863A5945C4D4E9))
Dec 23 12:43:26 pmg postfix/qmgr[822]: 302F46C1127: removed
Dec 23 12:43:26 pmg postfix/smtp[39633]: D14676C1129: to=<##################>, relay=##################[##################]:25, delay=0.1, delays=0.05/0.01/0.01/0.03, dsn=2.0.0, status=sent (250 Message accepted for delivery)
Dec 23 12:43:26 pmg postfix/qmgr[822]: D14676C1129: removed

Habe ich eine Einstellung übersehen oder funktioniert das nicht wie es soll?

Grüße
 
Kann man vermeiden, dass "hits=ClamAVHeuristics" ignoriert wird, wenn der Absender auf der Benutzer-Whitelist steht?

Ich möchte Makro-Dateien mit der .doc-Endung herausfiltern und nach verschiedenen Testszenarien scheint nur der Weg über die Heuristic zu funktionieren. Es wurde mit der Test-Datei von heise getestet (https://www.heise.de/security/dienste/emailcheck/attachments/test_doc_macro/).

Übersehe ich etwas oder bleibt mir nur der Weg über das Filtern von allen Office-Dokumenten?

Code: 
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: new mail message-id=<E1pBFRH-00DFRJ-8e.octo03@web.heise.de>#012
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: virus detected: Heuristics.OLE2.ContainsMacros.VBA (clamav)
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: SA score=550/5 time=0.000 bayes=undefined autolearn=no hits=ClamAVHeuristics(550)
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: sender in user (**@**.de) welcomelist
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: sender in user (**@**.de) welcomelist
 
retep said:
Kann man vermeiden, dass "hits=ClamAVHeuristics" ignoriert wird, wenn der Absender auf der Benutzer-Whitelist steht?
Click to expand...
derzeit nicht - ein heuristics hit wird als SpamAssassin score (mit dem heuristics score der in der GUI einstellbar ist) gewertet - die user-welcome list sagt, dass der SpamAssassin score für die mail auf 0 gesetzt wird ..
 
  • Like
Reactions: retep
Vielen Dank für die Antwort.

Wenn sich der Absender in der Blacklist befindet, bekommt die Nachricht einen Score von 100 zugewiesen. Den Heuristic-Score habe ich jetzt auf 200 gesetzt, damit ich alle gefährlichen Dateien in einem What-Objekt zusammenfassen kann. Allerdings greift die Rule mit dem Heuristic-Score auch bei der Blacklist mit dem Score "USER_IN_BLOCKLIST: 100".

Rule mit Priorität 93: "Gefährliche Dateien blockieren" mit What-Objekt: "Office-Dokumente", "Spam-Level 150" -> In Anhang-Quarantäne verschieben
Rule mit Priorität 81: "Quarantine/Mark Spam (Level 5)" mit What-Objekt "Spam-Level 5" -> in Quarantäne verschieben

In der E-Mail befand sich kein Anhang, der auf die Rule "Gefährliche Dateien blockieren" zutrifft.

Code: 
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: SA score=1/5 time=2.796 bayes=undefined autolearn=disabled hits=AWL(1.549),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_MESSAGE(0.001),KAM_NUMSUBJECT(0.5),RCVD_IN_DNSWL_NONE(-0.0001),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001)
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: sender in user (**@**.de) blocklist
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: sender in user (**@**.de) blocklist
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: sender in user (**@**.de) blocklist
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: moved mail for <**@**.de> to attachment quarantine - 6C127663B58C20C1EA4 (rule: Gefährliche Dateien blockieren)
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: notify <admin@**.de> (rule: Gefährliche Dateien blockieren, C74366C129B)
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: moved mail for <**@**.de> to spam quarantine - 6C12A263B58C20D6336 (rule: Quarantine/Mark Spam (Level 5))
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: processing time: 2.944 seconds (2.796, 0.014, 0)
 
Last edited:
Es scheint wirklich so zu sein, dass der Heuristic- und Blocklist-Score die gesetzten Score-Schwellenwerte ignoriert. Es trifft die erste Score-Regel zu, auch wenn der Wert unter dem Score-Schwellenwert liegt.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom