[SOLVED] PMG Version 7.2 - Heuristics.OLE2.ContainsMacros funktionsunfähig?

[retep]

Hallo gemeinsam,

ich habe die aktuelle PMG-Version installiert und PMG so konfiguriert, dass die E-Mails über Fetchmail abgerufen werden. Laut dem Thread "Block macros document in proxmos email gateway" werden Makro-Dokumente ohne spezielle Regeln über die ClamAV-Heuristics blockiert. Vor dem Livebetrieb musste ich bei einem Test leider feststellen, dass Makro-Dokumente den Empfänger ungefiltert erreichen.

/etc/clamav/clamd.conf - ScanOLE2 ist auf true gesetzt
Heuristic Score ist auf 50
Entsprechende Rule zum Verschieben in die Quarantäne ist auch vorhanden

Dec 23 12:43:24 pmg postfix/smtpd[39624]: connect from ##################[##################]
Dec 23 12:43:24 pmg postfix/smtpd[39624]: 302F46C1127: client=##################[##################]
Dec 23 12:43:24 pmg postfix/cleanup[39627]: 302F46C1127: message-id=<##################>
Dec 23 12:43:24 pmg postfix/qmgr[822]: 302F46C1127: from=<##################>, size=11958, nrcpt=1 (queue active)
Dec 23 12:43:24 pmg postfix/smtpd[39624]: disconnect from ##################[##################] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Dec 23 12:43:24 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: new mail message-id=<##################>#012
Dec 23 12:43:26 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: SA score=0/5 time=2.476 bayes=undefined autolearn=disabled hits=AWL(-0.249),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_MESSAGE(0.001),RCVD_IN_DNSWL_LOW(-0.7),RCVD_IN_MSPIKE_H2(-0.001),RDNS_NONE(1.274),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001),SUBJ_ALL_CAPS(0.5)
Dec 23 12:43:26 pmg postfix/smtpd[39632]: connect from localhost.localdomain[127.0.0.1]
Dec 23 12:43:26 pmg postfix/smtpd[39632]: D14676C1129: client=localhost.localdomain[127.0.0.1], orig_client=##################[##################]
Dec 23 12:43:26 pmg postfix/cleanup[39627]: D14676C1129: message-id=<##################>
Dec 23 12:43:26 pmg postfix/qmgr[822]: D14676C1129: from=<##################>, size=13134, nrcpt=1 (queue active)
Dec 23 12:43:26 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: accept mail to <##################> (D14676C1129) (rule: default-accept)
Dec 23 12:43:26 pmg postfix/smtpd[39632]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Dec 23 12:43:26 pmg pmg-smtp-filter[38590]: 6C112863A5945C4D4E9: processing time: 2.592 seconds (2.476, 0.027, 0)
Dec 23 12:43:26 pmg postfix/lmtp[39628]: 302F46C1127: to=<##################>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.7, delays=0.06/0.02/0.04/2.6, dsn=2.5.0, status=sent (250 2.5.0 OK (6C112863A5945C4D4E9))
Dec 23 12:43:26 pmg postfix/qmgr[822]: 302F46C1127: removed
Dec 23 12:43:26 pmg postfix/smtp[39633]: D14676C1129: to=<##################>, relay=##################[##################]:25, delay=0.1, delays=0.05/0.01/0.01/0.03, dsn=2.0.0, status=sent (250 Message accepted for delivery)
Dec 23 12:43:26 pmg postfix/qmgr[822]: D14676C1129: removed

Habe ich eine Einstellung übersehen oder funktioniert das nicht wie es soll?

Grüße

 

[retep]

Update: Die Lösung war in dem Thread https://forum.proxmox.com/threads/virus-passing-through.110609/ zu finden.

Gibt es die Möglichkeit, diese E-Mails in die Viren-Quarantäne zu verschieben, damit sie beim Benutzer nicht im Tagesreport aufgelistet werden?

Update: Auch diese Frage hat sich erübrigt...

 

[retep]

Kann man vermeiden, dass "hits=ClamAVHeuristics" ignoriert wird, wenn der Absender auf der Benutzer-Whitelist steht?

Ich möchte Makro-Dateien mit der .doc-Endung herausfiltern und nach verschiedenen Testszenarien scheint nur der Weg über die Heuristic zu funktionieren. Es wurde mit der Test-Datei von heise getestet (https://www.heise.de/security/dienste/emailcheck/attachments/test_doc_macro/).

Übersehe ich etwas oder bleibt mir nur der Weg über das Filtern von allen Office-Dokumenten?

Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: new mail message-id=<E1pBFRH-00DFRJ-8e.octo03@web.heise.de>#012
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: virus detected: Heuristics.OLE2.ContainsMacros.VBA (clamav)
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: SA score=550/5 time=0.000 bayes=undefined autolearn=no hits=ClamAVHeuristics(550)
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: sender in user (**@**.de) welcomelist
Dec 30 15:22:21 pmg pmg-smtp-filter[1093]: 6C120563AEF41D8C465: sender in user (**@**.de) welcomelist

 

[Stoiko Ivanov]

Kann man vermeiden, dass "hits=ClamAVHeuristics" ignoriert wird, wenn der Absender auf der Benutzer-Whitelist steht?

derzeit nicht - ein heuristics hit wird als SpamAssassin score (mit dem heuristics score der in der GUI einstellbar ist) gewertet - die user-welcome list sagt, dass der SpamAssassin score für die mail auf 0 gesetzt wird ..

 

[retep]

Vielen Dank für die Antwort.

Wenn sich der Absender in der Blacklist befindet, bekommt die Nachricht einen Score von 100 zugewiesen. Den Heuristic-Score habe ich jetzt auf 200 gesetzt, damit ich alle gefährlichen Dateien in einem What-Objekt zusammenfassen kann. Allerdings greift die Rule mit dem Heuristic-Score auch bei der Blacklist mit dem Score "USER_IN_BLOCKLIST: 100".

Rule mit Priorität 93: "Gefährliche Dateien blockieren" mit What-Objekt: "Office-Dokumente", "Spam-Level 150" -> In Anhang-Quarantäne verschieben
Rule mit Priorität 81: "Quarantine/Mark Spam (Level 5)" mit What-Objekt "Spam-Level 5" -> in Quarantäne verschieben

In der E-Mail befand sich kein Anhang, der auf die Rule "Gefährliche Dateien blockieren" zutrifft.

Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: SA score=1/5 time=2.796 bayes=undefined autolearn=disabled hits=AWL(1.549),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_MESSAGE(0.001),KAM_NUMSUBJECT(0.5),RCVD_IN_DNSWL_NONE(-0.0001),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001)
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: sender in user (**@**.de) blocklist
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: sender in user (**@**.de) blocklist
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: sender in user (**@**.de) blocklist
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: moved mail for <**@**.de> to attachment quarantine - 6C127663B58C20C1EA4 (rule: Gefährliche Dateien blockieren)
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: notify <admin@**.de> (rule: Gefährliche Dateien blockieren, C74366C129B)
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: moved mail for <**@**.de> to spam quarantine - 6C12A263B58C20D6336 (rule: Quarantine/Mark Spam (Level 5))
Jan 4 15:24:32 pmg pmg-smtp-filter[866]: 6C127063B58C1DE8757: processing time: 2.944 seconds (2.796, 0.014, 0)

 

[retep]

Es scheint wirklich so zu sein, dass der Heuristic- und Blocklist-Score die gesetzten Score-Schwellenwerte ignoriert. Es trifft die erste Score-Regel zu, auch wenn der Wert unter dem Score-Schwellenwert liegt.

 

[Stoiko Ivanov]

Der Spamwert wird bei 100 gecapped (wenn er hoeher als 100 wird wird er auf 100 gesetzt):

https://git.proxmox.com/?p=pmg-api....b8cd56c9d2fa3463e36cd16769f8a20c;hb=HEAD#l183

Ich hoffe das erklärt es!

 

[retep]

Danke! Mit dieser Information konnte ich das gewünschte Ergebnis erzielen.