[SOLVED] virus detetected, aber nicht in Quarantäne

Gunnar Lettow

Active Member
Oct 4, 2018
18
1
43
63
Hallo

im mail.log finde ich Meldungen, das ein Virus gefunden wurde.

Dec 8 08:03:34 neelix pmg-smtp-filter[972]: A41065C0B6CC5E70E1: virus detected: Heuristics.Phishing.Email.SpoofedDomain (clamav)

Leider wir die Mail aber zuegstellt und landet nihnct in der Quarantäne, wie ich es dem Mailfilter nach erwarten würde. Block virus ist der 2. Eintrag nach der Blacklist.

Irgendeine Idee wie es dazu kommt ?

Gruß Gunnar
 
Passen die SMTP ports und ist das Regelsystem richtig konfiguriert?
 
Also eingeliefert wird über Port 25. Die Mails werden auch normal angenommen und weitergeliet. SPAM wird auch in Quarantäne gesteckt. Nur die Viren eben nicht. Am Regelsystem ist gegenüber dem Default wenig geändert. zu

Block visus ist die Zweite Mailregel mit Priority 96
upload_2018-12-10_15-59-40.png

Gruß Gunnar
 
Regelsystem sieht soweit ok aus.
 
Kann es sein das es an der Art des Virs, also Heuritics.*, liegt?

Ein anderer Virus wurd erkannt und erfolgreich in Quaratäne gesteckt.


Dec 11 05:22:30 neelix pmg-smtp-filter[28697]: A118C5C0F3B86B53F8: virus detected: Doc.Malware.Generic-6779191-0 (clamav)
Dec 11 05:22:31 neelix pmg-smtp-filter[28697]: A118C5C0F3B86B53F8: moved mail for <xxxxxxxxx.xxxxxxr@xxx.xx> to virus quarantine - A43065C0F3B87EABC4
Dec 11 12:31:09 neelix pmg-smtp-filter[23093]: A435E5C0F9FFD6B097: virus detected: Heuristics.Phishing.Email.SpoofedDomain (clamav)
 
@tom

Ich muss das Thema mal aufgreifen. Wurde hier etwas verbessert seit Ende 2018? Da mit einem Aktuellen PMG 6.2.3 der Fehler auch auftritt. Siehe unterer Log. Die Rule BLOCK VIRUSES mit Prio 96 für incoming E-Mails funktionert ansonsten bei anderen Viren / Typen / Erkennungen, nur bei diesem spezifischen Typ - Erkennung als Heuristics.Phishing.Email.SpoofedDomain (clamav) - nicht! Ist die clamav Konfig verrissen? (ist komplett auf Default bezüglich clamav) es wurde mit PMG 6.1 gestartet oder liegt ein Bug im PMG Code vor?


@Gunnar Lettow hast Du nur den clamav als Virenschutz in Deinem Fall aktiv oder noch einen anderen aktiviert?

Code:
Jun 16 16:00:10 mail postfix/smtpd[1061]: connect from mta101b.pmx1.epsl1.com[142.54.244.101]
Jun 16 16:00:11 mail postfix/smtpd[1061]: 4AD5F1212DB: client=mta101b.pmx1.epsl1.com[142.54.244.101]
Jun 16 16:00:11 mail postfix/cleanup[611]: 4AD5F1212DB: message-id=<HP2v400000172bd6df7f499caf56e966f45e8204@mail.paypal.de>
Jun 16 16:00:11 mail postfix/qmgr[28931]: 4AD5F1212DB: from=<bounce-HP2v400000172bd6df7f499caf56e966f45e8204@mail.paypal.de>, size=52792, nrcpt=1 (queue active)
Jun 16 16:00:11 mail pmg-smtp-filter[1547]: 1213625EE8D06BCDFE2: new mail message-id=<HP2v400000172bd6df7f499caf56e966f45e8204@mail.paypal.de>#012
Jun 16 16:00:12 mail pmg-smtp-filter[1547]: 1213625EE8D06BCDFE2: virus detected: Heuristics.Phishing.Email.SpoofedDomain (clamav)
Jun 16 16:00:15 mail pmg-smtp-filter[1547]: 1213625EE8D06BCDFE2: SA score=0/5 time=3.184 bayes=undefined autolearn=ham autolearn_force=no hits=ClamAVHeuristics(3),AWL(0.031),DKIMWL_WL_HIGH(-0.001),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),HTML_IMAGE_RATIO_06(0.001),HTML_MESSAGE(0.001),RCVD_IN_DNSWL_NONE(-0.0001),RCVD_IN_MSPIKE_H2(-0.001),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),URIBL_BLOCKED(0.001),USER_IN_DEF_DKIM_WL(-7.5)
 
Wenn ClamAV etwas als Heuristics erkennt (das sind eben nur heuristische Ergebnisse und kein definitiver Virus - z.B. fallen da auch ZIP files mit Passwortschutz darunter), dann wird das von PMG nicht als Virus erkannt, sondern es wird ein SpamScore assigned - sprich diese Mails werden als Spam erkannt.

Wie viel der spamscore ist kann unter GUI->Configuration->Spam Detector->Option->Heuristic Score konfiguriert werden.

Ich hoffe das erklärt es!
 
  • Like
Reactions: ittk
Wenn ClamAV etwas als Heuristics erkennt (das sind eben nur heuristische Ergebnisse und kein definitiver Virus - z.B. fallen da auch ZIP files mit Passwortschutz darunter), dann wird das von PMG nicht als Virus erkannt, sondern es wird ein SpamScore assigned - sprich diese Mails werden als Spam erkannt.

Wie viel der spamscore ist kann unter GUI->Configuration->Spam Detector->Option->Heuristic Score konfiguriert werden.

Ich hoffe das erklärt es!

@Stoiko Ivanov

Ok danke, man müsste also dort den Heuristic Score auf einen Wert setzen, z. B. 3, damit der SA score dadurch auf 3 gesetzt wird und die E-Mail als SPAM klassifiziert wird?

Aber ist ein Blockieren wirklich nicht möglich? Wäre schade, dass man dies nicht konfigurieren kann, dass auch , wenn ClamAV etwas als Heuristics erkennt, dies nicht als Block Virus Rules in Quarantäne gestellt werden kann. Oder wäre dies mit einer eigenen "Custom Rule" im Regelwerk möglich, die prüft, ob Clamav die Zeile "virus detected: Heuristics.Phishing.Email.SpoofedDomain (clamav)" enthält? Aber m. E. ist das keien header / Nachrichtenkopfzeileninfo oder wird bei solchen heuristischen Clamav Erkennungen ein solche beispielhafter Nachrichten-Header beigefügt: X-Proxmox-VInfo:.. ? Mit dem man eine "Custom Rule" zum Blockieren / in Quarantäne erstellen könnte?

Was wäre das beste Vorgehen, um solche heuristischen Clamav Erkennungen E-Mails zu blockieren / in Quarantäne zu stellen?
 
Ok danke, man müsste also dort den Heuristic Score auf einen Wert setzen, z. B. 3, damit der SA score dadurch auf 3 gesetzt wird und die E-Mail als SPAM klassifiziert wird?
genau (oder noch höher - damit die mail wirklich in die Quarantäne kommt, und nicht wegen anderer rules wieder unter 3 fällt.)

Aber ist ein Blockieren wirklich nicht möglich? Wäre schade, dass man dies nicht konfigurieren kann, dass auch , wenn ClamAV etwas als Heuristics erkennt, dies nicht als Block Virus Rules in Quarantäne gestellt werden kann.
das ist derzeit nicht möglich - die Unterscheidung zw. Virus-Quarantäne und Spam-Quarantäne wird dadurch gemacht ob ein Virus erkannt wurde (und Heuristics werden nicht als Virus gewertet).

In diesem fall:
Heuristics.Phishing.Email.SpoofedDomain (
geht es um eine Spoofed Domain - das ist in meinen Augen wirklich kein Virus.

Heuristics im Allgemeinen als Virus zu bewerten würde zu zu vielen False Positives führen.

Was wäre das beste Vorgehen, um solche heuristischen Clamav Erkennungen E-Mails zu blockieren / in Quarantäne zu stellen?
Heuristic score dementsprechend hoch setzen - die mails die darauf matchen (einen so hohen score haben) blocken oder in die Spamquarantäne verschieben.
 
  • Like
Reactions: ittk
Ergänzung:

Zumal der ClamAVHeuristics dann mit 3 addiert wird, aber diese E-Mail mit USER_IN_DEF_DKIM_WL(-7.5) andere Indikatoren aufweist, die wieder zum SA Score von 0 führen:
Es wurde bezüglich DKIM unter dem Mail Proxy --> DKIM nichts konfiguriert! Woher kommt dann dieser hohe Negativ-Wert von -7.5 für das SA Scoring?

ClamAVHeuristics(3)
,AWL(0.031),DKIMWL_WL_HIGH(-0.001),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),HTML_IMAGE_RATIO_06(0.001),HTML_MESSAGE(0.001),RCVD_IN_DNSWL_NONE(-0.0001),RCVD_IN_MSPIKE_H2(-0.001),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),URIBL_BLOCKED(0.001),USER_IN_DEF_DKIM_WL(-7.5)

16 16:00:15 mail pmg-smtp-filter[1547]: 1213625EE8D06BCDFE2: SA score=0/5

Ich versuche auch die E-Mail (mit Headern) morgen komplett zu sichten. Gehe aber davon aus, dass diese IP-Adresse und Absende-Adresse nicht wirklich von Paypal stammen und die ClamAV Heuristik folglich keinen False-Positve generiert hat, der jedoch im Zusammenspiel mit dem Gesamtergebnis (SA score=0) komplett wirkungslos ist...

Jun 16 16:00:10 mail postfix/smtpd[1061]: connect from mta101b.pmx1.epsl1.com[142.54.244.101]
Jun 16 16:00:11 mail postfix/smtpd[1061]: 4AD5F1212DB: client=mta101b.pmx1.epsl1.com[142.54.244.101]
Jun 16 16:00:11 mail postfix/cleanup[611]: 4AD5F1212DB: message-id=<HP2v400000172bd6df7f499caf56e966f45e8204@mail.paypal.de>
Jun 16 16:00:11 mail postfix/qmgr[28931]: 4AD5F1212DB: from=<bounce-HP2v400000172bd6df7f499caf56e966f45e8204@mail.paypal.de>

Wie gesagt, ich würde eine Lösung begrüßen, dies es ermöglicht, auch solche Erkennungen wie mit der Block VIrus Regel unter Quarantäne zu stellen und die admins per E-Mail zu informieren,
 
genau (oder noch höher - damit die mail wirklich in die Quarantäne kommt, und nicht wegen anderer rules wieder unter 3 fällt.)


das ist derzeit nicht möglich - die Unterscheidung zw. Virus-Quarantäne und Spam-Quarantäne wird dadurch gemacht ob ein Virus erkannt wurde (und Heuristics werden nicht als Virus gewertet).

In diesem fall:

geht es um eine Spoofed Domain - das ist in meinen Augen wirklich kein Virus.

Heuristics im Allgemeinen als Virus zu bewerten würde zu zu vielen False Positives führen.


Heuristic score dementsprechend hoch setzen - die mails die darauf matchen (einen so hohen score haben) blocken oder in die Spamquarantäne verschieben.

Danke für die Infos, wie gesagt ich schaue mir morgen mal die betreffende E-Mail genauer an. Aber Deine Hinweise sind sehr gut... Nochmals vielen Dank, dass hört man heute einfach zu wenig..
 
aber diese E-Mail mit USER_IN_DEF_DKIM_WL(-7.5) andere Indikatoren aufweist, die wieder zum SA Score von 0 führen

musste ich mir selber mal ansehen :) - siehe `man Mail::SpamAssassin::Plugin::DKIM` (bzw. den header von `/usr/share/spamassassin/60_whitelist_dkim.cf`) - soweit ich das verstehe wird eine mail, die von paypal kommt _und_ eine valide dkim-signatur (von paypal hat) als vertrauenswürdig eingestuft (was meiner erfahrung nach durchaus Sinn macht).


Nochmals vielen Dank, dass hört man heute einfach zu wenig..
Danke dafür! - Passiert selten, dass sich jemand die Mühe macht das explizit zu erwähnen - und freut dann umso mehr! :)
 
  • Like
Reactions: ittk
@Stoiko Ivanov

Ich schulde auch noch eine Antwort und habe den Sachverhalt etwas aufgearbeitet und die Auskunft ist hoffentlich auch für Andere hilfreich bzw. nützlich:

Derweil konnten zwei E-Mails eingesehen werden, die Hyperlinks in der E-Mail zeigen alle durchweg auf https://epl.paypal-communication.com/....
Selbst im Mailtext wird die Phising Warn URL www.paypal.de/phishing. mit https://epl.paypal-communication.com.... maskiert.

Code:
Sicherheitshinweis: Sie erkennen Spoof oder Phishing-E-Mails oftmals schon in der Anrede. PayPal wird Sie immer mit Ihrem Vor- und Nachnamen anschreiben. Mehr zu Phishing finden Sie unter www.paypal.de/phishing.

Wohingegen die MTA SMTP-Kommunikation über diese Hosts mta101b.pmx1.epsl1.com[142.54.244.101] und dieser Absende-Adresse bounce-HP2v400000172c385947aad2ce36e965fc958142@mail.paypal.de kommt:

Es sind schlichtweg legitime Paypal Newsletter oder Kontoübersichts-E-Mails - von Privaten oder auch geschäftlichen Paypal-Accounts. Somit ist das hohe Negativ-Scoring mit USER_IN_DEF_DKIM_WL(-7.5) ok, sodass der SA score trotz ClamAVHeuristics(3) einen wert von SA score=0 erzielt. Im Endergebnis muss man sich in meinem "Paypal.de" Fall also keine Sorgen machen.

Code:
Jun 17 20:23:55 mail postfix/smtpd[7111]: connect from [B]mta101b.pmx1.epsl1.com[142.54.244.101][/B]
Jun 17 20:23:56 mail postfix/smtpd[7111]: 63D06121363: client=mta101b.pmx1.epsl1.com[142.54.244.101]
Jun 17 20:23:56 mail2 postfix/cleanup[7088]: 63D06121363: message-id=[B]<HP2v400000172c385947aad2ce36e965fc958142@mail.paypal.de[/B]>
Jun 17 20:23:56 mail postfix/qmgr[2915]: 63D06121363: from=<bounce-HP2v400000172c385947aad2ce36e965fc958142@mail.paypal.de>, size=59622, nrcpt=1 (queue active)
Jun 17 20:23:56 mail pmg-smtp-filter[7070]: 1213625EEA5FBCDF86B: new mail message-id=<HP2v400000172c385947aad2ce36e965fc958142@mail.paypal.de>#012
Jun 17 20:23:57 mail pmg-smtp-filter[7070]: 1213625EEA5FBCDF86B: virus detected: Heuristics.Phishing.Email.SpoofedDomain (clamav)
Jun 17 20:23:58 mail pmg-smtp-filter[7070]: 1213625EEA5FBCDF86B: SA score=0/5 time=0.832 bayes=undefined autolearn=ham autolearn_force=no hits=ClamAVHeuristics(3),AWL(0.027),DKIMWL_WL_HIGH(-0.001),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),HTML_FONT_LOW_CONTRAST(0.001),HTML_MESSAGE(0.001),RCVD_IN_DNSWL_NONE(-0.0001),RCVD_IN_MSPIKE_H2(-0.001),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),URIBL_BLOCKED(0.001),USER_IN_DEF_DKIM_WL(-7.5)
 
  • Like
Reactions: Stoiko Ivanov
Im Endergebnis muss man sich in meinem "Paypal.de" Fall also keine Sorgen machen.
Sehr gut! Bitte den thread als 'SOLVED' markieren, dass hilft anderen Usern mit ähnlichen Fragen.

Danke!
 
Wie funktioniert dies, da ich ja nicht der initiale Threadersteller bin?
sorry - das habe ich übersehen! kann nur vom initialen Poster gemacht werden
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!