Postfix und Swen

Thorsten Haude

7 Oct 2003 7 Oct '03

20:44

Moin, jetzt habe ich mich in allen möglichen Archiven und Dokumentationen umgesehen, aber ich schaffe es nicht, daß Postfix die ganzen Swens ablehnt, die meine Mailbox füllen. Was ich habe ist eine Datei body.reject.pcre, die in der main.cf folgendermaßen gelesen wird: body_checks = pcre:/etc/postfix/body.reject.pcre In dieser datei befindet sich nur eine Zeile: /^Content-Type: application\/x-msdownload; name=".+\.exe"/ REJECT We don't accept spam Das klappt leider garnicht. Fehler werden keine geloggt. Was mache ich falsch? Thorsten -- Death to all fanatics!

Attachments:

attachment.sig (application/pgp-signature — 189 bytes)

Show replies by date

David Haller

8 Oct 8 Oct

03:14

Hallo, Am Tue, 07 Oct 2003, Thorsten Haude schrieb:

...

Was ich habe ist eine Datei body.reject.pcre, die in der main.cf folgendermaßen gelesen wird: body_checks = pcre:/etc/postfix/body.reject.pcre ^^^^ In dieser datei befindet sich nur eine Zeile: /^Content-Type: application\/x-msdownload; name=".+\.exe"/ REJECT We don't accept spam

Das klappt leider garnicht. Fehler werden keine geloggt.

Was mache ich falsch?

Obiger check ist ein header_check und ich nehme an, dass die in header_checks = pcre:/etc/postfix/header.reject.pcre stehen sollten... Achso: als Body-Check ist ein Check auf base64 kodierte MZ-Executables (das schliesst auch PE exe ein, also alle M$ executables, wie exe, com, scr, dll usw., aber auch selbstentpackende Archive) mit ein... Folgendes in 'body.reject.prce' hilft gegen sowas /^TV[qpro][iw5QJB]AAMAAAAEAAAA/ REJECT ... -dnh -- The word "sucked" conveys more passion by _far_ than can possibly be worth feeling over anything related to Harry Potter. If you feel anything stronger than a mild apathy tinged with dislike, you're wasting loathing that could be put to much better use elsewhere. -- D. Henke

Thorsten Haude

04:58

Moin, * David Haller [2003-10-08 05:14]:

...

Am Tue, 07 Oct 2003, Thorsten Haude schrieb:

...
Was ich habe ist eine Datei body.reject.pcre, die in der main.cf folgendermaßen gelesen wird: body_checks = pcre:/etc/postfix/body.reject.pcre ^^^^ In dieser datei befindet sich nur eine Zeile: /^Content-Type: application\/x-msdownload; name=".+\.exe"/ REJECT We don't accept spam

Das klappt leider garnicht. Fehler werden keine geloggt.

Was mache ich falsch?

Obiger check ist ein header_check und ich nehme an, dass die in

header_checks = pcre:/etc/postfix/header.reject.pcre

stehen sollten...

Das ist Teil der Einleitung eines Anhangs, also nehme ich schon an, daß das nach body_checks gehört. Oder?

...

Achso: als Body-Check ist ein Check auf base64 kodierte MZ-Executables (das schliesst auch PE exe ein, also alle M$ executables, wie exe, com, scr, dll usw., aber auch selbstentpackende Archive) mit ein...

Ich verstehe nicht. Ist mein Check so ein Check? Es ist nicht so, daß mir Leute furchtbar viele Executables für Windows schicken, das wäre also schon etwa, was ich haben wollte.

...

Folgendes in 'body.reject.prce' hilft gegen sowas /^TV[qpro][iw5QJB]AAMAAAAEAAAA/ REJECT ...

Das ist dann wohl eine Swen-spezifische Zeichenkette? Die nehme ich doch gleich mal auf, danke. Hm, da fällt mir ein, verschicke ich mit REJECT diese sinnfreien Warnungen, die ich selbst so hasse? Dann doch lieber gleich in den digitalen Orkus. Danke schonmal! Thorsten -- In dem Augenblick, wo wir anfangen unsere Freiheitsrechte einzuschränken, besorgen wir das Geschäft der Terroristen. - Günter Grass

David Haller

09:05

Hallo, Am Wed, 08 Oct 2003, Thorsten Haude schrieb:

...

* David Haller [2003-10-08 05:14]:

...
Am Tue, 07 Oct 2003, Thorsten Haude schrieb:

...
Was ich habe ist eine Datei body.reject.pcre, die in der main.cf folgendermaßen gelesen wird: body_checks = pcre:/etc/postfix/body.reject.pcre ^^^^ In dieser datei befindet sich nur eine Zeile: /^Content-Type: application\/x-msdownload; name=".+\.exe"/ REJECT We don't accept spam

Das klappt leider garnicht. Fehler werden keine geloggt.

Was mache ich falsch?

Obiger check ist ein header_check und ich nehme an, dass die in

header_checks = pcre:/etc/postfix/header.reject.pcre

stehen sollten...

Das ist Teil der Einleitung eines Anhangs, also nehme ich schon an, daß das nach body_checks gehört. Oder?

Auch. 'Content-Type:' ist aber erstmal ein Header. Das der dann pro Attachment nochmal auftaucht ist eine andere Sache. Wie Postfix diese "Attachment-Header" einsortiert (header oder body) weiss ich nicht, da ich postfix eigentlich gar nicht kenne ;)

...

...
Achso: als Body-Check ist ein Check auf base64 kodierte MZ-Executables (das schliesst auch PE exe ein, also alle M$ executables, wie exe, com, scr, dll usw., aber auch selbstentpackende Archive) mit ein...

Ich verstehe nicht. Ist mein Check so ein Check?

Nein.

...

Es ist nicht so, daß mir Leute furchtbar viele Executables für Windows schicken, das wäre also schon etwa, was ich haben wollte.

Da wuerde ich mit ner "whitelist" arbeiten... Oder die sollen das als .zip verpacken (das muesste man aber testen, ob das durch u.g. Filter kommt).

...

...
Folgendes in 'body.reject.prce' hilft gegen sowas /^TV[qpro][iw5QJB]AAMAAAAEAAAA/ REJECT ...

Das ist dann wohl eine Swen-spezifische Zeichenkette? Die nehme ich doch gleich mal auf, danke.

Nein. Diese Zeichenkette ist spezifisch auf den "MZ-EXE"-Header, den jedes Windows-executable beinhaltet (in base64 kodiert). Analog koenntest du auf einen (base64 kodierten) ELF-Header filtern, also z.B.: $ uuencode --base64 /bin/bash /bin/bash | head begin-base64 755 /bin/bash f0VMRgEBAQAAAAAAAAAAAAIAAwABAAAA4EYFCDQAAACk5gUAAAAAADQAIAAG $ uuencode --base64 /bin/ash /bin/ash | head begin-base64 755 /bin/ash f0VMRgEBAQAAAAAAAAAAAAIAAwABAAAAMI0ECDQAAABE+wAAAAAAADQAIAAG $ uuencode --base64 /bin/ksh /bin/ksh | head begin-base64 755 /bin/ksh f0VMRgEBAQAAAAAAAAAAAAIAAwABAAAAIJgECDQAAABAuAIAAAAAADQAIAAG $ uuencode --base64 /bin/sash /bin/sash | head begin-base64 755 /bin/sash f0VMRgEBAQAAAAAAAAAAAAIAAwABAAAA8IAECDQAAACcJgYAAAAAADQAIAAD Das Muster (fuer procmail / postfix) waere also wohl: /^f0VMRgEBAQAAAAAAAAAAAAIAAwABAAAA/ eben der konstante Anfang des ELF-Headers, in base64 kodiert... Und obiges /^TV[qpro][iw5QJB]AAMAAAAEAAAA/ passt eben auf den MZ-Header von Windows-Executables, als base64 kodiert...

...

Hm, da fällt mir ein, verschicke ich mit REJECT diese sinnfreien Warnungen, die ich selbst so hasse? Dann doch lieber gleich in den digitalen Orkus.

Nicht ganz. Beim SMTP REJECT bekommt der sendende SMTP die Fehlermeldung -- wie der damit dann umgeht ist dessen Sache -- ob der die dann fallen laesst oder eine Fehlermeldung inklusive komplettem Body der Mail (also inkl. Virus) generiert... Prinzipiell waere wohl ein '550' ok -- naeheres muesste ich aber auch in den RfC zu SMTP nachlesen. Evtl. kannst du die Verbindung auch einfach (gemaess SMTP) "droppen". -dnh, bei dem obiges vorgehen leider grundsaetzlich nicht klappt, da die mails via POP3/fetchmail gesaugt werden... PS: Ich habe die Tage (inzwischen hat sich's ja wieder etwas beruhigt) angefangen, einen POP-Filter zu schreiben, der auf best. Kriterien hin dann ein DELE machen soll... Kann sein, dass es sowas schon gibt (pop*filter auf freshmeat?), aber falls hier jemand an sowas in perl mitbasteln will... PPS: Good sigmonster, have a cookie! Ich wuerde die sig aber noch so modifizieren: 's/one //;s/$dow$\./\1s./;'. -- The purpose of a windowing system is to put some amusing fluff around your one almighty emacs window. -- Mark on gnu.emacs.help

Thorsten Haude

10:59

Moin, * David Haller [2003-10-08 11:05]:

...

-dnh, bei dem obiges vorgehen leider grundsaetzlich nicht klappt, da die mails via POP3/fetchmail gesaugt werden...

Uh. Warum klappt es da nicht? Ich habe das gleiche Setup, und bin bisher davon ausgegangen, daß Fetchmail die Mail nur dann remote quittiert, wenn sie der lokale MTA akzeptiert hat!?

...

PS: (inzwischen hat sich's ja wieder etwas beruhigt)

Bei mir hat sich garnicht beruhigt. Die Dumpfbacken, die mich an ihrem unsicheren OS Anteil nehmen lassen, fallen mir mächtig auf den Wecker.

...

PPS: Good sigmonster, have a cookie! Ich wuerde die sig aber noch so modifizieren: 's/one //;s/$dow$\./\1s./;'.

-- The purpose of a windowing system is to put some amusing fluff around your one almighty emacs window. -- Mark on gnu.emacs.help

Windowsing? Thorsten -- Emacs is for people who desperately want to get drunk, but feel guilty doing so without a reason. - Miles O'Neal

David Haller

21:58

Hallo, Am Wed, 08 Oct 2003, Thorsten Haude schrieb:

...

* David Haller [2003-10-08 11:05]:

...
-dnh, bei dem obiges vorgehen leider grundsaetzlich nicht klappt, da die mails via POP3/fetchmail gesaugt werden...

Uh. Warum klappt es da nicht? Ich habe das gleiche Setup, und bin bisher davon ausgegangen, daß Fetchmail die Mail nur dann remote quittiert, wenn sie der lokale MTA akzeptiert hat!?

Hm. Muss ich nochmal testen...

...

...
PS: (inzwischen hat sich's ja wieder etwas beruhigt)

Bei mir hat sich garnicht beruhigt. Die Dumpfbacken, die mich an ihrem unsicheren OS Anteil nehmen lassen, fallen mir mächtig auf den Wecker.

ACK. Es ist bei mir aber etwas weniger...

...

...
PPS: Good sigmonster, have a cookie! Ich wuerde die sig aber noch so modifizieren: 's/one //;s/$dow$\./\1s./;'.

-- The purpose of a windowing system is to put some amusing fluff around your one almighty emacs window. -- Mark on gnu.emacs.help

Windowsing?

Du hast den Punkt im Muster uebersehen ;)

...

-- Emacs is for people who desperately want to get drunk, but feel guilty doing so without a reason. - Miles O'Neal

*g* -dnh -- Hm, mich hat Frust in meiner Linuxanfangszeit doch eher beflügelt, ich hab mir gedacht, dem Schrotthaufen Code zeig ich mal, wer die Hosen anhat. Wobei, ich zappel wohl hier immer noch eher in einem Strampelanzug herum ;) -- Thorsten von Plotho-Kettner in suse-linux

Thorsten Haude

9 Oct 9 Oct

22:28

Moin, * David Haller [2003-10-08 23:58]:

...

Am Wed, 08 Oct 2003, Thorsten Haude schrieb:

...
* David Haller [2003-10-08 11:05]:

...
-dnh, bei dem obiges vorgehen leider grundsaetzlich nicht klappt, da die mails via POP3/fetchmail gesaugt werden...

Uh. Warum klappt es da nicht? Ich habe das gleiche Setup, und bin bisher davon ausgegangen, daß Fetchmail die Mail nur dann remote quittiert, wenn sie der lokale MTA akzeptiert hat!?

Hm. Muss ich nochmal testen...

Mach mal, und sag bescheid, was dabei rausgekommen ist. Wobei meine vergeblichen Versuche soweit es diesen Thread betrifft eher dafür sprechen, daß Du mal wieder Recht hast.

...

...
...
PS: (inzwischen hat sich's ja wieder etwas beruhigt)

Bei mir hat sich garnicht beruhigt. Die Dumpfbacken, die mich an ihrem unsicheren OS Anteil nehmen lassen, fallen mir mächtig auf den Wecker.

ACK. Es ist bei mir aber etwas weniger...

Kann ich nicht feststellen.

...

...
...
PPS: Good sigmonster, have a cookie! Ich wuerde die sig aber noch so modifizieren: 's/one //;s/$dow$\./\1s./;'.

-- The purpose of a windowing system is to put some amusing fluff around your one almighty emacs window. -- Mark on gnu.emacs.help

Windowsing?

Du hast den Punkt im Muster uebersehen ;)

Pah, sed(1) war mir schon immer suspekt.

...

...
Emacs is for people who desperately want to get drunk, but feel guilty doing so without a reason. - Miles O'Neal

*g*

Hehe, da hat mein Sigmonster auch einen Keks verdient. Thorsten -- He who receives an idea from me, receives instruction himself without lessening mine; as he who lights his taper at mine, receives light without darkening me. - Thomas Jefferson

Heimo Ponnath

8 Oct 8 Oct

11:34

Hallo David, Am Mittwoch, 8. Oktober 2003 11:05 schrieb David Haller:

...

inzwischen hat sich's ja wieder etwas beruhigt

Bei mir werden es von Tag zu Tag immer mehr und ich komme mit dem Filterbasteln (kmail) garnicht mehr hinterher, weil ich mit den einfachen Filterregeln von kmail kaum einen konstanten Bestandteil in diesen Mails entdecken kann. Jetzt wage ich mich mal an eine passende RegEx heran (da bin ich aber sehr unerfahren) - die können ja auch als kmail-Filter eingestzt werden. Was mir auffällt ist, daß im Header immer einer von zwei Content-Types zu finden sind: Entweder multipart/mixed oder multipart/alternative. Und zusätzlich tauchen dann im Body noch Header der Formen audio/x-wav, image/gif oder application/x-msdownload auf. Reguläre Mails dieser Formen bekomme ich so gut wie nie. Das sollte ich eigentlich schaffen, so einen regulären Ausdruck zu schreiben... Andererseits ärgert mich der Traffik, der dadurch in unserem Intranet unnötig erzeugt wird. Mein Compagnon, der den Mailserver administriert, wird wohl bald aktiv werden müssen - die Anregungen aus diesem Thread werde ich ihm weiterleiten (darf ich?). Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/

David Haller

22:03

Hallo, Am Wed, 08 Oct 2003, Heimo Ponnath schrieb:

...

Am Mittwoch, 8. Oktober 2003 11:05 schrieb David Haller:

...
inzwischen hat sich's ja wieder etwas beruhigt [..] Jetzt wage ich mich mal an eine passende RegEx heran (da bin ich aber sehr unerfahren) - die können ja auch als kmail-Filter eingestzt werden. Was mir auffällt ist, daß im Header immer einer von zwei Content-Types zu finden sind: Entweder multipart/mixed oder multipart/alternative.

Die tauchen aber z.B. auch bei text/plain + text/html Mails auf... Da ist es besser, auf die Groesse zu filtern. Ebenfalls ein Merkmal ist, dass "SUBJECT:", "FROM:" und "TO:" verwendet werden (was fslcha ist). Oder du filterst auf die den Anfang der base64-kodierten exe (wie hier schon erwaehnt).

...

Andererseits ärgert mich der Traffik, der dadurch in unserem Intranet unnötig erzeugt wird. Mein Compagnon, der den Mailserver administriert, wird wohl bald aktiv werden müssen

Das sollte er auf jeden Fall ;)

...

- die Anregungen aus diesem Thread werde ich ihm weiterleiten (darf ich?).

Wegen mir gerne ;) -dnh -- "Don't put off 'till tomorrow, responsibilities. They'll just come back to haunt you. (Ignore them totally)" -- TISM

Thorsten Haude

10 Oct 10 Oct

20:57

Moin, * David Haller [2003-10-08 11:05]:

...

-dnh, bei dem obiges vorgehen leider grundsaetzlich nicht klappt, da die mails via POP3/fetchmail gesaugt werden...

Ok, ich geb's auf mit Postfix. Wie lautet die Regex, mit der Du die Mistdinger fängst? Thorsten -- A: Top posters Q: What's the most annoying thing about email these days?

David Haller

11 Oct 11 Oct

08:43

Hallo, Am Fri, 10 Oct 2003, Thorsten Haude schrieb:

...

* David Haller [2003-10-08 11:05]:

...
-dnh, bei dem obiges vorgehen leider grundsaetzlich nicht klappt, da die mails via POP3/fetchmail gesaugt werden...

Ok, ich geb's auf mit Postfix. Wie lautet die Regex, mit der Du die Mistdinger fängst?

Erste Zeile des Attachments beginnt mit der RE '^TV...' wie in der vorangegangenen Mail von mir. -dnh -- 279: Die fünf Sinne des C++-Programmierers Der Schwachsinn, der Blödsinn, der Wahnsinn, der Unsinn und der Stumpfsinn. (Holger Veit)

Joerg Frings-Fuerst

8 Oct 8 Oct

07:26

Am Dienstag, 7. Oktober 2003 22:44 schrieb Thorsten Haude:

...

Moin,

jetzt habe ich mich in allen möglichen Archiven und Dokumentationen umgesehen, aber ich schaffe es nicht, daß Postfix die ganzen Swens ablehnt, die meine Mailbox füllen.

Was ich habe ist eine Datei body.reject.pcre, die in der main.cf folgendermaßen gelesen wird: body_checks = pcre:/etc/postfix/body.reject.pcre

In dieser datei befindet sich nur eine Zeile: /^Content-Type: application\/x-msdownload; name=".+\.exe"/ REJECT We don't accept spam

Das klappt leider garnicht. Fehler werden keine geloggt.

Was mache ich falsch?

Thorsten

Hallo Thorsten, ich verwende : Datei mime_header_checks : /name=[^>]*\.(ade|adp|asd|bas|bat|chm|cmd|com|cpl|crt|dbx|dll|exe|hlp|hta| inf|ins|isp|lnk|js|jse|lnk|ocx|mde|mdt|mdw|msc|msi|msp|mst|nws|ops|pcd| pi|pif|prf|reg|scf|scr|sct|shb|shm|shs|swf|uue|vb|vbe|vbs|vbx|vxd|wab| wsc|wsf|wsh)/ REJECT Potentially dangerous file attachment. Please do not include any executable attachments in your email. (alles in einer Zeile) und in der main.cf mime_header_checks = regexp:/etc/postfix/mime_header_checks Damit bleibt alles was so aussieht wie Windows-Dateien draussen, bzw. wird abgelehnt. Gruß Jörg -- Jörg Frings-Fürst 54526 Landscheid http://www.fixundfoxi.dyndns.info http://www.trierer-single-treff.de -- Registered Linux User # 280687 ICQ 170365098 GPG Key ID : EB8A FFC8 1314 12E1

Hans-Robert Wagner

09:50

Am Mittwoch, 8. Oktober 2003 09:26 schrieb Joerg Frings-Fuerst:

...

Am Dienstag, 7. Oktober 2003 22:44 schrieb Thorsten Haude:

...
jetzt habe ich mich in allen möglichen Archiven und Dokumentationen umgesehen, aber ich schaffe es nicht, daß Postfix die ganzen Swens ablehnt, die meine Mailbox füllen.

Hallo Thorsten,

ich verwende :

Datei mime_header_checks :

Dann sag ihm doch bitte auch, dass das erst mit einer Postfix-Version 2.x funktioniert. http://sbserv.stahl.bau.tu-bs.de/~hildeb/postfix/ postfix_sobigf.shtml Robert

Dieter Franzke

9 Oct 9 Oct

05:16

Hi Thorsten, Am Dienstag, 07. Oktober 2003 22:44 schrieb Thorsten Haude:

...

Moin,

jetzt habe ich mich in allen möglichen Archiven und Dokumentationen umgesehen, aber ich schaffe es nicht, daß Postfix die ganzen Swens ablehnt, die meine Mailbox füllen.

Was ich habe ist eine Datei body.reject.pcre, die in der main.cf folgendermaßen gelesen wird: body_checks = pcre:/etc/postfix/body.reject.pcre

In dieser datei befindet sich nur eine Zeile: /^Content-Type: application\/x-msdownload; name=".+\.exe"/ REJECT We don't accept spam

Das klappt leider garnicht. Fehler werden keine geloggt.

Was mache ich falsch?

den größten Erfolg hatte ich mit der Massnahme, nur FQDNs anzunehmen, die ganzen dial-ups abzulehnen. Das hatt mein Sven-Aufkommen gezehntelt! meine recipient_restrictions: ------ smtpd_helo_required = yes disable_vrfy_command = yes smtpd_recipient_restrictions= reject_invalid_hostname, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, permit_mynetworks, reject_unauth_destination, check_recipient_access pcre:/usr/local/etc/postfix/ recipient_checks.pcre, reject_rbl_client relays.ordb.org, reject_rbl_client opm.blitzed.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client blackholes.easynet.nl, reject_rbl_client cbl.abuseat.org, reject_rbl_client b1.spamcop.net, reject_rbl_client blackholes.mail-abuse.org, reject_rbl_client blackholes.wirehub.net, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client bock.bars.org, permit ------- Auf die Reihenfolge achten. ciao dieter

7510

Age (days ago)

7514

Last active (days ago)

List overview

Download

13 comments

6 participants

participants (6)

David Haller
Dieter Franzke
Hans-Robert Wagner
Heimo Ponnath
Joerg Frings-Fuerst
Thorsten Haude

Postfix und Swen

Thorsten Haude

David Haller

Thorsten Haude

David Haller

Thorsten Haude

David Haller

Thorsten Haude

Heimo Ponnath

David Haller

Thorsten Haude

David Haller

Joerg Frings-Fuerst

Hans-Robert Wagner

Dieter Franzke

tags

participants (6)