Von Amavis blockierte E-Mail Anhänge

Der mit UCS ausgelieferte Viren-Scanner Amavis ist in der Lage, E-Mail Anhänge mit bestimmten Dateitypen zurückzuhalten. Hierbei handelt es sich um eine Vorsichtsmaßnahme, da es Dateitypen gibt, die besonders häufig Viren oder andere Schadprogramme enthalten. Wurde ein E-Mail Anhang zurückgehalten, erhält der Adressat eine E-Mail mit dem ursprünglichen Text der E-Mail und einen Hinweis, dass der Anhang der E-Mail getrennt und gespeichert wurde.

Die Einstellungen, welche Dateitypen Amavis blockieren soll, werden über Univention Baseconfig Variablen verwaltet.

mail/antivir/banned/basic_ext=(yes/no) Voreinstellung ‘yes’ - Aktiviert das Blockieren von Dateien mit den Endungen exe, vbs, pif, scr, bat, com.
mail/antivir/banned/double_ext=(yes/no) Voreinstellung ‘yes’ - Aktiviert das Blockieren von Dateien mit doppelten Endungen, die auf vbs, pif, scr, bat, com, exe, dll enden.
mail/antivir/banned/file_type=(yes/no) Voreinstellung ‘no’ - Aktiviert das Blockieren von Dateien mit den Endungen exe, zip, lha, tnef.
mail/antivir/banned/long_ext=(yes/no) Voreinstellung ‘no’ - Aktiviert das Blockieren von Dateien mit den Endungen ade, adp, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, hta, inf, ins, isp, js, jse, lnk, mdb, mde, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, shb, vb, vbe, vbs, wsc, wsf, wsh.
mail/antivir/banned/mime_type=(yes/no) Voreinstellung ‘no’ - Aktiviert das Blockieren von Anhängen mit dem MIME-Type application/x-msdownload.
mail/antivir/banned/rfc2046=(yes/no) Voreinstellung ‘yes’ - Aktiviert das Blockieren von gekapselten Nachrichten vom MIME-Type message/partial und message/external-body.

Nachdem die Konfiguration des Amavis Dienstes über die aufgeführten Univention Baseconfig Variablen verändert wurde, muss der Dienst Amavis als Benutzer ‘root’ mit folgendem Kommando erneut gestartet werden.

# /etc/init.d/amavis restart

Sollten die genannten vordefinierten Einstellungen nicht ausreichen, können eigene Anpassungen an der Konfiguration des Amavis Dienstes vorgenommen werden. Dabei ist zu beachten, dass die Datei /etc/amavis/amavisd.conf über ein Univention Baseconfig Template verwaltet wird. Manuelle Anpassungen müssen an der Datei /etc/univention/templates/files/etc/amavis/amavisd.conf vorgenommen werden. Nachdem die Datei geschrieben wurde, muss die neue Konfiguration über folgenden Befehl aktiviert und der Dienst Amavis erneut gestartet werden:

# univention-baseconfig commit /etc/amavis/amavisd.conf
File: /etc/amavis/amavisd.conf
# /etc/init.d/amavis restart

Beachten Sie, dass angepasste Univention Baseconfig Templates bei der Aktualisierung des Pakets, in dem sie enthalten sind, nicht durch die Version aus dem aktuelleren Paket ersetzt werden. Weitere Informationen zum Univention Baseconfig Mechanismus finden Sie im aktuellen UCS Handbuch, Kapitel “Univention Baseconfig”, Seite 423 ff.

Hallo,

ich würde gerne aus aktuellem Anlass dieses Thema noch einmal aufgreifen:

Derzeit gelangen zunehmend Viren mit neuen Dateiendungen per Email in Unternehmen, beispielsweise “.docm” welche sich als Worddateien mit Makros darstellen.

Um den bereits von Univention vordefinierten Dateiendungen (z.B. .exe, etc.) weitere hinzuzufügen, ist bei einer aktuellen Univention-Installation offenbar eine Modifikation der Datei

“/etc/amavis/conf.d/60-univention”

bzw. vielmehr dessen Template-Datei

“/etc/univention/templates/files/etc/amavis/conf.d/60-univention”

nötig.

In der Template-Datei wiederum steht folgender Text:

values = (v['double'], v['basic'], v['long'], v['long'], v['long'], v['file'], v['mime'], v['rfc']) print '''$banned_filename_re = new_RE( %s qr'\.[a-zA-Z][a-zA-Z0-9]{0,3}\.(vbs|pif|scr|bat|com|exe|dll)$'i, # double extension %s qr'.\.(exe|vbs|pif|scr|bat|com)$'i, # banned extension - basic %s qr'.\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|js| %s jse|lnk|mdb|mde|msc|msi|msp|mst|pcd|pif|reg|scr|sct|shs|shb|vb| %s vbe|vbs|wsc|wsf|wsh)$'ix, # banned extension - long %s qr'^\.(exe|zip|lha|tnef)$'i, # banned file(1) types %s qr'^application/x-msdownload$'i, # banned MIME types %s qr'^message/partial$'i, qr'^message/external-body$'i, # rfc2046 );''' % values

Um eine Dateiendung hinzuzufügen soll man hier tatsächlich “docm” in eine der Auflistungen eintragen und diese dann später aktivieren? Wäre es nicht viel sinnvoller, eine Univention-Variable die komfortabel über das Webinterface konfigurierbar ist vorzusehen?

Vielen Dank!

Hallo,
Sie können zu ähnlichen Ideen oder Wünschen gern einen “Enhancement Request” unter forge.univention.de eröffnen.

Gruß,
Jens Thorp-Hansen

Hallo zusammen,

ich nutze Kopano aber denke es ist das gleiche Problem.

ich habe eine Frage zum Thema. Kann das blockieren z.B. von exe Dateien kurzfristig ausgesetzt werden bzw. lassen sich die Erweiterungen die blockiert werden sollen über die UCR bearbeiten?

Im aktuellen Fall versucht mir eine Softwarehersteller eine exe für ein Fernwartungs-Tool (GotoAssist) zu mailen was nicht klappt.

Bei meinem eigenen Kopano-Server hängt kein einziger Windows-Client dran. Hier würde ich gerne exe durch lassen.

Viele Grüße
sven

Mastodon