Anhänge

Der im Amavis implementierte Algorithmus kennt etwa 20 Archivformate und packt alle Anhänge rekursiv aus. Über diese Dateien laufen dann neben den Virenscannern noch zwei weitere Checks:

  1. Check auf Anhangsnamen bzw. -typen
  2. Check von Microsoft-Office-Dokumenten auf enthaltene Makros

1. Anhangsnamen und -typen

Die ausgepackten Dateien werden inhaltsbasiert (mit dem UNIX-Tool file) sowie anhand der Dateiendung klassifiziert. Damit geht der Amavis in folgende Liste von Regular Expressions. Schlägt einer der Regeln an, so wird die Mail markiert oder abgelehnt, ja nach Instanz-Konfiguration.

            $banned_filename_re = new_RE(
### BLOCKED ANYWHERE
    [ qr'^\[trash\]/[0-9a-f]{4}\.dat$' => 0 ], # trash in docx are fp
    qr'^\.(exe-ms|dll)$',                   # banned file(1) types, rudimentary
### BLOCK THE FOLLOWING, EXCEPT WITHIN UNIX ARCHIVES:
    [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any in Unix-type archives
    # block these MIME types
    qr'^application/x-msdownload$'i,
    qr'^application/x-msdos-program$'i,
    qr'^application/hta$'i,
 
# Attachments, die auch von Outlook in den Defaulteinstellungen (Level 1) geblockt werden.
#
# Quellen:
#       03.02.20 https://support.microsoft.com/en-us/help/829982/outlook-blocked-access-to-the-following-potentially-unsafe-attachments
#       03.02.20 https://support.office.com/en-us/article/blocked-attachments-in-outlook-434752e1-02d3-4e90-9124-8b81e49a8519
#
# Ausnahmen:
#       a. crt, der, jar, pl, py, tmp, url
#       b. inf, mat, mde
#
# Zusätzlich:
#       a. iqy         29.05.18 http://www.labofapenetrationtester.com/2015/08/abusing-web-query-iqy-files.html
#       b. mht,mhtml   23.04.19 https://blog.trendmicro.com/trendlabs-security-intelligence/zero-day-xml-external-entity-xxe-injection-vulnerability-in-internet-explorer-can-let-attackers-steal-files-system-info/
#       c. slk         28.11.19 https://www.kb.cert.org/vuls/id/125336/
#       d. dqy,oqy,rqy 03.02.20 https://www.bleepingcomputer.com/news/microsoft/office-365-admins-can-now-block-malicious-microsoft-query-iqy-files/
#       e. wim         24.06.21 https://www.bleepingcomputer.com/news/security/phishing-attacks-unusual-file-attachment-is-a-double-edged-sword/
#
  qr'.\.(ade|adp|app|asp|aspx|bas|bat|cer|chm|cmd|cnt|com|cpl|csh|diagcab|dqy|exe|fxp|gadget|grp|hlp|hpj|hta|htc|ins|iqy|isp|its|jnlp|js|jse|ksh|lnk|mad|maf|mag|mam|maq|mar|mas|mau|mav|maw|mcf|mda|mdb|mdt|mdw|mdz|mht|mhtml|msc|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|msu|ops|oqy|osd|pcd|pif|plg|prf|prg|printerexport|ps1|ps1xml|ps2|ps2xml|psc1|psc2|psd1|psdm1|pst|py|pyc|pyo|pyw|pyz|pyzw|reg|rqy|scf|scr|sct|shb|shs|slk|theme|vb|vbe|vbp|vbs|vhd|vhdx|vsmacros|vsw|webpnp|website|wim|ws|wsc|wsf|wsh|xbap|xll|xnk)[.\s]*$'i,

        

Obige Regeln bedeuten:

  1. Alle Microsoft-Executables und Microsoft-Bibliotheken werden markiert/geblockt, egal wie verpackt. Ausnahme bilden trash-Files in docx-Dokumenten, die manchmal als .exe erkannt werden.
  2. Alle Dateien, auch die der nachfolgenden Listen, werden durchgelassen, sofern sie sich in einem Archiv des Typs rpm, cpio oder tar befinden.
  3. Dateien mit den MIME-Typen application/x-msdownload, application/x-msdos-program und application/hta werden markiert/geblockt.
  4. Alle Dateien mit Endungen aus der Restricted attachment file types - Liste von Microsoft-Outlook mit ein paar Ausnahmen werden markiert/geblockt.

Diese Regeln können auf Wunsch auch individuell angepasst werden. MIME-Typen können unter UNIX-Betriebssystemen mit dem Kommando file -i bestimmt werden.

2. Behandlung der Anhänge

Für die Verarbeitung von Mails mit Anhängen stehen drei Methoden zur Verfügung:

  1. Annahme der Mail und Markierung im Header. Die Mail kann anhand der Header in einen gesonderten Ordner sortiert werden.
  2. Ablehnung der Mail im Pre-Queue-Verfahren mit Benachrichtigung des Absenders.
  3. Ersetzen des Attachments durch einen informativen Text

Bitte kommen Sie auf uns zu, wenn Sie Änderungswünsche haben.

3. Makro-Check

Mit Hilfe des spamassassin-Moduls olemacro werden in allen Microsoft-Office-Formaten enthaltene Makros erkannt und mit OLEMACRO  gekennzeichnet. Folgende Formate werden verarbeitet:

  • doc dot pot ppa pps ppt rtf xl xla xls xlt xslb
  • docm dotm ppam potm ppst ppsm pptm sldm xlm xlam xlsb xlsm xltm xps

Folgende Formate können per Definition keine Makros enthalten und werden daher nicht geprüft:

  • docx dotx potx ppsx pptx sldx xlsx xltx

Hierbei wird nur auf Existenz geprüft, da eine Unterscheidung zwischen schädlichen und nützlichen Makros nicht zweifelsfrei möglich ist. Da Makros gerne von Schadsoftware ausgenutzt werden, empfehlen wir dringend Mails, die solche Dokumente enthalten, sofort von unseren Servern ablehnen zu lassen.  Die Ablehnung erfolgt über die Spam-Bewertung, wir setzen für Office-Dokumente mit Makros den Spamwert auf 80.0 anstelle des Defaults von 4.0. Voraussetzung hierfür ist, dass die Einrichtung/Instanz Spam-Reject konfiguriert hat. Zuvor muß jedoch geklärt werden, ob Mitarbeiter Makros in Office-Dokumenten benötigen. In diesem Fall muß vor Einrichtung der Ablehnung eine alternative Austausch-Möglichkeit ohne Mail für diese Dokumente gefunden werden. Dies könnte z.B. mit DFN-Cloud geschehen.