Anhänge

Der im Amavis implementierte Algorithmus kennt etwa 20 Archivformate und packt alle Anhänge rekursiv aus. Über diese Dateien laufen dann neben den Virenscannern noch zwei weitere Checks:

1. Check auf Anhangsnamen bzw. -typen
2. Check von Microsoft-Office-Dokumenten auf enthaltene Makros

1. Anhangsnamen und -typen

Die ausgepackten Dateien werden inhaltsbasiert (mit dem UNIX-Tool file) sowie anhand der Dateiendung klassifiziert. Damit geht der Amavis in folgende Liste von Regular Expressions. Schlägt einer der Regeln an, so wird die Mail markiert oder abgelehnt, ja nach Instanz-Konfiguration.

            banned_filename_maps => [ {
    '.' => [ new_RE(

    # block these MIME types
    qr'^application/x-msdownload$'i,
    qr'^application/x-msdos-program$'i,
    qr'^application/hta$'i,

    # cid:-URLs sind erlaubte Verweise zwischen Attachments
    [ qr'^cid:[a-z0-9.-]+@[a-z0-9.-]+$' => 0 ],

    # Attachments, die auch von Outlook in den Defaulteinstellungen (Level 1) geblockt werden.
    #
    # Quellen:
    #   03.02.20 https://support.microsoft.com/en-us/help/829982/outlook-blocked-access-to-the-following-potentially-unsafe-attachments
    #   03.02.20 https://support.office.com/en-us/article/blocked-attachments-in-outlook-434752e1-02d3-4e90-9124-8b81e49a8519
    #
    # Ausnahmen:
    #       a. cer, crt, der, jar, pl, py, tmp, url
    #       b. inf, mat, mde
    #
    # Erweiterungen:
    #       a. iqy         29.05.18 http://www.labofapenetrationtester.com/2015/08/abusing-web-query-iqy-files.html
    #       b. mht,mhtml   23.04.19 https://blog.trendmicro.com/trendlabs-security-intelligence/zero-day-xml-external-entity-xxe-injection-vulnerability-in-internet-explorer-can-let-attackers-steal-files-system-info/
    #       c. slk         28.11.19 https://www.kb.cert.org/vuls/id/125336/
    #       d. dqy,oqy,rqy 03.02.20 https://www.bleepingcomputer.com/news/microsoft/office-365-admins-can-now-block-malicious-microsoft-query-iqy-files/
    #       e. wim         24.06.21 https://www.bleepingcomputer.com/news/security/phishing-attacks-unusual-file-attachment-is-a-double-edged-sword/
    #       f. img         29.07.21 Phishing-Welle mit Javascript-Malware in .pdf.img-Files.
    #       g. one         03.02.23 https://mspoweruser.com/de/malware-in-microsoft-onenote-attachments/
    #
    qr'.\.(ade|adp|app|asp|aspx|bas|bat|chm|cmd|cnt|com|cpl|csh|diagcab|dll|dqy|exe)\s*$'i,
    qr'.\.(fxp|gadget|grp|hlp|hpj|hta|htc|img|ins|iqy|isp|its|jnlp|js|jse|ksh|lnk)\s*$'i,
    qr'.\.(mad|maf|mag|mam|maq|mar|mas|mau|mav|maw|mcf|mda|mdb|mdt|mdw|mdz|mht)\s*$'i,
    qr'.\.(mhtml|msc|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|msu|one|ops|oqy|osd)\s*$'i,
    qr'.\.(pcd|pif|plg|prf|prg|printerexport|ps1|ps1xml|ps2|ps2xml|psc1|psc2|psd1|psdm1|pst|pyc|pyo|pyw|pyz|pyzw)\s*$'i,
    qr'.\.(reg|rqy|scf|scr|sct|shb|shs|slk|theme|vb|vbe|vbp|vbs|vhd|vhdx|vsmacros|vsw)\s*$'i,
    qr'.\.(webpnp|website|wim|ws|wsc|wsf|wsh|xbap|xll|xnk)\s*$'i,

    ) ]
} ],
        

Obige Regeln bedeuten:

1. Dateien mit den MIME-Typen application/x-msdownload, application/x-msdos-program und application/hta werden markiert/geblockt.
2. Mail-interne Verlinkungen über Content-Ids (cid:) werden zugelassen.
3. Alle Dateien mit Endungen aus der Restricted attachment file types - Liste von Microsoft-Outlook mit ein paar Anpassungen werden markiert/geblockt.

Diese Regeln können auf Wunsch auch individuell angepasst werden. MIME-Typen können unter UNIX-Betriebssystemen mit dem Kommando file -i bestimmt werden.

2. Behandlung der Anhänge

Für die Verarbeitung von Mails mit Anhängen stehen drei Methoden zur Verfügung:

1. Annahme der Mail und Markierung im Header. Die Mail kann anhand der Header in einen gesonderten Ordner sortiert werden.
2. Ablehnung der Mail im Pre-Queue-Verfahren mit Benachrichtigung des Absenders.
3. Ersetzen des Attachments durch einen informativen Text

Bitte kommen Sie auf uns zu, wenn Sie Änderungswünsche haben.

3. Makro-Check

Mit Hilfe des spamassassin-Moduls olemacro werden in allen Microsoft-Office-Formaten enthaltene Makros erkannt und mit OLEMACRO  gekennzeichnet. Folgende Formate werden verarbeitet:

• doc dot pot ppa pps ppt rtf xl xla xls xlt xslb
• docm dotm ppam potm ppst ppsm pptm sldm xlm xlam xlsb xlsm xltm xps

Folgende Formate können per Definition keine Makros enthalten und werden daher nicht geprüft:

• docx dotx potx ppsx pptx sldx xlsx xltx

Hierbei wird nur auf Existenz geprüft, da eine Unterscheidung zwischen schädlichen und nützlichen Makros nicht zweifelsfrei möglich ist. Da Makros gerne von Schadsoftware ausgenutzt werden, empfehlen wir dringend Mails, die solche Dokumente enthalten, sofort von unseren Servern ablehnen zu lassen.  Die Ablehnung erfolgt über die Spam-Bewertung, wir setzen für Office-Dokumente mit Makros den Spamwert auf 80.0 anstelle des Defaults von 4.0. Voraussetzung hierfür ist, dass die Einrichtung/Instanz Spam-Reject konfiguriert hat. Zuvor muß jedoch geklärt werden, ob Mitarbeiter Makros in Office-Dokumenten benötigen. In diesem Fall muß vor Einrichtung der Ablehnung eine alternative Austausch-Möglichkeit ohne Mail für diese Dokumente gefunden werden. Dies könnte z.B. mit DFN-Cloud geschehen.

Eine Ersetzung der Attachments nach 2.3. ist bei diesem Check nicht möglich.

4. verschlüsselte Anhänge

Über Checks des ClamAV lassen sich verschlüsselte zip-,  7zip- und rar-Archive sowie pdf-Dateien erkennen und wahlweise blocken. Wenden Sie sich hierfür bitte an unsere Hotline.