Anhänge
Der im Amavis implementierte Algorithmus kennt etwa 20 Archivformate und packt alle Anhänge rekursiv aus. Über diese Dateien laufen dann neben den Virenscannern noch zwei weitere Checks:
- Check auf Anhangsnamen bzw. -typen
- Check von Microsoft-Office-Dokumenten auf enthaltene Makros
1. Anhangsnamen und -typen
Die ausgepackten Dateien werden inhaltsbasiert (mit dem UNIX-Tool file) sowie anhand der Dateiendung klassifiziert. Damit geht der Amavis in folgende Liste von Regular Expressions. Schlägt einer der Regeln an, so wird die Mail markiert oder abgelehnt, ja nach Instanz-Konfiguration.
banned_filename_maps => [ {
'.' => [ new_RE(
# block these MIME types
qr'^application/x-msdownload$'i,
qr'^application/x-msdos-program$'i,
qr'^application/hta$'i,
# cid:-URLs sind erlaubte Verweise zwischen Attachments
[ qr'^cid:[a-z0-9.-]+@[a-z0-9.-]+$' => 0 ],
# Attachments, die auch von Outlook in den Defaulteinstellungen (Level 1) geblockt werden.
#
# Quellen:
# 03.02.20 https://support.microsoft.com/en-us/help/829982/outlook-blocked-access-to-the-following-potentially-unsafe-attachments
# 03.02.20 https://support.office.com/en-us/article/blocked-attachments-in-outlook-434752e1-02d3-4e90-9124-8b81e49a8519
#
# Ausnahmen:
# a. cer, crt, der, jar, pl, py, tmp, url
# b. inf, mat, mde
#
# Erweiterungen:
# a. iqy 29.05.18 http://www.labofapenetrationtester.com/2015/08/abusing-web-query-iqy-files.html
# b. mht,mhtml 23.04.19 https://blog.trendmicro.com/trendlabs-security-intelligence/zero-day-xml-external-entity-xxe-injection-vulnerability-in-internet-explorer-can-let-attackers-steal-files-system-info/
# c. slk 28.11.19 https://www.kb.cert.org/vuls/id/125336/
# d. dqy,oqy,rqy 03.02.20 https://www.bleepingcomputer.com/news/microsoft/office-365-admins-can-now-block-malicious-microsoft-query-iqy-files/
# e. wim 24.06.21 https://www.bleepingcomputer.com/news/security/phishing-attacks-unusual-file-attachment-is-a-double-edged-sword/
# f. img 29.07.21 Phishing-Welle mit Javascript-Malware in .pdf.img-Files.
# g. one 03.02.23 https://mspoweruser.com/de/malware-in-microsoft-onenote-attachments/
#
qr'.\.(ade|adp|app|asp|aspx|bas|bat|chm|cmd|cnt|com|cpl|csh|diagcab|dll|dqy|exe)\s*$'i,
qr'.\.(fxp|gadget|grp|hlp|hpj|hta|htc|img|ins|iqy|isp|its|jnlp|js|jse|ksh|lnk)\s*$'i,
qr'.\.(mad|maf|mag|mam|maq|mar|mas|mau|mav|maw|mcf|mda|mdb|mdt|mdw|mdz|mht)\s*$'i,
qr'.\.(mhtml|msc|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|msu|one|ops|oqy|osd)\s*$'i,
qr'.\.(pcd|pif|plg|prf|prg|printerexport|ps1|ps1xml|ps2|ps2xml|psc1|psc2|psd1|psdm1|pst|pyc|pyo|pyw|pyz|pyzw)\s*$'i,
qr'.\.(reg|rqy|scf|scr|sct|shb|shs|slk|theme|vb|vbe|vbp|vbs|vhd|vhdx|vsmacros|vsw)\s*$'i,
qr'.\.(webpnp|website|wim|ws|wsc|wsf|wsh|xbap|xll|xnk)\s*$'i,
) ]
} ],
Obige Regeln bedeuten:
- Dateien mit den MIME-Typen application/x-msdownload, application/x-msdos-program und application/hta werden markiert/geblockt.
- Mail-interne Verlinkungen über Content-Ids (cid:) werden zugelassen.
- Alle Dateien mit Endungen aus der Restricted attachment file types - Liste von Microsoft-Outlook mit ein paar Anpassungen werden markiert/geblockt.
Diese Regeln können auf Wunsch auch individuell angepasst werden. MIME-Typen können unter UNIX-Betriebssystemen mit dem Kommando file -i bestimmt werden.
2. Behandlung der Anhänge
Für die Verarbeitung von Mails mit Anhängen stehen drei Methoden zur Verfügung:
- Annahme der Mail und Markierung im Header. Die Mail kann anhand der Header in einen gesonderten Ordner sortiert werden.
- Ablehnung der Mail im Pre-Queue-Verfahren mit Benachrichtigung des Absenders.
- Ersetzen des Attachments durch einen informativen Text
Bitte kommen Sie auf uns zu, wenn Sie Änderungswünsche haben.
3. Makro-Check
Mit Hilfe des spamassassin-Moduls olemacro werden in allen Microsoft-Office-Formaten enthaltene Makros erkannt und mit OLEMACRO gekennzeichnet. Folgende Formate werden verarbeitet:
- doc dot pot ppa pps ppt rtf xl xla xls xlt xslb
- docm dotm ppam potm ppst ppsm pptm sldm xlm xlam xlsb xlsm xltm xps
Folgende Formate können per Definition keine Makros enthalten und werden daher nicht geprüft:
- docx dotx potx ppsx pptx sldx xlsx xltx
Hierbei wird nur auf Existenz geprüft, da eine Unterscheidung zwischen schädlichen und nützlichen Makros nicht zweifelsfrei möglich ist. Da Makros gerne von Schadsoftware ausgenutzt werden, empfehlen wir dringend Mails, die solche Dokumente enthalten, sofort von unseren Servern ablehnen zu lassen. Die Ablehnung erfolgt über die Spam-Bewertung, wir setzen für Office-Dokumente mit Makros den Spamwert auf 80.0 anstelle des Defaults von 4.0. Voraussetzung hierfür ist, dass die Einrichtung/Instanz Spam-Reject konfiguriert hat. Zuvor muß jedoch geklärt werden, ob Mitarbeiter Makros in Office-Dokumenten benötigen. In diesem Fall muß vor Einrichtung der Ablehnung eine alternative Austausch-Möglichkeit ohne Mail für diese Dokumente gefunden werden. Dies könnte z.B. mit DFN-Cloud geschehen.
Eine Ersetzung der Attachments nach 2.3. ist bei diesem Check nicht möglich.
4. verschlüsselte Anhänge
Über Checks des ClamAV lassen sich verschlüsselte zip-, 7zip- und rar-Archive sowie pdf-Dateien erkennen und wahlweise blocken. Wenden Sie sich hierfür bitte an unsere Hotline.