Wie am besten schützen...

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
Anonymous

Wie am besten schützen...

Post by Anonymous » 2004-02-02 18:58

Hi,

ich habe bei mir Postfix drauf und frage mich derzeit, wie ich mich am besten vor Viren-E-Mails schützen kann.

Die ganzen Viren-Schutz Programm sind zwar sehr gut aber ich habe mir überlegt, dass ich doch einfach E-Mails mit Dateianhang z.B. .exe abweisen könnte.

So bleiben bestimmt 90% aller gefährlichen Mails draussen.

Was haltet Ihr davon?
Hat das schon mal jemand gemacht oder eine bessere Lösung?

Kann mir auch jemand sagen, wo ich das einstellen kann. Doch bestimmt in der main.cf, oder nicht?

Bekommt man eine Mail,wenn solche Mails abgewisen wurden oder werden die gar nicht erst angenommen???


Vielen Dank für eure Hilfe!


Beste Grüße
Astrid

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Wie am besten schützen...

Post by kenzo » 2004-02-02 19:18

aber ich habe mir überlegt, dass ich doch einfach E-Mails mit Dateianhang z.B. .exe abweisen könnte.
Das hab ich mir auch gedacht - und mache es auch schon seit langer Zeit so. Mit meinen Nutzern ist das so abgesprochen, und alle sind recht gücklich damit. .exe muss sowieso niemand verschicken - find ich.
So bleiben bestimmt 90% aller gefährlichen Mails draussen.
OK, mydoom kommt auch gezippt (und nicht wenig ;)), aber Du fängst schon mal einiges ab.
Kann mir auch jemand sagen, wo ich das einstellen kann. Doch bestimmt in der main.cf, oder nicht?
Postfix? Keine Ahnung ...
Bekommt man eine Mail,wenn solche Mails abgewisen wurden oder werden die gar nicht erst angenommen???
Kommt drauf an - hier werden diese Mails im SMTP-Dialog abgewiesen, der Einwerfer bekommt also direkt eine Fehlermeldung und kann den Versand nicht fortsetzen. Wie Postfix-spezifische Lösungen da vorgehen, musst Du mal ergooglen.

Anonymous

...

Post by Anonymous » 2004-02-02 19:25

Das hört sich doch schon mal sehr gut an, vielen Dank!

Jetzt wäre es nur noch klasse, wenn es hier jemanden geben könnte, der mir sagen kann, wie das bei Postfix funktioniert.

Hat doch bestimmt schon mal jemand gemacht...


Besten Dank;
Astrid

dr. groovy
Posts: 53
Joined: 2002-05-21 23:10
Location: Frankfurt am Main

Re: Wie am besten schützen...

Post by dr. groovy » 2004-02-02 19:28

Moin!

Ja, das setze ich schon einige Zeit ein.
Eine gute Seite darüber: http://www.stahl.bau.tu-bs.de/~hildeb/p ... bigf.shtml
Stichwort: mime_header_checks (Postfix-2.x only!)

gruß,

Michael
Last edited by dr. groovy on 2004-02-02 19:42, edited 1 time in total.

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: Wie am besten schützen...

Post by sambo » 2004-02-02 19:36

Hallo Astrid,
wie Kenzo schon sagt ist dies sicher eine gute Idee ... wer Dir unbeingt eine *.exe schicken will, kann diese ja auch zippen, oder einfach umbenennen (z.B. in *.e_e)

Zur Umsetzung würde ich Dir AMaViSd-new in Zusammenarbeit mit Spamassassin und evtl. einen Virenscanner (z.B. ClamAV oder auch AntiVir) empfehlen ...

Ob die Ablehnung von *.exe in postfix direkt möglich ist, weiß ich ehrlich gesagt auch nicht. Aber die oben genannten Programme leisten bei mir sehr gute Arbeit. Ausser dass bestuimmte Endungen abgelehnt werden, kannst Du auch Spam kennzeichnen und/oder verbannen .. den Sender informieren ... usw.
Sehr gut fand ich die Anleitung zu amavisd-new unter
http://mirrors.catpipe.net/amavisd-new/
und auch die zu docu zu spamassassin ( http://useast.spamassassin.org/ ) ist sehr hilfreich ..
Wenn Du dennoch Umsetzungsfragen hast .. nur zu ;-))

Gruß

Peter

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Wie am besten schützen...

Post by kenzo » 2004-02-02 19:44

wer Dir unbeingt eine *.exe schicken will, kann diese ja auch zippen, oder einfach umbenennen (z.B. in *.e_e)
Zweiteres würde hier übrigens nicht viel nützen ... ;)

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: Wie am besten schützen...

Post by sambo » 2004-02-02 20:17

kenzo wrote:Zweiteres würde hier übrigens nicht viel nützen ... ;)
Bei der Methode nach Ralf Hildebrand natürlich nicht, der checkt ja die regexp ... bei Amavisd meine ich schon ... da wird ja die extension selbst gelesen... (oder sollte ich mich irren ?!?)

Anonymous

...

Post by Anonymous » 2004-02-02 20:48

Hi und vielen Dank für eure Antworten.

Ich wollte es mal direkt mit Postfix versuchen...

Habe mir mal die Seite: http://www.stahl.bau.tu-bs.de/~hildeb/p ... bigf.shtml angeschaut, die mir nur teilweise weiterhelfen konnte.

Um .exe-Dateien auszuschließen muss ich folgendes in der main.cf eintragen:

Code: Select all

header_checks = pcre:/etc/postfix/header_checks
Nun kam ich nicht so richtig weiter. Was muss ich jetzt in dieser Datei genau angeben um .exe und beispielsweise noch .dat-Anhang E-Mails zu verweigern.

Was ich auch noch nicht klären konnte, was dann genau passiert:
Wird die E-Mail abgewiesen und der Sender bekommt eine Fehlermail?
Wird nur abgewisen, passiert gar nichts?
Wird abgewiesen und der Empfänger bekommt eine Statusmail?

Wobei letzteres natürlich am Betsen wäre.


Vielen Dank für eure Hilfe!

Beste Grüße
Astrid

dr. groovy
Posts: 53
Joined: 2002-05-21 23:10
Location: Frankfurt am Main

Re: Wie am besten schützen...

Post by dr. groovy » 2004-02-02 20:55

Das folgende in die main.cf eintragen

Code: Select all

mime_header_checks = regexp:/etc/postfix/mime_header_checks.regexp
Entweder die Datei 'mime_header_checks.regexp von der angegebenen Seite auf den Server laden, diese Datei sperrt gleich alle Microsoft Dateiendungen aus. Oder selbst schreiben.

Code: Select all

/filename="?(.*).(exe)"?$/
   REJECT For security reasons we reject attachments of this type
die Datei kann natürlich erweitert werden.

Der Text, nach dem Reject kann natürlich geändert werden.

Sollte eine Mail Rejected werden, erhält der absender eine fehlermail.

Anonymous

...

Post by Anonymous » 2004-02-02 21:04

Vielern Dank,

funktioniert sehr gut :o

Könntest du als Beispiel noch mal die Endung .dat einbauen, damit ich ein beispiel habe, wie ich mehrere Dateiendungen einbauen kann.

Was bewirkt denn der Text den ich ändern kann. Kann ich die Option, dass der Sender eine Fehlermail bekommt auch so ändern, dass der Empfänger auch eine Statusmail bekommt?

Vielen Dank, beste Grüße
Astrid

dr. groovy
Posts: 53
Joined: 2002-05-21 23:10
Location: Frankfurt am Main

Re: Wie am besten schützen...

Post by dr. groovy » 2004-02-02 21:15

Der Text, ist einfach nur der Text in der Fehlermail.

Ob man dem Empfänger auch eine Statusmail zukommenlassen kann, weiß ich momentan noch. Obwohl mit einem kleinem Script welchen im Mail.log nach reject sucht, dazu den passenden empfänger ausliest und eine Mail schickt müsste sich eigentlich machen lassen. Das teste ich mal die Nacht.

Hier noch ein Beispiel:

Code: Select all

/filename="?(.*).(exe|dat)"?$/
gruß,

Michael

Anonymous

...

Post by Anonymous » 2004-02-02 21:40

Vielen Dank!

Ich baue das jetzt erst einmal alles so ein und schaue ob es funktioniert.
Ist es eigentlich egal, wo ich das in der main.cf einbaue ode gibt es da eine bestimmte Position?


Ã?ber ein Feedback bezüglich der Statusmail an den User würde ich mich natürlich sehr freuen.

Betse Grüße
Astrid

Anonymous

...

Post by Anonymous » 2004-02-02 22:00

Hi,

sorry, dass ich es noch mal bin:

Leider klappt es aber nicht.
Ich habe die datei angelegt und exe-Dateianhänge asgeschlossen.

Nun habe ich einfach mal eine Editor-Date als .exe gespeichert und an die Mail angehängt.
Die Mail wird aber ohne Probleme zugestellt, woran kann das liegen?

postfix habe ich auch neugestartet...

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: ...

Post by sambo » 2004-02-02 22:40

Hi Astrid,
astrid2 wrote:sorry, dass ich es noch mal bin:

Leider klappt es aber nicht.
Ich habe die datei angelegt und exe-Dateianhänge asgeschlossen.
hmmm .. wenn ich mir deine postings so durchschaue, vermute ich mal, Du hast wie ich einen Root bei 1und1 ... bist Du sicher, dass Du ein postfix 2.x am Laufen hast?!? oder doch noch das vorinstallierte 1.1.x?!?

Gruß

Peter

Anonymous

...

Post by Anonymous » 2004-02-03 18:26

Hi und Hallo,

nun habe ich mal wieder etwas Zeit und habe, wie vermutet, auch schon den Fehler gefunden.
Ich hatte nämlich erst die postfix Version 1.x drauf.

Nun habe ich mal ein wenig im Forum gesucht und bin auf den FAQ-Beitrag http://www.rootforum.org/faq/index.php ... 41&lang=de gestoßen.

Nun dazu mal eine Frage:
Kann ich diese Anleitung so ausführen?
Ich habe Confixx 2.0 drauf und Suse 8.1. Halt die übliche 1&1 Standartkonfiguration.

Benöte ich denn auch die MySQL funktion?
Muss ich denn das Update nicht in das Verzeichnis /etc/postfix laden?
Bleiben bestehende Postfächer so bestehen?


Vielen Dank für eure Hilfe!


Ich will nur vorher sicher gehen, damit es hinterher keine Probleme gibt, denn so fit bin ich in diesen Sachen noch nicht.

Beste Grüße
Astrid

Anonymous

...

Post by Anonymous » 2004-02-03 22:13

So, bin immer noch beim Update:

Es kommt immer folgender Fehler, wenn ich das Update nch dem Rootforum FAQ mache:
Makefile:6: *** missing separator. Stop.
Kann mir jemand genau sagen, was ich nun machen muss?

Sorry, aber ich mache so ein Update zum Ersten Mal.

Beste Grüße
Astrid

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: ...

Post by sambo » 2004-02-03 23:44

Hi Astrid,

zunächst mal Danke für die Sucharbeit - das HowTo ist echt ziemlich klasse, bis auf ein paar kleinigkeiten (kommt weiter unten).

Zunächst zu diesen Fragen:
astrid2 wrote: Kann ich diese Anleitung so ausführen?
... nahezu - ja
astrid2 wrote:Benöte ich denn auch die MySQL funktion?
Ich würde mal sagen - Nein, so wie ich es sehe ist diese sinnvoll bei vielen Mailaccounts, ich lasse mich aber hier gerne noch belehren
astrid2 wrote:Muss ich denn das Update nicht in das Verzeichnis /etc/postfix laden?
Nein - die Quellcodes werden üblicherweise in /usr/local/src/ gespeichert. Theoretisch kannst Du sie auch in Deinem Home ablegen... Im postfix-Verzeichnis landen dann die kompilierten Files (das erledigt aber 'make' für dich.
astrid2 wrote:Bleiben bestehende Postfächer so bestehen?
Ja - die Postfächer erstellt ja nicht postfix - diese werden ja nur verlinkt. Erstellt hat sie (in deinem Fall) wohl confixx ..
außerdem machst Du ja ein "make upgrade" und da bleiben die .conf's relativ sauber erhalten ...
astrid2 wrote:Es kommt immer folgender Fehler, wenn ich das Update nch dem Rootforum FAQ mache:

Code: Select all

Makefile:6: *** missing separator. Stop.
Kannst Du mal genau Deinen "make makefiles"-Befehl hier rein kopieren?

So, zum Update insgesamt:
Bei mir hat es noch ein wenig Suche und testen nun einwandfrei geklappt.
Folgendes ist IMHO nicht ganz korrekt, etwas umständlich oder auch seehr restriktiv.
Erstens mal ist das neueste Patch-Level ist 2.0.18, also vor dem Download mal unter http://www.postfix.org unter Downloads nachschauen

Code: Select all

unix:/usr/local/src # gunzip postfix-2.0.18.tar.gz 
unix:/usr/local/src # tar xvf postfix-2.0.18.tar
geht auch in einer Zeile mit

Code: Select all

 
unix:/usr/local/src # tar xvzf postfix-2.0.18.tar.gz
Das

Code: Select all

tail -f /var/log/mail
würde ich in einem zweiten Fenster ausführen (z.B. wenn Du putty benutzt) und dieses einfach offen lassen (Ansonsten macht IMHO die Option -f wenig Sinn, und Du kannst Dir auch einfach mit

Code: Select all

tail /var/log/mail
die letzten zwanzig einträge im log ansehen. (Beenden kannst Du den Tail-Prozess in dem Fenster dann wieder mit [CTRL]+c)
Die Body/Mime und Header-Check-Dateien von http://www.twosteps.net sind (ebenfalls IMHO) sehr streng. Die würde ich mir genauer Durchlesen
und überlegen was Du da alles aussperren willst (Die Mime-types wurden ja weiter oben in dem thread schon besprochen)
maps_rbl_domains wird nicht mehr unterstützt (dazu gab es in der 1er Version dann den Eintrag "reject_maps_rbl" - dies wurde ersetzt durch "reject_rbl_client". Der korrekte Eintrag hierfür muss dann heissen:

Code: Select all

smtpd_recipient_restrictions = permit_sasl_authenticated,
  permit_mynetworks,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_non_fqdn_hostname,
  reject_unknown_recipient_domain,
  reject_invalid_hostname,
  reject_unknown_hostname,
  reject_unknown_sender_domain,
  reject_rbl_client relays.ordb.org, ## Hier den rbl-Server einfügen 
  permit_mx_backup,
  reject_unauth_destination
(Vgl. dazu auch http://www.postfix.org/uce.html#smtpd_s ... strictions )
Scheinbar ist hier auch nur ein Eintrag möglich (bei einer wiederholung bekomme ich im Maillog ein relativ unschönes "Server configuration error")

Ach ja, "joe" ist auf dem Root bei 1und1 erst mal nicht installiert. zum editieren also

Code: Select all

vim /etc/postfix/main.cf
verwenden - aber ich gehe mal davon aus, das ist bekannt ;-))

Sooo - ich hoffe mal das hilft Dir (und anderen) ein ganzes Stück weiter..

Besten Gruß

Peter

Anonymous

...

Post by Anonymous » 2004-02-04 14:18

Hi,

vielen Dank für deine ausführliche und sehr gute Antwort.

Ich habe jetzt das alte Update komplett runtergeschmissen und das neue, wie beschrieben auf dem Server gepackt.

Hat soweit alles funktioniert, doch dach der Angabe make upgrade kommt nun folgende Fehlermeldung:

Code: Select all

make: *** [dict_ldap.o] Error 1
make: *** [update] Error 1
Was soll mir das sagen, die Logs sehen ganz normal aus:

Code: Select all

Feb  4 14:08:03 network postfix/master[21302]: terminating on signal 15
Feb  4 14:08:42 network postfix/postfix-script: starting the Postfix mail system
Feb  4 14:08:42 network postfix/master[29037]: daemon started
Auch die Mail-Version wurde nicht geändert:

Code: Select all

mail_version = 1.1.12
Die beiden makefile-Anweisungen sehen übrigens so aus:

Code: Select all

make makefiles CCARGS="-DHAS_LDAP -DHAS_PCRE -DUSE_SASL_AUTH -DHAS_SSL" AUXLIBS="-lldap -llber -lpcre -lsasl -lssl -lcrypto"
make makefiles CCARGS="-DHAS_LDAP -DHAS_PCRE -DUSE_SASL_AUTH -DHAS_SSL -DHAS_MYSQL" AUXLIBS="-lldap -llber -lpcre -lsasl -lssl -lcrypto -L/usr/lib/mysql -lmysqlclient -lz -lm"
MySQL-Funktion habe ich auch mal angegeben.

Ich weiß so langsam echt nicht, was ich falsch mache.

Beste Grüße
Astrid

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: Wie am besten schützen...

Post by sambo » 2004-02-04 15:12

Hallo Astrid,

so wie es mir aussieht, fehlt Dir irgend etwas von der "ldap" ... wenn ein > postconf -m
genau das ausgibt wie es im HOWTO beschrieben ist - weiß ich aunch nicht ...
Du kannst natürlich auf jeden Fall über
>yast2
nochmal schauen ob wirklich alle Pakete da sind.
Ich weiss nicht wie sicher Du im Umgang mit yast2 bist, daher nochmal eine Kurzanleitung:
Also in yast2 -> Software -> Install or Remove Software gehen, dort über [ALT]+s in die Suchmaske wechseln, "ldap" als Suchbegriff eingeben und mit [ALT]+o suchen. Eine installierte Version sollte angezeigt sein bei:
openldap2-devel
openldap2
yast2-ldap-client
openldap2-client

wenn das nicht der Fall ist, entsprechendes Paket markieren und mit "+" zur Installation auswählen, dann per [tab] zu OK springen und installieren lassen.
Ich hoffe mal, das war's ...
good luck

Peter

Anonymous

...

Post by Anonymous » 2004-02-04 17:09

Hi,

habe jetzt noch mal alles gemacht und geschaut, ob alle Pakete vorhanden sind.

Das hat alles funktioniert, doch wieder mal der gleiche Fehler...


Ich werde heute Abend, wenn ich etwas mehr zeit habe, noch mal den letzten versuch starten, denn dann bin ich es leid :-D

Beste Grüße
Astrid

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: Wie am besten schützen...

Post by sambo » 2004-02-04 18:30

Hallo Astrid,

ich habe inzwischen auf einem zweiten Rootserver auch noch mal die Installation mit mysql versucht und bekam einen ähnlichen Fehler:

Code: Select all

make: *** [dict_mysql.o] Error 1
Ich vermute jetzt nochmal, dass es mit der (neu) eingestellten Funktion zusammenhängt - vielleicht versuchst Du es einfach doch nochmal ohne die MySql-Unterstützung (das hat dann nämlich einwandfrei funktioniert...)

Gruß

Peter

Anonymous

...

Post by Anonymous » 2004-02-04 20:43

Hi,

so, nun hat es aber endlich geklappt :-D
Es lag an der MySQL-Funktion, die nun aber auch funktioniert.

Jetzt gibt es nur noch ein Problem :?
Der E-Mail Anhang Check funktioniert noch nicht.

Ich habe folgendes in der main.cf eingetragen:

Code: Select all

#header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
Die Datei mime_header_checks (Rechte 755) sieht so aus:

Code: Select all

/filename="?(.*).(exe)"?$/
REJECT for security reasons we reject attachments of this type
Wäre natürlich klasse, wenn wir das auch noch hinbekommen würden.
Werden die heruntergeladenen Dateien in dem Verzeichnis /usr/local/src eigentlich noch benötigt oder wurden die nun in das postfix-Verzeichnis geupdatet?


Betse Grüße
Astrid

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: Wie am besten schützen...

Post by sambo » 2004-02-04 21:05

Hi Astrid,

freut mich, dass es nun klappt - vielleicht magst Du mir noch kurz mitteilen wie Du das mit der MySQL hinbekommen hast ... vielleicht schaffe ich es dann auch ;-)

Ich versuch jetzt gerade mal Deinen Fehler zu reproduzieren (mime_header_check) - vielleicht seh ich ja was ...

Melde mich gleich wieder

Besten Gruß
Peter

PS: Schneller könnte man es vielleicht per ICQ lösen - Du erreichst mich unter 99156717

Anonymous

...

Post by Anonymous » 2004-02-04 21:13

Hi,

whow, kann mich nur noch mal bedanken, denn nicht alle sind so hilfsbereit.

Ich glaube ich habe mich da gerade falsch ausgedrückt. Ich habe die MySQL-Funktion nicht hinbekommen.
Sobald man diese Option angibt, gibt es ein Update-Error.

Ich versuche aber das mal im nachhinein zu machen, wenn die Version schon geupdatet wurde. Vielleicht klappt es ja dann.

Bitte auch noch mal meine Frage bezüglich der Dateien beachten.


Vielen Dank!

Beste Grüße
Astrid

sambo
Posts: 38
Joined: 2004-02-02 14:52

Re: Wie am besten schützen...

Post by sambo » 2004-02-04 21:22

Hi Astrid,

was sagt denn das /var/log/mail ??
etwa:

Code: Select all

warning: unknown command in mime_header_checks map:
Dann ist der Fehler relativ einfach - ich nehme an das deine mime_header_check genau so aussieht, wie Du vorhin gepostet hast...
Die zweite Zeile darf nicht mit einem Buchstaben beginnen, sondern muss mit einem Leerzeichen anfangen, also:

Code: Select all

/filename="?(.*).(exe)"?$/
   REJECT for security reasons we reject attachments of this type
.. dann sollte es funktionieren ..

Besten Gruß

Peter