Amavis-Konfiguration

[nyxus]

Moin,

unter meinem Debian Etch habe ich Amavisd-new 2.4.2-6.1 laufen. Auf diesem möchte ich Archive nach Viren scannen, aber EXEs, BATs, etc. im Archiv erlauben. Direkt sollen EXEs etc. aber weiterhin geblockt werden.

Hat einer von euch diese Anpassung schon gemacht? Auf einer anderen Seite habe ich da zwar ein paar vage Hinweise gefunden, aber bin mir nicht sicher wie die Abhängigkeiten in der Amavis-Konfig sind.

Die Amavisd-Konfig ist bisher bei mir noch nicht weiter angepasst, da der Default ansonsten recht gut läuft.

Der Workaround die Anhänge direkt in Postfix zu blocken und in Amavis dann generell zu erlauben gefällt mir allerdings nicht besonders.

Danke im Voraus für jeden Hinweis.

[Roger Wilco]

Eigentlich musst du nur $banned_filename_re in deiner amavisd.conf an deine Wünsche anpassen.

[nyxus]

Eigentlich musst du nur $banned_filename_re in deiner amavisd.conf an deine Wünsche anpassen.

Das war auch meine erste Idee, nämlich die Zeile

Code: Select all

 [ qr'^.(zip|rar|arc|arj|zoo)$'=> 0 ],  # allow any within such archives

zu aktivieren. Funktioniert aber leider nicht. EXEs werden im Archiv immer noch blockiert.

[oxygen]

Wozu willst du denn exe's blocken, wenn du doch eh einen Virenscanner aktivierst hast? Sooo groß wird der Anteil an false negatives doch nicht sein oder?

[nyxus]

Wozu willst du denn exe's blocken, wenn du doch eh einen Virenscanner aktivierst hast? Sooo groß wird der Anteil an false negatives doch nicht sein oder?

Weil nicht nur Viren zu einem unerwünschten Verhalten auf den PCs führen können. Und wer eine Exe aus einem Archiv startet macht das dann wirklich bewusst.

[adjustman]

Funktioniert aber leider nicht. EXEs werden im Archiv immer noch blockiert.

es kommt auf die Reihenfolge der Regeln in der amavisd.conf an.
Wie immer: First match wins

Code: Select all

# # within PC archives allow any types or names at any depth
 [ qr'(?#rule-7) ^ (.*t)? T=(zip|rar|arc|arj) (t.*)? $'xmi => 0 ],  # ok
# # within certain archives allow leaf members at any depth if crypted
 [ qr'(?# ALLOW ENCRYPTED )
 ^ (.*t)? T=(zip|rar) (.*n)+ (.*t)? A=C (t.*)? z'xmi => 0 ],
# # block if any component can not be decoded (is encrypted or bad archive)
 qr'(?# BLOCK IF UNDECIPHERABLE ) ^ (.*t)? A=U (t.*)? z'xmi,
  # banned filename extensions (in declared names) anywhere - basic
  qr'(?# BLOCK COMMON NAME EXENSIONS )
  ^ (.*t)? N= [^tn]* . (exe|vbs|pif|scr|bat|com|cpl) (t.*)? $'xmi,
# # banned filename extensions (in declared names) anywhere - long
 qr'(?# BLOCK MORE NAME EXTENSIONS )
 ^ (.*t)? N= [^tn]* . (
    ade|adp|app|bas|bat|dat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
    inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
    ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
    wmf|wsc|wsf|wsh) (t.*)? $'xmi,

[nyxus]

Wie immer: First match wins

das habe ich verstanden. Aber die Regeln selbst sind mir noch absolut unklar.

Code: Select all

# # within PC archives allow any types or names at any depth
 [ qr'(?#rule-7) ^ (.*t)? T=(zip|rar|arc|arj) (t.*)? $'xmi => 0 ],  # ok
...

Ist das Dein kompletter "$banned_filename_re"-Bereich? Denn der ist *komplett* anders als die Standard-Definition. Diese Syntax ist für eine Konfigdatei IMHO das letzte.

[adjustman]

Ist das Dein kompletter "$banned_filename_re"-Bereich?

nein

Diese Syntax ist für eine Konfigdatei IMHO das letzte.

schreib das Marc Martinec

[oxygen]

Diese Syntax ist für eine Konfigdatei IMHO das letzte.

Grundsätzlich stimme ich zu.
ABER wenn man Perl kann, ist das ganze äußerst praktisch, da flexibel. Man kann innerhalb der Konfigurationsdatei Konstrukte produzieren, die ganze neue Funktionalität haben.