Moin,
unter meinem Debian Etch habe ich Amavisd-new 2.4.2-6.1 laufen. Auf diesem möchte ich Archive nach Viren scannen, aber EXEs, BATs, etc. im Archiv erlauben. Direkt sollen EXEs etc. aber weiterhin geblockt werden.
Hat einer von euch diese Anpassung schon gemacht? Auf einer anderen Seite habe ich da zwar ein paar vage Hinweise gefunden, aber bin mir nicht sicher wie die Abhängigkeiten in der Amavis-Konfig sind.
Die Amavisd-Konfig ist bisher bei mir noch nicht weiter angepasst, da der Default ansonsten recht gut läuft.
Der Workaround die Anhänge direkt in Postfix zu blocken und in Amavis dann generell zu erlauben gefällt mir allerdings nicht besonders.
Danke im Voraus für jeden Hinweis.
Amavis-Konfiguration
-
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Amavis-Konfiguration
Eigentlich musst du nur $banned_filename_re in deiner amavisd.conf an deine Wünsche anpassen.
-
- Posts: 626
- Joined: 2002-09-13 08:41
- Location: Lübeck
Re: Amavis-Konfiguration
Das war auch meine erste Idee, nämlich die ZeileRoger Wilco wrote:Eigentlich musst du nur $banned_filename_re in deiner amavisd.conf an deine Wünsche anpassen.
Code: Select all
[ qr'^.(zip|rar|arc|arj|zoo)$'=> 0 ], # allow any within such archives
-
- Posts: 2138
- Joined: 2002-12-15 00:10
- Location: Bergheim
Re: Amavis-Konfiguration
Wozu willst du denn exe's blocken, wenn du doch eh einen Virenscanner aktivierst hast? Sooo groß wird der Anteil an false negatives doch nicht sein oder?
-
- Posts: 626
- Joined: 2002-09-13 08:41
- Location: Lübeck
Re: Amavis-Konfiguration
Weil nicht nur Viren zu einem unerwünschten Verhalten auf den PCs führen können. Und wer eine Exe aus einem Archiv startet macht das dann wirklich bewusst.oxygen wrote:Wozu willst du denn exe's blocken, wenn du doch eh einen Virenscanner aktivierst hast? Sooo groß wird der Anteil an false negatives doch nicht sein oder?
-
- Posts: 1132
- Joined: 2003-03-26 23:29
- Location: SA
Re: Amavis-Konfiguration
es kommt auf die Reihenfolge der Regeln in der amavisd.conf an.Nyxus wrote:Funktioniert aber leider nicht. EXEs werden im Archiv immer noch blockiert. :-(
Wie immer: First match wins ;)
Code: Select all
# # within PC archives allow any types or names at any depth
[ qr'(?#rule-7) ^ (.*t)? T=(zip|rar|arc|arj) (t.*)? $'xmi => 0 ], # ok
# # within certain archives allow leaf members at any depth if crypted
[ qr'(?# ALLOW ENCRYPTED )
^ (.*t)? T=(zip|rar) (.*n)+ (.*t)? A=C (t.*)? z'xmi => 0 ],
# # block if any component can not be decoded (is encrypted or bad archive)
qr'(?# BLOCK IF UNDECIPHERABLE ) ^ (.*t)? A=U (t.*)? z'xmi,
# banned filename extensions (in declared names) anywhere - basic
qr'(?# BLOCK COMMON NAME EXENSIONS )
^ (.*t)? N= [^tn]* . (exe|vbs|pif|scr|bat|com|cpl) (t.*)? $'xmi,
# # banned filename extensions (in declared names) anywhere - long
qr'(?# BLOCK MORE NAME EXTENSIONS )
^ (.*t)? N= [^tn]* . (
ade|adp|app|bas|bat|dat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
wmf|wsc|wsf|wsh) (t.*)? $'xmi,
-
- Posts: 626
- Joined: 2002-09-13 08:41
- Location: Lübeck
Re: Amavis-Konfiguration
das habe ich verstanden. Aber die Regeln selbst sind mir noch absolut unklar.adjustMan wrote:Wie immer: First match wins ;)
Ist das Dein kompletter "$banned_filename_re"-Bereich? Denn der ist *komplett* anders als die Standard-Definition. Diese Syntax ist für eine Konfigdatei IMHO das letzte. :-(Code: Select all
# # within PC archives allow any types or names at any depth [ qr'(?#rule-7) ^ (.*t)? T=(zip|rar|arc|arj) (t.*)? $'xmi => 0 ], # ok ...
-
- Posts: 1132
- Joined: 2003-03-26 23:29
- Location: SA
Re: Amavis-Konfiguration
neinNyxus wrote:Ist das Dein kompletter "$banned_filename_re"-Bereich?
schreib das Marc Martinec :-DNyxus wrote:Diese Syntax ist für eine Konfigdatei IMHO das letzte. :-(
-
- Posts: 2138
- Joined: 2002-12-15 00:10
- Location: Bergheim
Re: Amavis-Konfiguration
Grundsätzlich stimme ich zu.Nyxus wrote: Diese Syntax ist für eine Konfigdatei IMHO das letzte. :-(
ABER wenn man Perl kann, ist das ganze äußerst praktisch, da flexibel. Man kann innerhalb der Konfigurationsdatei Konstrukte produzieren, die ganze neue Funktionalität haben.