Logo von Postfix

Anhänge mit Postfix filtern

Da in Anhängen wie .bat, .exe, .docx usw. Malware versteckt sein kann ist es oft sinnvoll nur bestimmte Anhänge von Emails zu zulassen z. B. .pdf. Mit Postfix-Bordmitteln ist das recht einfach möglich. Man legt die Datei:

/etc/postfix/mime_header_checks

an mit dem Inhalt:

/name=[^>]*.(bat|com|exe|dll|vbs|doc)/ REJECT

Postfix verwirft nun alle Mails mit den Anhängen: .bat, .com, .exe, .dll, vbs und .doc. Da es sich hierbei um reguläre Ausdrücke handelt wird auch das modernere MS Office-Format .docx verworfen.

Man kann jetzt den Erfolg dieser Maßnahme durch manuelles Versenden von Emails mit den entsprechenden Dateien im Anhang durchführen. Der Heise-Verlag bietet jedoch auf seiner Website einen Online-Checker für Emails an. Hier kann man bequem seinen Postfix auf alle möglichen Szenarien wie Viren aber auch potentiell gefährlichen Dateianhängen testen. Bei mir sieht das dann in den Logfiles folgendermaßen aus:

Jul 25 15:29:16 example postfix/smtpd[18156]: NOQUEUE: filter: RCPT from web.heise.de[193.99.144.71]: <emailcheck-robot@ct.de>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<emailcheck-robot@ct.de> to=<user@example.com> proto=ESMTP helo=<web.heise.de>
Jul 25 15:29:16 example postfix/smtpd[18156]: NOQUEUE: filter: RCPT from web.heise.de[193.99.144.71]: <emailcheck-robot@ct.de>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<emailcheck-robot@ct.de> to=<user@example.com> proto=ESMTP helo=<web.heise.de>
Jul 25 15:29:16 example postgrey[303]: action=pass, reason=triplet found, client_name=web.heise.de, client_address=193.99.144.71/32, sender=emailcheck-robot@ct.de, recipient=user@example.com
Jul 25 15:29:16 example postfix/smtpd[18156]: B686D2B8177F: client=web.heise.de[193.99.144.71]
Jul 25 15:29:16 example postfix/cleanup[18161]: B686D2B8177F: message-id=<E1jzKEm-0002xz-A5.octo12@web.heise.de>
Jul 25 15:29:16 example postfix/cleanup[18161]: B686D2B8177F: reject: header Content-Type: APPLICATION/octet-stream; name="alert.exe" from web.heise.de[193.99.144.71]; from=<emailcheck-robot@ct.de> to=<user@example.com> proto=ESMTP helo=<web.heise.de>: 5.7.1 message content rejected
Jul 25 15:29:16 example postfix/smtpd[18156]: disconnect from web.heise.de[193.99.144.71] ehlo=2 starttls=1 mail=1 rcpt=1 bdat=1/2 quit=1 commands=7/8

Wie man sieht wird die mitgesendete exe-Datei von Postfix direkt verworfen.

 

Do NOT follow this link or you will be banned from the site!