Da in Anhängen wie .bat, .exe, .docx usw. Malware versteckt sein kann ist es oft sinnvoll nur bestimmte Anhänge von Emails zu zulassen z. B. .pdf. Mit Postfix-Bordmitteln ist das recht einfach möglich. Man legt die Datei:
/etc/postfix/mime_header_checks
an mit dem Inhalt:
/name=[^>]*.(bat|com|exe|dll|vbs|doc)/ REJECTPostfix verwirft nun alle Mails mit den Anhängen: .bat, .com, .exe, .dll, vbs und .doc. Da es sich hierbei um reguläre Ausdrücke handelt wird auch das modernere MS Office-Format .docx verworfen.
Man kann jetzt den Erfolg dieser Maßnahme durch manuelles Versenden von Emails mit den entsprechenden Dateien im Anhang durchführen. Der Heise-Verlag bietet jedoch auf seiner Website einen Online-Checker für Emails an. Hier kann man bequem seinen Postfix auf alle möglichen Szenarien wie Viren aber auch potentiell gefährlichen Dateianhängen testen. Bei mir sieht das dann in den Logfiles folgendermaßen aus:
Jul 25 15:29:16 example postfix/smtpd[18156]: NOQUEUE: filter: RCPT from web.heise.de[193.99.144.71]: <emailcheck-robot@ct.de>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<emailcheck-robot@ct.de> to=<user@example.com> proto=ESMTP helo=<web.heise.de>
Jul 25 15:29:16 example postfix/smtpd[18156]: NOQUEUE: filter: RCPT from web.heise.de[193.99.144.71]: <emailcheck-robot@ct.de>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<emailcheck-robot@ct.de> to=<user@example.com> proto=ESMTP helo=<web.heise.de>
Jul 25 15:29:16 example postgrey[303]: action=pass, reason=triplet found, client_name=web.heise.de, client_address=193.99.144.71/32, sender=emailcheck-robot@ct.de, recipient=user@example.com
Jul 25 15:29:16 example postfix/smtpd[18156]: B686D2B8177F: client=web.heise.de[193.99.144.71]
Jul 25 15:29:16 example postfix/cleanup[18161]: B686D2B8177F: message-id=<E1jzKEm-0002xz-A5.octo12@web.heise.de>
Jul 25 15:29:16 example postfix/cleanup[18161]: B686D2B8177F: reject: header Content-Type: APPLICATION/octet-stream; name="alert.exe" from web.heise.de[193.99.144.71]; from=<emailcheck-robot@ct.de> to=<user@example.com> proto=ESMTP helo=<web.heise.de>: 5.7.1 message content rejected
Jul 25 15:29:16 example postfix/smtpd[18156]: disconnect from web.heise.de[193.99.144.71] ehlo=2 starttls=1 mail=1 rcpt=1 bdat=1/2 quit=1 commands=7/8
Wie man sieht wird die mitgesendete exe-Datei von Postfix direkt verworfen.
1 Gedanke zu „Anhänge mit Postfix filtern“
Kommentare sind geschlossen.