Schlagwort: Email

ClamAV mit eigenen Signaturen

Auf Arbeit haben wir in letz­ter Zeit ver­mehrt unter Viren­mails zu lei­den, die von kei­nem der bei uns ver­wen­de­ten Viren­scan­ner als Viren­mails erkannt wer­den.
Auf G+ wur­de ich auf ein schon älte­res Pos­ting auf­merk­sam gemacht, das erklärt, wie man eige­ne Signa­tu­ren schreibt.

Geht wun­der­bar (ich habe den Cla­mAV aus den Quel­len sel­ber über­setzt):

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: OK

----------- SCAN SUMMARY -----------
Known viruses: 4137933
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 12.807 sec (0 m 12 s)
mailgate:/tmp #

Nix gefun­den, wir schie­ben die eige­ne Signa­tur an die rich­ti­ge Stel­le:

mailgate:/tmp # mv ISH-custumsigs.ndb /usr/local/clamav/share/clamav/
mailgate:/tmp #

Und dann noch­mal:

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: ISH.Trojan.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4137934
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 13.072 sec (0 m 13 s)
mailgate:/tmp #

Ich bin ent­zückt!

Mehr kann man gegen den Mißbrauch der eigenen Maildomain kaum tun,

den­ke ich jeden­falls:

~$ host -t spf sokoll.com.
sokoll.com has SPF record "v=spf1 mx -all"
~$ host -t txt sokoll.com.
sokoll.com descriptive text "v=spf1 mx -all"
~$ host -t txt 20131231._domainkey.sokoll.com.
;; Truncated, retrying in TCP mode.
20131231._domainkey.sokoll.com descriptive text "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAngk88Vza1xgQMl3NW1Ok" "sre+WnNcFIsCO5PIgR+Q9P/+o+mt3JkEzjBXv10/WDeYtzH6wuo/7dzyOoU2VuUt" "1Nf+7ae0KnMgAPH0MYiAJ7PcU4q9HOz/xbHqvmI4fBoWg7/0334okQPrKrWls/GC" "Jw2ghPJ7ktjD+rxYWgWiTG8jHWxvjyJWBo6oC6f9fxDxKF0SmMTzeRyEjVH7He94" "kNbvZX2xGu9rVRY8Mi5daTuAGFbpKJrAEDEWlLJmM6eNTSJ+tMl9VGsUQb0w3cAZ" "Im6r3LtLPAXbbBfIKMNONaRHVghgH+RTuTW3NQLemS7E84xdBfpAGpYWAZHmKwU5" "FJI35lUyke7GZClMdnzMlD5FeZKPRTfLir4kihgw4NhwxPQw53yTM0BZgAwqZtnW" "56psHdT6U4X5dPPFd4GZ1OaF2VzwLII2OG9w3NddgytoUVc3OKbwkjtulLJw6aBQ" "9hjxPaTGIPr4pPGmFY7nqFhAwzhirHYO0ioSUTX6LMWPmrpvAiGhpdcelwDkLsx1" "WTV5rEKmzKNPg8wDAePxgcWoO91Z6I2Bza5vUxR4/b2S8dgi7V5M5PhkA9DSd0Dy" "Pc0RAjqfr/oUsXUrru9bxG1/bGSJY8ivf9tOp5LJQxjtpHuTjMURe1uUeeNUJwlJ" "23WQdyk/X8ppgNXnuT4/AwMCAwEAAQ=="
~$ host -t txt _dmarc.sokoll.com.
_dmarc.sokoll.com descriptive text "v=DMARC1\; p=reject\; rua=mailto:dmarc@sokoll.com\; ruf=mailto:dmarc@sokoll.com\; adkim=r\; aspf=s\; pct=100\; rf=afrf\; ri=86400\; sp=reject"
~$

DMARC ist heu­te dazu­ge­kom­men und — hal­lo Flo­ri­an — GRÜN! 😉

Und tschüß, gmail!

Ges­ten hat­ten wir unse­ren Go Live 🙂

Mails an *@sokoll.com gehen nun nicht mehr zu Goog­le, son­dern blei­ben auf dem pri­va­ten Ser­ver. Web­mail, siche­res IMAPS und SMTP funk­tio­nie­ren, User kön­nen Wei­ter­lei­tun­gen und Paß­wör­ter sel­ber pfle­gen. Anti­vi­rus (na ja, wenn über­haupt, dan benö­tigt nur Flo­ri­an das 😉 ) und Antis­pam ein­ge­baut.

To-Dos: Miß­brauch erschwe­ren (SPF und DKIM ein­bau­en), Sie­ve hät­te ich auch ger­ne noch.

© Rainer Sokoll Frontier Theme