info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
[E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert
781 views
Skip to first unread message
Sascha Pohl
Nov 7, 2017, 3:25:21 PM11/7/17
to
Hallo zusammen,
auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
im Einsatz.
Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Leider habe ich bisher keine Einstellmöglichkeiten gefunden um daran
etwas zu ändern.
Weiß jemand Rat?
Grüße,
Sascha
auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
im Einsatz.
Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Leider habe ich bisher keine Einstellmöglichkeiten gefunden um daran
etwas zu ändern.
Weiß jemand Rat?
Grüße,
Sascha
Marcus Roeckrath
Nov 7, 2017, 4:40:03 PM11/7/17
to
Hallo Sascha,
Sascha Pohl wrote:
> auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
> im Einsatz.
> Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
> fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Sicher, dass das von clamav kommt oder nicht schon dein Provider hinzugefügt
hat?
> Leider habe ich bisher keine Einstellmöglichkeiten gefunden um daran
> etwas zu ändern.
Wie sollte so eine Einstellung aussehen?
--
Gruss Marcus
Sascha Pohl wrote:
> auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
> im Einsatz.
> Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
> fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
hat?
> Leider habe ich bisher keine Einstellmöglichkeiten gefunden um daran
> etwas zu ändern.
--
Gruss Marcus
Sascha Pohl
Nov 7, 2017, 5:38:10 PM11/7/17
to
Hallo Marcus,
Am 07.11.2017 um 22:32 schrieb Marcus Roeckrath:
> Sicher, dass das von clamav kommt oder nicht schon dein Provider hinzugefügt
> hat?
Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
> Wie sollte so eine Einstellung aussehen?
Das kann ich selbst zu schlecht beurteilen.
Vielleicht über Black-/Whitelists, oder indem man verschiedene Kriterien
ein-/ausschalten kann beziehungsweise deren Gewichtung beeinflussen kann.
Ich vergleiche es mal mit dem Paket antispam. Dort kann man ähnliche
Dinge einstellen und erlernen lassen.
Grüße,
Sascha
Am 07.11.2017 um 22:32 schrieb Marcus Roeckrath:
> Sicher, dass das von clamav kommt oder nicht schon dein Provider hinzugefügt
> hat?
Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
> Wie sollte so eine Einstellung aussehen?
Vielleicht über Black-/Whitelists, oder indem man verschiedene Kriterien
ein-/ausschalten kann beziehungsweise deren Gewichtung beeinflussen kann.
Ich vergleiche es mal mit dem Paket antispam. Dort kann man ähnliche
Dinge einstellen und erlernen lassen.
Grüße,
Sascha
Kay Martinen
Nov 7, 2017, 5:58:51 PM11/7/17
to
Am 07.11.2017 um 23:38 schrieb Sascha Pohl:
> Hallo Marcus,
>
> Am 07.11.2017 um 22:32 schrieb Marcus Roeckrath:
>
>> Sicher, dass das von clamav kommt oder nicht schon dein Provider hinzugefügt
>> hat?
>
> Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
> Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
> Hallo Marcus,
>
> Am 07.11.2017 um 22:32 schrieb Marcus Roeckrath:
>
>> Sicher, dass das von clamav kommt oder nicht schon dein Provider hinzugefügt
>> hat?
>
> Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
> Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
> Das kann ich selbst zu schlecht beurteilen.
Die Wichtigere Frage ist doch: Bist du Paypal-Kunde?
Ich bin es nicht, und darum ist jede Mail die mich von dort erreicht
ganz klar entweder Spam oder etwas anderes das ich nicht will.
Deine Nichterwähnung dieses Faktes kann ich mal nur als ein Ja
interpretieren. Wäre es anders gäbe es kein Problem, oder?
Nun weiß ich auch nicht konkret was ggf. in den logs stünde aber: Wenn
die mail empfangen wurde, sie also in einem (spam/virus) ordner
einsortiert wurde, dann hat m.E. dein MTA, ClamAV, Antispam u.s.w. ihre
Header bereits dort hinein geschrieben. Es müsste also dann nicht mehr
erkennbar sein ob diese Header vom Provider kamen, oder von deinem
Mailhost. Oder siehst du dabei Zeitstempel die vor dem Abruf der Mail
datiert sind?
Kay
Sascha Pohl
Nov 7, 2017, 6:17:14 PM11/7/17
to
Hallo Kay,
Am 07.11.2017 um 23:58 schrieb Kay Martinen:
> Die Wichtigere Frage ist doch: Bist du Paypal-Kunde?
> Ich bin es nicht, und darum ist jede Mail die mich von dort erreicht
> ganz klar entweder Spam oder etwas anderes das ich nicht will.
Ja, ich bin PayPal-Kunde und darum möchte ich diese Emails eigentlich
erhalten.
In meinem Fall reden wir also von false-positives.
Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
Virus nicht, denn die Mails enthalten definitiv keine Viren.
> Nun weiß ich auch nicht konkret was ggf. in den logs stünde aber: Wenn
> die mail empfangen wurde, sie also in einem (spam/virus) ordner
> einsortiert wurde, dann hat m.E. dein MTA, ClamAV, Antispam u.s.w. ihre
> Header bereits dort hinein geschrieben. Es müsste also dann nicht mehr
> erkennbar sein ob diese Header vom Provider kamen, oder von deinem
> Mailhost. Oder siehst du dabei Zeitstempel die vor dem Abruf der Mail
> datiert sind?
Hier mal ein aktuelles Beispiel:
Email-Header:
From bounce-HP2v40000015f972...@mail.paypal.de Tue
Nov 07 17:01:08 2017
Return-path:
<bounce-HP2v40000015f972...@mail.paypal.de>
Envelope-to: sas...@pohl-bo.de
Delivery-date: Tue, 07 Nov 2017 17:01:08 +0100
Received: from mta106b.pmx1.epsl1.com ([142.54.244.106])
by mail.pohl-bo.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.89)
(envelope-from
<bounce-HP2v40000015f972...@mail.paypal.de>)
id 1eC6JH-0002p1-5K
for sas...@pohl-bo.de; Tue, 07 Nov 2017 17:01:07 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.paypal.de;
s=pp-epsilon1; t=1510069261;
bh=3iDuG4Oby4DVP7MzV+HsCHl2q23H8aXKT4Pembiw6jw=;
h=MIME-Version:Subject:From:To:Date:Content-Type;
b=xklSAtVDvxJWOJn+cnuXDB1jvv1RgkZCS8cGjpeEbNghlLnkm6Gm3Q5/2Yligj7Dv
7CCGmGpPDZOhJAZErByWAoFQXJ/jETH/8JaeBx5s2W8KIsHErTMz0YwDMACYPSFpHQ
/FBeSx91UfskAVprPLOLxkxJaYoZNwwrHwz/SFv7KOrUODQGMRbJrY9cRchyGSRjQN
tt3iOPN/g5IyDYeTKqT53M/R3M61MHMAY+Hfxqq0h0kJN4RBu0afZ+NTjelptbFt1E
ONDPA51APmNQlCtPKJ2jyh1l2dN6wYIR9CMUaClUwj0J6ReFCS/sCyfcQJaKdPJMs2
sWzq9MLKtrU7Q==
Received: from [10.233.19.184] ([10.233.19.184:34788])
by pc1udsmtn2n15 (envelope-from
<bounce-HP2v40000015f972...@mail.paypal.de>)
(ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM
id 19/6E-47256-D04D10A5; Tue, 07 Nov 2017 15:41:01 +0000
List-Unsubscribe:
<mailto:bounce-HP2v40000015f972...@mail.paypal.de?subject=list-unsubscribe>
Message-ID: <HP2v40000015f9724546...@mail.paypal.de>
MIME-Version: 1.0
Reply-To: "nor...@mail.paypal.de"
<noreply-HP2v40000015f972...@mail.paypal.de>
From: "PayPal" <pay...@mail.paypal.de>
To: sas...@pohl-bo.de
Date: Tue, 7 Nov 2017 15:41:01 +0000
Content-Type: multipart/alternative;
boundary="-=Part.342bfdf.abe60da000f70239.15f9724569b.b7e2397c72c95d42=-"
X-Scan-Signature: 22e4276ea37fc34430da28faa3d0c9d5
X-Virus-Flag: YES
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Subject: *VIRUS* Sie haben Guthaben auf Ihrem PayPal-Konto
X-Original-Recipient: sas...@pohl-bo.de
X-Antivirus: Avast (VPS 171107-0, 07.11.2017), Inbound message
X-Antivirus-Status: Clean
/var/log/clamd.log:
Tue Nov 7 17:01:07 2017 ->
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND
/var/log/messages:
Nov 7 17:01:07 server clamd[32087]:
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND
Daher bin ich mir sicher, dass der Fehler durch den ClamAV auf meinem
Server verursacht wird.
> Kay
Grüße,
Sascha
Am 07.11.2017 um 23:58 schrieb Kay Martinen:
> Die Wichtigere Frage ist doch: Bist du Paypal-Kunde?
> Ich bin es nicht, und darum ist jede Mail die mich von dort erreicht
> ganz klar entweder Spam oder etwas anderes das ich nicht will.
erhalten.
In meinem Fall reden wir also von false-positives.
Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
Virus nicht, denn die Mails enthalten definitiv keine Viren.
> Nun weiß ich auch nicht konkret was ggf. in den logs stünde aber: Wenn
> die mail empfangen wurde, sie also in einem (spam/virus) ordner
> einsortiert wurde, dann hat m.E. dein MTA, ClamAV, Antispam u.s.w. ihre
> Header bereits dort hinein geschrieben. Es müsste also dann nicht mehr
> erkennbar sein ob diese Header vom Provider kamen, oder von deinem
> Mailhost. Oder siehst du dabei Zeitstempel die vor dem Abruf der Mail
> datiert sind?
Email-Header:
From bounce-HP2v40000015f972...@mail.paypal.de Tue
Nov 07 17:01:08 2017
Return-path:
<bounce-HP2v40000015f972...@mail.paypal.de>
Envelope-to: sas...@pohl-bo.de
Delivery-date: Tue, 07 Nov 2017 17:01:08 +0100
Received: from mta106b.pmx1.epsl1.com ([142.54.244.106])
by mail.pohl-bo.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.89)
(envelope-from
<bounce-HP2v40000015f972...@mail.paypal.de>)
id 1eC6JH-0002p1-5K
for sas...@pohl-bo.de; Tue, 07 Nov 2017 17:01:07 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.paypal.de;
s=pp-epsilon1; t=1510069261;
bh=3iDuG4Oby4DVP7MzV+HsCHl2q23H8aXKT4Pembiw6jw=;
h=MIME-Version:Subject:From:To:Date:Content-Type;
b=xklSAtVDvxJWOJn+cnuXDB1jvv1RgkZCS8cGjpeEbNghlLnkm6Gm3Q5/2Yligj7Dv
7CCGmGpPDZOhJAZErByWAoFQXJ/jETH/8JaeBx5s2W8KIsHErTMz0YwDMACYPSFpHQ
/FBeSx91UfskAVprPLOLxkxJaYoZNwwrHwz/SFv7KOrUODQGMRbJrY9cRchyGSRjQN
tt3iOPN/g5IyDYeTKqT53M/R3M61MHMAY+Hfxqq0h0kJN4RBu0afZ+NTjelptbFt1E
ONDPA51APmNQlCtPKJ2jyh1l2dN6wYIR9CMUaClUwj0J6ReFCS/sCyfcQJaKdPJMs2
sWzq9MLKtrU7Q==
Received: from [10.233.19.184] ([10.233.19.184:34788])
by pc1udsmtn2n15 (envelope-from
<bounce-HP2v40000015f972...@mail.paypal.de>)
(ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM
id 19/6E-47256-D04D10A5; Tue, 07 Nov 2017 15:41:01 +0000
List-Unsubscribe:
<mailto:bounce-HP2v40000015f972...@mail.paypal.de?subject=list-unsubscribe>
Message-ID: <HP2v40000015f9724546...@mail.paypal.de>
MIME-Version: 1.0
Reply-To: "nor...@mail.paypal.de"
<noreply-HP2v40000015f972...@mail.paypal.de>
From: "PayPal" <pay...@mail.paypal.de>
To: sas...@pohl-bo.de
Date: Tue, 7 Nov 2017 15:41:01 +0000
Content-Type: multipart/alternative;
boundary="-=Part.342bfdf.abe60da000f70239.15f9724569b.b7e2397c72c95d42=-"
X-Scan-Signature: 22e4276ea37fc34430da28faa3d0c9d5
X-Virus-Flag: YES
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Subject: *VIRUS* Sie haben Guthaben auf Ihrem PayPal-Konto
X-Original-Recipient: sas...@pohl-bo.de
X-Antivirus: Avast (VPS 171107-0, 07.11.2017), Inbound message
X-Antivirus-Status: Clean
/var/log/clamd.log:
Tue Nov 7 17:01:07 2017 ->
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND
/var/log/messages:
Nov 7 17:01:07 server clamd[32087]:
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND
Daher bin ich mir sicher, dass der Fehler durch den ClamAV auf meinem
Server verursacht wird.
> Kay
Grüße,
Sascha
Juergen Edner
Nov 8, 2017, 1:13:46 AM11/8/17
to
Hallo Sascha,
E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
angebliche die Absenderdomain gefälscht wurde.
Um spezielle Signaturen von der Erkennung auszuschließen, kann man
diese in /usr/share/clamav in einer Datei ablegen. Dies hilft Dir
aber womöglich auch nicht unbedingt weiter:
https://www.clamav.net/documents/how-do-i-ignore-whitelist-a-clamav-signature
Du kannst einmal mit den verschiedenen Phishing Parametern in
/etc/clamd.conf herum experimentieren und schauen, ob Du eine
Einstellung findest die das gewünschte Scan-Ergebnis liefert.
Über die eisfair-Konfigurationsschicht scheint man die Einstellungen
bis dato nicht setzen zu können. Siehe auch:
https://portal.smartertools.com/community/a1225/how-to-disable-a-specific-clamav-scan.aspx
Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
Prozess "debuggen" kann um false-positives zu verhindern:
http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
Das erwähnte Hilfsskript why.py findet sich hier:
https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
ist ;-)
Gruß Jürgen
--
Mail: jue...@eisfair.org
> Ja, ich bin PayPal-Kunde und darum möchte ich diese Emails eigentlich
> erhalten.
> In meinem Fall reden wir also von false-positives.
> Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
> Virus nicht, denn die Mails enthalten definitiv keine Viren.
die Meldung besagt auch nicht, dass es sich um eine virenverseuchte
> erhalten.
> In meinem Fall reden wir also von false-positives.
> Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
> Virus nicht, denn die Mails enthalten definitiv keine Viren.
E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
angebliche die Absenderdomain gefälscht wurde.
Um spezielle Signaturen von der Erkennung auszuschließen, kann man
diese in /usr/share/clamav in einer Datei ablegen. Dies hilft Dir
aber womöglich auch nicht unbedingt weiter:
https://www.clamav.net/documents/how-do-i-ignore-whitelist-a-clamav-signature
Du kannst einmal mit den verschiedenen Phishing Parametern in
/etc/clamd.conf herum experimentieren und schauen, ob Du eine
Einstellung findest die das gewünschte Scan-Ergebnis liefert.
Über die eisfair-Konfigurationsschicht scheint man die Einstellungen
bis dato nicht setzen zu können. Siehe auch:
https://portal.smartertools.com/community/a1225/how-to-disable-a-specific-clamav-scan.aspx
Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
Prozess "debuggen" kann um false-positives zu verhindern:
http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
Das erwähnte Hilfsskript why.py findet sich hier:
https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
ist ;-)
Gruß Jürgen
--
Mail: jue...@eisfair.org
Marcus Roeckrath
Nov 8, 2017, 2:30:01 AM11/8/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
> Ja, ich bin PayPal-Kunde und darum möchte ich diese Emails eigentlich
> erhalten.
Ich auch.
> erhalten.
> In meinem Fall reden wir also von false-positives.
> Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
> Virus nicht, denn die Mails enthalten definitiv keine Viren.
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Der "Virenname" sagt IMHO eher, dass die Heuristic eine mögliche
Phishing-Mail mit gefälschter Absenderadresse handelt.
> /var/log/clamd.log:
>
> Tue Nov 7 17:01:07 2017 ->
> /var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
> Heuristics.Phishing.Email.SpoofedDomain FOUND
>
> Daher bin ich mir sicher, dass der Fehler durch den ClamAV auf meinem
> Server verursacht wird.
Ok, bei mir hat der lokale clamav bislang noch nie angeschlagen, sondern
> Server verursacht wird.
Virenkennungen in Mails kamen immer schon von GMX.
--
Gruss Marcus
Marcus Roeckrath
Nov 8, 2017, 2:30:02 AM11/8/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> Sicher, dass das von clamav kommt oder nicht schon dein Provider
>> hinzugefügt hat?
>
> Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
> Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
>
>> Wie sollte so eine Einstellung aussehen?
>
> Das kann ich selbst zu schlecht beurteilen.
> Vielleicht über Black-/Whitelists, oder indem man verschiedene Kriterien
> ein-/ausschalten kann beziehungsweise deren Gewichtung beeinflussen kann.
> Ich vergleiche es mal mit dem Paket antispam. Dort kann man ähnliche
> Dinge einstellen und erlernen lassen.
Ein Virenbefund ist ein Virenbefund, egal, ob das nun Clamav lokal oder der
>> hinzugefügt hat?
>
> Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
> Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
>
>> Wie sollte so eine Einstellung aussehen?
>
> Das kann ich selbst zu schlecht beurteilen.
> Vielleicht über Black-/Whitelists, oder indem man verschiedene Kriterien
> ein-/ausschalten kann beziehungsweise deren Gewichtung beeinflussen kann.
> Ich vergleiche es mal mit dem Paket antispam. Dort kann man ähnliche
> Dinge einstellen und erlernen lassen.
Provider das so festgestellt hat.
Alle Mails die hier von "PayPal" eintreffen sind zu über 90% nicht von
PayPal, also zumindest der Versuch, den Empfänger auf eine falsche Webseite
zu locken.
Natürlich schießen Virenscanner schonmal über das Ziel hinaus, aber "false
positive" Befunde sind allemal besser als "false negative".
Wenn die Mail dann mit dem Vurisvermerk weitergeleitet wird, geht sie ja
nicht verloren aber ein Grund diese mit entsprechender Vorsicht zu
behandeln, also sich zunächst mal die Header der Mail anzusehen,
insbesondere die Received-eilen.
--
Gruss Marcus
Detlef Paschke
Nov 8, 2017, 4:31:10 AM11/8/17
to
Am 07.11.2017 um 21:25 schrieb Sascha Pohl:
> Hallo zusammen,
Hallo,
> auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
> im Einsatz.
hier eben so.
> Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
> fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
X-Virus-Flag: YES
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
Betreff: Frage zu Produktdetails von Amazon-Kunde
Mails die als Spam bzw. Virus eingeordnet werden, landen hier dann nicht
im lokalen Benutzerpostfach sondern in einem extra Spam-Postfach.
> Grüße,
> Sascha
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
> Hallo zusammen,
Hallo,
> auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
> im Einsatz.
> Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
> fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
X-Virus-Flag: YES
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
Betreff: Frage zu Produktdetails von Amazon-Kunde
Mails die als Spam bzw. Virus eingeordnet werden, landen hier dann nicht
im lokalen Benutzerpostfach sondern in einem extra Spam-Postfach.
> Grüße,
> Sascha
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Marcus Roeckrath
Nov 8, 2017, 5:00:02 AM11/8/17
to
Hallo Detlef,
Detlef Paschke wrote:
>> auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
>> im Einsatz.
>
> hier eben so.
>
>> Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
>> fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
>> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
>
> Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>
> X-Virus-Flag: YES
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
> Betreff: Frage zu Produktdetails von Amazon-Kunde
Da könnte man sich direkt an die Clamav-Macher wenden und ihnen Details
dieser Mails (Headerzeilen) zukommen lassen.
Vielleicht können sie die Heuristik ja besser "trainieren".
--
Gruss Marcus
Detlef Paschke wrote:
>> auf meinem Server ist das mail-Paket in Verbindung mit dem ClamAV-Paket
>> im Einsatz.
>
> hier eben so.
>
>> Seit einiger Zeit ist mir aufgefallen, dass sämtliche Emails von PayPal
>> fälschlicherweise mit dem "X-Virus-Flag: YES" gekennzeichnet werden.
>> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
>
> Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>
> X-Virus-Flag: YES
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
> Betreff: Frage zu Produktdetails von Amazon-Kunde
dieser Mails (Headerzeilen) zukommen lassen.
Vielleicht können sie die Heuristik ja besser "trainieren".
--
Gruss Marcus
Sascha Pohl
Nov 8, 2017, 6:04:33 PM11/8/17
to
Hallo Jürgen,
Am 08.11.2017 um 07:13 schrieb Juergen Edner:
> die Meldung besagt auch nicht, dass es sich um eine virenverseuchte
> E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
> angebliche die Absenderdomain gefälscht wurde.
Das hatte ich auch so verstanden.
Mich stört jedoch die Tatsache, dass Emails in den Virenordner
verschoben werden, obwohl sie, zumindest in diesen Fällen, dort nicht
hingehören.
> Um spezielle Signaturen von der Erkennung auszuschließen, kann man
> diese in /usr/share/clamav in einer Datei ablegen. Dies hilft Dir
> aber womöglich auch nicht unbedingt weiter:
>
> https://www.clamav.net/documents/how-do-i-ignore-whitelist-a-clamav-signature
Ich habe noch nicht wirklich verstanden, was ich jetzt unter der
Signatur zu verstehen habe und wie diese aussehen soll.
Ich fürchte aber, dass ich damit über das Ziel hinaus schieße und dann
Emails durchlasse, die besser doch aussortiert werden sollten.
> Du kannst einmal mit den verschiedenen Phishing Parametern in
> /etc/clamd.conf herum experimentieren und schauen, ob Du eine
> Einstellung findest die das gewünschte Scan-Ergebnis liefert.
> Über die eisfair-Konfigurationsschicht scheint man die Einstellungen
> bis dato nicht setzen zu können. Siehe auch:
>
> https://portal.smartertools.com/community/a1225/how-to-disable-a-specific-clamav-scan.aspx
Ich glaube, das ist mir zu grob. Dort kann man nur die einzelnen
Prüfungen grundsätzlich ein, oder ausschalten.
Das ist bestimmt auch wieder über das Ziel hinaus.
Abgesehen davon, übersteht das vermutlich kein Paket-Update, oder?
> Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
> Prozess "debuggen" kann um false-positives zu verhindern:
>
> http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
>
>
> Das erwähnte Hilfsskript why.py findet sich hier:
>
> https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
Dieser Weg erscheint mir am aussichtsreichsten.
Ich denke, damit kann ich ziemlich gezielt trainieren, was er nicht
aussortieren soll.
Nicht zu wenig, aber auch nicht zuviel.
> Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
> ist ;-)
Danke!
Ja, ich werde berichten, aber es wird sicher eine ganze Weile dauern.
Sehr oft bekomme ich solche Emails im Normalfall nicht.
> Gruß Jürgen
Grüße,
Sascha
Am 08.11.2017 um 07:13 schrieb Juergen Edner:
> die Meldung besagt auch nicht, dass es sich um eine virenverseuchte
> E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
> angebliche die Absenderdomain gefälscht wurde.
Mich stört jedoch die Tatsache, dass Emails in den Virenordner
verschoben werden, obwohl sie, zumindest in diesen Fällen, dort nicht
hingehören.
> Um spezielle Signaturen von der Erkennung auszuschließen, kann man
> diese in /usr/share/clamav in einer Datei ablegen. Dies hilft Dir
> aber womöglich auch nicht unbedingt weiter:
>
> https://www.clamav.net/documents/how-do-i-ignore-whitelist-a-clamav-signature
Signatur zu verstehen habe und wie diese aussehen soll.
Ich fürchte aber, dass ich damit über das Ziel hinaus schieße und dann
Emails durchlasse, die besser doch aussortiert werden sollten.
> Du kannst einmal mit den verschiedenen Phishing Parametern in
> /etc/clamd.conf herum experimentieren und schauen, ob Du eine
> Einstellung findest die das gewünschte Scan-Ergebnis liefert.
> Über die eisfair-Konfigurationsschicht scheint man die Einstellungen
> bis dato nicht setzen zu können. Siehe auch:
>
> https://portal.smartertools.com/community/a1225/how-to-disable-a-specific-clamav-scan.aspx
Prüfungen grundsätzlich ein, oder ausschalten.
Das ist bestimmt auch wieder über das Ziel hinaus.
Abgesehen davon, übersteht das vermutlich kein Paket-Update, oder?
> Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
> Prozess "debuggen" kann um false-positives zu verhindern:
>
> http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
>
>
> Das erwähnte Hilfsskript why.py findet sich hier:
>
> https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
Ich denke, damit kann ich ziemlich gezielt trainieren, was er nicht
aussortieren soll.
Nicht zu wenig, aber auch nicht zuviel.
> Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
> ist ;-)
Ja, ich werde berichten, aber es wird sicher eine ganze Weile dauern.
Sehr oft bekomme ich solche Emails im Normalfall nicht.
> Gruß Jürgen
Grüße,
Sascha
Sascha Pohl
Nov 8, 2017, 6:09:15 PM11/8/17
to
Hallo Marcus,
Am 08.11.2017 um 08:26 schrieb Marcus Roeckrath:
> Ok, bei mir hat der lokale clamav bislang noch nie angeschlagen, sondern
> Virenkennungen in Mails kamen immer schon von GMX.
Wie meinst du das?
Der clamav sortiert die Emails bei dir nicht aus, sondern er lässt sie
bei dir durch?
Oder erreichen sie clamav nicht, weil sie vorab bereits von GMX
aussortiert wurden?
Grüße,
Sascha
Am 08.11.2017 um 08:26 schrieb Marcus Roeckrath:
> Ok, bei mir hat der lokale clamav bislang noch nie angeschlagen, sondern
> Virenkennungen in Mails kamen immer schon von GMX.
Der clamav sortiert die Emails bei dir nicht aus, sondern er lässt sie
bei dir durch?
Oder erreichen sie clamav nicht, weil sie vorab bereits von GMX
aussortiert wurden?
Grüße,
Sascha
Sascha Pohl
Nov 8, 2017, 6:22:32 PM11/8/17
to
Hallo Marcus,
Am 08.11.2017 um 08:20 schrieb Marcus Roeckrath:
> Ein Virenbefund ist ein Virenbefund, egal, ob das nun Clamav lokal oder der
> Provider das so festgestellt hat.
Das ist natürlich richtig!
> Alle Mails die hier von "PayPal" eintreffen sind zu über 90% nicht von
> PayPal, also zumindest der Versuch, den Empfänger auf eine falsche Webseite
> zu locken.
Solche Emails sehe ich hier bei mir gar nicht.
Kann aber möglich sein, dass die von antispam geblockt werden.
Die Emails die ich hier von PayPal erhalte, stammen auch wirklich von
PayPal.
> Natürlich schießen Virenscanner schonmal über das Ziel hinaus, aber "false
> positive" Befunde sind allemal besser als "false negative".
Grundsätzlich stimme ich dir hier zu.
Wenn aber alle Emails von PayPal grundsätzlich falsch klassifiziert
werden, dann ist da meiner Meinung nach ein Fehler im System, den man
ausbügeln sollte.
> Wenn die Mail dann mit dem Vurisvermerk weitergeleitet wird, geht sie ja
> nicht verloren aber ein Grund diese mit entsprechender Vorsicht zu
> behandeln, also sich zunächst mal die Header der Mail anzusehen,
> insbesondere die Received-eilen.
Auch hier gebe ich dir Recht!
Lieber einmal zu viel etwas zu vorsichtig, als einmal einen fatalen
Fehler zu begehen.
Grüße,
Sascha
Am 08.11.2017 um 08:20 schrieb Marcus Roeckrath:
> Ein Virenbefund ist ein Virenbefund, egal, ob das nun Clamav lokal oder der
> Provider das so festgestellt hat.
> Alle Mails die hier von "PayPal" eintreffen sind zu über 90% nicht von
> PayPal, also zumindest der Versuch, den Empfänger auf eine falsche Webseite
> zu locken.
Kann aber möglich sein, dass die von antispam geblockt werden.
Die Emails die ich hier von PayPal erhalte, stammen auch wirklich von
PayPal.
> Natürlich schießen Virenscanner schonmal über das Ziel hinaus, aber "false
> positive" Befunde sind allemal besser als "false negative".
Wenn aber alle Emails von PayPal grundsätzlich falsch klassifiziert
werden, dann ist da meiner Meinung nach ein Fehler im System, den man
ausbügeln sollte.
> Wenn die Mail dann mit dem Vurisvermerk weitergeleitet wird, geht sie ja
> nicht verloren aber ein Grund diese mit entsprechender Vorsicht zu
> behandeln, also sich zunächst mal die Header der Mail anzusehen,
> insbesondere die Received-eilen.
Lieber einmal zu viel etwas zu vorsichtig, als einmal einen fatalen
Fehler zu begehen.
Grüße,
Sascha
Sascha Pohl
Nov 8, 2017, 6:30:57 PM11/8/17
to
Hallo Detlef,
Am 08.11.2017 um 10:31 schrieb Detlef Paschke:
> Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>
> X-Virus-Flag: YES
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
> Betreff: Frage zu Produktdetails von Amazon-Kunde
Jetzt, wo du es erwähnst: Ja, das ist bei mir auch so. Hatte ich
vergessen zu erwähnen.
> Mails die als Spam bzw. Virus eingeordnet werden, landen hier dann nicht
> im lokalen Benutzerpostfach sondern in einem extra Spam-Postfach.
Bei mir landen sie dann auch in einem extra Postfach. Allerdings nicht
im Spam-Postfach, das hat bei mir jeder Nutzer für sich, und dorthin
werden Emails von antispam und einer .forward-Regel verschoben, sondern
im Virus-Postfach, das gibt es bei mir nur einmal, für alle Nutzer
gemeinsam.
Das ist daran auch das Unpraktische. Denn Emails, die fälschlicherweise
im Virus-Postfach landen, muss ich dann an den richtigen Empfänger
weiterleiten.
> Viele Grüße
> Detlef Paschke
Grüße,
Sascha
Am 08.11.2017 um 10:31 schrieb Detlef Paschke:
> Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>
> X-Virus-Flag: YES
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
> Betreff: Frage zu Produktdetails von Amazon-Kunde
vergessen zu erwähnen.
> Mails die als Spam bzw. Virus eingeordnet werden, landen hier dann nicht
> im lokalen Benutzerpostfach sondern in einem extra Spam-Postfach.
im Spam-Postfach, das hat bei mir jeder Nutzer für sich, und dorthin
werden Emails von antispam und einer .forward-Regel verschoben, sondern
im Virus-Postfach, das gibt es bei mir nur einmal, für alle Nutzer
gemeinsam.
Das ist daran auch das Unpraktische. Denn Emails, die fälschlicherweise
im Virus-Postfach landen, muss ich dann an den richtigen Empfänger
weiterleiten.
> Viele Grüße
> Detlef Paschke
Grüße,
Sascha
Sascha Pohl
Nov 8, 2017, 6:39:52 PM11/8/17
to
Hallo Marcus,
Am 08.11.2017 um 10:52 schrieb Marcus Roeckrath:
> Da könnte man sich direkt an die Clamav-Macher wenden und ihnen Details
> dieser Mails (Headerzeilen) zukommen lassen.
Dazu habe ich im Internet folgende Seite gefunden:
http://www.clamav.net/reports/fp
> Vielleicht können sie die Heuristik ja besser "trainieren".
Allerdings hatte ich das eher so verstanden, dass man dort ganz
spezielle, individuelle Situationen verbessern lassen könnte.
Bei PayPal und Amazon-Händlern scheint es mit clamav ja wohl eher ein
generelles, allgemeines Problem zu geben.
Wundert mich jetzt sehr, dass solch ein großes Problem nicht viel
größere Wellen schlägt und von denen nicht längst gelöst wurde.
Grüße,
Sascha
Am 08.11.2017 um 10:52 schrieb Marcus Roeckrath:
> Da könnte man sich direkt an die Clamav-Macher wenden und ihnen Details
> dieser Mails (Headerzeilen) zukommen lassen.
http://www.clamav.net/reports/fp
> Vielleicht können sie die Heuristik ja besser "trainieren".
spezielle, individuelle Situationen verbessern lassen könnte.
Bei PayPal und Amazon-Händlern scheint es mit clamav ja wohl eher ein
generelles, allgemeines Problem zu geben.
Wundert mich jetzt sehr, dass solch ein großes Problem nicht viel
größere Wellen schlägt und von denen nicht längst gelöst wurde.
Grüße,
Sascha
Marcus Roeckrath
Nov 9, 2017, 1:50:01 AM11/9/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> Da könnte man sich direkt an die Clamav-Macher wenden und ihnen Details
>> dieser Mails (Headerzeilen) zukommen lassen.
>
> Dazu habe ich im Internet folgende Seite gefunden:
> http://www.clamav.net/reports/fp
>
>> Vielleicht können sie die Heuristik ja besser "trainieren".
>
> Allerdings hatte ich das eher so verstanden, dass man dort ganz
> spezielle, individuelle Situationen verbessern lassen könnte.
> Bei PayPal und Amazon-Händlern scheint es mit clamav ja wohl eher ein
> generelles, allgemeines Problem zu geben.
> Wundert mich jetzt sehr, dass solch ein großes Problem nicht viel
> größere Wellen schlägt und von denen nicht längst gelöst wurde.
Man könnte auch fragen, ob manche Firmen ihre Mails nicht so gestalten
>> dieser Mails (Headerzeilen) zukommen lassen.
>
> Dazu habe ich im Internet folgende Seite gefunden:
> http://www.clamav.net/reports/fp
>
>> Vielleicht können sie die Heuristik ja besser "trainieren".
>
> Allerdings hatte ich das eher so verstanden, dass man dort ganz
> spezielle, individuelle Situationen verbessern lassen könnte.
> Bei PayPal und Amazon-Händlern scheint es mit clamav ja wohl eher ein
> generelles, allgemeines Problem zu geben.
> Wundert mich jetzt sehr, dass solch ein großes Problem nicht viel
> größere Wellen schlägt und von denen nicht längst gelöst wurde.
können, dass sie nicht in Verdacht geraten.
--
Gruss Marcus
Marcus Roeckrath
Nov 9, 2017, 1:50:01 AM11/9/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> die Meldung besagt auch nicht, dass es sich um eine virenverseuchte
>> E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
>> angebliche die Absenderdomain gefälscht wurde.
>
> Das hatte ich auch so verstanden.
> Mich stört jedoch die Tatsache, dass Emails in den Virenordner
> verschoben werden, obwohl sie, zumindest in diesen Fällen, dort nicht
> hingehören.
Clamav fügt doch erstmal nur einen Header hinzu, alles weitere ist dann doch
>> E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
>> angebliche die Absenderdomain gefälscht wurde.
>
> Das hatte ich auch so verstanden.
> Mich stört jedoch die Tatsache, dass Emails in den Virenordner
> verschoben werden, obwohl sie, zumindest in diesen Fällen, dort nicht
> hingehören.
Sache deines Mailprogrammes.
Bei mir landen entsprechend gekennzeichnete Mails erst durch einen
angelegten Filter in einen speziellen Virenordner. Den könnte ich nun auch
so gestalten, dass z. B. paypal-Mails eben nicht verschoben werden.
Auf welchem Weg gelangen die bei Dir im Virenordner?
--
Gruss Marcus
Marcus Roeckrath
Nov 9, 2017, 2:00:01 AM11/9/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> Ein Virenbefund ist ein Virenbefund, egal, ob das nun Clamav lokal oder
>> der Provider das so festgestellt hat.
>
> Das ist natürlich richtig!
>
>> Alle Mails die hier von "PayPal" eintreffen sind zu über 90% nicht von
>> PayPal, also zumindest der Versuch, den Empfänger auf eine falsche
>> Webseite zu locken.
Wenn ich mal etwas per PayPal bezahle, kommmen die Bezahl-Bestätigungsmails
>> der Provider das so festgestellt hat.
>
> Das ist natürlich richtig!
>
>> Alle Mails die hier von "PayPal" eintreffen sind zu über 90% nicht von
>> PayPal, also zumindest der Versuch, den Empfänger auf eine falsche
>> Webseite zu locken.
immer ohne jede Beanstandung durch.
Andere angebliche Paypal-Mail, die zumindest im To behaupten von PayPal zu
kommen, aber schon von der Aufmachung auffällig sind, entpuppen sich beim
betrachten der Header als Spam oder Phishing-Versuch, ohne dass diese in
allen Fällen als solche erkannt wurden, weder von Provider noch vom lokalen
Virenscanner.
>> Natürlich schießen Virenscanner schonmal über das Ziel hinaus, aber
>> "false positive" Befunde sind allemal besser als "false negative".
> Grundsätzlich stimme ich dir hier zu.
> Wenn aber alle Emails von PayPal grundsätzlich falsch klassifiziert
> werden, dann ist da meiner Meinung nach ein Fehler im System, den man
> ausbügeln sollte.
Virensignaturen beruht.
Wäre die Frage, ob man die Heuristik abstellen kann.
> Lieber einmal zu viel etwas zu vorsichtig, als einmal einen fatalen
> Fehler zu begehen.
Rechnung, mit denen habe ich doch garnichts zu tun. Schau ich doch mal
rein."
Du kannst dir denken, was passiert ist.
--
Gruss Marcus
Marcus Roeckrath
Nov 9, 2017, 2:00:02 AM11/9/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> Ok, bei mir hat der lokale clamav bislang noch nie angeschlagen, sondern
>> Virenkennungen in Mails kamen immer schon von GMX.
>
> Wie meinst du das?
> Der clamav sortiert die Emails bei dir nicht aus, sondern er lässt sie
> bei dir durch?
Nein, gemeint war, dass ich hier noch nie bewußt wahrgenommen habe, dass der
>> Virenkennungen in Mails kamen immer schon von GMX.
>
> Wie meinst du das?
> Der clamav sortiert die Emails bei dir nicht aus, sondern er lässt sie
> bei dir durch?
clamav etwas verdächtiges gefunden hat, sondern eine Mail schon eine
Virenkennung durch den Provider erhalten hat; IMHO wird die Mail dann nicht
mehr lokal neu geprüft oder nicht erneut mit einem Header versehen.
Ich habe aber mal in den calmav-Logs nachgesehen und zweimal in den letzten
Monaten clamav genau deinen "Virus" gefunden hat - warum nach Abgleich mit
den exim-Logs von Amazon weitergeleitete Amazon-Händlermails.
> Oder erreichen sie clamav nicht, weil sie vorab bereits von GMX
> aussortiert wurden?
Virenmails unterschlägt; wenn gmx Mails wegen Virus nicht zustellt, bekommt
man aber zumindest eine Hinweismail.
Ich bin gegenüber clamav insgesamt skeptisch, weil der schon den
EICAR-Testvirus in bestimmten Verpackungsformen nicht erkennt.
--
Gruss Marcus
Marcus Roeckrath
Nov 9, 2017, 12:20:03 PM11/9/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> Sicher, dass das von clamav kommt oder nicht schon dein Provider
>> hinzugefügt hat?
>
> Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
> Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
>
>> Wie sollte so eine Einstellung aussehen?
>
> Das kann ich selbst zu schlecht beurteilen.
> Vielleicht über Black-/Whitelists, oder indem man verschiedene Kriterien
> ein-/ausschalten kann beziehungsweise deren Gewichtung beeinflussen kann.
> Ich vergleiche es mal mit dem Paket antispam. Dort kann man ähnliche
> Dinge einstellen und erlernen lassen.
Das Verhalten des clamav kann in der /etc/clamd.conf beeinflusst werden,
>> hinzugefügt hat?
>
> Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
> Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
>
>> Wie sollte so eine Einstellung aussehen?
>
> Das kann ich selbst zu schlecht beurteilen.
> Vielleicht über Black-/Whitelists, oder indem man verschiedene Kriterien
> ein-/ausschalten kann beziehungsweise deren Gewichtung beeinflussen kann.
> Ich vergleiche es mal mit dem Paket antispam. Dort kann man ähnliche
> Dinge einstellen und erlernen lassen.
wobei folgende Parameter in deinem Fall eventuell weiterhelfen können:
PhishingSignatures BOOL
With this option enabled ClamAV will try to detect phishing attempts by
using signatures.
Default: yes
PhishingScanURLs BOOL
Scan URLs found in mails for phishing attempts using heuristics. This
will classify "Possibly Unwanted" phishing emails as
Phishing.Heuristics.Email.*
Default: yes
PhishingAlwaysBlockSSLMismatch BOOL
Always block SSL mismatches in URLs, even if the URL isn't in the
database. This can lead to false positives.
Default: no
PhishingAlwaysBlockCloak BOOL
Always block cloaked URLs, even if URL isn't in database. This can lead
to false positives.
Default: no
HeuristicScanPrecedence BOOL
Allow heuristic match to take precedence. When enabled, if a heuristic
scan (such as phishingScan) detects a possible virus/phishing it will stop
scanning immediately. Recommended, saves CPU scan-time. When disabled,
virus/phishing detected by heuristic scans will be reported only at the end
of a scan. If an archive contains both a heuristically detected
virus/phishing, and a real malware, the real malware will be reported. Keep
this disabled if you intend to handle "*.Heuristics.*" viruses differently
from "real" malware. If a non-heuristically-detected virus
(signature-based) is found first, the scan is interrupted immediately,
regardless of this config option.
Default: no
Du kannst ja mal mit den Einstellungen experimentieren; solange du die
Konfiguration des claav-Paketes nicht aufrufst, bleiben deine Änderungen
erhalten.
Wenn du zu einem brauchbaren Ergebnis gekommen bist, kann man ja mal mit
Sebastian diskutieren, ob und welche Parameter man konfigurierbar macht.
--
Gruss Marcus
Sascha Pohl
Nov 9, 2017, 5:08:01 PM11/9/17
to
Hallo Marcus,
Am 09.11.2017 um 07:44 schrieb Marcus Roeckrath:
> Clamav fügt doch erstmal nur einen Header hinzu, alles weitere ist dann doch
> Sache deines Mailprogrammes.
>
> Bei mir landen entsprechend gekennzeichnete Mails erst durch einen
> angelegten Filter in einen speziellen Virenordner. Den könnte ich nun auch
> so gestalten, dass z. B. paypal-Mails eben nicht verschoben werden.
Das hört sich interessant an. Wie hast du das eingerichtet?
> Auf welchem Weg gelangen die bei Dir im Virenordner?
Ich habe in der Mail-Konfiguration folgende Parameter gesetzt:
START_EXISCAN='yes'
EXISCAN_ACTION_ON_FAILURE='pass'
EXISCAN_CRYPT_SALT='mZAJJxmy0-yWgYcE'
EXISCAN_DEMIME_ENABLED='yes'
EXISCAN_DEMIME_ACTION='redirect vi...@pohl-bo.de'
EXISCAN_AV_ENABLED='yes'
EXISCAN_AV_ACTION='redirect vi...@pohl-bo.de'
EXISCAN_AV_SUBJECT_TAG='*VIRUS*'
EXISCAN_AV_SCANNER='auto'
EXISCAN_AV_PATH='/usr/sbin/clamd'
EXISCAN_AV_OPTIONS='--disable-summary --max-files=100 --threads=5
--stdou %s'
EXISCAN_AV_TRIGGER='FOUND'
EXISCAN_AV_DESCRIPTION="'(.*) FOUND'"
EXISCAN_AV_SOCKET='/var/run/clamd'
EXISCAN_AV_SKIP_AUTHENTICATED='yes'
EXISCAN_EXTENSION_ENABLED='no'
EXISCAN_EXTENSION_ACTION='reject'
EXISCAN_EXTENSION_DATA='exe:com:vbs'
EXISCAN_REGEX_ENABLED='no'
EXISCAN_REGEX_ACTION='reject'
EXISCAN_REGEX_DATA='[Mm]ortage : make money'
Grüße,
Sascha
Am 09.11.2017 um 07:44 schrieb Marcus Roeckrath:
> Clamav fügt doch erstmal nur einen Header hinzu, alles weitere ist dann doch
> Sache deines Mailprogrammes.
>
> Bei mir landen entsprechend gekennzeichnete Mails erst durch einen
> angelegten Filter in einen speziellen Virenordner. Den könnte ich nun auch
> so gestalten, dass z. B. paypal-Mails eben nicht verschoben werden.
> Auf welchem Weg gelangen die bei Dir im Virenordner?
START_EXISCAN='yes'
EXISCAN_ACTION_ON_FAILURE='pass'
EXISCAN_CRYPT_SALT='mZAJJxmy0-yWgYcE'
EXISCAN_DEMIME_ENABLED='yes'
EXISCAN_DEMIME_ACTION='redirect vi...@pohl-bo.de'
EXISCAN_AV_ENABLED='yes'
EXISCAN_AV_ACTION='redirect vi...@pohl-bo.de'
EXISCAN_AV_SUBJECT_TAG='*VIRUS*'
EXISCAN_AV_SCANNER='auto'
EXISCAN_AV_PATH='/usr/sbin/clamd'
EXISCAN_AV_OPTIONS='--disable-summary --max-files=100 --threads=5
--stdou %s'
EXISCAN_AV_TRIGGER='FOUND'
EXISCAN_AV_DESCRIPTION="'(.*) FOUND'"
EXISCAN_AV_SOCKET='/var/run/clamd'
EXISCAN_AV_SKIP_AUTHENTICATED='yes'
EXISCAN_EXTENSION_ENABLED='no'
EXISCAN_EXTENSION_ACTION='reject'
EXISCAN_EXTENSION_DATA='exe:com:vbs'
EXISCAN_REGEX_ENABLED='no'
EXISCAN_REGEX_ACTION='reject'
EXISCAN_REGEX_DATA='[Mm]ortage : make money'
Grüße,
Sascha
Marcus Roeckrath
Nov 10, 2017, 12:40:01 AM11/10/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> Clamav fügt doch erstmal nur einen Header hinzu, alles weitere ist dann
>> doch Sache deines Mailprogrammes.
>>
>> Bei mir landen entsprechend gekennzeichnete Mails erst durch einen
>> angelegten Filter in einen speziellen Virenordner. Den könnte ich nun
>> auch so gestalten, dass z. B. paypal-Mails eben nicht verschoben werden.
>
> Das hört sich interessant an. Wie hast du das eingerichtet?
>
>> Auf welchem Weg gelangen die bei Dir im Virenordner?
Deine Einstellungen für den Virenscan im Mail-Paket unterscheiden sich nicht
>> doch Sache deines Mailprogrammes.
>>
>> Bei mir landen entsprechend gekennzeichnete Mails erst durch einen
>> angelegten Filter in einen speziellen Virenordner. Den könnte ich nun
>> auch so gestalten, dass z. B. paypal-Mails eben nicht verschoben werden.
>
> Das hört sich interessant an. Wie hast du das eingerichtet?
>
>> Auf welchem Weg gelangen die bei Dir im Virenordner?
von meinen, also Weiterleitung verdäcchtoger Mails an einen einzelnen
Mailaccount, was in meinem Fall ich selbst bin.
In meinem KMail ist nun schlicht ein Filter eingerichtet, der prüft, ob im
Header die Zeile X-Virus-Flag mit dem Wert YES vorkommt und dann die Mail
in den Ordner VIRUS verschiebt.
Wenn ich nun weiß, dass bestimmte Mails immer false-positive sind, könnte
ich versuchen, eine zweite Bedingung hinzuzufügen z. B.
"irgendein Headertag" enthält nicht "paypal"
oder so, damit eben Mails, die zwar das Virusflag haben aber von paypal
kommen, im normalen Posteingang landen.
Das hängt also nun von Deinem Mailprogramm ab, welche Filtermöglichkeiten
das bietet.
--
Gruss Marcus
Juergen Edner
Nov 10, 2017, 2:12:29 AM11/10/17
to Sascha Pohl
Hallo zusammen,
umzusetzen.
1. Man sendet alle erkannten Nachrichten aller Anwender an einen
einzigen Benutzeraccount zur Prüfung.
2. Man sendet alle erkannten Nachtrichten aller Anwender an einen
geteilten "Shared Folder".
3. Man sendet alle erkannten Nachtrichten jedes einzelnen Anwender
an die selbigen und überlässt es diesen damit mittels eines
persönlichen Filters wie gewünscht umzugehen.
Für die Filterung kann auf dedizierte Header-Felder oder aber
eine modifizierte Betreffzeile zugegriffen werden.
>> Bei mir landen entsprechend gekennzeichnete Mails erst durch einen
>> angelegten Filter in einen speziellen Virenordner. Den könnte ich nun auch
>> so gestalten, dass z. B. paypal-Mails eben nicht verschoben werden.
>
> Das hört sich interessant an. Wie hast du das eingerichtet?
>
>> Auf welchem Weg gelangen die bei Dir im Virenordner?
generell gibt es verschiedene Möglichkeiten eine solche Weiterleitung
>> angelegten Filter in einen speziellen Virenordner. Den könnte ich nun auch
>> so gestalten, dass z. B. paypal-Mails eben nicht verschoben werden.
>
> Das hört sich interessant an. Wie hast du das eingerichtet?
>
>> Auf welchem Weg gelangen die bei Dir im Virenordner?
umzusetzen.
1. Man sendet alle erkannten Nachrichten aller Anwender an einen
einzigen Benutzeraccount zur Prüfung.
2. Man sendet alle erkannten Nachtrichten aller Anwender an einen
geteilten "Shared Folder".
3. Man sendet alle erkannten Nachtrichten jedes einzelnen Anwender
an die selbigen und überlässt es diesen damit mittels eines
persönlichen Filters wie gewünscht umzugehen.
Für die Filterung kann auf dedizierte Header-Felder oder aber
eine modifizierte Betreffzeile zugegriffen werden.
Sascha Pohl
Nov 10, 2017, 8:55:14 PM11/10/17
to
Hallo zusammen,
Am 10.11.2017 um 08:12 schrieb Juergen Edner:
> generell gibt es verschiedene Möglichkeiten eine solche Weiterleitung
> umzusetzen.
>
> 1. Man sendet alle erkannten Nachrichten aller Anwender an einen
> einzigen Benutzeraccount zur Prüfung.
Inspiriert durch Marcus habe ich bei mir jetzt mal etwas umkonfiguriert.
Ich habe die Konfiguration im Mail-Paket etwas abgeändert.
Erkannte Viren-Mails lasse ich jetzt alle an mich weiterleiten.
In meinem Postfach habe ich für Virenmails einen neuen Ordner eingerichtet.
Eine Regel in meiner .forward-Datei untersucht die Header und verschiebt
Virenmails dann in den separaten Ordner.
So habe ich guten Zugriff auf die Virenmails und kann vorübergehend
besser mit den falsch einsortierten Mails klarkommen.
Weiterhin werde ich versuchen clamav in der Erkennung zu verbessern.
Dazu werde ich den Weg des "debuggen" mittels der why.py verfolgen.
Die anderen Lösungsansätze, verschiedene Prüfungen gänzlich
abzuschalten, sind meiner Meinung nach übertrieben und dadurch auch
wieder riskant.
> 2. Man sendet alle erkannten Nachtrichten aller Anwender an einen
> geteilten "Shared Folder".
So hatte ich es bisher eingerichtet.
Der Nachteil daran war aber immer, dass ich auf diesen Ordner nur von
meinem PC aus zugreifen konnte.
Von meinem Smartphone aus habe ich es bisher nicht hinbekommen, auf die
Public-Ordner zuzugreifen.
Aber das Problem habe ich ja jetzt beseitigt.
> 3. Man sendet alle erkannten Nachtrichten jedes einzelnen Anwender
> an die selbigen und überlässt es diesen damit mittels eines
> persönlichen Filters wie gewünscht umzugehen.
> Für die Filterung kann auf dedizierte Header-Felder oder aber
> eine modifizierte Betreffzeile zugegriffen werden.
Das ist mir zu gefährlich.
Mir ist es sicherer, wenn ich darüber wache.
Wer weiß, was passiert, wenn meine Frau, oder meine Kinder neugierig sind...
> Gruß Jürgen
Grüße,
Sascha
Am 10.11.2017 um 08:12 schrieb Juergen Edner:
> generell gibt es verschiedene Möglichkeiten eine solche Weiterleitung
> umzusetzen.
>
> 1. Man sendet alle erkannten Nachrichten aller Anwender an einen
> einzigen Benutzeraccount zur Prüfung.
Ich habe die Konfiguration im Mail-Paket etwas abgeändert.
Erkannte Viren-Mails lasse ich jetzt alle an mich weiterleiten.
In meinem Postfach habe ich für Virenmails einen neuen Ordner eingerichtet.
Eine Regel in meiner .forward-Datei untersucht die Header und verschiebt
Virenmails dann in den separaten Ordner.
So habe ich guten Zugriff auf die Virenmails und kann vorübergehend
besser mit den falsch einsortierten Mails klarkommen.
Weiterhin werde ich versuchen clamav in der Erkennung zu verbessern.
Dazu werde ich den Weg des "debuggen" mittels der why.py verfolgen.
Die anderen Lösungsansätze, verschiedene Prüfungen gänzlich
abzuschalten, sind meiner Meinung nach übertrieben und dadurch auch
wieder riskant.
> 2. Man sendet alle erkannten Nachtrichten aller Anwender an einen
> geteilten "Shared Folder".
Der Nachteil daran war aber immer, dass ich auf diesen Ordner nur von
meinem PC aus zugreifen konnte.
Von meinem Smartphone aus habe ich es bisher nicht hinbekommen, auf die
Public-Ordner zuzugreifen.
Aber das Problem habe ich ja jetzt beseitigt.
> 3. Man sendet alle erkannten Nachtrichten jedes einzelnen Anwender
> an die selbigen und überlässt es diesen damit mittels eines
> persönlichen Filters wie gewünscht umzugehen.
> Für die Filterung kann auf dedizierte Header-Felder oder aber
> eine modifizierte Betreffzeile zugegriffen werden.
Mir ist es sicherer, wenn ich darüber wache.
Wer weiß, was passiert, wenn meine Frau, oder meine Kinder neugierig sind...
> Gruß Jürgen
Grüße,
Sascha
Marcus Roeckrath
Nov 11, 2017, 3:00:01 AM11/11/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> 3. Man sendet alle erkannten Nachtrichten jedes einzelnen Anwender
>> an die selbigen und überlässt es diesen damit mittels eines
>> persönlichen Filters wie gewünscht umzugehen.
>> Für die Filterung kann auf dedizierte Header-Felder oder aber
>> eine modifizierte Betreffzeile zugegriffen werden.
>
> Das ist mir zu gefährlich.
> Mir ist es sicherer, wenn ich darüber wache.
> Wer weiß, was passiert, wenn meine Frau, oder meine Kinder neugierig
> sind...
Und der Mensch ist neugierig; aber du hast doch auch bestimmt auf den
>> an die selbigen und überlässt es diesen damit mittels eines
>> persönlichen Filters wie gewünscht umzugehen.
>> Für die Filterung kann auf dedizierte Header-Felder oder aber
>> eine modifizierte Betreffzeile zugegriffen werden.
>
> Das ist mir zu gefährlich.
> Mir ist es sicherer, wenn ich darüber wache.
> Wer weiß, was passiert, wenn meine Frau, oder meine Kinder neugierig
> sind...
Clients einen gesscheiten Virenschutz installiert.
--
Gruss Marcus
Sascha Pohl
Nov 15, 2017, 4:50:35 PM11/15/17
to
Hallo zusammen,
heute habe ich mal wieder eine Email von Paypal erhalten.
Clamav hat sie auch wieder aussortiert.
Meine Änderungen bezüglich des Umgangs mit Viren-Mails im Mail-Paket
waren schonmal erfolgreich, die Email wurde jetzt in meinen neuen Ordner
für Virenmails in meinem Benutzeraccount einsortiert.
Am 08.11.2017 um 07:13 schrieb Juergen Edner:
Ich habe den Quelltext der Email auf meinem Server unter
/root/paypal_mail abgespeichert.
Danach habe ich clamav diesen Text untersuchen lassen:
server # clamscan -d /usr/share/clamav/ --debug --max-filesize=0
--max-scansize=0 /root/paypal_mail 2> /root/test.txt
Anschließend habe ich die Datei /root/test.txt untersucht und bin über
folgenden Abschnitt gestolpert:
LibClamAV debug: Phishcheck:host:.epl.paypal-communication.com
LibClamAV debug: Phishing: looking up in whitelist:
.epl.paypal-communication.com:.www.paypal.de; host-only:1
LibClamAV debug: Looking up in regex_list:
epl.paypal-communication.com:www.paypal.de/
LibClamAV debug: Lookup result: not in regex list
LibClamAV debug: Phishcheck: Phishing scan result: URLs are way too
different
LibClamAV debug: found Possibly Unwanted:
Heuristics.Phishing.Email.SpoofedDomain
Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
folgendes eingetragen:
M:epl.paypal-communication.com:www.paypal.de
Als nächstes habe ich clamav gestoppt und wieder gestartet.
Bei einem anschließenden Prüflauf von clamav mit obiger Befehlszeile hat
er die Datei dann als Virenfrei angesehen.
Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
und beobachten.
> Das erwähnte Hilfsskript why.py findet sich hier:
>
> https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
Dieses Script habe ich bei meiner Vorgehensweise nicht benötigt.
Ein Versuch es zu starten hat bei mir aber, genauso wie beim Verfasser
obiger Anleitung, eine Fehlermeldung produziert.
> Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
> ist ;-)
Ich werde weiter berichten.
> Gruß Jürgen
Grüße,
Sascha
heute habe ich mal wieder eine Email von Paypal erhalten.
Clamav hat sie auch wieder aussortiert.
Meine Änderungen bezüglich des Umgangs mit Viren-Mails im Mail-Paket
waren schonmal erfolgreich, die Email wurde jetzt in meinen neuen Ordner
für Virenmails in meinem Benutzeraccount einsortiert.
Am 08.11.2017 um 07:13 schrieb Juergen Edner:
> Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
> Prozess "debuggen" kann um false-positives zu verhindern:
>
> http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
Diese Anleitung habe ich mir zum Vorbild genommen.
> Prozess "debuggen" kann um false-positives zu verhindern:
>
> http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
Ich habe den Quelltext der Email auf meinem Server unter
/root/paypal_mail abgespeichert.
Danach habe ich clamav diesen Text untersuchen lassen:
server # clamscan -d /usr/share/clamav/ --debug --max-filesize=0
--max-scansize=0 /root/paypal_mail 2> /root/test.txt
Anschließend habe ich die Datei /root/test.txt untersucht und bin über
folgenden Abschnitt gestolpert:
LibClamAV debug: Phishcheck:host:.epl.paypal-communication.com
LibClamAV debug: Phishing: looking up in whitelist:
.epl.paypal-communication.com:.www.paypal.de; host-only:1
LibClamAV debug: Looking up in regex_list:
epl.paypal-communication.com:www.paypal.de/
LibClamAV debug: Lookup result: not in regex list
LibClamAV debug: Phishcheck: Phishing scan result: URLs are way too
different
LibClamAV debug: found Possibly Unwanted:
Heuristics.Phishing.Email.SpoofedDomain
Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
folgendes eingetragen:
M:epl.paypal-communication.com:www.paypal.de
Als nächstes habe ich clamav gestoppt und wieder gestartet.
Bei einem anschließenden Prüflauf von clamav mit obiger Befehlszeile hat
er die Datei dann als Virenfrei angesehen.
Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
und beobachten.
> Das erwähnte Hilfsskript why.py findet sich hier:
>
> https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
Ein Versuch es zu starten hat bei mir aber, genauso wie beim Verfasser
obiger Anleitung, eine Fehlermeldung produziert.
> Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
> ist ;-)
> Gruß Jürgen
Grüße,
Sascha
Sascha Pohl
Nov 17, 2017, 6:25:44 PM11/17/17
to
Hallo zusammen,
heute ist eine Email von einem Amazon-Händler eingetroffen.
Auch sie wurde wieder von clamav aussortiert.
Ich bin wieder nach dem gleichen Schema wie unten beschrieben vorgegangen.
Als Ergebnis habe ich in der Datei /usr/share/clamav/daily.wdb folgende
Zeile hinzugefügt:
M:sellercentral-europe.amazon.com:www.amazon.de
Ich werde weiter beobachten und berichten.
Grüße,
Sascha
heute ist eine Email von einem Amazon-Händler eingetroffen.
Auch sie wurde wieder von clamav aussortiert.
Ich bin wieder nach dem gleichen Schema wie unten beschrieben vorgegangen.
Als Ergebnis habe ich in der Datei /usr/share/clamav/daily.wdb folgende
Zeile hinzugefügt:
M:sellercentral-europe.amazon.com:www.amazon.de
Ich werde weiter beobachten und berichten.
Grüße,
Sascha
Marcus Roeckrath
Nov 18, 2017, 3:30:03 AM11/18/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
> heute ist eine Email von einem Amazon-Händler eingetroffen.
> Auch sie wurde wieder von clamav aussortiert.
> Ich bin wieder nach dem gleichen Schema wie unten beschrieben vorgegangen.
> Als Ergebnis habe ich in der Datei /usr/share/clamav/daily.wdb folgende
> Zeile hinzugefügt:
> M:sellercentral-europe.amazon.com:www.amazon.de
Gut das es so klappt.
> Auch sie wurde wieder von clamav aussortiert.
> Ich bin wieder nach dem gleichen Schema wie unten beschrieben vorgegangen.
> Als Ergebnis habe ich in der Datei /usr/share/clamav/daily.wdb folgende
> Zeile hinzugefügt:
> M:sellercentral-europe.amazon.com:www.amazon.de
Könnte es sein, dass dadurch nun auch gutgemachte echte Spam/Phishing-Mails
auch durchkommen könnten?
--
Gruss Marcus
Juergen Edner
Nov 18, 2017, 3:55:22 AM11/18/17
to
Hallo Sascha,
> heute ist eine Email von einem Amazon-Händler eingetroffen.
> Auch sie wurde wieder von clamav aussortiert.
> Ich bin wieder nach dem gleichen Schema wie unten beschrieben vorgegangen.
> Als Ergebnis habe ich in der Datei /usr/share/clamav/daily.wdb folgende
> Zeile hinzugefügt:
> M:sellercentral-europe.amazon.com:www.amazon.de
>
> Ich werde weiter beobachten und berichten.
wenn dies zuverlässig funktioniert, könntest Du ein kleines Zusatzpaket
clamav_whitelist o.ä. erstellen, welches z.B. über eine kleine von Dir
gepflegte Webseite die Änderungen zum Download anbietet. So könnten auch
andere auf einfache Weise an Deinen Erfahrungen partizipieren ;-)
> heute ist eine Email von einem Amazon-Händler eingetroffen.
> Auch sie wurde wieder von clamav aussortiert.
> Ich bin wieder nach dem gleichen Schema wie unten beschrieben vorgegangen.
> Als Ergebnis habe ich in der Datei /usr/share/clamav/daily.wdb folgende
> Zeile hinzugefügt:
> M:sellercentral-europe.amazon.com:www.amazon.de
>
> Ich werde weiter beobachten und berichten.
clamav_whitelist o.ä. erstellen, welches z.B. über eine kleine von Dir
gepflegte Webseite die Änderungen zum Download anbietet. So könnten auch
andere auf einfache Weise an Deinen Erfahrungen partizipieren ;-)
Sascha Pohl
Nov 18, 2017, 5:13:09 PM11/18/17
to
Hallo Marcus,
Am 18.11.2017 um 09:24 schrieb Marcus Roeckrath:
> Könnte es sein, dass dadurch nun auch gutgemachte echte Spam/Phishing-Mails
> auch durchkommen könnten?
Ich bin in dem Bereich kein Experte, darum kann ich das nicht
vollständig ausschließen.
Ich glaube das aber nicht.
Nach meinem Verständnis habe ich clamav dadurch lediglich mitgeteilt,
dass Inhalte, die angeblich auf www.amazon.de zeigen, in Wirklichkeit
aber auf sellercentral-europe.amazon.com zeigen unproblematisch sind.
Alle weiteren Prüfungen und Verknüpfungen sind dadurch nicht ausgeschaltet.
Dies ist auch ein Grund, warum ich mich für diese Vorgehensweise
entschieden habe.
Die andere Variante, die Phishing-Prüfung komplett abzuschalten, wollte
ich aus genau diesem Grund nicht anwenden.
Grüße,
Sascha
Am 18.11.2017 um 09:24 schrieb Marcus Roeckrath:
> Könnte es sein, dass dadurch nun auch gutgemachte echte Spam/Phishing-Mails
> auch durchkommen könnten?
vollständig ausschließen.
Ich glaube das aber nicht.
Nach meinem Verständnis habe ich clamav dadurch lediglich mitgeteilt,
dass Inhalte, die angeblich auf www.amazon.de zeigen, in Wirklichkeit
aber auf sellercentral-europe.amazon.com zeigen unproblematisch sind.
Alle weiteren Prüfungen und Verknüpfungen sind dadurch nicht ausgeschaltet.
Dies ist auch ein Grund, warum ich mich für diese Vorgehensweise
entschieden habe.
Die andere Variante, die Phishing-Prüfung komplett abzuschalten, wollte
ich aus genau diesem Grund nicht anwenden.
Grüße,
Sascha
Sascha Pohl
Nov 18, 2017, 5:21:43 PM11/18/17
to
Hallo Jürgen,
Am 18.11.2017 um 09:55 schrieb Juergen Edner:
> wenn dies zuverlässig funktioniert, könntest Du ein kleines Zusatzpaket
> clamav_whitelist o.ä. erstellen, welches z.B. über eine kleine von Dir
> gepflegte Webseite die Änderungen zum Download anbietet. So könnten auch
> andere auf einfache Weise an Deinen Erfahrungen partizipieren ;-)
Zuerst einmal muss ich das Ganze bei mir gründlich testen.
Leider, oder zum Glück, ganz wie man es betrachten möchte, bekomme ich
eher selten derlei Emails.
Alles Weitere muss man dann sehen.
Ich bin natürlich gerne bereit, hier auch mal etwas für die
Allgemeinheit beizutragen.
Ich denke nur, dass es etwas übertrieben wäre, für eine Datei, mit einer
handvoll Inhalt, ein Paket zur Verfügung zu stellen.
> Gruß Jürgen
Grüße,
Sascha
Am 18.11.2017 um 09:55 schrieb Juergen Edner:
> wenn dies zuverlässig funktioniert, könntest Du ein kleines Zusatzpaket
> clamav_whitelist o.ä. erstellen, welches z.B. über eine kleine von Dir
> gepflegte Webseite die Änderungen zum Download anbietet. So könnten auch
> andere auf einfache Weise an Deinen Erfahrungen partizipieren ;-)
Leider, oder zum Glück, ganz wie man es betrachten möchte, bekomme ich
eher selten derlei Emails.
Alles Weitere muss man dann sehen.
Ich bin natürlich gerne bereit, hier auch mal etwas für die
Allgemeinheit beizutragen.
Ich denke nur, dass es etwas übertrieben wäre, für eine Datei, mit einer
handvoll Inhalt, ein Paket zur Verfügung zu stellen.
> Gruß Jürgen
Grüße,
Sascha
Sascha Pohl
Nov 21, 2017, 6:02:13 PM11/21/17
to
Hallo zusammen,
Am 15.11.2017 um 22:50 schrieb Sascha Pohl:
> Ich werde weiter berichten.
gerade ist wieder eine Email von Paypal eingegangen.
Es handelt sich um eine solche Email, die in der Vergangenheit immer
aussortiert wurde.
Heute hat clamav sie nicht aussortiert, sondern ganz normal passieren
lassen.
Dies ist schonmal die erste Erfolgsmeldung!
Grüße,
Sascha
Am 15.11.2017 um 22:50 schrieb Sascha Pohl:
> Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
> folgendes eingetragen:
> M:epl.paypal-communication.com:www.paypal.de
...
> folgendes eingetragen:
> M:epl.paypal-communication.com:www.paypal.de
> Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
> und beobachten.
...
> und beobachten.
> Ich werde weiter berichten.
gerade ist wieder eine Email von Paypal eingegangen.
Es handelt sich um eine solche Email, die in der Vergangenheit immer
aussortiert wurde.
Heute hat clamav sie nicht aussortiert, sondern ganz normal passieren
lassen.
Dies ist schonmal die erste Erfolgsmeldung!
Grüße,
Sascha
Marcus Roeckrath
Nov 21, 2017, 6:20:01 PM11/21/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
>> folgendes eingetragen:
>> M:epl.paypal-communication.com:www.paypal.de
> ...
>> Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
>> und beobachten.
> ...
>> Ich werde weiter berichten.
>
> gerade ist wieder eine Email von Paypal eingegangen.
> Es handelt sich um eine solche Email, die in der Vergangenheit immer
> aussortiert wurde.
> Heute hat clamav sie nicht aussortiert, sondern ganz normal passieren
> lassen.
> Dies ist schonmal die erste Erfolgsmeldung!
Fein.
>> folgendes eingetragen:
>> M:epl.paypal-communication.com:www.paypal.de
> ...
>> Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
>> und beobachten.
> ...
>> Ich werde weiter berichten.
>
> gerade ist wieder eine Email von Paypal eingegangen.
> Es handelt sich um eine solche Email, die in der Vergangenheit immer
> aussortiert wurde.
> Heute hat clamav sie nicht aussortiert, sondern ganz normal passieren
> lassen.
> Dies ist schonmal die erste Erfolgsmeldung!
--
Gruss Marcus
Sascha Pohl
Nov 21, 2017, 6:39:49 PM11/21/17
to
Hallo Detlef,
Am 08.11.2017 um 10:31 schrieb Detlef Paschke:
Am 08.11.2017 um 10:31 schrieb Detlef Paschke:
> Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>
> X-Virus-Flag: YES
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
> Betreff: Frage zu Produktdetails von Amazon-Kunde
hast du zufällig mal meine bisherigen Erkenntnisse und Lösungsvorschläge
> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>
> X-Virus-Flag: YES
> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
> Betreff: Frage zu Produktdetails von Amazon-Kunde
auch bei dir ausprobiert?
Marcus Roeckrath
Nov 22, 2017, 12:30:02 PM11/22/17
to
Hallo Sascha,
Sascha Pohl wrote:
Sascha Pohl wrote:
>> wenn dies zuverlässig funktioniert, könntest Du ein kleines Zusatzpaket
>> clamav_whitelist o.ä. erstellen, welches z.B. über eine kleine von Dir
>> gepflegte Webseite die Änderungen zum Download anbietet. So könnten auch
>> andere auf einfache Weise an Deinen Erfahrungen partizipieren ;-)
>
>> clamav_whitelist o.ä. erstellen, welches z.B. über eine kleine von Dir
>> gepflegte Webseite die Änderungen zum Download anbietet. So könnten auch
>> andere auf einfache Weise an Deinen Erfahrungen partizipieren ;-)
>
> Ich bin natürlich gerne bereit, hier auch mal etwas für die
> Allgemeinheit beizutragen.
> Ich denke nur, dass es etwas übertrieben wäre, für eine Datei, mit einer
> handvoll Inhalt, ein Paket zur Verfügung zu stellen.
Das Paket wäre ja auch entsprechend klein und hätte den Vorteil, dass
> Allgemeinheit beizutragen.
> Ich denke nur, dass es etwas übertrieben wäre, für eine Datei, mit einer
> handvoll Inhalt, ein Paket zur Verfügung zu stellen.
Anwender das gewohnte eisfair-Konfigurationsschema vorfinden, ohne selbst
neue Konfigurationsdateien anlegen zu müssen und dann auch daran denken
müssen, den Dienst neu zu starten.
Andererseits wäre es auch zu überlegen, ob es ein Addon-Paket sein muss oder
man sich darüber Gedanken macht, dies in das bestehende clamav-Paket direkt
einzubauen.
Da Sebastian aus beruflichen Gründen wenig Zeit hat, müsste man die
notwendigen Paket-Änderungen so vorbereiten, dass sie direkt in das Paket
einfliessen können.
Man kann natürlich auch erstmal mit einem Beitrag im eisfair-1-Wiki
anfangen. :-)
--
Gruss Marcus
Detlef Paschke
Nov 22, 2017, 2:26:45 PM11/22/17
to
Am 22.11.2017 um 00:39 schrieb Sascha Pohl:
> Hallo Detlef,
Hallo Sascha,
> Am 08.11.2017 um 10:31 schrieb Detlef Paschke:
>
>> Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
>> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>>
>> X-Virus-Flag: YES
>> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
>> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
>> Betreff: Frage zu Produktdetails von Amazon-Kunde
>
> hast du zufällig mal meine bisherigen Erkenntnisse und Lösungsvorschläge
> auch bei dir ausprobiert?
nein ich komme derzeit leider nicht dazu. Ich bin zur Zeit mitten in
Renovierungs- bzw. Kernsanierungs-Arbeiten und schaue nur bei
Gelegenheit nach was es hier neues gibt.
Ich hatte ja gehofft, Du hast bereits ein
Blacklist-Whitelist-Filter-Addon für Clamav als E1-Paket bereitgestellt. ;-)
> Grüße,
> Sascha
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
> Hallo Detlef,
Hallo Sascha,
> Am 08.11.2017 um 10:31 schrieb Detlef Paschke:
>
>> Das kann ich so nur bestätigen. Ist schon eine ganze Zeit so. Übrigens
>> auch bei Antwort-Mails die auf Fragen an Amazon-Händler kommen.
>>
>> X-Virus-Flag: YES
>> X-Virus: Heuristics.Phishing.Email.SpoofedDomain
>> Subject: *VIRUS* "Heuristics.Phishing.Email.SpoofedDomain" [livindo.de]
>> Betreff: Frage zu Produktdetails von Amazon-Kunde
>
> hast du zufällig mal meine bisherigen Erkenntnisse und Lösungsvorschläge
> auch bei dir ausprobiert?
Renovierungs- bzw. Kernsanierungs-Arbeiten und schaue nur bei
Gelegenheit nach was es hier neues gibt.
Ich hatte ja gehofft, Du hast bereits ein
Blacklist-Whitelist-Filter-Addon für Clamav als E1-Paket bereitgestellt. ;-)
> Grüße,
> Sascha
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Sascha Pohl
Mar 4, 2018, 4:54:35 PM3/4/18
to
Hallo zusammen,
nachdem ich inzwischen eine ganze Zeit lang beobachtet habe, zeigt sich
mir, dass die Mails von Paypal und Amazon mittlerweile zuverlässig
richtig behandelt werden.
Ich habe dafür folgende drei Zeilen in die Datei
/usr/share/clamav/daily.wdb eingetragen:
M:epl.paypal-communication.com:www.paypal.de
M:epl.paypal-communication.com:paypal.de
M:sellercentral-europe.amazon.com:www.amazon.de
Grüße,
Sascha
Am 22.11.2017 um 00:02 schrieb Sascha Pohl:
> Hallo zusammen,
>
> Am 15.11.2017 um 22:50 schrieb Sascha Pohl:
>
>> Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
>> folgendes eingetragen:
>> M:epl.paypal-communication.com:www.paypal.de
> ....
nachdem ich inzwischen eine ganze Zeit lang beobachtet habe, zeigt sich
mir, dass die Mails von Paypal und Amazon mittlerweile zuverlässig
richtig behandelt werden.
Ich habe dafür folgende drei Zeilen in die Datei
/usr/share/clamav/daily.wdb eingetragen:
M:epl.paypal-communication.com:www.paypal.de
M:epl.paypal-communication.com:paypal.de
M:sellercentral-europe.amazon.com:www.amazon.de
Grüße,
Sascha
Am 22.11.2017 um 00:02 schrieb Sascha Pohl:
> Hallo zusammen,
>
> Am 15.11.2017 um 22:50 schrieb Sascha Pohl:
>
>> Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
>> folgendes eingetragen:
>> M:epl.paypal-communication.com:www.paypal.de
>> Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
>> und beobachten.
> ....
>> und beobachten.
Olaf Jaehrling
Mar 4, 2018, 5:03:53 PM3/4/18
to
Hallo Sascha,
Sascha Pohl schrieb am 04.03.2018 um 22:54:
> Hallo zusammen,
>
> nachdem ich inzwischen eine ganze Zeit lang beobachtet habe, zeigt sich
> mir, dass die Mails von Paypal und Amazon mittlerweile zuverlässig
> richtig behandelt werden.
> Ich habe dafür folgende drei Zeilen in die Datei
> /usr/share/clamav/daily.wdb eingetragen:
> M:epl.paypal-communication.com:www.paypal.de
> M:epl.paypal-communication.com:paypal.de
> M:sellercentral-europe.amazon.com:www.amazon.de
>
Danke Dir. Das hat mir sehr geholfen.
Gruß
Olaf
Sascha Pohl schrieb am 04.03.2018 um 22:54:
> Hallo zusammen,
>
> nachdem ich inzwischen eine ganze Zeit lang beobachtet habe, zeigt sich
> mir, dass die Mails von Paypal und Amazon mittlerweile zuverlässig
> richtig behandelt werden.
> Ich habe dafür folgende drei Zeilen in die Datei
> /usr/share/clamav/daily.wdb eingetragen:
> M:epl.paypal-communication.com:www.paypal.de
> M:epl.paypal-communication.com:paypal.de
> M:sellercentral-europe.amazon.com:www.amazon.de
>
Gruß
Olaf
0 new messages