Fórumok
Sziasztok!
Előre bocsájtanám nagyon kezdő vagyok ebben a témába is, de nagy bennem a lelkesedés. A cégemnek csináltam egy e-mail szervert.
Ezen szerveren az egyszerűbb utat választva az Iredmail megoldását alkalmazom. Szépen működik is kezdem átlátni dolgokat benne.
Ez a szerver nagyon kis forgalmú, semmi komoly dologra nem kell gondolni.
A teszteléskor az interneten található általános vírus tesztet szépen meg is fogta.
Azóta viszont mind az 5 vírusos levet amit valakik küldtek a rendszerünknek átengedte és az Avast vírus kereső fogta meg a kliens gépeken.
Lenne erre valakinek ötlete, hogy miért van ez?
Előre is köszönök minden segítséget.
Hozzászólások
Én nem értek hozzá, de logokat néztél mit mondtak a levelekre ?
spam level ilyesmi.
Remélhetőleg a levél headereiből kiderül, hogy egyáltalán keresztülment-e a Clamavon a levél, ha igen, akkor meg kell nézni, hogy a kérdéses vírust a Clamav egyáltalán ismeri-e, megy-e rendesen a Clamav update, aztán persze sok minden lehet, de az alapján amennyit leírtál, ennél többet nem nagyon lehet írni.
Az első, hogy nulladik körben már alkalmazható a Google szigora, hogy hibás/rossz/fail/softfail/nincs SPF esetén tessék visszacsapni az emailt. Jó esély van rá, hogy az átjutó vírusok közül volt olyan, amit már ez megfogott volna a feladó domain vs. küldő szerver alapján.
Ezek egyáltalán nem biztos, hogy klasszikusan vírusos emailek voltak, és a clamav a külső adatbázisok nélkül elég felemásan fog meg dolgokat. Az első amit csekkolj le, hogy a Google safebrowse-ing db-t használja-e, talán alapból ki van kapcsolva.
A második a https://github.com/extremeshok/clamav-unofficial-sigs nevű script csomag, de ennek is át kell nézni a konfigját, és ez sem csodaszer. (Van egy securiteinfo nevű francia cucc, azt érdemes lehet hozzá megnézni.)
A harmadik dolog, hogy a valóban jobb DNS RBL-eket nem árt egyáltalán használni, és ezek alapján visszadobni emailt. Pár éve erről mást gondoltam, de olyan szinten romlott a helyzet, hogy aki bekerül mondjuk a spamcopra, vagy a spamhausra, esetleg barracuda-ra, azokat azért is jobb visszacsapni, mert hátha észreveszik mi a helyzet. A fontos partnereknek lehet köremailt küldeni, hogy szigor jön, illetve a levelező szerverük whitelistelhető, ahogy a nagy felhős szolgáltatókat is érdemes whitelistelni, mert esetükben ez nem lesz valódi védelem, csak neked bosszúság.
Ami nagyon fontos: "Valakik" sosem küldenek emailt. Vagy egy robot szerű történet küld, vagy egy konkrét ember küldi. A szervernaplókból meg fogod tudni, hogy honnan jött az email, és mennyire valós, és hogy pl. az SPF megfogta-e volna.
Továbbá érdekes, hogy sok ilyet a SpamAssassin fog meg, amibe érdemes extra szabályokat (pl. akár kevésbé erős DNS BL-eket) felvenni, és így még egy védvonalad van. Az "azonnal változossan jelszót", és társai phisinget, meg a kamuszámlákat nagyon nehéz lesz megfogni, mert bazira gyorsan változnak, azaz akár óránként jelentősen átszövegezik, változik a csatolt malware, illetve a phising link, amire próbálják becsalni a juzert. Erre a ClamAV nemnagyon van felkészülve (eleve 4-6 órás talán az ajánlott frissítési idő), de másnak is erősen feladja a leckét. Különösen akkor, hogy ha kimondottan magyar(os) történettel próbálkoznak, mert relatív kicsi a minta, és nem biztos, hogy olyan hamar bekerül a központi adatbázisba, ha bekerül.
Végül a végponti védelmet nem fogod tudni megúszni, mert a nagyobb fizetős (ha az Avast megfogta és mégingyenes, akkor elsőre az sem rossz) megoldásoknál lesz arra erőforrás, hogy az előbbi dolgokat legyen esélyük kezelni, és megfogni. Ezt valamilyen DNS alapú hálózati blokkolással (azaz ha fekelistás a dolog, akkor a hosztot "rosszul" oldja fel a névszerver) ki lehet egészíteni.
Igen azt látom, hogy az SPF szűrés nem megy, ezt elviekben a Spamassassin végezné az Amavison keresztül.
Most megoldottam spf-policy checkkel a main.cf-be a smtpd_sender_restrictions részbe beraktam a következőt: check_policy_service unix:private/policyd-spf
DNS RBL listákat használok, nem nagyon akart működni kb. 1 hete, viszont az utóbbi pár napban nagyon szépen teszi a dolgát.
A kezdetektől van blacklistem amit a postscreen_access_list kezel le is már utasítja is el.
Mér legalább 40 ipcím és 2 db /24 tartomány van kitiltva.
Szerver naplókat folyamatosan nézem és tudásomnak megfelelően korrigálok mindig
Marad a végponti vírus szűrés még mindig olcsóbb (ha jól emlékszem 10 licenc 3 éve 18000 Ft volt) mintha szerverre nézék mondjuk egy AVAST-ot.
Olyan kicsi a cég hogy, nincs értelme szerver oldali komoly vírus szűrő megvételének (3évre $480 igy lenne a leggazdaságosabb AVAST-nál), ezt az egészet is csak azért csinálom mert érdekel és már régóta megszerettem volna csinálni.
Erre a konkrét levélre következő log volt:
Mar 7 06:58:54 vps01 postfix/postscreen[175907]: CONNECT from [46.170.184.220]:48042 to [178.238.000.000]:25
Mar 7 06:59:00 vps01 postfix/postscreen[175907]: PASS NEW [46.170.184.220]:48042
Mar 7 06:59:00 vps01 postfix/smtpd[175912]: connect from xvps.bydgoszcz.pl[46.170.184.220]
Mar 7 06:59:00 vps01 postfix/smtpd[175912]: discarding EHLO keywords: CHUNKING
Mar 7 06:59:00 vps01 postfix/smtpd[175912]: Anonymous TLS connection established from xvps.bydgoszcz.pl[46.170.184.220]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Mar 7 06:59:00 vps01 postfix/smtpd[175912]: discarding EHLO keywords: CHUNKING
Mar 7 06:59:00 vps01 postfix/smtpd[175912]: 4TqzBr6g63z3sQt: client=xvps.bydgoszcz.pl[46.170.184.220]
Mar 7 06:59:00 vps01 postfix/cleanup[175928]: 4TqzBr6g63z3sQt: message-id=<8785270cd383d96c18988ee72e1b7f4a@lawyers.ehc.hu>
Mar 7 06:59:01 vps01 postfix/qmgr[96413]: 4TqzBr6g63z3sQt: from=<laszlo.hanyecz@lawyers.ehc.hu>, size=775275, nrcpt=1 (queue active)
Mar 7 06:59:01 vps01 postfix/smtpd[175912]: disconnect from xvps.bydgoszcz.pl[46.170.184.220] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Mar 7 06:59:04 vps01 postfix/10025/smtpd[175953]: connect from localhost[127.0.0.1]
Mar 7 06:59:04 vps01 postfix/10025/smtpd[175953]: discarding EHLO keywords: CHUNKING
Mar 7 06:59:04 vps01 postfix/10025/smtpd[175953]: 4TqzBw2VBhz3sRw: client=localhost[127.0.0.1]
Mar 7 06:59:04 vps01 postfix/cleanup[175928]: 4TqzBw2VBhz3sRw: message-id=<8785270cd383d96c18988ee72e1b7f4a@lawyers.ehc.hu>
Mar 7 06:59:04 vps01 postfix/10025/smtpd[175953]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Mar 7 06:59:04 vps01 postfix/qmgr[96413]: 4TqzBw2VBhz3sRw: from=<laszlo.hanyecz@lawyers.ehc.hu>, size=775754, nrcpt=1 (queue active)
Mar 7 06:59:04 vps01 amavis[175730]: (175730-01) Passed UNCHECKED {RelayedInbound}, [46.170.184.220]:48042 [46.170.184.220] ESMTP/ESMTP <laszlo.hanyecz@lawyers.ehc.hu> -> <partner@sajátdomain.hu>, (ESMTPS://[46.170.184.220]:48042), Queue-ID: 4TqzBr6g63z3sQt, Message-ID: <8785270cd383d96c18988ee72e1b7f4a@lawyers.ehc.hu>, mail_id: HpD_AqstzNX6, b: wZj3FT9EC, Hits: -3.724, size: 775275, queued_as: 4TqzBw2VBhz3sRw, Subject: "Köszönöm, hamarosan találkozunk! (raw: =?UTF-8?Q?K=C3=B6sz=C3=B6n=C3=B6m=2C_hamarosan_tal=C3=A1lkozunk!?=)", From: <laszlo.hanyecz@lawyers.ehc.hu>, User-Agent: Roundcube_Webmail/1.3.9, helo=ispconfig.xvps.bydgoszcz.pl, Tests: [RCVD_IN_DNSWL_HI=-5,RCVD_IN_VALIDITY_RPBL=1.284,SPF_HELO_NONE=0.001,SPF_NONE=0.001,T_SCC_BODY_TEXT_LINE=-0.01], autolearn=ham autolearn_force=no, autolearnscore=-3.724, 2911 ms
Mar 7 06:59:04 vps01 postfix/amavis/smtp[175946]: 4TqzBr6g63z3sQt: to=<partner@sajátdomain.hu>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.7, delays=0.75/0.07/0.02/2.9, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 4TqzBw2VBhz3sRw)
Mar 7 06:59:04 vps01 postfix/qmgr[96413]: 4TqzBr6g63z3sQt: removed
Mar 7 06:59:05 vps01 postfix/pipe[175954]: 4TqzBw2VBhz3sRw: to=<partner@sajátdomain.hu>, relay=dovecot, delay=0.65, delays=0.1/0.01/0/0.55, dsn=2.0.0, status=sent (delivered via dovecot service)
Mar 7 06:59:05 vps01 postfix/qmgr[96413]: 4TqzBw2VBhz3sRw: removed
Látszólag amavison keresztül megy azt nem értem hogy mért azt adja vissza: amavis[175730]: (175730-01) Passed UNCHECKED
Passed UNCHECKED
Valamiért nem nézi meg. Vagy a mérete, vagy a csatolmány típusa.... size: 775275, azaz kb. ~770kB. Mindenféle beállítás van az amavisban erre.
"Sose a gép a hülye."
Le ellenőriztem elviekben feljebb állítottam a vizsgálatnál mximum elfogadható méretet.
Nincs SPF rekordjuk. Máris el lehetne dobni kiindulva a Gugliból. Az amavisnál 2-3MB-ra simán érdemes feltenni, hogy miben szűrjön.
Feketelistából az IP a senderscore-on van, amit a spamassassinba érdemes beépíteni (hirtelen találat: https://forum.efa-project.org/viewtopic.php?t=1382). Fekete lista ellenőrzés: https://mxtoolbox.com/blacklists.aspx
Bónusz infó, hogy ezt a lawyers.ehc.hu -t énis látom tobzódni másutt.
Csodálatos: User-Agent: Roundcube_Webmail/1.3.9, helo=ispconfig.xvps.bydgoszcz.pl
Egyébként ahogy a másik topikban felbugyogott, szóval nem egyszerű, hogy hát csak lesz egy levelező szerver. Tessék nézni a logokat, és elemezni, hogy mi jön át, miért, és hogy akarod-e, hogy átjöjjön. Szintén nem orákulum egyik sem, lesznek alapértelmezett beállítások, amik könnyen lehet, hogy utoljára 15 éve voltak elegek. Ráadásul ennél a levélnél azért még mindenféle szűrések mellett is van rá esély, hogy átcsússzon, ha a pontokat nem sikerül feltornázni, vagy nem vagy szigorú.
Ezt be is építettem, a hétvégén. Meglátjuk. A logokat természetesen folyamatosan elemzem.
clamav-daemon és a clamav-freshclam fut hibát nem ír frissítések érkeznek
sajnos a ClamAV nem szamit eros viruskeresonek, igazabol sose volt az, de miota a Cisco ratette a kezet meg kevesbe az, legalabbis a free adatbazisokkal. lehet hozza venni fizetos db-ket, de azok se csodatevok. eleve a sajat free db-je ritkan frissul, es nem is nagyon foglalkoznak vele.
van egy teszt szerverunk amire rengeteg csapda cim van rairanyitva (innen gyujtom a spamszuro tanitashoz a mintakat), ezen fenn van 8 fele linuxos viruskergeto es neha nezek statisztikat, melyik mennyit fogott meg. a clamav nem sokat...
ingyenes egyre kevesebb van, bar a sophost meg ra lehet beszelni hogy az alap verzioja mukodjon licensz nelkul, de pl. esets/nod32, kaspersky, bitdefender stb mind licenszes, max van 30-90 nap probaido.
masik irany a felhos AV enginek, pl virustotal hasznalata, csak ezzel tobb problema is van. a free csak napi 500 queryt enged, ami kis forgalomnal eleg csak, cserebe 80+ kulonbozo AV motorral ellenorzi a filet. bar a licenszuk szerint pont erre nem szabad hasznalni :)
Ugye a virustotal-t csak viccből irtad mint lehetséges irány? Privacy szempontból azonnal a bukó a "free tier." (A fizetős szolgáltatásaik meg kb a megfizethetetlen kategória.)
ha kapsz egy nagyon gyanus filet azt ugyis feltoltod oda manualisan megnezni, nem-e virus, nem?
csak azt kell megoldani localban, hogy eldontse a program mi eleg gyanus ahhoz, hogy felkuldje oda. pl. egy atnevezett (a tartalommal nem passzolo kiterjesztesu) exe vagy arhiv (zip rar etc) file... nyilvan a .docx-eket nem kell felkuldeni :)
amugy meg by default csak az md5/sha1 checksumot kerdezi le, az azert nem annyira para... ha tenyleg virus akkor az esetek 99%-ban mar a checksumra is megkapod a listat melyik av engine ismerte fel, raadasul sokkal gyorsabban mint akar egy clamav scan.
Amit a VT-re ingyen feltöltesz az utána szabadon elérhető a velük szerződésben levő AV vendoroknak és researchereknek. Vállalod az adatvédelmi kockázatot a szervezeted nevében, hogy olyan is felkerül oda aminek nem kellene?
A hash alapú detektálás abban az esetben amikor a támadó által kiküldött minden csatolmány egyedi nem sokat ér, kelleni fog egy privát sandbox.
Hogy beszéled rá s shophos alapverzíót?
2 eve csinaltam, mar nem annyira remlik, de kb:
- regisztralsz a https://cloud.sophos.com/ oldalon
- telepited valahogy a Sophos Anti-Virus for Linux 10 termeket (erre mar nem emlexem honnan)
- osszekotod valahogy a cloud-os accounttal, erre se emlexem de nem volt bonyi, de enelkul nem frissul a db
- ehhez nem kellett licenszet venni/hozzarendelni, anelkul is mukodik 2 eve :)
- de az intercept x-es termekekhez (amibe tuzfal is van asszem) kell licensz az biztos
subs
Talisker Single Malt Scotch Whisky aged 10 years - o.k. Yamazaki is playing as well :)
Lazán kapcsolódik: a Proxmox Mail Gateway-e eléggé szépen szűr és ingyenes a cucc.
Azt tudod esetleg, hogy milyen technikát használ? Szóval valamilyen openszorsz összecsomagolás, vagy valamilyen extrájuk?
ClamAV +SpamAssassin
forrás: https://www.proxmox.com/en/proxmox-mail-gateway/features
Ahum. Mondjuk ezekhez lehetnek saját szabályaik, de ha csak úgy openszorsz, akkor ez alapból nem ad neked sokkal többet, azon kívül, hogy kész van. Ráadásul ez csak gateway, és jó eséllyel exchange jellegű elé gondolták ők, mert LDAP/AD integrációt mondanak.