Fórum Root.cz
Hlavní témata => Server => Téma založeno: MP 29. 06. 2017, 09:45:01
-
Ahoj,
mam tu pozadavek na tuto kombinaci:
- v emailu odstraneni vsech priloh krome konkretnich
- doruceni emailu adresatovi vcetne info o odstranene priloze
- doruceni notifikace adresatovi, puvodni email v priloze (bez prilohy)
Je to realizovatelne pres postfix/amavis ? Pokud ano, jak? Zablokovat prilohy umim, ale "pouze" odstranit? A zaroven poslat email adresatovi? Existuje kdyztak nejake rozumne reseni/rozsireni, ktera by tohle zvladlo?
Diky, MP
-
Amvis zásadně nezasahuje do těla zprávy, takže ten rovnou vynech. Dá se to z postfixu prohnat třeba přes MIMEDefang (http://www.mimedefang.org), ve kterým si pomocí Perlových skriptů uděláš, co chceš. Jenom buď opatrný s tím posíláním varování odesílateli, protože z toho můžou být potíže. Je potřeba to nejdřív prohnat alespoň antivirem, zahodit zavirované a zpracovávat až čisté emaily, které mají "jen" nechtěné, ale jinak "korektní" přílohy, jinak budeš odpovídat nevinným podvrženým "odesílatelům", kteří ti nikdy nic neposlali, což by tě mohlo mimo jiné stát katapultování přímo na blacklisty.
-
Ta notifikace by sla adresatovi, ne odesilateli. Koukal jsem na ten MIMEDefang, ja rozhodne perl neovladam, takze nevim, zda je to u mne nasaditelne. Zatim prohledavam google a je to takovy mismas, nejake rozumne howto zda se, najit bude obtiznejsi, nez jsem cekal, coz je prekvapive, kdyz mnoho mail reseni nejakou metodu pouziva. Zatim to vypada, ze varianta - puvodni email jako priloha pro adresata je spis blbe reseni, takze ta varianta s odstranenim prilohy je realnejsi. Fakt by se hodil nekdo, kdo ma neco takoveho na postfixu v provozu...
-
Áááá tak to pardon, nějak mě zmátly ty tři body a přečetl jsem to moc rychle. No jestli chceš jenom mail zahodit a upozornit na to adresáta, to Amavis zvládne. Jestli jej chceš raději doručit bez příloh a s upozorněním, že byly odstraněny, tak na to splácnem nějakej skriptík :) Jestli jsi pro splácnutí, ať to nemusím plácat moc univerzálně a mít z toho zbytečně dobrý pocit, chceš defaultně přijímat vše a vyjmenovat co ne, nebo defaultně nepřiímat nic a vyjmenovat co ano a případně chceš odstraněné přílohy někam uložit, aby byla možnost ve spolupráci se správcem se k nim dostat? A navíc si rozmysli, jestli víš co děláš, protože pokud ti jde o to, aby si uživatelé moc nevyskakovali, tak přejmenovat exe na txt, poslat, přijmout, přejmenovat zpět a spustit, to kupodivu dokáže kdokoliv.
A ještě jeden detail... můžeš zkontrolovat DKIM na serveru při přijetí, ale znemožníš jeho dodatečnou kontrolu v klientovi, což není nijak zásadní problém, ale aby jsi o tom věděl.
-
Na to není Amavis ani žádný další produkt třetí strany potřeba, zvládne to v pohodě postfix sám o sobě:
mime_header_checks = regexp:/etc/postfix/mimetypes
V souboru mimetypes pak např. něco takového:
//^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+\.(lnk|asd|hlp|ocx|reg|bat|c[ho]m|cmd|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh]|wmf|xl))"?\s*$/ REJECT Attachment type not allowed. File "$2" has the unacceptable extension "$3"
Lze to samozřejmě upravit a nastavit si podle sebe, co se má udělat, viz http://www.postfix.org/header_checks.5.html
-
No, sefstvo ani moc nevi co vlastne chce...Momentalne amavis je nastaven tak, ze emaily s viry a zablokovane prilohy se posilaji adminovi, takze o nich uzivatele ani nevi. O rozbiti DKIMu na uzivatelske strane vim.
Pokud bych nechal amavis chovat se tak, ze emaily s viry budou chodit adminovi, emaily s prilohama uz budou chodit uzivatelum, tak se muzou nekteri i divit. Takze asi zalezi i na poradi zpracovani. Zakladni premisa je, zablokovat veskere prilohy a povolit (skrz whitelist) jen konkretni. K ukladani priloh to zatim je tak, ze ty "ok, ale zabanovane" prilohy nam pak budou dodany jinou cestou. No, ohledne skritpiku, nejradeji mam skripty z upstreamu s konfiguracnimi volbami, proto jsem neco hledal.
To prejmenovani pripony je tedy problem, myslel jsem, ze i to amavis kontroluje pres mime? Pokud funguje prejmenovani souboru na obejiti vsech techto filtru, tak nema smysl vubec neco pridavat krome drop all.
-
Na to není Amavis ani žádný další produkt třetí strany potřeba, zvládne to v pohodě postfix sám o sobě:
mime_header_checks = regexp:/etc/postfix/mimetypes
V souboru mimetypes pak např. něco takového:
//^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+\.(lnk|asd|hlp|ocx|reg|bat|c[ho]m|cmd|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh]|wmf|xl))"?\s*$/ REJECT Attachment type not allowed. File "$2" has the unacceptable extension "$3"
Lze to samozřejmě upravit a nastavit si podle sebe, co se má udělat, viz http://www.postfix.org/header_checks.5.html
Tohle ale primo odmitne email, takze adresat nic nedostane...Neco podobneho mam v amavisu a ted sefstvu dosel .jar ...a to jsem myslel, ze drtivou vetsinu spustitelnych pripon uvedeno...
-
2TKL: ale tim mail odmitnes a to on nechce, on z nej chce tu prilohu odstranit, dopsat na nej nejaky info ze priloha byla odstranena a dorucit ho.
Samo reject je zcela koser reseni, protoze odesilatel se dozvi obratem ze tohle nee ... a adresat nemusi vedet o kazdym spamu kterej mu kdo chtel dorucit, protoze to je jediny, co se docili tim informovanim.
-
Zkus se podivat na MailScanner(.info). Kdysi neco podobneho urcite umel a pokud se nepletu, typ prilohy urcuje testem obsahu.
-
2TKL: ale tim mail odmitnes a to on nechce, on z nej chce tu prilohu odstranit, dopsat na nej nejaky info ze priloha byla odstranena a dorucit ho.
Samo reject je zcela koser reseni, protoze odesilatel se dozvi obratem ze tohle nee ... a adresat nemusi vedet o kazdym spamu kterej mu kdo chtel dorucit, protoze to je jediny, co se docili tim informovanim.
to byl jen příklad, na uvedeném odkazu na manuál jsou mimo jiné i informace k tomu, jak nastavit i jiné akce, než je REJECT.
-
Tak se mi podarilo na zkousku napojit MIMEDefang na postfix pres smtpd_milters v master.cf. EXE soubor to uspesne odmazalo s notifikaci adresatovi, pricemz zustal obsah emailu. Dle zdrojaku mailu samozrejme doslo k rozbiti DKIM, ktery kontroluje amavis - MD probehne pred amavisem, takze to amavis v zdrojaku uvede. Kdyby nekdo vedel, jak to napojit do amavisu tak, aby to probehlo po DKIM checku a zaroven pred kontrolou souboru (clamav etc), tak budu rad. A druha vec, kdyby nekdo vedel, jak napsat v MD omezeni na pripony takto:
1] defaultne zahod vsechny prilohy
2] povol nektere pripony
cili, obracene chovani (nyni je, povol vse, zakaz konkretni).