ciao a tutti,
ho un server qmail e tutto il resto (spamassassin, clam, ecc)
nel file quarantine-attachments.txt ho messo le estensioni per gli allegati che voglio siano bloccati a prescindere.
ricostruito il db con qmail-scanner-queue.pl -g
tutto funziona, gli allegati (.exe per dire) vengono bloccati e nel log quarantine.log trovo traccia del perchè.

Solo che se provo a mandarli dalla webmail di LIBERO, questi passano!! :eek:

Com'è possibile?
da tutti gli altri sender vengono bloccati,
dalla webmail di libero no...

grazie in anticipo!

Non è che nel tcp.smtp hai qualche settaggio particolare? Non è che è già libero che li cura prima di inviarli?

Originariamente inviato da l.golinelli
Non è che nel tcp.smtp hai qualche settaggio particolare? Non è che è già libero che li cura prima di inviarli?

boohh non so dove sbattere la testa...
nel tcp.smtp passa tutto per il qmail-scanner-queue.pl
e ho impostato QS_SPAMASSASSIN="on"
per essere sicuro di ripassare per bene tutto :(

e cmq libero può dire quello che vuole, ma voglio essere io a decidere :(
se fosse vero questo vorrebbe dire che un malintenzionato tagga le sue mail dicendo che sono pulite....

che opzioni posso mettere "extra" nel tcp.smtp?

non e' che libero incapsula le mail in qualche maniera particolare (tipo TNEF?)? e quindi se tu non hai il pacchetto per deincapsularle (che azzo sto dicendo?!!?!) non riesce minimamente a capire che allegato sia....

Ciao!

Originariamente inviato da HexDEF6
non e' che libero incapsula le mail in qualche maniera particolare (tipo TNEF?)? e quindi se tu non hai il pacchetto per deincapsularle (che azzo sto dicendo?!!?!) non riesce minimamente a capire che allegato sia....

Ciao!

ci avevo pensato anche io...
ma nisba... sono allegati .exe e il server li riconosce :(

sono andato sui newsgroup del qmail-scanner .... solo un tizio ha lo stesso problema ma non ha nessuna risposta... :muro:

2 sono le cose :

- o è una cavolata assurda e il problema manco viene considerto
- o ho scoperto un bug :O ( :sofico: )

a parte gli scherzi, tu hai un server qmail? potresti fare questa prova?
Grazie cmq,
CIAO!

Io ho fatto delle prove mandando dei virus al server con qmail + qmai.-scanner + clamav anche da libero e li beccava...

Originariamente inviato da sbomberino
ci avevo pensato anche io...
ma nisba... sono allegati .exe e il server li riconosce :(

sono andato sui newsgroup del qmail-scanner .... solo un tizio ha lo stesso problema ma non ha nessuna risposta... :muro:

2 sono le cose :

- o è una cavolata assurda e il problema manco viene considerto
- o ho scoperto un bug :O ( :sofico: )

a parte gli scherzi, tu hai un server qmail? potresti fare questa prova?
Grazie cmq,
CIAO!

mandami una mail (con attach .exe):
prova@supahlooza.homelinux.org

e poi ti faccio sapere se mi ha bloccato qualcosa o no!

Ciao!

Originariamente inviato da HexDEF6
mandami una mail (con attach .exe):
prova@supahlooza.homelinux.org

e poi ti faccio sapere se mi ha bloccato qualcosa o no!

Ciao!

grande!! :D
te l'ho inviata, in allegato il defrag.exe di windows...
grazie,
ciao!

direi che funziona....

Attention: sbomberino@libero.it


A Disallowed attachment type was found in an Email message you sent.
This Email scanner intercepted it and stopped the entire message
reaching its destination.

The Disallowed attachment type was reported to be:

EXE files not allowed per Company security policy


Please contact your IT support personnel with any queries regarding this
policy.


Your message was sent with the following envelope:

MAIL FROM: sbomberino@libero.it
RCPT TO: prova@supahlooza.homelinux.org

ecc..

Originariamente inviato da l.golinelli
Io ho fatto delle prove mandando dei virus al server con qmail + qmai.-scanner + clamav anche da libero e li beccava...

ma ti blocca anche allegati .exe "puliti"?

Originariamente inviato da sbomberino
ma ti blocca anche allegati .exe "puliti"?

si io blocco tutti gli exe i pif i scr ecc.
cosi' non mi arrivano nemmeno i giochetti stupidi via mail...

Ciao!

Originariamente inviato da HexDEF6
direi che funziona....

Attention: sbomberino@libero.it


A Disallowed attachment type was found in an Email message you sent.
This Email scanner intercepted it and stopped the entire message
reaching its destination.

The Disallowed attachment type was reported to be:

EXE files not allowed per Company security policy


Please contact your IT support personnel with any queries regarding this
policy.


Your message was sent with the following envelope:

MAIL FROM: sbomberino@libero.it
RCPT TO: prova@supahlooza.homelinux.org

ecc..


:eek:
a me no :( blocca tutti ma da libero webmail no :( :(
uso qss 1.22-st-qms
do un'occhiata alla configurazione del qmail scanner.pl allora....

posta /var/spool/qmailscan/quarantine-attachments.txt

Ciao!

Grazie dell'aiuto!! cosi escludo che dipenda dai tag ecc..
ho capito dove sta il macello...

ho spulciato gli header delle mail e ho notato che l'allegato (da libero) si presenta come :

pippo.exe?=

e da tutti gli altri (ora ho provato con libero, ma capace che anche con altri gli allegati vengano codificati in questo modo, tu non hai problemi quindi il problema sono "io")
dicevo, da altri arriva come :

pippo.exe

per ora ho messo come "toppa" che anche gli allegati
.exe?= vengono scartati...

e funziona :D :D
vedo che dicono su sourceforge su sta cosa... se trovo l'inghippo lo posto cosi torna utile :)
CIAO!!

ok,
svelato l'arcano...
per qualche motivo il reformime funziona un pò a cavolo...
ho provato a mandarmi virus da testvirus.org e passavano quasi tutti :(

ho installato il ripmime e configurato il qmail-scanner-queue.pl ad usare questo (al posto del reformime)...

FUNZIONA!
ho tolto la linea .exe?= e lasciato quella .exe nel quarantine-attachments.txt
e ora li intercetta correttamente...
per curiosità HexDEF6 , anche tu utilizzi il ripmime?
se no, se fai un test su http://www.testvirus.org/ li passi tutti?

Ciao!!!

Originariamente inviato da sbomberino

per curiosità HexDEF6 , anche tu utilizzi il ripmime?


Si... ho appena instalato la versione 1.4.0.0

Originariamente inviato da sbomberino
se no, se fai un test su http://www.testvirus.org/ li passi tutti?

Ciao!!!

no il 5 il 7 e l'8 non me li becca :(

Adesso mi informo meglio...

Ciao!

Originariamente inviato da HexDEF6
Si... ho appena instalato la versione 1.4.0.0


questo mi conforta...se mi avessi detto no, mi andavo a suicidare :D


no il 5 il 7 e l'8 non me li becca :(

Adesso mi informo meglio...

Ciao!

quelli mi sa dipendono dall'av... se non sbaglio rar o roba simile...
me li prendo pure io con clamav :(
se scopri cos'è dicci :D :D
CIAO!!

ciao,
visto che ci sto... :)

ho aggiornato calm all'ultima versione (0.80)...
tu come hai configurato il calmd.conf?

:D

hai risolto poi con il binhex?

CIAO!

Ciao, io uso qmail-scanner-1.24st-qms e clamd 0.80 e me li ha presi tutti :-)

per il test 24 e 25 mi ha pure mandato la mail al postmaster per dirmi il prolema... (visto che non hanno il virus)

The virus was reported to be:

Message/partial MIME attachments blocked by policy


The problem was reported to be:

Disallowed CLSID file extensions (clsidfile.txt.{00020c01-0000-0000-c000-000000000046}) - potential virus


per mime uso tnef.

bye

Originariamente inviato da jb007
Ciao, io uso qmail-scanner-1.24st-qms e clamd 0.80 e me li ha presi tutti :-)

per il test 24 e 25 mi ha pure mandato la mail al postmaster per dirmi il prolema... (visto che non hanno il virus)

The virus was reported to be:

Message/partial MIME attachments blocked by policy


The problem was reported to be:

Disallowed CLSID file extensions (clsidfile.txt.{00020c01-0000-0000-c000-000000000046}) - potential virus


per mime uso tnef.

bye

pure io :( (anzi io uso la 1.22st)...
potresti postare la conf del qmail-scanner dove definisci i vari uudecode, mime ecc da utilizzare?
grazie :D

my $mimeunpacker_binary='/usr/local/bin/reformime ';
my $unzip_binary='/usr/bin/unzip';
my $unzip_options='-Pxx1943932573xx';
my $max_zip_size='100000000';
my $tnef_binary='/usr/local/bin/tnef';
my $rm_binary='/usr/bin/rm';
my $grep_binary='/usr/bin/grep';
my $find_binary='/usr/bin/find';
my $uudecode_binary='/usr/bin/uudecode';
my $uudecode_pipe='-o -';


comunque ti posto il mio configure della 1.24st-qms:

# ./configure --qs-user qscand --qs-group qscand --spooldir /var/spool/qmailscan --qmaildir /var/qmail --bindir /var/qmail/bin --qmail-queue-binary /var/qmail/bin/qmail-queue --admin postmaster --domain my.domain --admin-fromname "Antivirus Admin" --notify psender,nmlvadm --local-domains my.domain.other.domain --silent-viruses auto --block-password-protected 1 --lang en_GB --debug no --minidebug yes --unzip 1 --add-dscr-hdrs yes --dscr-hdrs-text "X-Antivirus-my.domain" --archive 0 --scanners-per-domain no --redundant yes --log-details syslog --log-crypto no --fix-mime 2 --ignore-eol-check 0 --virus-to-delete no --sa-delta 0 --sa-alt 0 --sa-debug 0 --sa-report 0 --sa-quarantine 0 --sa-delete 0 --sa-reject 0 --scanners "clamdscan,verbose_spamassassin"

è come l'ho compilato io :( booohh tranne per il reformime che mi faceva passare gli allegati da libero webmail...

non so che dire...
a me blocca tutti i testvirus, tranne gli allegati nel formato binhex del mac....
eppure ho installato il mac-utils :(
più che dal qs, sembra dipendere da clam...
ho fatto una prova, presa la mail, "decomposta" con il ripmime ed analizzato i file con clam...
eicar.com codificato in binhex la passa liscia....
se faccio hexbin eicar.com, lo decomprime e il calm lo vede....
se invece do in pasto direttamente la mail (senza decomporla) a clam lo trova...
:confused:

Ups...

qualcuno sa perchè gli allegati codificati in binhex passano lo stesso?

HexDEF6 hai news?
da quanto ho capito è un continuo scambio di accuse tra clam e qmail-scanner... :sofico:

Originariamente inviato da sbomberino
Ups...

qualcuno sa perchè gli allegati codificati in binhex passano lo stesso?

HexDEF6 hai news?
da quanto ho capito è un continuo scambio di accuse tra clam e qmail-scanner... :sofico:

scusa ma ho avuto un po da fare.... mi sono dato al port knocking!

appena ho un po di tempo indago meglio...

Ciao!