Postfix/Amavisd/SA Blocken von Mails mit Anhängen

Ne0n

Ne0n

professional newbie
N'abend zusammen!

Zusätzlich zu den ganzen Filtermechanismen die unsere Mails sowieso schon durchlaufen , soll nun noch das Senden von bestimmten Anhängen nach außen verboten werden - bis auf einige Ausnahmen sowohl auf Sender als auch auf Empfängerseite.

Beispiel:
Normale User dürfen keine .exe Files rausjagen.
Es sei denn der Empfänger ist Chefs Privates Mailkonto.
Cheffe selbst darf aber schicken was er will und wohin er will.

Das Problem: body_checks sind nicht flexibel genug (oder doch?) und in amavisd-new oder SpamAssassin wüßte ich auch nicht woran ich drehen soll.

Wie würdet Ihr es lösen? Gehts oder geht nicht?
 
Naja, man kann eine .exe jederzeit in ein anderes Format packen (.zip zum Beispiel), oder mit Hilfe von Verschlüsselung auf jeden Fall durch jeden Filter der überhaupt Anhänge zulässt durchbekommen.

Insofern ist das ein unmögliches unterfangen. Selbst wenn man gar keine Anhänge schicken darf, kann eine .exe inline als als HEX Werte übertragen werden. Mit den meisten Skriptsprachen sind das nur ein paar Zeilen Code für die Umwandlung. Wenn solche Lösungen nicht mehr funktionieren gibt es noch beliebig viele weitere Möglichkeiten so einen Filter zu umgehen.

Kurzgesagt. Das ganze ist totaler Blödsinn, den sich wahrscheinlich ein Vorgesetzter ausgedacht hat, der keine Ahnung von der Materie hat.
 
Kurzgesagt. Das ganze ist totaler Blödsinn, den sich wahrscheinlich ein Vorgesetzter ausgedacht hat, der keine Ahnung von der Materie hat.
Zum Vergrößern anklicken....

Womit du vollkommen richtig liegst.

Der Versuch das so zu argumentieren scheiterte leider daran, dass derjenige Vorgesetzte die Anforderung umformuliert hat:
Der Mechanismus soll zur Erinnerung an die Richtlinie keine .xyz files zu versenden dienen und nicht als unüberwindbarer Schutz.

So ähnlich wie: ICQ Ports werden in der Firewall zwar geblockt, aber über Port 80 gehts trotzdem.

Und wo wir gerade dabei sind:
Hab jetzt nur ich mit solchen ... ähmmm... "Leuten" zu tun oder gehts auch so? Meistens kann ich ja noch dagegenreden...
 
amavisd-new macht genau das was Du moechtest.
Beschaeftige Dich intensiv mit Section IV und Section V in amavisd.conf-sample
und uebertrage die benoetigten Teile (falls nicht schon vorhanden) in Deine amavisd.conf

Es koennen Dateitypen innerhalb eines Archivs (Zip, etc) gefiltert werden.
Es koennen verschluesselte Archive komplett geblockt werden.
 
Ne0n schrieb:
Und wo wir gerade dabei sind:
Hab jetzt nur ich mit solchen ... ähmmm... "Leuten" zu tun oder gehts auch so? Meistens kann ich ja noch dagegenreden...
Zum Vergrößern anklicken....
Chefs vergessen gern, dass sie nicht die Experten sind.
 
Hallo!

Ne0n schrieb:
Und wo wir gerade dabei sind:
Hab jetzt nur ich mit solchen ... ähmmm... "Leuten" zu tun oder gehts auch so? Meistens kann ich ja noch dagegenreden...
Zum Vergrößern anklicken....
Das ist erstmal völlig normal, schliesslich sind sie ja Chefs. Bei mir gibts dann immer trotzdem ein Nein mit einer Begründung und Erklärung, warum ich es nicht so machen möchte/kann. Oftmals werde ich dann - zähneknirschend - verstanden und ich werde gebeten (vor allem wenn es darum geht "hinaus" zu wollen) eine Alternative zu finden. Wir haben zusätzlich noch einen exzellenten externen Dienstleister, der mir in ganz schwierigen Situationen Schützenhilfe gibt (er kann das einfach besser erklären als ich).

Sehr oft hat mich die Erwähnung von -- notwendigen -- Kosten vor der Umsetzung schwachsinniger Ideen gerettet (geht in deinem konkreten Fall jetzt nicht so wirklich).

Ciao.
Markus Mann
];-)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben