Spam, be gone!

So, den finalen MX vor meinem Mailserver habe ich nun um funktionierendes Filtern auf Viren, Würmer und dergleichen erweitert.

Schon vor Jahren habe ich mir angewöhnt, alles, was SPAM ist, in einen separaten Folder zu packen — eigentlich, um darüber einen lokalen Spamfilter kontinuierlich zu trainieren … Jenes ist zwar nie passiert, aber ich habe so eine erkleckliche Anzahl an, eben auch alten, Phishingsversuchen oder Viren.

Und, was soll ich sagen? So eine alte Mail mir inkl. Anhang per »edit as new« geschickt — und ClamAV hat sie tapfer durchgewunken :-( Damit bestätigt 2016 sich das, was 2003 schon anklang

Programme, die schon an den gängigen Dateiviren der ITW-Liste scheitern, kann man nicht ernsthaft in Betracht ziehen — H+BEDV AntiVir, Softwin BitDefender, Ikarus-Pscan, Norman Virus Control und die beiden Open-Source-Projekte Clam AV und VirusHammer sind damit aus dem Rennen.

… und auch 2015 nicht sonderlich besser war:

Insgesamt 8 der 16 Produkte erkannten die im Test genutzten 12.000 Windows-Angreifer zwischen 99,7 und 99,9 Prozent […] Erschreckend schwach sind die Ergebnisse von Dr. Web mit 67,8 Prozent, F-Prot mit 22,1 Prozent und ClamAV mit nur 15,3 Prozent!

[…] Das Labor hat 900 eigentlich bereits bekannte Angreifer für Linux auf die Systeme losgelassen. […] Symantec mit der besten Erkennung unter Windows findet unter Linux nur noch 97,2 Prozent der Malware. Danach beginnt der freie Fall.

Die Schlusslichter in Sachen Erkennung von Linux-Schädlingen kommen von ClamAV, McAfee, Comodo und F-Prot. Deren Werte bewegen sich zwischen 66,1 und 23 Prozent. Im schlimmsten Fall bleiben so 77 von 100 Angreifern trotz Schutz-Software unter Linux einfach unerkannt.

Tja, und ein Vermögen wollte ich nun auch wieder nicht ausgeben, es geht eigentlich ja nur darum, die Familie vor Phishing auf ihren Windows-Kisten zu schützen (und mir letztlich Arbeit zu ersparen). Neben ClamAV hatte ich dann mal F-Prot installiert, einerseits, weil es häufiger genannt wird, andererseits, weil es noch eine Linux-Version gibt — Avira zum Beispiel hat ja schon vor 3 Jahren die Vermarktung eingestellt und stoppt nun, wie angekündigt, auch die Updates … Das war allerdings, bevor ich den Tests aus 2015 las …

Und in der Tat, die Selbstversuche waren eher ernüchternd, vieles, was klar JavaScript-Phishing ist, wurde dennoch durchgelassen :-(

Über einen Artikel von chip.de kam ich dann zu Sophos, die für Linux eine kostenlose Version anbieten, und das chip-Fazit war so schlecht nicht:

Auch auf F-Prot, der bei vielen Distributionen schon mitgeliefert wird, braucht man sich nicht verlassen. Bei Windows-Malware erkennt der Virenscanner nur 22,1 Prozent, bei Linux-Schädlingen sieht es nicht viel besser aus, magere 23 Prozent werden erkannt. Einziger Lichtblick im Test bei den kostenlosen Virenscannern für Linux ist Sophos. Antivirus für Linux erkennt 99,8 Prozent der Windows-Schädlinge und 95 Prozent der Linux-Malware. Besseren Gratis-Schutz gibt es derzeit nicht.

Leider startet der Sophos-Scanner etwas gemächlich (zumindest in Docker auf der VM), und bei amavisd-new ist er sogar generell auskommentiert. Doof. Aber es gibt da wohl was, womit der auch als Daemon läuf und direkt von amavisd-new befragt werden kann: Uwe Perl schrieb im November 2014 über Sophos und amavis per SSSP, und anhand seiner Einstellungen habe ich Sophos auch in meinem »MX-Container« zum Laufen bekommen.

Und daher: »Yippie kay yay Motherfucker« ;)

Mar 19 18:16:09 famine savdid[12505]: [56ED9715/1] 00030405 Threat found Identity: 'Mal/Phish-A' "/var/lib/amavis/tmp/amavis-20160319T181609-12556-o6JXDUgr/parts/p002"
[…]
Mar 19 20:21:49 famine amavis[12556]: (12556-10) Blocked SPAM {DiscardedInbound,Quarantined}, [95.187.2.124]:2465 [202.115.215.238] <> -> <xxxx@yy.xyz>, quarantine: l/spam-lT9QCwlx0TLD.gz, Queue-ID: 3701A6FE6, mail_id: lT9QCwlx0TLD, Hits: 16.361, size: 823, 4388 ms
Mar 19 20:21:49 famine postfix/smtp[12793]: 3701A6FE6: to=<xxxx@yy.xyz>, relay=127.0.0.1[127.0.0.1]:10024, delay=5.6, delays=1.2/0.01/0/4.4, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=12556-10 - spam)

Ich bin aktuell erst einmal zufrieden, wobei es etwas schwierig war, »savdid« zu finden; letztlich führte mich die allwissende Müllhalde über einen Forenbeitrag zu einem Download-Portal von Sophos, und nach der Zusicherung, nicht gegen US- und/oder EU-Exportauflagen zu verstoßen, konnte ich mir savdi-23-linux-64bit.tar herunterladen. Installation war dann relativ einfach, der KB-Eintrag und besagter Post von Uwe Perl waren hilfreich (insbesondere das init-Skript von Uwe, denn jenes fehlte dem savdi-Archiv leider).

Kür wird jetzt sein, den AV-Kram noch optional in mein Container-Bau-Skript reinzunehmen, denn, und das ist ja das schöne dran, eigentlich ist so ein Mail-MX-Container ja stateless. Mal schauen …

… außerdem werde ich mir wohl einen kostenplichtigen AV-Scanner anschaffen, evtl. tatsächlich das Upgrade auf die kostenpflichtige Linux-Version von Sophos — das Engagement (Linux überhaupt, und dann die Basisversion auch noch kostenlos, anzubieten) sollte man unterstützen, und die Erkennungsrate ist mit 99,8 für Windows-Kram klar das obere Ende der Fahnenstange.

One thought on “Spam, be gone!

  1. cool

    Spohos für Linux wollte ich immer mal testen…runtergeladen und dann nicht weiter gemacht…keine Zeit/Lust
    (man findet die free tools aber recht schnell, nur seit die Seite umgebaut ist, muss man sich registrieren)

    ich nutze ja schon die Sophos UTM Home version auf einem dedizierten mini pc
    (allerdings kann die kein imap) für mein Home netzwerk

    dann hatte ich letztens mal andere Mail Anbieter getestet – deutsche, sichere Mail usw.
    aber dort scheint es keinerlei Filter zu geben.
    Verschlüsselung und Datenschutz ja, aber es kommen alle Viren und spam Mails durch,
    die gmail locker aussortiert

    ich gebe zu, ich nutze mehrere Gmail accounts….
    und bin mir bewusst, wohin die Daten überall gehen (können)
    Allerdings ist der Spam/Viren/phishing Filter von gmail der beste, der mir je untergekommen ist.

    ich hatte früher auch eigene Mailserver, aber gute Filterung ist sehr schwierig oder es wird doch jeder Müll durchgelassen/nicht erkannt – s.o.

    wenn ich das nun so lese mit dem Sophos Scanner, scheint es damit doch möglich zu sein, gut zu filtern.

    ich habe auch ein paar alte *verseuchte* mails aufgehoben, die gmail zurecht ausgefiltert hatte. Damit kann man sehr gut Mailfilter bei div. Anbietern testen.

    Danke

Comments are closed.