amavisd + postfix + dovecot bloqueia imagens gif

3

Ocasionalmente, tenho um cliente que tenta me enviar um e-mail e diz que seu e-mail foi bloqueado pelo meu servidor. Quando eu verifico os logs, vejo isso:

Sep 6 18:12:52 myers amavis[15197]: (15197-08) p.path BANNED:1 [email protected]: "P=p003,L=1,M=multipart/mixed | P=p002,L=1/2,M=application/ms-tnef,T=tnef,N=winmail.dat | P=p004,L=1/2/1,T=image,T=gif,N=image001.gif,N=image001.gif", matching_key="(?-xism:^\.(exe|lha|tnef|cab|dll)$)"

E depois, um pouco mais tarde ...

Sep 6 18:12:58 myers amavis[15197]: (15197-08) Blocked BANNED (.image,.gif,image001.gif,image001.gif), [213.199.154.205] [157.56.236.229] <[email protected]> -

, quarantine: banned-g4QhZGvwJvDF, Message-ID <6A9596BE385EC1499F83E464FA9ECCA20C668320@BY2PRD0611MB417.namprd06.prod.outlook.com>, mail_id: g4QhZGvwJvDF, Hits: -, size: 20916, 8439 ms'

A partir disso e da repercussão que ele me encaminha (para um endereço diferente que eu dou a ele), eu determino que ele está pulando por causa do arquivo em sua assinatura (image001.gif). No entanto, isso NÃO corresponde à "chave" nesta parte do log:

 matching_key="(?-xism:^\.(exe|lha|tnef|cab|dll)$)"

Além disso, a extensão .gif não é encontrada no arquivo /etc/amavisd.conf (por exemplo, não estou bloqueando e-mails porque eles contêm imagens .gif).

Estou sentindo falta de algo aqui? Isso é estranho ... e irritante.

    
por David W 12.09.2012 / 23:25

2 respostas

4

Dê uma olhada no arquivo, talvez o conteúdo seja outra coisa, o amavis está usando 'file' para procurar no conteúdo o tipo de conteúdo que ele é.

    
por 14.09.2012 / 08:57
1

Conclusão final após receber o conselho do Båt Karl Patrik Andersson

A diretiva "blocked anywhere" incluiu esta linha:

qr'^\.(exe|lha|cab|tnef|dll)$'.

Eu reexaminei os registros, as mensagens devolvidas e as informações que colei nesta pergunta e vi um tema consistente: todos eles continham algo com uma extensão .tnef .

Eu pesquisei, e acontece que ele veio do Microsoft Outlook e foi considerado uma possível vulnerabilidade de segurança. Estou pesquisando agora o quão "inseguro" seria para eu desligá-lo, mas nesse meio tempo, eu fiz isso.

    
por 13.04.2017 / 14:13