[Eisfair] [E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert
Juergen Edner
juergen at eisfair.org
Mi Nov 8 07:13:46 CET 2017
Hallo Sascha,
> Ja, ich bin PayPal-Kunde und darum möchte ich diese Emails eigentlich
> erhalten.
> In meinem Fall reden wir also von false-positives.
> Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
> Virus nicht, denn die Mails enthalten definitiv keine Viren.
die Meldung besagt auch nicht, dass es sich um eine virenverseuchte
E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
angebliche die Absenderdomain gefälscht wurde.
Um spezielle Signaturen von der Erkennung auszuschließen, kann man
diese in /usr/share/clamav in einer Datei ablegen. Dies hilft Dir
aber womöglich auch nicht unbedingt weiter:
https://www.clamav.net/documents/how-do-i-ignore-whitelist-a-clamav-signature
Du kannst einmal mit den verschiedenen Phishing Parametern in
/etc/clamd.conf herum experimentieren und schauen, ob Du eine
Einstellung findest die das gewünschte Scan-Ergebnis liefert.
Über die eisfair-Konfigurationsschicht scheint man die Einstellungen
bis dato nicht setzen zu können. Siehe auch:
https://portal.smartertools.com/community/a1225/how-to-disable-a-specific-clamav-scan.aspx
Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
Prozess "debuggen" kann um false-positives zu verhindern:
http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
Das erwähnte Hilfsskript why.py findet sich hier:
https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
ist ;-)
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair