[Eisfair] [E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert

Sascha Pohl sascha at pohl-bo.de
Do Nov 9 00:04:31 CET 2017 

Hallo Jürgen,

Am 08.11.2017 um 07:13 schrieb Juergen Edner:

> die Meldung besagt auch nicht, dass es sich um eine virenverseuchte
> E-Mail handelt, sondern um eine potentiell Phishing-Email in welcher
> angebliche die Absenderdomain gefälscht wurde.

Das hatte ich auch so verstanden.
Mich stört jedoch die Tatsache, dass Emails in den Virenordner
verschoben werden, obwohl sie, zumindest in diesen Fällen, dort nicht
hingehören.

> Um spezielle Signaturen von der Erkennung auszuschließen, kann man
> diese in /usr/share/clamav in einer Datei ablegen. Dies hilft Dir
> aber womöglich auch nicht unbedingt weiter:
> 
> https://www.clamav.net/documents/how-do-i-ignore-whitelist-a-clamav-signature

Ich habe noch nicht wirklich verstanden, was ich jetzt unter der
Signatur zu verstehen habe und wie diese aussehen soll.
Ich fürchte aber, dass ich damit über das Ziel hinaus schieße und dann
Emails durchlasse, die besser doch aussortiert werden sollten.

> Du kannst einmal mit den verschiedenen Phishing Parametern in
> /etc/clamd.conf herum experimentieren und schauen, ob Du eine
> Einstellung findest die das gewünschte Scan-Ergebnis liefert.
> Über die eisfair-Konfigurationsschicht scheint man die Einstellungen
> bis dato nicht setzen zu können. Siehe auch:
> 
> https://portal.smartertools.com/community/a1225/how-to-disable-a-specific-clamav-scan.aspx

Ich glaube, das ist mir zu grob. Dort kann man nur die einzelnen
Prüfungen grundsätzlich ein, oder ausschalten.
Das ist bestimmt auch wieder über das Ziel hinaus.
Abgesehen davon, übersteht das vermutlich kein Paket-Update, oder?

> Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
> Prozess "debuggen" kann um false-positives zu verhindern:
> 
> http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
> 
> 
> Das erwähnte Hilfsskript why.py findet sich hier:
> 
> https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py

Dieser Weg erscheint mir am aussichtsreichsten.
Ich denke, damit kann ich ziemlich gezielt trainieren, was er nicht
aussortieren soll.
Nicht zu wenig, aber auch nicht zuviel.

> Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
> ist ;-)

Danke!
Ja, ich werde berichten, aber es wird sicher eine ganze Weile dauern.
Sehr oft bekomme ich solche Emails im Normalfall nicht.

> Gruß Jürgen

Grüße,
Sascha

Mehr Informationen über die Mailingliste Eisfair