[Eisfair] [E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert

Marcus Roeckrath marcus.roeckrath at gmx.de
Do Nov 9 18:19:13 CET 2017 

Hallo Sascha,

Sascha Pohl wrote:

>> Sicher, dass das von clamav kommt oder nicht schon dein Provider
>> hinzugefügt hat?
> 
> Ja, da bin ich sicher. Ich finde das ja nicht nur in den Headern der
> Emails, sondern auch in /var/log/messages und in /var/log/clamd.log
> 
>> Wie sollte so eine Einstellung aussehen?
> 
> Das kann ich selbst zu schlecht beurteilen.
> Vielleicht über Black-/Whitelists, oder indem man verschiedene Kriterien
> ein-/ausschalten kann beziehungsweise deren Gewichtung beeinflussen kann.
> Ich vergleiche es mal mit dem Paket antispam. Dort kann man ähnliche
> Dinge einstellen und erlernen lassen.

Das Verhalten des clamav kann in der /etc/clamd.conf beeinflusst werden,
wobei folgende Parameter in deinem Fall eventuell weiterhelfen können:

PhishingSignatures BOOL
    With this option enabled ClamAV will try to detect phishing attempts by
using signatures.
    Default: yes
 
PhishingScanURLs BOOL
    Scan URLs found in mails for phishing attempts using heuristics. This
will classify "Possibly Unwanted" phishing emails as
Phishing.Heuristics.Email.*
    Default: yes 

PhishingAlwaysBlockSSLMismatch BOOL
    Always block SSL mismatches in URLs, even if the URL isn't in the
database. This can lead to false positives.
    Default: no 

PhishingAlwaysBlockCloak BOOL
    Always block cloaked URLs, even if URL isn't in database. This can lead
to false positives.
    Default: no 

HeuristicScanPrecedence BOOL
    Allow heuristic match to take precedence. When enabled, if a heuristic
scan (such as phishingScan) detects a possible virus/phishing it will stop
scanning immediately. Recommended, saves CPU scan-time. When disabled,
virus/phishing detected by heuristic scans will be reported only at the end
of a scan. If an archive contains both a heuristically detected
virus/phishing, and a real malware, the real malware will be reported. Keep
this disabled if you intend to handle "*.Heuristics.*" viruses differently
from "real" malware. If a non-heuristically-detected virus
(signature-based) is found first, the scan is interrupted immediately,
regardless of this config option.
    Default: no 

Du kannst ja mal mit den Einstellungen experimentieren; solange du die
Konfiguration des claav-Paketes nicht aufrufst, bleiben deine Änderungen
erhalten.

Wenn du zu einem brauchbaren Ergebnis gekommen bist, kann man ja mal mit
Sebastian diskutieren, ob und welche Parameter man konfigurierbar macht.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair