[Eisfair] [E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert

Sascha Pohl sascha at pohl-bo.de
Mi Nov 15 22:50:32 CET 2017 

Hallo zusammen,

heute habe ich mal wieder eine Email von Paypal erhalten.
Clamav hat sie auch wieder aussortiert.
Meine Änderungen bezüglich des Umgangs mit Viren-Mails im Mail-Paket
waren schonmal erfolgreich, die Email wurde jetzt in meinen neuen Ordner
für Virenmails in meinem Benutzeraccount einsortiert.

Am 08.11.2017 um 07:13 schrieb Juergen Edner:
> Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
> Prozess "debuggen" kann um false-positives zu verhindern:
> 
> http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/

Diese Anleitung habe ich mir zum Vorbild genommen.

Ich habe den Quelltext der Email auf meinem Server unter
/root/paypal_mail abgespeichert.

Danach habe ich clamav diesen Text untersuchen lassen:
server # clamscan -d /usr/share/clamav/ --debug --max-filesize=0
--max-scansize=0 /root/paypal_mail 2> /root/test.txt

Anschließend habe ich die Datei /root/test.txt untersucht und bin über
folgenden Abschnitt gestolpert:
LibClamAV debug: Phishcheck:host:.epl.paypal-communication.com
LibClamAV debug: Phishing: looking up in whitelist:
.epl.paypal-communication.com:.www.paypal.de; host-only:1
LibClamAV debug: Looking up in regex_list:
epl.paypal-communication.com:www.paypal.de/
LibClamAV debug: Lookup result: not in regex list
LibClamAV debug: Phishcheck: Phishing scan result: URLs are way too
different
LibClamAV debug: found Possibly Unwanted:
Heuristics.Phishing.Email.SpoofedDomain

Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
folgendes eingetragen:
M:epl.paypal-communication.com:www.paypal.de

Als nächstes habe ich clamav gestoppt und wieder gestartet.

Bei einem anschließenden Prüflauf von clamav mit obiger Befehlszeile hat
er die Datei dann als Virenfrei angesehen.

Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
und beobachten.


> Das erwähnte Hilfsskript why.py findet sich hier:
> 
> https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py

Dieses Script habe ich bei meiner Vorgehensweise nicht benötigt.
Ein Versuch es zu starten hat bei mir aber, genauso wie beim Verfasser
obiger Anleitung, eine Fehlermeldung produziert.

> Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
> ist ;-)

Ich werde weiter berichten.

> Gruß Jürgen

Grüße,
Sascha

Mehr Informationen über die Mailingliste Eisfair