[Eisfair] [E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert
Sascha Pohl
sascha at pohl-bo.de
Sa Nov 18 00:25:41 CET 2017
Hallo zusammen,
heute ist eine Email von einem Amazon-Händler eingetroffen.
Auch sie wurde wieder von clamav aussortiert.
Ich bin wieder nach dem gleichen Schema wie unten beschrieben vorgegangen.
Als Ergebnis habe ich in der Datei /usr/share/clamav/daily.wdb folgende
Zeile hinzugefügt:
M:sellercentral-europe.amazon.com:www.amazon.de
Ich werde weiter beobachten und berichten.
Grüße,
Sascha
Am 15.11.2017 um 22:50 schrieb Sascha Pohl:
> Hallo zusammen,
>
> heute habe ich mal wieder eine Email von Paypal erhalten.
> Clamav hat sie auch wieder aussortiert.
> Meine Änderungen bezüglich des Umgangs mit Viren-Mails im Mail-Paket
> waren schonmal erfolgreich, die Email wurde jetzt in meinen neuen Ordner
> für Virenmails in meinem Benutzeraccount einsortiert.
>
> Am 08.11.2017 um 07:13 schrieb Juergen Edner:
>> Hier hat ein Anwender im Detail beschrieben wie man den ClamAV-Scan-
>> Prozess "debuggen" kann um false-positives zu verhindern:
>>
>> http://www.jeffgeiger.com/2013/08/clamav-american-express-and-heuristics-phishing-email-spoofeddomain/
>
> Diese Anleitung habe ich mir zum Vorbild genommen.
>
> Ich habe den Quelltext der Email auf meinem Server unter
> /root/paypal_mail abgespeichert.
>
> Danach habe ich clamav diesen Text untersuchen lassen:
> server # clamscan -d /usr/share/clamav/ --debug --max-filesize=0
> --max-scansize=0 /root/paypal_mail 2> /root/test.txt
>
> Anschließend habe ich die Datei /root/test.txt untersucht und bin über
> folgenden Abschnitt gestolpert:
> LibClamAV debug: Phishcheck:host:.epl.paypal-communication.com
> LibClamAV debug: Phishing: looking up in whitelist:
> .epl.paypal-communication.com:.www.paypal.de; host-only:1
> LibClamAV debug: Looking up in regex_list:
> epl.paypal-communication.com:www.paypal.de/
> LibClamAV debug: Lookup result: not in regex list
> LibClamAV debug: Phishcheck: Phishing scan result: URLs are way too
> different
> LibClamAV debug: found Possibly Unwanted:
> Heuristics.Phishing.Email.SpoofedDomain
>
> Daraufhin habe ich die Datei /usr/share/clamav/daily.wdb erzeugt und
> folgendes eingetragen:
> M:epl.paypal-communication.com:www.paypal.de
>
> Als nächstes habe ich clamav gestoppt und wieder gestartet.
>
> Bei einem anschließenden Prüflauf von clamav mit obiger Befehlszeile hat
> er die Datei dann als Virenfrei angesehen.
>
> Jetzt heißt es warten, bis ich die nächsten Emails von Paypal bekomme
> und beobachten.
>
>
>> Das erwähnte Hilfsskript why.py findet sich hier:
>>
>> https://github.com/vrtadmin/clamav-devel/blob/master/contrib/phishing/why.py
>
> Dieses Script habe ich bei meiner Vorgehensweise nicht benötigt.
> Ein Versuch es zu starten hat bei mir aber, genauso wie beim Verfasser
> obiger Anleitung, eine Fehlermeldung produziert.
>
>> Viel Erfolg beim Testen. Lass uns wissen was dabei heraus gekommen
>> ist ;-)
>
> Ich werde weiter berichten.
>
>> Gruß Jürgen
>
> Grüße,
> Sascha
>
Mehr Informationen über die Mailingliste Eisfair