Outlook (любой) не обрабатывает ошибку 550.

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 85
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Outlook (любой) не обрабатывает ошибку 550.

Непрочитанное сообщение Lazy caT » 2017-12-19 16:43:10

Доброго времени суток.

Обнаружил некоторые "странности" в работе Outlook'а...

В конфиге Exim 4.87 в правилах acl_check_mime или acl_check_data есть запреты:

Код: Выделить всё

    deny
        message        = Probably this message contains dangerous file in attachment
        condition      = ${if match{$mime_filename}{\N(?i)\.(zip|rar|7z)$\N}}
        decode         = default
        condition      = ${if match{${run{/usr/local/bin/7z l $mime_decoded_filename}}}{\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys)\n\N}}

и

Код: Выделить всё

    deny
        message        = This message contains a virus ($malware_name).
        malware        = * / defer_ok / tmo=10s
        demime         = *


Я отправляю тестовое письмо из Outlook 2007/2010 содержащее eicar.zip, в котором есть eicar.com.

В логах при этом:

Код: Выделить всё

 
 ...
 6158 MIME: End boundary found ----=_NextPart_001_0089_01D378EE.54F3A6C0
 6158 MIME: Next part with boundary ----=_NextPart_000_0088_01D378EE.54F3A6C0
 6158 MIME: found content-type: header, value is 'application/octet-stream'
 6158 MIME:   considering paramlist 'name="eicar.zip";'
 6158 MIME:  found name= parameter in content-type: header, value 'eicar.zip'
 6158 MIME: found content-transfer-encoding: header, value is 'base64'
 6158 MIME: found content-disposition: header, value is 'attachment'
 6158 MIME:   considering paramlist 'filename="eicar.zip";'
 6158 MIME:  found filename= parameter in content-disposition: header, value 'eicar.zip'
 6158 MIME:  found filename parameter in content-disposition: header, value is 'eicar.zip'
 6158 using ACL "acl_check_mime"
 6158 processing "deny"
 6158   message: Probably this message contains dangerous file in attachment
 6158 check condition = ${if match{$mime_filename}{\N(?i)\.(zip|rar|7z)$\N}}
 6158                 = true
 6158 check decode = default
 6158 direct command:
 6158   argv[0] = /usr/local/bin/7z
 6158   argv[1] = l
 6158   argv[2] = /var/spool/exim/scan/1eRGxI-0001bK-GF/1eRGxI-0001bK-GF-00000
 6158 check condition = ${if match{${run{/usr/local/bin/7z l $mime_decoded_filename}}}{\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys)\n\N}}
 6158                 = true
 6158 deny: condition test succeeded in ACL "acl_check_mime"
 6158 end of ACL "acl_check_mime": DENY
 6158 unspool_mbox(): unlinking '/var/spool/exim/scan/1eRGxI-0001bK-GF/1eRGxI-0001bK-GF.eml'
 6158 unspool_mbox(): unlinking '/var/spool/exim/scan/1eRGxI-0001bK-GF/1eRGxI-0001bK-GF-00000'
 6158 SMTP>> 550 Probably this message contains dangerous file in attachment
 6158 tls_do_write(0x29266ac0, 65)
 6158 SSL_write(SSL, 0x29266ac0, 65)
 6158 outbytes=65 error=0
 6158 LOG: MAIN REJECT
 6158   H=(Win7VBoxPC) [XXX.XXX.XXX.XXX] I=[YYY.YYY.YYY.YYY]:465 X=TLSv1:ECDHE-RSA-AES256-SHA:256 CV=no F=<username@domain.dom> A=login_ldap:username rejected during MIME ACL checks: Probably this message contains dangerous file in attachment
 6158 SMTP>> 250 OK id=
 6158 tls_do_write(0x29266ac0, 12)
 6158 SSL_write(SSL, 0x29266ac0, 12)
 6158 outbytes=12 error=0
 6158 search_tidyup called
 6158 Process 6158 is ready for new message
 6158 smtp_setup_msg entered
 6158 Calling SSL_read(0x29246400, 0x2924b000, 4096)
 6158 SMTP<< QUIT
 6158 SMTP>> 221 mailserver.domain.dom closing connection
 ...


Outlook (2007-2010) спокойно перекладывает письмо в "отправленные", хотя оно отправлено не было, без выдачи какой-либо ошибки на этапе отправки.

Я отправляю такое же, тестовое письмо, из The Bat 5.8.8 (содержащее eicar.zip, в котором есть eicar.com).
И получаю:

Код: Выделить всё

SEND  - Письмо не отправлено. Сервер сообщает: Probably this message contains dangerous file in attachment
SEND  - Соединение завершено - отправлено писем: 0
SEND  - Не удалось отправить некоторые письма - подробности смотрите в Журнале работы


Естественно, письмо никуда не отправляется.

Вот что мне не понятно, в логах есть строка после MAIN REJECT:

Код: Выделить всё

 6158 SMTP>> 250 OK id=


Может ли Outlook, "видя" эту строку считать что сообщение отправлено адресату?
И почему он не обращает внимание на 550-ю ошибку выше?
И как заставить Outlook всё таки "прислушиваться" к тому что "говорит" MTA?

а может я что-то не так делаю?... Но, вроде как deny есть deny и как-то по другому он трактоваться не может...

Заметил ещё вот что.
После MAIN REJECT, The Bat отправляет

Код: Выделить всё

 
 6151 SMTP>> 250 OK id=
 ...
 6151 SMTP<< RSET
 6151 SMTP>> 250 Reset OK
 ...
 6151 SMTP<< QUIT
 6151 SMTP>> 221 mailserver.domain.dom closing connection

Outlook же этого не делает, сразу

Код: Выделить всё

 
 6158 SMTP>> 250 OK id=
 ...
 6158 SMTP<< QUIT
 6158 SMTP>> 221 mailserver.domain.dom closing connection


Отправлено спустя 47 минут 50 секунд:
В добавление скажу, Outlook 2007 всё таки генерирует ошибку и помещает во "Входящие" сообщение от "Администратор системы"
с содержимым

Код: Выделить всё

Сообщение не было получено одним или несколькими получателями.

      Тема:   FW: Test EICAR
      Отправлено:   19.12.2017 15:39

Невозможно достичь следующих получателей:

      'username@domain.dom' 19.12.2017 15:39
            550 Probably this message contains dangerous file in attachment


Отправлено спустя 1 час 29 минут 48 секунд:
Нашел вариант как всё-таки показать "отлуп" от "Администратор системы"... Так же как и в 2007-м.
Нужно убрать "Состояние отбора" "Состояние IMAP"
Закладка "Вид" -> "Настройка представления" -> "Отбор..." -> Закладка "Дополнительно" -> удалить "Состояние IMAP равно Неотмечено"

Будут показываться сообщения от "Администратор системы".

Вопрос, в принципе, можно закрывать... :)

Вернуться в «MTA - Mail Transfer Agent»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей