Обнаружил некоторые "странности" в работе Outlook'а...
В конфиге Exim 4.87 в правилах acl_check_mime или acl_check_data есть запреты:
Код: Выделить всё
deny
message = Probably this message contains dangerous file in attachment
condition = ${if match{$mime_filename}{\N(?i)\.(zip|rar|7z)$\N}}
decode = default
condition = ${if match{${run{/usr/local/bin/7z l $mime_decoded_filename}}}{\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys)\n\N}}
Код: Выделить всё
deny
message = This message contains a virus ($malware_name).
malware = * / defer_ok / tmo=10s
demime = *
В логах при этом:
Код: Выделить всё
...
6158 MIME: End boundary found ----=_NextPart_001_0089_01D378EE.54F3A6C0
6158 MIME: Next part with boundary ----=_NextPart_000_0088_01D378EE.54F3A6C0
6158 MIME: found content-type: header, value is 'application/octet-stream'
6158 MIME: considering paramlist 'name="eicar.zip";'
6158 MIME: found name= parameter in content-type: header, value 'eicar.zip'
6158 MIME: found content-transfer-encoding: header, value is 'base64'
6158 MIME: found content-disposition: header, value is 'attachment'
6158 MIME: considering paramlist 'filename="eicar.zip";'
6158 MIME: found filename= parameter in content-disposition: header, value 'eicar.zip'
6158 MIME: found filename parameter in content-disposition: header, value is 'eicar.zip'
6158 using ACL "acl_check_mime"
6158 processing "deny"
6158 message: Probably this message contains dangerous file in attachment
6158 check condition = ${if match{$mime_filename}{\N(?i)\.(zip|rar|7z)$\N}}
6158 = true
6158 check decode = default
6158 direct command:
6158 argv[0] = /usr/local/bin/7z
6158 argv[1] = l
6158 argv[2] = /var/spool/exim/scan/1eRGxI-0001bK-GF/1eRGxI-0001bK-GF-00000
6158 check condition = ${if match{${run{/usr/local/bin/7z l $mime_decoded_filename}}}{\N(?i)\.(exe|com|vbs|bat|pif|scr|hta|js|cmd|chm|cpl|jsp|reg|vbe|lnk|dll|sys)\n\N}}
6158 = true
6158 deny: condition test succeeded in ACL "acl_check_mime"
6158 end of ACL "acl_check_mime": DENY
6158 unspool_mbox(): unlinking '/var/spool/exim/scan/1eRGxI-0001bK-GF/1eRGxI-0001bK-GF.eml'
6158 unspool_mbox(): unlinking '/var/spool/exim/scan/1eRGxI-0001bK-GF/1eRGxI-0001bK-GF-00000'
6158 SMTP>> 550 Probably this message contains dangerous file in attachment
6158 tls_do_write(0x29266ac0, 65)
6158 SSL_write(SSL, 0x29266ac0, 65)
6158 outbytes=65 error=0
6158 LOG: MAIN REJECT
6158 H=(Win7VBoxPC) [XXX.XXX.XXX.XXX] I=[YYY.YYY.YYY.YYY]:465 X=TLSv1:ECDHE-RSA-AES256-SHA:256 CV=no F=<username@domain.dom> A=login_ldap:username rejected during MIME ACL checks: Probably this message contains dangerous file in attachment
6158 SMTP>> 250 OK id=
6158 tls_do_write(0x29266ac0, 12)
6158 SSL_write(SSL, 0x29266ac0, 12)
6158 outbytes=12 error=0
6158 search_tidyup called
6158 Process 6158 is ready for new message
6158 smtp_setup_msg entered
6158 Calling SSL_read(0x29246400, 0x2924b000, 4096)
6158 SMTP<< QUIT
6158 SMTP>> 221 mailserver.domain.dom closing connection
...
Я отправляю такое же, тестовое письмо, из The Bat 5.8.8 (содержащее eicar.zip, в котором есть eicar.com).
И получаю:
Код: Выделить всё
SEND - Письмо не отправлено. Сервер сообщает: Probably this message contains dangerous file in attachment
SEND - Соединение завершено - отправлено писем: 0
SEND - Не удалось отправить некоторые письма - подробности смотрите в Журнале работыВот что мне не понятно, в логах есть строка после MAIN REJECT:
Код: Выделить всё
6158 SMTP>> 250 OK id=
И почему он не обращает внимание на 550-ю ошибку выше?
И как заставить Outlook всё таки "прислушиваться" к тому что "говорит" MTA?
а может я что-то не так делаю?... Но, вроде как deny есть deny и как-то по другому он трактоваться не может...
Заметил ещё вот что.
После MAIN REJECT, The Bat отправляет
Код: Выделить всё
6151 SMTP>> 250 OK id=
...
6151 SMTP<< RSET
6151 SMTP>> 250 Reset OK
...
6151 SMTP<< QUIT
6151 SMTP>> 221 mailserver.domain.dom closing connection
Код: Выделить всё
6158 SMTP>> 250 OK id=
...
6158 SMTP<< QUIT
6158 SMTP>> 221 mailserver.domain.dom closing connection
В добавление скажу, Outlook 2007 всё таки генерирует ошибку и помещает во "Входящие" сообщение от "Администратор системы"
с содержимым
Код: Выделить всё
Сообщение не было получено одним или несколькими получателями.
Тема: FW: Test EICAR
Отправлено: 19.12.2017 15:39
Невозможно достичь следующих получателей:
'username@domain.dom' 19.12.2017 15:39
550 Probably this message contains dangerous file in attachment
Нашел вариант как всё-таки показать "отлуп" от "Администратор системы"... Так же как и в 2007-м.
Нужно убрать "Состояние отбора" "Состояние IMAP"
Закладка "Вид" -> "Настройка представления" -> "Отбор..." -> Закладка "Дополнительно" -> удалить "Состояние IMAP равно Неотмечено"
Будут показываться сообщения от "Администратор системы".
Вопрос, в принципе, можно закрывать...
