Kleine Handreichung für Admins: Postfix-Filter als erste Hilfe gegen Trojanerwelle
Trojaner-verseuchte Mails sind längst ein gängiges Übel. In Fällen, in denen Antiviren-Software noch nicht darauf anspringt, können Administratoren großer Mail-Server ihre Nutzer mit einem einfachen Trick aus der Schusslinie nehmen.
In manchen Postfächern landen täglich Dutzende von Trojaner-verseuchten Mails. Antiviren-Programme halten Mail-Nutzern zwar viele davon automatisch vom Leib, aber bei Trojanern, die neu konzipiert sind, kann es eine Weile dauern, bis die Antiviren-Hersteller ihre Software angepasst haben.
Ein aktuelles Beispiel dafür sind Trojaner-Mails, die mit dem Mail-Envelope Sender kreditoren@dertour.de übermittelt werden. Die unter diesem Absender verschickten Trojaner-Mails enthalten Schadroutinen, die noch kaum ein Viren-Scanner erkennt. Unter anderem verschlüsselt die Schadsoftware die Festplatte des Empfängers, wenn dieser den Anhang per Doppelklick öffnet.
Reject-Filter aufsetzen
Als erste Hilfe, bis Antiviren-Software auf den neuen Angreifer anschlägt, können Administratoren von zum Beispiel Firmen-Mail-Servern einen einfachen Reject-Filter aufsetzen. Als Beispiel sei die Vorgehensweise für den verbreiteten Message Transfer Agent Postfix aufgeführt. Dafür legt man zunächst eine neue Tabelle an:
sudo touch /etc/postfix/viruswelle
Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
kreditoren@dertour.de REJECT Virus kreditoren@dertour.de
Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
sudo postmap hash:/etc/postfix/viruswelle
Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
smtpd_recipient_restrictions =
check_sender_access hash:/etc/postfix/viruswelle
...
Nach jeder der Änderung der Tabelle main.cf-Datei veranlasst man den MTA mittels postfix reload, seine Konfiguration und damit auch die aktuellen Regeln der Tabelle neu einzulesen und zu verwenden. Mit diesem Beispiel würde Postfix Nachrichten von kreditoren@dertour.de ablehnen.
Natürlich wird man solche manuell erstellten Tabellen nicht ständig pflegen wollen. Aber in Einzelfällen können sie helfen, das Schlimmste zu verhindern, bis die Antiviren-Hersteller reagiert haben.
[Update]: 8.12.2015, 17:05, Verwendung der Reload-Option korrigiert (dz)
