Kleine Handreichung für Admins: Postfix-Filter als erste Hilfe gegen Trojanerwelle
Trojaner-verseuchte Mails sind längst ein gängiges Übel. In Fällen, in denen Antiviren-Software noch nicht darauf anspringt, können Administratoren großer Mail-Server ihre Nutzer mit einem einfachen Trick aus der Schusslinie nehmen.
- Patrick Ben Koetter
- Dusan Zivadinovic
In manchen Postfächern landen täglich Dutzende von Trojaner-verseuchten Mails. Antiviren-Programme halten Mail-Nutzern zwar viele davon automatisch vom Leib, aber bei Trojanern, die neu konzipiert sind, kann es eine Weile dauern, bis die Antiviren-Hersteller ihre Software angepasst haben.
Ein aktuelles Beispiel dafür sind Trojaner-Mails, die mit dem Mail-Envelope Sender kreditoren@dertour.de übermittelt werden. Die unter diesem Absender verschickten Trojaner-Mails enthalten Schadroutinen, die noch kaum ein Viren-Scanner erkennt. Unter anderem verschlüsselt die Schadsoftware die Festplatte des Empfängers, wenn dieser den Anhang per Doppelklick öffnet.
Reject-Filter aufsetzen
Als erste Hilfe, bis Antiviren-Software auf den neuen Angreifer anschlägt, können Administratoren von zum Beispiel Firmen-Mail-Servern einen einfachen Reject-Filter aufsetzen. Als Beispiel sei die Vorgehensweise für den verbreiteten Message Transfer Agent Postfix aufgeführt. Dafür legt man zunächst eine neue Tabelle an:
sudo touch /etc/postfix/viruswelle
Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
kreditoren@dertour.de REJECT Virus kreditoren@dertour.de
Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
sudo postmap hash:/etc/postfix/viruswelle
Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
smtpd_recipient_restrictions =
check_sender_access hash:/etc/postfix/viruswelle
...
Nach jeder der Änderung der Tabelle main.cf-Datei veranlasst man den MTA mittels postfix reload
, seine Konfiguration und damit auch die aktuellen Regeln der Tabelle neu einzulesen und zu verwenden. Mit diesem Beispiel würde Postfix Nachrichten von kreditoren@dertour.de ablehnen.
Natürlich wird man solche manuell erstellten Tabellen nicht ständig pflegen wollen. Aber in Einzelfällen können sie helfen, das Schlimmste zu verhindern, bis die Antiviren-Hersteller reagiert haben.
[Update]: 8.12.2015, 17:05, Verwendung der Reload-Option korrigiert (dz)