MailScanner heeft vier instellingen voor Phishing Fraud
Find Phishing Fraud = yes
Also Find Numeric Phishing = yes
Use Stricter Phishing Net = yes
Highlight Phishing Fraud = yes
Het probleem met de GUI is dat er daar maar 1 instelling is. Als je voor ja of nee kiest, worden alle 4 de onderliggende instellingen aangepast. Persoonlijk had ik liever de “Use Stricter Phishing Net” op nee gelaten.
Deze instelling op yes zorgt ervoor dat een link als “
mijnsite.nl” die naar “
www .mijnsite.nl” wijst, ook als frauduleus aangezien wordt. En in mailtjes gebeurd dit soort verwijzingen toch vaak.
Gelukkig heeft MailScanner een mechanisme om alle settings te overrulen, doordat hij een tweede config file inleest bij het opstarten, die de settings uit de eerste overschrijft. Deze file staat in:
/var/packages/MailServer/target/etc/MailScanner/conf.d/README
Let op, er zijn beperkingen aan, maar dat staat alles in de file zelf uitgelegd.
MailScanner heeft ook Phishing white- en blacklists. Op de whitelist staan ruim 800 hostnamen die vertrouwd worden.
Mijn bank stuurt me regelmatig mailtjes waar de link zegt “
mijnbank.nl”, maar de link stuurt je naar een pagina op “
webversie.mail04.megamail.nl”. Als je weet dat dit een vertrouwd adres is, kun je het ook zelf toevoegen aan de whitelist, zodat je niet steeds de phishing waarschuwingen in je mail krijgt.
De whitelist vind je op:
/var/packages/MailServer/target/etc/MailScanner/phishing.safe.sites.conf
NB: dit is een andere black/whitelist dan die je in DSM zelf instelt. Hier gaat het om lijsten die alleen voor phishing gebruikt worden.
In principe worden de White en Black-lists dagelijks geupdat op de website van MailScanner.info:
http://phishing.mailscanner.info/phishing.bad.sites.conf
http://phishing.mailscanner.info/phishing.safe.sites.conf
In het pakker zitten ook twee scripts om de update te starten. Alleen gebruikt Synology deze niet en je kunt ze zelf ook niet zo gebruiken omdat Synology veel paden aangepast heeft, waardoor de scripts niet zullen werken zonder dat je de paden eerst zelf goed zet. Bovendien roept het oude script ook minimaal 1 externe webpagina op die volgens mij niet meer bestaat. In de
source op github kun je wel een actueel script vinden waar je alleen de paden moet aanpassen.
Als je het zelf wilt activeren, vind je het script op:
/var/packages/MailServer/target/bin/MailScanner/update_bad_phishing_sites
Hierin hoef je alleen regel 26 te veranderen van:
CONFIGDIR='/etc/MailScanner';
naar
CONFIGDIR='/var/packages/MailServer/target/etc/MailScanner';
Als je dan het script start, wordt de lijst geupdate. Via de taskplanner van DSM kun je dat automatiseren. (Maar waarom doet Synology dat niet zelf ??)
Op die manier worden al je zelf toegevoegde sites overschreven. Daarom maakt het script een file "phishing.bad.sites.conf.custom" aan waar je al je eigen sites kunt toevoegen. Deze worden dan na het ophalen van de lijst, aan de lijst toegevoegd.
Hetzelfde kun je doen met de whitelists. Een goed werkend actueel script vind je op
GitHub. Ook hier hoef je alleen het pad op "CONFIGDIR='/var/packages/MailServer/target/etc/MailScanner" in te stellen om een werkend script te krijgen.
Voor het gemak heb ik beide gemodificeerde scripts hier in een zip bijgesloten. Je kunt ze op elke plaats neerzetten en daar starten.