MailScanner

[Briolet]

Op dit forum is er nog nooit een vraag over MailScanner geweest. Toch is dit een interessant pakket om eens goed te bekijken voor hen die de MailServer gebruikt.

MailScanner is een open source pakket dat Synology in MailServer geïntegreerd heeft. Een klein deel van de settings kun je via de GUI in DSM aanpassen, maar het gros van de instellingen blijft verborgen. En in mijn optiek zitten daar instellingen bij die je als gebruiker toch echt anders wilt hebben dan de keuze van Synology.

MailScanner controleert zowel in- als uitgaande mail. Een deel doet het pakket zelf, maar voor spam checking gebruikt hij het pakket SpamAssassin en voor virus checking kan hij ruim 20 verschillende anti-virus pakketten gebruiken. Zelfs meerdere gelijktijdig als je wilt. De versie die op de nas gebruikt wordt is de open source scanner ClamAV.

MailScanner begint met het kijken of de afzender op een blocklist staat. Vervolgens laat hij de mail door het anti-spampakket beoordelen, dan door het anti-virus pakket en tenslotte doet hij nog zelf een groot aantal inhoudscans. Zie ook bijgaande afbeelding uit de manual.



De 500 pagina tellende manual van mailscanner vind je op mailscanner.info

Synology heeft versie 4.84.5  geïnstalleerd. Deze versie is 11-10-2012 uitgegeven en is dus al een beetje gedateerd. (stand juli 2018). De laatste v4 versie is 4.86.1-1 en is ook alweer twee jaar oud. In 2016 is versie 5.x gelanceerd.
Dat de gebruikte versie een beetje gedateerd is, maakt op zich niet zoveel uit omdat de belangrijkste data zoals blocklists en virus-definities toch steeds in een actuele versie opgehaald worden.

De config file staat op twee plekken

Code: [Selecteer]

/var/packages/MailServer/target/etc/MailScanner/MailScanner.conf
/volume1/@appstore/MailServer/etc/template/mailscanner.template
MailScanner.conf is de config file die daadwerkelijk gebruikt wordt en mailscanner.template is een template.  Elke keer als je een instelling veranderd via de GUI van DSM, wordt de template opnieuw naar de MailScanner.conf gekopieerd met de persoonlijke instellingen er op het eind aangeplakt.

Als je instellingen aanpast moet je dat in de template doen, anders ben je ze zo weer kwijt. Om ze direct te kunnen gebruiken moet je ook de MailScanner.conf aanpassen, of je start het volgende script dat de template naar de config kopieert en de settings uit de GUI toevoegt

Code: [Selecteer]

/volume1/@appstore/MailServer/bin/syno_set_config mailscanner
Om een instelling snel even te testen kun je ook alleen de MailScanner.conf file editten en dan MailScanner opnieuw starten met:

Code: [Selecteer]

sudo /var/packages/MailServer/target/scripts/MailScanner.sh restart

De source code van versie 4 vind je op:

Code: [Selecteer]

https://github.com/MailScanner/v4

[Briolet]

De schrijvers van MailScanner willen eigenlijk dat je een firmanaam opgeeft. Deze naam komt dan steeds in de header van de scan zodat je weet welke mailserver de inhoud gecontroleerd heeft.

De handleiding begint met de mededeling dat je de volgende variabelen moet instellen:

Code: [Selecteer]

%org-name% = yoursite
%org-long-name% = Your Organisation Name Here
%web-site% = www.your-organisation.com
%report-dir% = /opt/MailScanner/etc/reports/en
%org-name%
De %org-name% variabele wordt gebruikt in de headers voor regels als

Code: [Selecteer]

Mail Header = X-%org-name%-MailScanner:
Als iemand jouw mail ontvangt, ziet hij aan de naam dat jouw server die mail gescanned heeft en niet een andere server, later in de keten. (b.v.. de relayserver van je ISP, als je die gebruikt.)
Synology heeft ervoor gekozen om die naam weg te laten en heeft van alle headerregels een streepje gewist om te voorkomen dat je

Code: [Selecteer]

Mail Header = X--MailScanner:
gaat krijgen. Als je dus die naam zelf invult, moet je in de config file overal weer dat steepje terug plaatsen. (ca 12x)

De variabele %org-name% wordt ook in mailtjes gebruikt die naar de afzender terug gestuurd worden, als de mail geweigerd wordt.

De variabele moet een enkel woord zijn, zonder spaties. Je kunt hoofd en kleine letters gebruiken. In de mailtjes komt het dan zoals geschreven, maar in de headers wordt de casing aangepast naar eerst een hoofdletter en dan alles klein.

%org-long-name%
De %org-long-name% variabele wordt gebruikt voor het ondertekenen van de bounce mails en kan meerdere regels bevatten.

%web-site%
Met de %web-site% variabele komt er een link in de bounce mail, waar je mensen direct naar een pagina kunt sturen waar je uitleg geeft over je mail beleid.

%report-dir%
De %report-dir% variabele wijst naar de plaats waar de templates staan voor de bouncing mails. Standaard staat hij op de engelstalige templates, maar het pakket heeft templates voor wel 20 talen. Je kunt hem hier ook naar de NL versie laten wijzen. Indien gewenst kun je de report-files zelf nog aanpassen.

Mij is het een raadsel waarom Synology dit niet via de GUI toegankelijk gemaakt heeft.

[Briolet]

MailScanner heeft vier instellingen voor Phishing Fraud

Code: [Selecteer]

Find Phishing Fraud = yes
Also Find Numeric Phishing = yes
Use Stricter Phishing Net = yes
Highlight Phishing Fraud = yes
Het probleem met de GUI is dat er daar maar 1 instelling is. Als je voor ja of nee kiest, worden alle 4 de onderliggende instellingen aangepast. Persoonlijk had ik liever de “Use Stricter Phishing Net” op nee gelaten.
Deze instelling op yes zorgt ervoor dat een link als “mijnsite.nl” die naar “www .mijnsite.nl” wijst, ook als frauduleus aangezien wordt. En in mailtjes gebeurd dit soort verwijzingen toch vaak.

Gelukkig heeft MailScanner een mechanisme om alle settings te overrulen, doordat hij een tweede config file inleest bij het opstarten, die de settings uit de eerste overschrijft. Deze file staat in:

Code: [Selecteer]

/var/packages/MailServer/target/etc/MailScanner/conf.d/README
Let op, er zijn beperkingen aan, maar dat staat alles in de file zelf uitgelegd.

MailScanner heeft ook Phishing white- en blacklists. Op de whitelist staan ruim 800 hostnamen die vertrouwd worden.
Mijn bank stuurt me regelmatig mailtjes waar de link zegt “mijnbank.nl”, maar de link stuurt je naar een pagina op “webversie.mail04.megamail.nl”. Als je weet dat dit een vertrouwd adres is, kun je het ook zelf toevoegen aan de whitelist, zodat je niet steeds de phishing waarschuwingen in je mail krijgt.

De whitelist vind je op:

Code: [Selecteer]

/var/packages/MailServer/target/etc/MailScanner/phishing.safe.sites.conf
NB: dit is een andere black/whitelist dan die je in DSM zelf instelt. Hier gaat het om lijsten die alleen voor phishing gebruikt worden.

In principe worden de White en Black-lists dagelijks geupdat op de website van MailScanner.info:

Code: [Selecteer]

http://phishing.mailscanner.info/phishing.bad.sites.conf
http://phishing.mailscanner.info/phishing.safe.sites.conf
In het pakker zitten ook twee scripts om de update te starten. Alleen gebruikt Synology deze niet en je kunt ze zelf ook niet zo gebruiken omdat Synology veel paden aangepast heeft, waardoor de scripts niet zullen werken zonder dat je de paden eerst zelf goed zet. Bovendien roept het oude script ook minimaal 1 externe webpagina op die volgens mij niet meer bestaat. In de source op github kun je wel een actueel script vinden waar je alleen de paden moet aanpassen.
Als je het zelf wilt activeren, vind je het script op:

Code: [Selecteer]

/var/packages/MailServer/target/bin/MailScanner/update_bad_phishing_sitesHierin hoef je alleen regel 26 te veranderen van:

Code: [Selecteer]

CONFIGDIR='/etc/MailScanner';
naar

Code: [Selecteer]

CONFIGDIR='/var/packages/MailServer/target/etc/MailScanner';
Als je dan het script start, wordt de lijst geupdate. Via de taskplanner van DSM kun je dat automatiseren. (Maar waarom doet Synology dat niet zelf ??)

Op die manier worden al je zelf toegevoegde sites overschreven. Daarom maakt het script een file "phishing.bad.sites.conf.custom" aan waar je al je eigen sites kunt toevoegen. Deze worden dan na het ophalen van de lijst, aan de lijst toegevoegd.

Hetzelfde kun je doen met de whitelists. Een goed werkend actueel script vind je op GitHub. Ook hier hoef je alleen het  pad op "CONFIGDIR='/var/packages/MailServer/target/etc/MailScanner" in te stellen om een werkend script te krijgen.

Voor het gemak heb ik beide gemodificeerde scripts hier in een zip bijgesloten. Je kunt ze op elke plaats neerzetten en daar starten.