Inhoudscan

[Briolet]

Sinds DSM 5.1 zit er in de mailserver een optie van een inhoudscan. Ik zelf had o.a. "Phishing fraude markeren" geselecteerd.

Gisteren kreeg ik een mailtje van een klant die dit triggerde. (False positive) Hij had een mail naar een grote groep relaties gestuurd betreffende een adreswijziging, maar had dit blijkbaar uitbesteed. Die firma had de ondertekening met de link naar zijn website aangepast zodat je naar hun website ging als je er op klikte. Een typisch voorbeeld van een methode om iemand naar een phishing pagina te lokken. In dit geval was het minder kwaadaardig en zij gebruiken dit alleen om te detecteren dat je de link geklikt hebt en wordt dan alsnog naar de website van onze klant doorgestuurd.

De mailscanner plakt bij zo'n detectie wel een heel duidelijke waarschuwing in de mail. (de rode tekst):

 

In dit geval false positive, maar ook weer niet echt false, want het gaat die firma, die ik niet ken en de mail opgemaakt heeft, helemaal niet aan dat ze zien dat ik naar de site van onze klant ga. In mijn optiek toch nog steeds een vorm van phishing. In dit geval van mijn klikgedrag.

[Briolet]

Even een heel oud draadje opfrissen.

De inhoudscan wordt gedaan door MailScanner, een open source programma. Ik ben afgelopen weekend eens met de instellingen aan het stoeien geweest en heb een paar veranderd van "ineffectief maken" naar "weigeren". Daarbij vielen me een paar dingen op.

1) Ik krijg een dagelijkse nieuwsbrief per mail van de bank en die gebruikt altijd code in de mail die de "Phishing alert" triggert. Na aanpassing van de settings werd de mail naar de quarantaine folder verplaatst. Ontoegankelijk voor normale mensen. Je hebt adminrechten nodig om die mail daar te verwijderen. Als je niet oppast loopt die hele quarantine folder vol.
Ik kreeg wel een gestipte mail in mijn postbus.

2) De mail bestond uit een tekst-deel een een html-deel. MailScanner heeft het tekstdeel laten staan en het html deel uit de mail gewist. Ik lees nu voor het eerst het tekstdeel:

XXXBank heeft de nieuwsbrief xxxx naar u
verzonden.
U kunt het bericht nu niet lezen, vanwege de instellingen van uw
e-mailprogramma.

Klik hier
https://pub.mail.xxxx.nl/public/r/tpvNjvJnfumwQ/Rs1bWSLgWhUh3VEGCw/aAUxlskNwYlsU_g voor de online versie.

Met vriendelijke groet,
XXXBank

Ze hebben er dus wel aan gedacht dat sommige klanten html uit hebben staan en dan deze mail te zien krijgen.

3) Boven aan de mail zijn drie regels toegevoegd:

Code: [Selecteer]

Waarschuwing: Er zijn 1 of meer bijlagen uit dit bericht verwijderd
Waarschuwing: (msg-8265-2.html).
Waarschuwing: Lees de "Attachment-Warning.txt" bijlage voor meer informatie.

De attachment zelf is een tekstfile met alt inhoud:

Code: [Selecteer]

Dit is een bericht van het MailScanner virus beschermingssysteem
----------------------------------------------------------------
Het oorspronkelijke e-mail bericht bevatte potentieel gevaarlijke
inhoud, die voor uw veiligheid is verwijderd.

De inhoud was gevaarlijk omdat ze meestal gebruikt wordt om virussen
te verspreiden of om persoonlijke cq. vertrouwelijke informatie te verkrijgen
zoals wachtwoorden of credit card nummers.

Indien u een kopie van de oorspronkelijke bijlage wenst te ontvangen,
verzoeken we u via e-mail contact op te nemen met de helpdesk. Voor
een goede afhandeling van uw verzoek hebben we dit complete bericht
(inclusief alle headers) nodig.

Op Mon Jul  9 08:00:23 2018 heeft onze e-mail inhoud scanner het volgende gevonden:
   foundwebbug

Bericht voor de helpdesk::
Kijk op the xxxxxx () MailScanner in /var/spool/MailScanner/quarantine/20180709 (message DAEEF162C8.AC8F6).
--
Postmaster
XXXXXXX
NB: Die helpdesk ben ik dus zelf. 

4) Er zit nog een foutje in MailScanner. Blijkbaar is de variabele "foundwebbug" niet gedefinieerd. Deze variabele had door de gelocaliseerde tekst vervangen moeten worden. Het maillog geeft dat ook aan: "MailScanner[8265]: Looked up unknown string foundwebbug in language translation file /var/packages/MailServer/target/etc/MailScanner/reports/nl/languages.conf"

Ik had de taal op Nederland gezet, maar ook in de Engelse versie mist deze substitutie-variabele. Dit is gelukkig een onbelangrijk cosmetisch bugje. Ik zag wel dat maar 60% van de strings naar het Nederlands vertaald is, de rest is nog steeds Engels. (Nog werk te doen. Synology gebruikt versie 4.84.5 en de nieuwste versie is 5.0.7, maar in 5.0.7 mist die string nog steeds, plus de verdere vertalingen)

5) Ik kan WebBugs op weigeren zetten. Als ik echter in de manual van MailScanner kijk, of in de configfile zelf, dan zou die optie "weigeren" er helemaal niet mogen zijn. (Wel wij de andere opties voor inhoudsscan.) Foutje Synology?
Uit de config file:

Code: [Selecteer]

# Do you want to allow <Img> tags with very small images in email messages?
# This is a bad idea as these are used as 'web bugs' to find out if a message
# has been read. It is not dangerous, it is just used to make you give away
# information.
# Value: yes     => Allow these tags to be in the message
#        disarm  => Allow these tags, but stop these tags from working
#                   Note: Disarming can be defeated, it is not 100% safe!
# Note: You cannot block messages containing web bugs as their detection
#       is very vulnerable to false alarms.
# This can also be the filename of a ruleset.
#Allow WebBugs = disarm
Dus geen 'no' optie zoals bij de andere instellingen. Blijkbaar wordt er desondanks wel een 'no' uitgevoerd.

Overigens een mooi uitgebreid pakket dat MailScanner.