Even een heel oud draadje opfrissen.
De inhoudscan wordt gedaan door
MailScanner, een open source programma. Ik ben afgelopen weekend eens met de instellingen aan het stoeien geweest en heb een paar veranderd van "ineffectief maken" naar "weigeren". Daarbij vielen me een paar dingen op.
1) Ik krijg een dagelijkse nieuwsbrief per mail van de bank en die gebruikt altijd code in de mail die de "Phishing alert" triggert. Na aanpassing van de settings werd de mail naar de quarantaine folder verplaatst. Ontoegankelijk voor normale mensen. Je hebt adminrechten nodig om die mail daar te verwijderen. Als je niet oppast loopt die hele quarantine folder vol.
Ik kreeg wel een gestipte mail in mijn postbus.
2) De mail bestond uit een tekst-deel een een html-deel. MailScanner heeft het tekstdeel laten staan en het html deel uit de mail gewist. Ik lees nu voor het eerst het tekstdeel:
XXXBank heeft de nieuwsbrief xxxx naar u
verzonden.
U kunt het bericht nu niet lezen, vanwege de instellingen van uw
e-mailprogramma.
Klik hier
https://pub.mail.xxxx.nl/public/r/tpvNjvJnfumwQ/Rs1bWSLgWhUh3VEGCw/aAUxlskNwYlsU_g voor de online versie.
Met vriendelijke groet,
XXXBank
Ze hebben er dus wel aan gedacht dat sommige klanten html uit hebben staan en dan deze mail te zien krijgen.
3) Boven aan de mail zijn drie regels toegevoegd:
Waarschuwing: Er zijn 1 of meer bijlagen uit dit bericht verwijderd
Waarschuwing: (msg-8265-2.html).
Waarschuwing: Lees de "Attachment-Warning.txt" bijlage voor meer informatie.
De attachment zelf is een tekstfile met alt inhoud:
Dit is een bericht van het MailScanner virus beschermingssysteem
----------------------------------------------------------------
Het oorspronkelijke e-mail bericht bevatte potentieel gevaarlijke
inhoud, die voor uw veiligheid is verwijderd.
De inhoud was gevaarlijk omdat ze meestal gebruikt wordt om virussen
te verspreiden of om persoonlijke cq. vertrouwelijke informatie te verkrijgen
zoals wachtwoorden of credit card nummers.
Indien u een kopie van de oorspronkelijke bijlage wenst te ontvangen,
verzoeken we u via e-mail contact op te nemen met de helpdesk. Voor
een goede afhandeling van uw verzoek hebben we dit complete bericht
(inclusief alle headers) nodig.
Op Mon Jul 9 08:00:23 2018 heeft onze e-mail inhoud scanner het volgende gevonden:
foundwebbug
Bericht voor de helpdesk::
Kijk op the xxxxxx () MailScanner in /var/spool/MailScanner/quarantine/20180709 (message DAEEF162C8.AC8F6).
--
Postmaster
XXXXXXX
NB: Die helpdesk ben ik dus zelf.
4) Er zit nog een foutje in MailScanner. Blijkbaar is de variabele "foundwebbug" niet gedefinieerd. Deze variabele had door de gelocaliseerde tekst vervangen moeten worden. Het maillog geeft dat ook aan: "
MailScanner[8265]: Looked up unknown string foundwebbug in language translation file /var/packages/MailServer/target/etc/MailScanner/reports/nl/languages.conf"
Ik had de taal op Nederland gezet, maar ook in de Engelse versie mist deze substitutie-variabele. Dit is gelukkig een onbelangrijk cosmetisch bugje. Ik zag wel dat maar 60% van de strings naar het Nederlands vertaald is, de rest is nog steeds Engels. (Nog werk te doen. Synology gebruikt versie 4.84.5 en de nieuwste versie is 5.0.7, maar in 5.0.7 mist die string nog steeds, plus de verdere vertalingen)
5) Ik kan WebBugs op weigeren zetten. Als ik echter in de manual van MailScanner kijk, of in de configfile zelf, dan zou die optie "weigeren" er helemaal niet mogen zijn. (Wel wij de andere opties voor inhoudsscan.) Foutje Synology?
Uit de config file:
# Do you want to allow <Img> tags with very small images in email messages?
# This is a bad idea as these are used as 'web bugs' to find out if a message
# has been read. It is not dangerous, it is just used to make you give away
# information.
# Value: yes => Allow these tags to be in the message
# disarm => Allow these tags, but stop these tags from working
# Note: Disarming can be defeated, it is not 100% safe!
# Note: You cannot block messages containing web bugs as their detection
# is very vulnerable to false alarms.
# This can also be the filename of a ruleset.
#Allow WebBugs = disarm
Dus geen 'no' optie zoals bij de andere instellingen. Blijkbaar wordt er desondanks wel een 'no' uitgevoerd.
Overigens een mooi uitgebreid pakket dat
MailScanner.