Mails auf viren scannen

[jacolani]

Hallo,

meine Mails rufe ich von meinem Hoster ab per pop3 und email Client Thunderbird. Welche plugins und Tools sind nun notwendig um meine Mails mittels clamav zu scannen, bevor diese auf meinem Rechner landen.
Gibt es dazu Erfahrungen, bzw. Kritik, was mit opnsense evetuell noch nicht so gut läuft etc.
Eine gute Anleitung ist dazu schon vorhanden?

[jacolani]

OK das howto gibt es hier:

https://wiki.opnsense.org/manual/how-tos/mailgateway.html

Ganz unten stehet dann:

In the next step, you should go to the Firewall menu. Create a new rule to pass port TCP/25 traffic from Any to This Firewall.

Wieso muss ich den port 25 von außen auf machen, wenn ich Mails abrufe? Raus darf ich ja.
Ist dann Postfix der Mailgateway der die Mails eigenständig abruft, und Thunderbird ruft dann postfix als mailserver ab, oder wie genau läuft das?

[hbc]

Wieso muss ich den port 25 von außen auf machen, wenn ich Mails abrufe? Raus darf ich ja.

Die Anleitung ist für ein Mailgateway und geht davon aus, das Du Deinen eigenen Mailserver betreibst (statische IP, eigene Domain und MX-Eintrag auf die OPNsense).

Folglich muss jeder, der Dir eine Mail schreiben will, dann von extern auf Port 25 Deines Mailservers zugreifen.

Für POP mit externen Mailanbieter funktioniert die Anleitung eh nicht.

[lfirewall1243]

Für POP mit externen Mailanbieter funktioniert die Anleitung eh nicht.

Lässt sich aber mit Tools, wie z.B. Poptm oder Popcon lösen :)

[hbc]

Ich hab nicht gesagt, daß es nicht geht. Nur das ihm die Anleitung dazu nichts hilft.

Und da es die Tools auch nicht als Plugin gibt, muß er da ohnehin Handarbeit auf der CLI hinlegen, falls es poptm auch für FreeBSD gibt. popcon hab ich nur als Erweiterung für Exchange gefunden - ist also eh extra Server, Windows und setzt Exchange (= eigener Mailserver) voraus. Ich verstand das eher als Anforderung auf der OPNsense laufen  zu lassen und mitzufiltern.

Hinzu kommt dann noch das ja hoffentlich niemand mehr plain POP3 nutzt, sondern nur noch die SSL Version davon und dann muß man noch entsprechend mit Zertifikaten arbeiten bzw. das Ganze unterstützen.

[jacolani]

D.h. für externen Mailabruf bietet opensense momentan keine Lösung an, oder hat Jemand Erfahrung mit poptm und opensense.
Alternativ wäre folgendes:
Im LAN ein Mailserver installieren, der mir meine Mails holt bzw. versendet. Und mein Client ruft die Mails nur noch im LAN ab, von außen dann per VPN. Dann sollte das doch wieder funktionieren?
Gibt es dazu Vorschläge welchen Mailserver ich da nehmen kann/solte, und entsprechende Anleitungen?

[chemlud]

IDS / IPS als shortcut? Ein lokaler Emailserver ist keine kleine Nummer mehr...

[fabian]

Hab's mir gerade angeschaut - poptm sieht ungewartet aus (letzter commit 2008).

Als Mailserver kann ich übrigens postfix empfehlen.

[lfirewall1243]

Ich hab nicht gesagt, daß es nicht geht. Nur das ihm die Anleitung dazu nichts hilft.

Sollte nur ein Tipp sein :) Sorry für das Missverständniss

D.h. für externen Mailabruf bietet opensense momentan keine Lösung an, oder hat Jemand Erfahrung mit poptm und opensense.
Alternativ wäre folgendes:
Im LAN ein Mailserver installieren, der mir meine Mails holt bzw. versendet. Und mein Client ruft die Mails nur noch im LAN ab, von außen dann per VPN. Dann sollte das doch wieder funktionieren?
Gibt es dazu Vorschläge welchen Mailserver ich da nehmen kann/solte, und entsprechende Anleitungen?

Also ich nutze es mit einem Exchange + poptm und auch popcon. Funktioniert beides gut. :)

[fabian]

popcon ist auch ein Windows-Tool und damit für diesen feature request unbrauchbar.
Was euch vermutlich eher entgegen kommt ist ein Tool wie fetchmail.
Bitte bedenkt dabei, dass man die Mails letzten Endes auch zustellen muss und dafür braucht man wieder einen Mailserver.

[mimugmail]

D.h. für externen Mailabruf bietet opensense momentan keine Lösung an, oder hat Jemand Erfahrung mit poptm und opensense.
Alternativ wäre folgendes:
Im LAN ein Mailserver installieren, der mir meine Mails holt bzw. versendet. Und mein Client ruft die Mails nur noch im LAN ab, von außen dann per VPN. Dann sollte das doch wieder funktionieren?
Gibt es dazu Vorschläge welchen Mailserver ich da nehmen kann/solte, und entsprechende Anleitungen?

Nein, da gibt es derzeit nichts.

3 Möglichkeiten:

- Dein Hoster scannt die Mails im Postfach wo du abrufst
- Du scannst du Mails mit lokalem Virenscanner
- Du forwardest die Mails vom Provider zu dir, eventuell kannst du dann den offenen Port 25 auf den IP Kreis vom Provider einschränken

[monstermania]

Hmm,
also mir wäre ein eigener Mailserver für zu Hause eine Nummer zu 'oversized'. Zumal es dem Fragesteller ja ganz offenbar eigentlich um die Möglichkeit eines AV-Scan's seiner Mails geht.
Ehrlicherweise würde ich mich keinesfalls auf ClamAV verlassen wollen! Das Teil ist gegen aktuelle Email-Bedrohungen ungefähr so wirksam wie Schlangenöl! Und selbst die TOP-AV-Produkte haben immer wieder mal Probleme bei akuten aktuellen Bedrohungen die per Email hereinkommen.
Der wohl Beste Schutz vor Email-Viren ist und bleibt weiterhin 'Brain' und der konsequente Verzicht auf Microsoft-Produkte!  ;) 

Gruß
Dirk

[chemlud]

...und Kompartimentierung. Rechner mit Internet separieren. Rechner für Mails ebenso. Smartphones are for the not-so-smart...

[JeGr]

Hmm,
also mir wäre ein eigener Mailserver für zu Hause eine Nummer zu 'oversized'. Zumal es dem Fragesteller ja ganz offenbar eigentlich um die Möglichkeit eines AV-Scan's seiner Mails geht.
Ehrlicherweise würde ich mich keinesfalls auf ClamAV verlassen wollen!

This: aus verschiedenen Gründen. Als Hoster kennen wir die Situation recht gut, vor allem ist es aber ein Zustellungsproblem, was Fabian schon angesprochen hat. Für zuhause mag das noch recht einfach lösbar sein, aber wenn man sich Mails zusendet vom Provider via Smarthost ist Spam oder Virenerkennung immer etwas bescheuert zu lösen, denn der letzte Hop ist dann immer der eigene Provider-Host. Lässt man es sich direkt zustellen (also eigener Mailserver), ist das für kleine Firmen oder zuhause die Hölle auf Erden. Mit jeder Müll-Spammail Kiste der Welt kommuinizieren? Bah...

Bleibt eigentlich nur sinnvollerweise die Mail beim Provider zu lassen und dort dann abzuholen mit Client oder fetchmail o.ä. und den Provider den letzten Hop sein zu lassen, denn dann kann der
- anhand BLs filtern
- nach Heuristiken rausfiltern

etc etc. Zudem sollten Mails (auch vom Provider sicherheitshalber) zuerst gescannt/geprüft werden, _bevor_ sie angenommen werden per SMTP. Macht mans nicht hat man das Problem: Man hat dem Sender bereits bestätigt, dass man die Mail angenommen hat (und ist dann dafür verantwortlich). Dann zu scannen und ggf. auszusortieren oder zu löschen kann einen in Teufels Küche bringen. Auch verschieben in Spam ist schwierig, einige rufen das mit POP3S ab und sehen gar keinen Spamordner. Eine Mail schicken dass es SPam gibt? Wird oft ignoriert. Spam nur taggen und zustellen? Gemecker, dass man so viel Spam bekommt...

Da stimmt dann chemluds Signatur recht passend: Wie man es macht, man verliert ;)

[Dieter Bosli]

Alternativ wäre folgendes:
Im LAN ein Mailserver installieren, der mir meine Mails holt bzw. versendet. Und mein Client ruft die Mails nur noch im LAN ab, von außen dann per VPN. Dann sollte das doch wieder funktionieren?
Gibt es dazu Vorschläge welchen Mailserver ich da nehmen kann/solte, und entsprechende Anleitungen?

https://www.hmailserver.com/
Der lässt sich recht einfach konfigurieren und läuft stabil. Bracht einfach einen dauernd laufend Rechner im Netz.
Läuft bei mir schon Jahre und hat sich bewährt. Dann kannst Du den Virenscann auch auf dem Server selber machen lassen. Was ich so mitbekommen habe braucht der von dir oben verlinkte Mailgateway auf OPNsense relativ viel Performance. Selber ausprobiert habe ich es bisher nicht.

Muss aber auch sagen, ich selber verwalte mehrere Domains selbständig, habe also nicht einfach eine Mailbox auf dem hmailserver laufen.