[Eisfair] [E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert

Sascha Pohl sascha at pohl-bo.de
Mi Nov 8 00:17:13 CET 2017 

Hallo Kay,

Am 07.11.2017 um 23:58 schrieb Kay Martinen:

> Die Wichtigere Frage ist doch: Bist du Paypal-Kunde?
> Ich bin es nicht, und darum ist jede Mail die mich von dort erreicht
> ganz klar entweder Spam oder etwas anderes das ich nicht will.

Ja, ich bin PayPal-Kunde und darum möchte ich diese Emails eigentlich
erhalten.
In meinem Fall reden wir also von false-positives.
Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
Virus nicht, denn die Mails enthalten definitiv keine Viren.

> Nun weiß ich auch nicht konkret was ggf. in den logs stünde aber: Wenn
> die mail empfangen wurde, sie also in einem (spam/virus) ordner
> einsortiert wurde, dann hat m.E. dein MTA, ClamAV, Antispam u.s.w. ihre
> Header bereits dort hinein geschrieben. Es müsste also dann nicht mehr
> erkennbar sein ob diese Header vom Provider kamen, oder von deinem
> Mailhost. Oder siehst du dabei Zeitstempel die vor dem Abruf der Mail
> datiert sind?

Hier mal ein aktuelles Beispiel:

Email-Header:

>From bounce-HP2v40000015f9724546b950784f4bbcfb648198 at mail.paypal.de Tue
Nov 07 17:01:08 2017
Return-path:
<bounce-HP2v40000015f9724546b950784f4bbcfb648198 at mail.paypal.de>
Envelope-to: sascha at pohl-bo.de
Delivery-date: Tue, 07 Nov 2017 17:01:08 +0100
Received: from mta106b.pmx1.epsl1.com ([142.54.244.106])
	by mail.pohl-bo.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.89)
	(envelope-from
<bounce-HP2v40000015f9724546b950784f4bbcfb648198 at mail.paypal.de>)
	id 1eC6JH-0002p1-5K
	for sascha at pohl-bo.de; Tue, 07 Nov 2017 17:01:07 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.paypal.de;
	s=pp-epsilon1; t=1510069261;
	bh=3iDuG4Oby4DVP7MzV+HsCHl2q23H8aXKT4Pembiw6jw=;
	h=MIME-Version:Subject:From:To:Date:Content-Type;
	b=xklSAtVDvxJWOJn+cnuXDB1jvv1RgkZCS8cGjpeEbNghlLnkm6Gm3Q5/2Yligj7Dv
	 7CCGmGpPDZOhJAZErByWAoFQXJ/jETH/8JaeBx5s2W8KIsHErTMz0YwDMACYPSFpHQ
	 /FBeSx91UfskAVprPLOLxkxJaYoZNwwrHwz/SFv7KOrUODQGMRbJrY9cRchyGSRjQN
	 tt3iOPN/g5IyDYeTKqT53M/R3M61MHMAY+Hfxqq0h0kJN4RBu0afZ+NTjelptbFt1E
	 ONDPA51APmNQlCtPKJ2jyh1l2dN6wYIR9CMUaClUwj0J6ReFCS/sCyfcQJaKdPJMs2
	 sWzq9MLKtrU7Q==
Received: from [10.233.19.184] ([10.233.19.184:34788])
	by pc1udsmtn2n15 (envelope-from
<bounce-HP2v40000015f9724546b950784f4bbcfb648198 at mail.paypal.de>)
	(ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM
	id 19/6E-47256-D04D10A5; Tue, 07 Nov 2017 15:41:01 +0000
List-Unsubscribe:
<mailto:bounce-HP2v40000015f9724546b950784f4bbcfb648198 at mail.paypal.de?subject=list-unsubscribe>
Message-ID: <HP2v40000015f9724546b950784f4bbcfb648198 at mail.paypal.de>
MIME-Version: 1.0
Reply-To: "noreply at mail.paypal.de"
 <noreply-HP2v40000015f9724546b950784f4bbcfb648198 at mail.paypal.de>
From: "PayPal" <paypal at mail.paypal.de>
To: sascha at pohl-bo.de
Date: Tue, 7 Nov 2017 15:41:01 +0000
Content-Type: multipart/alternative;
 boundary="-=Part.342bfdf.abe60da000f70239.15f9724569b.b7e2397c72c95d42=-"
X-Scan-Signature: 22e4276ea37fc34430da28faa3d0c9d5
X-Virus-Flag: YES
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Subject: *VIRUS* Sie haben Guthaben auf Ihrem PayPal-Konto
X-Original-Recipient: sascha at pohl-bo.de
X-Antivirus: Avast (VPS 171107-0, 07.11.2017), Inbound message
X-Antivirus-Status: Clean

/var/log/clamd.log:

Tue Nov  7 17:01:07 2017 ->
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND

/var/log/messages:

Nov  7 17:01:07 server clamd[32087]:
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND

Daher bin ich mir sicher, dass der Fehler durch den ClamAV auf meinem
Server verursacht wird.


> Kay

Grüße,
Sascha

Mehr Informationen über die Mailingliste Eisfair