[Eisfair] [E1] ClamAV - Emails von PayPal werden immer als Virus-Mail gekennzeichnet und aussortiert

[Marcus Roeckrath]

Hallo Sascha,

Sascha Pohl wrote:

>> Ein Virenbefund ist ein Virenbefund, egal, ob das nun Clamav lokal oder
>> der Provider das so festgestellt hat.
> 
> Das ist natürlich richtig!
> 
>> Alle Mails die hier von "PayPal" eintreffen sind zu über 90% nicht von
>> PayPal, also zumindest der Versuch, den Empfänger auf eine falsche
>> Webseite zu locken.

Wenn ich mal etwas per PayPal bezahle, kommmen die Bezahl-Bestätigungsmails
immer ohne jede Beanstandung durch.

Andere angebliche Paypal-Mail, die zumindest im To behaupten von PayPal zu
kommen, aber schon von der Aufmachung auffällig sind, entpuppen sich beim
betrachten der Header als Spam oder Phishing-Versuch, ohne dass diese in
allen Fällen als solche erkannt wurden, weder von Provider noch vom lokalen
Virenscanner.

>> Natürlich schießen Virenscanner schonmal über das Ziel hinaus, aber
>> "false positive" Befunde sind allemal besser als "false negative".
> Grundsätzlich stimme ich dir hier zu.
> Wenn aber alle Emails von PayPal grundsätzlich falsch klassifiziert
> werden, dann ist da meiner Meinung nach ein Fehler im System, den man
> ausbügeln sollte.

Das ist das Problem mit der Heuristik, die ja nicht auf bekannten
Virensignaturen beruht.

Wäre die Frage, ob man die Heuristik abstellen kann.

> Lieber einmal zu viel etwas zu vorsichtig, als einmal einen fatalen
> Fehler zu begehen.

Ich habs als Admin in der Schule erlebt: "Wieso schicken die mir eine
Rechnung, mit denen habe ich doch garnichts zu tun. Schau ich doch mal
rein."

Du kannst dir denken, was passiert ist.

-- 
Gruss Marcus