Aufgrund der inzwischen weitverbreiteten Angriffe über MS-Office Macros hat es sich als sinnvolle Gegenmaßnahme erwiesen,
Mails mit MS-Office Dokumenten, die Macros enthalten, abzuweisen. Bei den üblichen Mailgateways, die ClamAV als einen der in
Amavis konfigurierten Virenscannern verwenden, ist so eine Lösung leicht zu implementieren. So wird auch sichergestellt,
dass der Scan an der richtigen Stelle erfolgt.

Die Lösung funktioniert allerdings nicht, wenn solche Files verschlüsselt übertragen wird, und die Entschlüsselung nicht
auf dem Mailserver erfolgt.

Konfiguration

Mit Yara Files, die seit ClamAC 0.99 unterstützt werden, kann der Scan erfolgen:

rule office_macro
{
meta:
description = "M$ Office document containing a macro"
thread_level = 1
in_the_wild = true
strings:
$a = {d0 cf 11 e0}
$b = {00 41 74 74 72 69 62 75 74 00}
condition:
$a at 0 and $b
}

Das File muss in /var/db/clamav (FreeBSD) mit der Endung .yar oder .yara gespeichert werden.

Jetzt den clamd Prozess neu starten und ClamAV erkennt Office Dokumente mit Macros.

Test

Wird eine MS-Office Datei mit Macros verschickt, dann sollte im Logfile folgende Meldung erscheinen:

Jun 28 06:41:17 cfmail2 1 2019-06-28T06:41:17.552115+02:00 cfmail2 amavis 98086 - - (98086-09) Blocked 
INFECTED (YARA.office_macro.UNOFFICIAL) {RejectedInternal,Quarantined}, ORIGINATING/WHITELISTED
LOCAL [192.168.0.1]:41742 [192.168.0.1] <[email protected]> -> <[email protected]>, quarantine: virus-VhsWI1nfaIbC,
Message-ID: <[email protected]>, mail_id: VhsWI1nfaIbC, Hits: -, size: 53554, 2974 ms

Der Absender der Mail sollte weiterhin eine Reject Meldung bekommen, so dass er auch erfährt, warum die Mail abgewiesen wurde.

Quellen

ClamAV Dokumentation

Beitrag in Serverfault